xx conferência - ipai · ual. 2 ipai auditoria interna outubro/dezembro de 2013 nº 53 ipai -...

1

IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53

Janeiro/Mar 2012 Trimestral Distribuição gratuita Nº 46

Outubro/Dezembro 2013 Trimestral Distribuição gratuita Nº 53

XX Conferência

Anual

2


IPAI - Membros Colectivos

Click here to enter

text.

--Click here to enter text.

Click here

to enter text.

Click here to enter text..

3


IPAI - Membros Colectivos

.

-

.

Click here to enter text.

4


Parcerias e protocolos

5


Missão

Promover a partilha do saber e da prática em auditoria

interna, gestão do risco e controlo interno.

Índice

Auditoria interna CAAI 2013 , Fát ima Geada, P res idente Direcção IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Determinação - Manuel Marques Barreiro, Consultor e Presidente do Conselho Geral do IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Uma análise s istémica da auditor ia interna nos municípios em Portugal , Sofia Alexandra Lopes Fé lix e

Georgina Mora is . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Sobrevivência, adpatação e responsabil idade social , Már io Parra da Si lva; Pres idente Direção da APEE 16

Modelação do Risco de TI , Luís Montanha Rebelo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Modelagem de r iscos de processos empresaria is na perspectiva da auditor ia , José Aís io Catunda

Aragão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

47,4% de abstenção, teria a uti l ização da tecnologia e a votação eletrónica ajudado? Teria a

Segurança deixado? Bruno Horta Soares, CISA®

, CGEIT®

, CRISC™

, PMP® ,

Presidente do ISACA Lisbon

Chapter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Caneta Digita l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Post- it , Miguel Si lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Pesquisa de Inst i tutos de Auditor ia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Propriedade e Administração

IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002

Ficha técnica

Presidente da Direção: Fátima Geada; Diretor: Joaquim Leite Pinheiro; Redação: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Jorge Nunes, Manuel

Barreiro, Fátima Geada, Francisco Melo Albino. Colaboradores: Fátima Geada, Manuel Barreiro, Luís Montanha Rebelo, Miguel Silva, Mário Parra da Silva, Bruno

Horta Soares, José Aísio Catunda Aragão, Sofia Alexandra Lopes Félix, Georgina Morais.

Pré-impressão: IPAI; Impressão e Acabamento: FIG; Ano XV – Nº 53 – TRIMESTRAL Outubro/Dezembro de 2013; TIRAGEM: 1400 exemplares.

Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-

085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; Visite-nos em www.ipai.pt ERC: Exclusão de registo ao abrigo do artº 12º, DR 8/99, 9 de Julho.

http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/

http://pt.linkedin.com/in/ipaichapteriia

Nota: Os artigos vinculam exclusivamente os seus autores, não refletindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A

aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.

Foto da capa: JLP

mailto:[email protected]


http://www.ipai.pt/

http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/

http://pt.linkedin.com/in/ipaichapteriia

6


Auditoria interna - CAAI 2013,

Fátima Geada, Presidente Direcção IPAI

Tenho o grato prazer de dar início à XX Conferência

Anual do IPAI e começo por cumprimentar os oradores,

todos os colegas aqui presentes e os patrocinadores que

tornaram possível este evento e todos os convidados

aqui presentes.

A conferência constitui, desde sempre, um

momento particular e especial, de partilha de

conhecimentos e de perspetivas sobre o presente

e o futuro da função de Auditoria.

Este ano o tema global “Auditoria: Tendências Futuras”,

procura refletir sobre a importância e o contributo

estratégico da auditoria interna para o desempenho

organizacional na identificação de ameaças e

oportunidades na análise e na mitigação dos custos do

contexto e no contributo da função para a construção de

definição de estratégias de ajustamento, que conduzam à

adaptação das organizações, às exigências da

envolvente.

A globalização, a volatilidade dos mercados, a

complexidade dos negócios, a turbulência económica, os

constrangimentos económicos, o período da contração

económica, associado às profundas mudanças

tecnológicas, políticas e regulatórias que transformaram

radicalmente a envolvente e a contextualização dos

negócios, amplificaram os riscos para as empresas e

organizações.

Neste contexto, a Auditoria Interna tem necessariamente

de efetuar um esforço adicional e coletivo para

conseguir acompanhar o ritmo das mudanças.

As áreas de auditoria têm de se munir com metodologias

mais eficazes que demonstrem competências mais

eficientes e alinhadas com a governação, e deste modo

assegurar contributos significativos para a gestão de

riscos e adaptação às alterações legislativas, regulatórias

e de compliance.

Permito-me considerar que esta Conferência possibilitará munir-vos de novas

reflexões e caminhos a serem trilhados com melhorias efetivas no seio das vossas

organizações.

IPAI CAAI 2013

7


Os desafios colocados atualmente à Auditoria Interna

passam por acompanhar as alterações permanentes

ocorridas em termos de regulamentação,

organizacionais, de sistemas de informação e permitir a

utilização de metodologias mais eficazes com apelo a

técnicas de monitorização e de auditoria contínua.

A auditoria interna para ser mais eficaz precisa de

desenvolver competências cada vez mais específicas,

articulando essa atuação com a crescente escassez de

recursos com que as organizações se debatem.

O ambiente continuará a permanecer desafiador e a

Auditoria Interna precisa de sair da zona de conforto, do

âmbito da conformidade, focar-se no acompanhamento

das vertentes do negócio, que demonstram um risco

mais elevado e que implicam também um maior

alinhamento com o “core business” das organizações.

As funções de Auditoria Interna que usualmente revelam

melhores resultados evidenciam vertentes de:

capacidade técnica e metodológica com sólidos

conhecimentos, coordenação com as áreas de gestão de

risco, permitindo focar nas vertentes que efetivamente

contam para a organização.

Essa integração ajuda a auditoria interna a identificar os

problemas, acompanhando eventuais riscos emergentes,

acrescentando valor em áreas novas, alinhando o plano

de auditoria e o seu âmbito com as expetativas dos

stakeholders e desenvolvimento atempado das respetivas

atuações com uma característica proactiva de caráter

preventivo.

No momento em que as empresas procuram proteger-se

num cenário de riscos acrescidos, a auditoria interna

pode desempenhar um papel crucial, parafraseando John

F. Kennedy “há riscos e custos num programa de

atuação proactiva, mas eles são menores do que os

riscos e custos a longo prazo decorrentes da inércia

confortável”.

A Auditoria Interna tem que ser vista como geradora de

valor para as organizações, ela não pode mais ser

considerada como um custo, mas um investimento na

melhoria dos processos, na eficiência, na segurança e na

mitigação de eventuais custos do contexto e da

gestão/mitigação das vertentes de risco mais importantes

para a organização, podendo mesmo assumir-se como

um consultor “de confiança”, que conhece a

organização, a sua cultura, os seus processos e que pode

potenciar a forma como os recursos estão a ser

empregues.

Esta profissão tem um grande potencial de crescimento e

para tal, precisamos de lideranças exigentes e criativas e

cada vez mais e melhor formação académica e

profissional.

A Auditoria Interna, dado o contexto atual e o escrutínio

a que as organizações estão sujeitas, está perante um

grande desafio e uma grande oportunidade, que lhe

permitirá contribuir mais proficuamente para criar valor

para as organizações e também para a sociedade.

As vertentes chave reveladas como fundamentais na

tendência de evolução da Auditoria, no final da

Conferência teremos com certeza um conhecimento

mais detalhado das mesmas, poderão ser apontadas as

seguintes:

estatuto da função – empowerment da função, que

depende da forma como a função é percecionada no

seio da organização;

como é utilizada a função;

IPAI CAAI 2013

8


a quem reporta – do ponto de vista

hierárquico/administrativo e funcional – se como é

recomendado pelo IIA, ao mais alto nível na

organização, de modo a garantir a sua independência

e eficácia;

foco da atividade nas áreas de maior risco,

alinhamento com as preocupações do negócio;

a responsabilidade do Auditor e o impacto real do seu

trabalho;

necessidade de ajustar o plano às expectativas dos

stakeholders, adequar a gestão de risco aos desafios

tecnológicos existentes, implica desenvolver novas

competências nos auditores, desde tecnológicos, de

comunicação, resistência ao stress e acima de tudo

comportamentos fundamentados em princípios éticos

(honestidade, coragem, responsabilidade,

credibilidade, respeitabilidade e proactividade);

possibilitar uma atuação de efetividade e de garantia

no acompanhamento dos vetores do negócio de

maior risco;

.proficiência com a utilização de ferramentas de data

mining, recorrendo a metodologias e instrumentos de

tratamento analítico de dados, que potenciem a

eficácia da sua atuação.

Os aspetos enunciados poderão apontar para uma

tendência, onde se defrontam diferentes correntes: uma

tendência marcadamente evolucionista, que defende o

alargamento do âmbito e alcance da Auditoria, ou

tradicional, com uma formulação baseada nos aspetos

estritamente técnicos da profissão.

No passado o Auditor viveu o síndroma do exato, da

fiabilidade estrita da informação, hoje acresce a essa

perceção o síndroma da mudança, com as contingências

da realidade empresarial e das organizações e no futuro

esta vertente será potenciada, já o está a ser, com a

incerteza que caracteriza toda a envolvente.

O papel do Auditor vai-se colocar não só nos aspetos

quantitativos, mas também qualitativos, com uma visão

mais global, integral e menos limitada aos aspetos

financeiros e de processos, mas tendo como

preocupação fulcral e mais significativa os aspetos da

conduta e da ética, na perspetiva de corresponder ao que

a sociedade requer cada vez mais da sua atuação.

Permito-me considerar que esta Conferência

possibilitará munir-vos de novas reflexões e caminhos a

serem trilhados com melhorias efetivas no seio das

vossas organizações.

Evento

Jantar de aniversário do IPAI

6 de março de 2014

IPAI CAAI 2013

9


Determinação- Manuel Marques Barreiro, Consultor e Presidente do

Conselho Geral do IPAI

A realidade acelerada deste nosso tempo tem

ocasionado imponderáveis tomadas de decisão a

nível político, as quais provocaram e continuam

a provocar aleijões brutais na sociedade.

É notória a cumplicidade dos mandantes do mundo

nesta perversão, nesta crescente desvalorização do

homem. Sobre os males sociais que nos afligem há

resmas de prosa e centenas e centenas de horas de

antena com diagnósticos, prognósticos e terapêuticas.

No entanto as melhorias tardam em chegar, porque não

são tomadas as medidas que se impõem para a sua

resolução.

Por conseguinte, não será pelo desconhecimento da

situação que os processos condizentes com soluções

adequadas não terão tido vencimento. Em boa verdade,

o arrastamento do problema agrava-o em cada dia que

passa. Parece que toda esta inércia decorre de um

determinismo geográfico ou radicará antes em questões

de natureza cultural, ou religiosa. Ou não será talvez o

resultado de uma tremenda abulia daqueles que gerem a

coisa pública?

Seja o que for, em boa verdade como sabemos, esta

moléstia atinge com um grau inusitado de virulência a

sociedade dos nossos dias. Os tempos que estamos

vivendo estão semeados de incertezas as quais se vão

somando a outras tantas preocupações decorrentes do

nível de aspiração a que todos temos direito.

Dentre todas elas, e são muitas, queremos realçar a

situação decorrente da velhice e do crescente

empobrecimento da população.

Ao longo da história do homem sobre a terra, não

obstante todas as vicissitudes decorrentes das épocas e

das várias culturas, a velhice sempre foi encarada e

assumida com respeito. Ainda hoje nas civilizações

ditas primitivas, segundo o conceito antropológico, a

velhice é respeitada e todas as grandes decisões da tribo

só têm lugar após a audiência dos mais velhos ou, por

exemplo, do chamado conselho de anciãos, quando este

existe.

A ausência de determinação de quem nos governa em

termos da assunção plena de uma tomada de

consciência capaz de pôr em prática os meios (porque

os há) tendentes à resolução de toda esta embrulhada

em que nos meteram, é um facto evidente.

Tudo o que está acontecendo, nunca será demasiado

dizê-lo, está dilacerando os mais indefesos.

Audire

10


Nesse vórtice são apanhados na primeira onda os mais

fracos: os velhos, e os pobres.

Os velhos, são uma decorrência da situação natural da

vida. O que não será assim tão normal é o tratamento

abusivo, inclemente, diremos mesmo, desumano de que

estão a ser alvos. A essa injustiça é adicionada a

situação de pobreza que os tem atingido num crescendo

e que, pelos vistos, não sabemos ainda onde e quando

irá parar. Esta sanha arrasadora que ataca a fazenda e as

consciências está envolta em maus augúrios quanto ao

seu desfecho final. Do cumprimento desta profecia

estamos certos.

Dentro deste contentor de desgraças também se

encontram os desempregados de todas as idades, com

prevalência agravada para a juventude que, não

encontrando no seu país mercado de trabalho emigra,

sabe-se Deus com que vontade.

Nesta envolvente parece estar inscrita a marca da

inércia traduzida na preclara incapacidade dos

governantes desde há alguns anos a esta parte. Não

existe uma visão para o país nem uma estratégia capaz

de definir uma política empresarial (industrial) para a

economia nacional.

A incapacidade de conciliar o saneamento das contas

públicas com o crescimento económico é mais que

evidente. Deem as voltas que derem, se insistirem na

leitura da mesma partitura é certo que a tendência será

para o desconcerto da situação. Os passos que têm

vindo a ser dados são próprios de um padecente com

reumatismo mental anquilosante. Parece-nos até

descortinar-se um certo tipo de entretenimento

esquizofrénico atirando jovens contra velhos,

trabalhadores privados contra funcionários públicos e

desempregados contra empregados. E de tal modo o

fazem que, por vezes, até nos esquecemos que Portugal

é uma democracia e um Estado de direito com

separação de poderes legislativo, executivo e judicial,

três pilares fundamentais da democracia.

Estamos certos que todos os portugueses sentem na pele

as dificuldades, não lhes sendo também alheio o

conhecimento dos que foram e dos que ainda continuam

a ser os verdadeiros responsáveis pela situação a que

chegamos. Por outro lado, também sabem que estão a

ser chamados para ajudarem a resolver uma situação

crítica para a qual só por ingenuidade ou por mera

distração tiveram nisto algum grau de conivência ainda

que adventícia.

A situação de pobreza decorrente dos vários tipos dos

enunciados que referimos está a tornar-se endémica.

Trata-se de um problema particularmente grave. Tem

havido e continua a haver, uma progressiva perda do

poder de compra da população. Essa perda tende a

agravar-se mercê da ignorância ou da inabilidade de

quem nos tem governado. Isto para não entrarmos em

outras questões da esfera do poder político tão

controversas como irresponsáveis. Não queremos ir por

aí.

Paralelamente nota-se uma pobreza de espírito que

alastra a olhos vistos como fogo em palha seca.

Perderam-se as referências, já ninguém fala em valores

(morais, note-se) e bem poucos se preocupam com a

ética.

Audire

11


Pena é que os governos pouco ou nada tenham para nos

ensinar e, sobretudo, de se mostrar capazes de dar o

exemplo, como lhes compete.

Há algum tempo a esta parte temos vindo a ouvir falar

na reforma do Estado. Ao que parece, será nessa tão

propalada equação que se encontrará a chave para o

sucesso da governação. No entanto as justificações que

têm vindo a ser aduzidas ao longo do tempo sobre o já

proverbial atraso na sua implantação radica em escolhos

dimanados de entidades que, por obscuras razões terão

entravado essa implantação.

Entretanto exibiu o governo um documento sobre este

tema. Aqui estaria o “abre-te sésamo” dessa dita

reforma. No entanto até agora ainda não teve

visibilidade prática capaz de confirmar esse propalado

desígnio. Apenas questões pontuais têm sido feitas,

medidas avulso fora do contexto. Fala-se para aí que

não passará de uma atabalhoada proposta de intenções

cuja operacionalidade “et pour cause” se afigura

bastante duvidosa.

Perante tudo isto e cingindo-nos à reforma do Estado a

dúvida permanece. Haverá perversidade, inépcia,

insipiência ou abulia? Talvez de tudo isso um pouco.

Não obstante todas as dificuldades, é imprescindível a

existência de um projecto desta envergadura, não sendo

isso impeditivo da sua execução.

Partindo deste pressuposto resta tirar a conclusão: há

falta de vontade política para o levar a cabo. Se ele se

situasse na primeira linha das preocupações do

executivo, somos de opinião que, mesmo fazendo fé

sobre o que sobre o assunto tem sido escrito, tal

propósito já deveria ter tido nesta altura algum

vencimento. Não será o caso.

Dentre as sugestões, opiniões, ou mesmo até propostas

conhecidas, destacaremos um artigo vindo a lume num

jornal de referência(*) sob o título: “Guião Para a

Reforma Administrativa”, no qual se enuncia à laia de

sumário, uma tipologia para a exequibilidade dessa

reforma, contida em dez pontos. Nele está condensado o

essencial, se for tomado em consideração, capaz de

fazer chegar a bom porto um projecto desta

complexidade, com a eficiência e a eficácia que uma

operação desta natureza exige.

Trata-se duma proposta, segundo a nossa leitura, que

não se cinge ao entendimento analítico, mas é também e

sobretudo, perspectivada a partir de uma abordagem

holística da sociedade.

Somos a concluir que, nesta barafunda em que o País se

encontra e da qual tarda encontrar a forma de sair dela,

seria interessante que o governo se socorresse de meios

mais práticos e expeditos para a resolução do problema.

Parece-nos que uma das formas mais adequadas seria o

recurso a pessoas de prestígio e com provas dadas em

áreas da gestão e da condução de projectos deste jaez.

Entidades essas disponíveis para assumirem este

serviço, em termos estratégicos, tácticos e operacionais.

A responsabilidade final será sempre do executivo,

como é óbvio. O País e o governo só teriam a ganhar.

Os governantes andam distraídos. O povo finge estar

distraído mas não está.

(*) Luis Todo Bom – Economia Real, “Um Guião Para a Reforma

Administrativa” in – Expresso de 23 de Novembro de 2013

Audire

12


Uma análise sistémica da auditoria interna nos

municípios em Portugal1, Sofia Alexandra Lopes Félix e Georgina Morais

Introdução

Nos últimos anos, a gestão municipal tem vindo a ser

alvo de uma verdadeira revolução que imprimiu

alterações na sua estrutura contabilística, financeira e

organizacional. Neste contexto particular, a auditoria

interna municipal pode ser perspetivada como um

instrumento de apoio à gestão, que favorece a prevenção

e deteção de irregularidades, constituindo um garante

que os dinheiros públicos estão a ser gastos

adequadamente.

Objetivos

O estudo teve dois objetivos primordiais,

nomeadamente, a caracterização dos serviços de

auditoria, em termos do alcance do trabalho efetuado e

aferir o contributo da auditoria interna na prossecução

dos objetivos municipais, enquanto função de suporte ao

decisor político.

Valor acrescentado

Da revisão da literatura concluiu-se que os estudos

científicos incidiram com maior profusão na área do

controlo interno do que na auditoria interna, afigurando-

se estar relacionado com o facto, do POCAL estipular a

obrigatoriedade de uma norma de controlo interno. O

estudo de Jorge e Costa (2009) apresentou algumas

conclusões pertinentes relativamente à auditoria interna.

Com efeito, através do questionário no referido estudo

foi obtida uma amostra de cerca de 27% do universo,

constatando-se que a maior parte dos municípios já

implementou o POCAL e não possuía serviço de

auditoria interna, motivado essencialmente por falta de

meios humanos ou materiais, predominando as

auditorias financeiras, de gestão e da legalidade.

Considerando então, algumas das limitações subjacentes

ao estudo apresentado por estas autoras foram definidos

pressupostos de análise para o estudo empírico. Nesse

sentido e considerando como ponto de partida que o

POCAL já se encontrava amplamente implementado

pelos municípios portugueses, foram exclusivamente

remetidos questionários aos que possuíam serviços de

auditoria interna na sua estrutura orgânica, tendo sido

estatisticamente tratados os dados.

Metodologia

Os questionários foram enviados para preenchimento on-

line apenas aos municípios que possuíam na sua

estrutura orgânica um serviço de auditoria interna. Assim

do universo de 308 municípios portugueses apenas 66

têm na sua estrutura orgânica auditoria interna. Dos 66

questionários enviados foram validados 21 questionários

correspondendo a uma taxa de (31,82%).

13


Do contacto levado a cabo com os municípios a fim de

solicitar a resposta aos questionários, foram apresentadas

algumas causas para o número elevado das não

respostas, designadamente: a existência de serviços de

auditoria no organigrama dos municípios e os

mesmos ou não terem sido efectivamente constituídos

ou alguns não se encontrarem a funcionar, por

necessidade de alocar os recursos humanos a outras

funções e ainda a necessidade dos técnicos terem de

solicitar autorização superior.

O questionário visou a recolha de informação pelas

seguintes temáticas: caracterização do município;

caracterização do serviço de auditoria interna, alcance da

auditoria interna no município e contributo da auditoria

interna para a prossecução dos objetivos municipais. No

âmbito do estudo foram testadas 5 hipóteses visando

avaliar a correlação entre o número de funcionários

município e a dimensão da equipa de auditoria, o

número de relatórios produzidos e o número de medidas

corretivas/propostas de melhoria, visou-se também,

analisar se a dimensão do município tem influência na

existência de manual de auditoria aprovado e na

prossecução dos objetivos municipais.

Principais conclusões

As respostas obtidas foram predominantemente do

distrito do Porto e de Setúbal e dos municípios de média

dimensão1, concluindo-se que a grande maioria não

possui entidades associadas. Os serviços de auditoria

interna estão maioritariamente organizados sob a forma

de gabinete e dependem diretamente do Presidente da

Câmara e têm entre 1 a 5 anos de existência, destacando-

1 , Com um número médio de 778 funcionários e um orçamento

médio de 70.961.772,63€.

se também, os serviços que foram mais recentemente

criados. Os gabinetes são então constituídos por equipas

pequenas e por técnicos superiores (95,2%), pelo que,

existem serviços de auditoria exclusivamente

constituídos por técnicos superiores e alguns

mencionaram ainda, acumular esta função com o cargo

de dirigente. Foi ainda, referida a pertinência da criação

de uma bolsa de auditores internos. Em termos de

habilitações académicas e profissionais os técnicos

superiores são fundamentalmente licenciados em

Economia/ Gestão e Direito e nenhum afirmou possuir a

certificação em “Certified Government Auditing

Professional”(CGAP). No teste de hipóteses inferiu-se

contudo, à medida que aumenta o número de

funcionários do município, aumenta o número de

funcionários afetos ao serviço de auditoria interna. Pese

embora os inquiridos tenham indicado possuir manual de

auditoria e norma e controlo interno aprovado, o ritmo

de atualização tem sido extremamente fraco. Verificou-

se não existir relação entre dimensão do município e a

existência de manual de auditoria interna. A totalidade

dos municípios possui Plano de Gestão de Riscos de

Corrupção e Infrações Conexas2 aprovado tendo-se

contudo, registado uma percentagem de 71,4% de “não

resposta” relativamente à implementação de medidas de

acompanhamento, o que induz a não efetivação de

acompanhamento ao plano. Não obstante, o

acompanhamento poderia ser desenvolvido pela equipa

de auditoria interna.

2 Plano elaborado pelos municípios decorrente de recomendações do

Tribunal de Contas Português.

Uma análise sistémica da auditoria interna nos municípios em Portugal

http://pt.surveymonkey.net/MySurvey_EditPage.aspx?sm=XQUupbQ%2bZpnCKZFPS3X9sLWAzYWj%2btC4hWz%2fmcBPKSPR5YhrO9XdeWzXaw1JSrX%2f&TB_iframe=true&height=450&width=650

http://pt.surveymonkey.net/MySurvey_EditPage.aspx?sm=XQUupbQ%2bZpnCKZFPS3X9sLWAzYWj%2btC4hWz%2fmcBPKSPk5daLX8TYLz%2bOu%2f2e9OYn&TB_iframe=true&height=450&width=650

http://pt.surveymonkey.net/MySurvey_EditPage.aspx?sm=XQUupbQ%2bZpnCKZFPS3X9sF%2biHrwm3%2f0zwkxfHszfB3FhGZySy%2fM%2bfqy41IaFI0XR&TB_iframe=true&height=450&width=650

http://pt.surveymonkey.net/MySurvey_EditPage.aspx?sm=XQUupbQ%2bZpnCKZFPS3X9sF%2biHrwm3%2f0zwkxfHszfB3FhGZySy%2fM%2bfqy41IaFI0XR&TB_iframe=true&height=450&width=650

http://pt.surveymonkey.net/MySurvey_EditPage.aspx?sm=XQUupbQ%2bZpnCKZFPS3X9sAy6g%2bg6hpr4tw9B9mIKis8tjRoK5c1dVwalQKUpEqAJ&TB_iframe=true&height=450&width=650

http://pt.surveymonkey.net/MySurvey_EditPage.aspx?sm=XQUupbQ%2bZpnCKZFPS3X9sAy6g%2bg6hpr4tw9B9mIKis8tjRoK5c1dVwalQKUpEqAJ&TB_iframe=true&height=450&width=650

14


A atividade dos serviços de auditoria reside

fundamentalmente na realização de auditorias, ou seja,

em média são produzidos 5 auditorias por ano, sendo

significativa a frequência de inquéritos (traduzindo-se

numa percentagem total de resposta de 42,9%) e

processos de mera averiguação (traduzindo-se numa

percentagem total de respostas de 28,6%), pelo que, as

sindicâncias têm menor expressão. Os principais

critérios utilizados nas auditorias internas são as áreas de

maior risco (81,0% dos inquiridos) e as queixas dos

munícipes (38,1%). De um modo, geral as auditorias

mais frequentemente encetadas pelos serviços de

auditoria interna são: a auditoria contabilístico

financeiro; a auditoria ao controlo interno; a auditoria

aos recursos humanos e a auditoria da qualidade. É

predominante o recurso à amostragem não estatística,

contudo, alguns inquiridos mencionaram o recurso a

random access, standardizada e a perceção do auditor

face à avaliação do risco. Na recolha de informação são

utilizados os testes de conformidade e de procedimento e

as provas recolhidas são suficientes e adequadas na

opinião de 85,7% dos inquiridos. A quase totalidade dos

serviços de auditoria interna não tem implementado o

recurso a sistemas informáticos. Em média são

produzidos 6 relatórios de auditoria por ano.

Adicionalmente, concluiu-se que um maior número de

técnicos nem sempre conduz a uma maior produção de

relatórios/ano. Verificou-se um equilíbrio nas respostas

quanto à publicitação dos relatórios de auditoria, os

inquiridos que decidem pela publicitação dos relatórios

fazem-no essencialmente com recurso ao envio de email,

intranet, tendo adicionalmente sido referido que o

relatório preliminar é enviado ao auditado para efeitos de

contraditório. Em termos de consequências mais

frequentes são dominantes as medidas

corretivas/propostas de melhoria, constituindo as

infrações disciplinares um procedimento menos usual,

assim como, os factos passíveis de reporte ao Ministério

Público. Desta forma, a grande maioria dos municípios

assinalou que o resultado da sua ação visa propor a

adoção de medidas corretivas/propostas de melhoria

(uma média de 14 propostas por ano). No entanto, não

foi possível concluir que o número de funcionários tenha

um impacto positivo no número de medidas corretivas/

propostas de melhoria, ou seja, equipas de auditoria

maiores não conduzem necessariamente, a uma maior

produção de medidas e /ou propostas. Uma significativa

percentagem de inquiridos (cerca de 61,9%) indicou não

proceder à avaliação dos procedimentos de auditoria

interna, uma das causas apontadas é a recente criação do

serviço. No entanto, os que assinalaram positivamente a

avaliação dos procedimentos são maioritariamente

escolhidas a aplicação de indicadores de rendimento e

em termos de outros métodos foi mencionada a

realização de auditorias por terceiros. Os técnicos

consideraram que os principais contributos da auditoria

interna na prossecução dos objetivos municipais residem

em assegurar que: as normas regulamentares são

executadas; promover o controlo dos riscos;

salvaguardar os ativos e otimizar a alocação dos ativos

(conforme descrito no gráfico 1). De igual modo, pode

deduzir-se não existir relação entre dimensão do

município e os diferentes contributos para a prossecução

dos objetivos municipais.


15


Gráfico 1: Contributo da auditoria interna para a prossecução dos objetivos municipais

Fonte: Elaboração própria

O estudo permitiu concluir que a atividade de auditoria

interna reside essencialmente na produção de relatórios

baseados em inquéritos e nas queixas dos munícipes. Os

principais contributos da auditoria interna consiste em

assegurar que as normas regulamentares são cumpridas e

proceder ao controlo dos ativos, pesquisas futuras

poderão contudo, ser desenvolvidas, alargando-se a

amostra.

O estudo, representou um importante contributo na

caracterização dos serviços de auditoria interna, em

termos de perspetivas futuras poderão ser recolhidos

mais resultados, bem como, poderão ainda ser analisados

um conjunto alargado de pressupostos, tendo sido

propostos os seguintes: a avaliação do desempenho do

serviço interno pelos restantes serviços municipais, o

impacto da atividade de auditoria interna no combate à

fraude e a realização de estudos futuros que permitam

acompanhar a evolução da auditoria interna nos

municípios, uma vez que se trata de uma área emergente.

Contactos: Sofia Alexandra Lopes Félix

([email protected]) e Georgina Morais

([email protected])

Palavras-Chave: auditoria interna, municípios de

Portugal.

76,2% 71,4%

90,5%

19,0%

66,7%

4,8%

0,0%

20,0%

40,0%

60,0%

80,0%

100,0%

Controlo dos

riscos

Salvaguarda

dos ativos

Assegurar que

as normas

regulamentares

são executadas

Preparação

dos controlos

externos

Otimização da

alocação dos

recursos

Outro

Contributo para os objetivos municipais

Contributo



16


http://www.apee.pt/

Sobrevivência, adpatação e

responsabilidade social, Mário Parra da Silva;

Presidente Direção da APEE

Como é sabido a Responsabilidade Social de uma

organização apoia-se nas suas “partes interessadas” e

entre elas e a organização estabelece uma relação que é

semelhante às que se estabelecem nos ecossistemas

naturais.

A extensão deste conceito ambiental ao plano social e

económico leva a pensar em sobrevivência das espécies,

em espécies em risco de extinção, em diversidade, em

adaptação, em cadeia alimentar, e no valor que cada

espécie tem para os seus parceiros imediatos e para o

sistema no seu conjunto.

Outra ideia é a de redundância: os ecossistemas

raramente dependem de uma só espécie para manter um

certo processo em funcionamento. Se um elemento

cessa de produzir valor outros se posicionam para

ocupar o seu “nicho ecológico”.

Mas a Natureza, apesar de maravilhosa e isenta do mal,

é regida pelo binómio necessidade e disponibilidade.

Os ecossistemas humanos, compostos por pessoas

dotadas de consciência, terão incorporar os valores

espirituais que as sucessivas gerações identificaram e

que fundamentam a vida humana como destinada não

apenas à existência mas à criação e à sabedoria, e é

assim que “se vão da lei da morte libertando”.

Desde que comecei a interrogar-me sobre o tema

acreditei que a atividade económica teria como objetivo

progressivamente libertar o ser humano do império da

necessidade e proporcionar-lhe mais tempo para

construir arte e pensamento, boas obras e boas ações,

numa vida com significado.

Era o lugar-comum “trabalhar para viver e não viver

para trabalhar”. Aqui parecia estarmos a conseguir esse

objetivo, com a imensa melhoria dos nossos padrões de

saúde, educação, consumo, férias, eventos musicais e

culturais, etc.

Mas noutras partes do mundo a luta pela vida

continuava muito dura e o que para nós era já passado

em muitos países era ainda um sonho para o futuro.

Poucos compreenderam que nas últimas décadas a nossa

vida próspera assentava no acesso fácil e a bom preço às

matérias-primas. E que muito do que consumíamos era

resultado de trabalho sem dignidade e sem esperança em

países onde as pessoas estavam ainda no limiar da

sobrevivência.

O fim dos impérios coloniais (ainda que sucedidos por

outras formas de domínio) abriu a possibilidade de

desenvolvimento a vastas zonas do globo.

A diluição das fronteiras e as possibilidades abertas

pelas novas tecnologias colocaram-nos num sistema de

vasos comunicantes e o nosso nível de competitividade

baixou, durante muito tempo ocultado por crescentes

dívidas externas.

http://www.apee.pt/

17


Assim nos tornámos cada vez mais incapazes de

responder à procura com produtos de boa qualidade e

bom preço.

Tal como num ecossistema ambiental a nossa

incapacidade em responder às necessidades do sistema

leva-o a procurar outras alternativas.

Primeiro as empresas migraram para procurar

sobreviver em condições idênticas às dos seus

concorrentes, depois porque os novos mercados

começaram a ser interessantes por si próprios,

alimentados por crescentes classes médias ansiosas de

desfrutar. Hoje são as próprias pessoas que emigram,

porque as empresas que as empregariam já não estão

aqui.

Como inverter este processo? Como criar valor no

ecossistema sem cair no fundo do vaso comunicante dos

salários baixos e da generalização da pobreza? Como

tornar sustentável a nossa comunidade, no quadro da

sustentabilidade geral do ecossistema humano?

A necessidade de mudar é óbvia. A necessidade de

pensar a produção de riqueza e a administração das

necessidades sociais de forma compatível com a

realidade criada pela globalização é imperiosa.

Assim a questão está, em terminologia ambiental, em

capacidade de adaptação. Ou em termos económicos em

inovação. Ou ainda, traduzindo em medidas de gestão,

em abertura, flexibilidade, diversidade, tudo isso

orientado para a criação de valor para o ecossistema de

trocas em que a organização está ou pretende vir a estar.

Como fazer tudo isto?

O sucesso no exterior está sempre associado a

características no interior.

A resposta está em obter informação das partes

interessadas e saber ouvir as suas expectativas,

incorporando-as na oferta de valor da organização.

Parece simples mas não é porque exige mudanças de

mentalidade além de um alto nível das competências

técnicas próprias do negócio/atividade em causa.

Sobre a mudança de mentalidades uma primeira

recomendação é “ver” a organização como um espaço

de interação entre pessoas, promover e aproveitar ao

máximo a sua relação natural com outras, desse modo

mantendo a organização aberta ao exterior e capaz de

incorporar o conhecimento que chegue por essa portas

para o mundo.

Neste quadro a promoção da diversidade resultará em

grande benefício. O balanço entre homens e mulheres,

entre jovens e seniores, entre origens e culturas, não é só

uma obrigação ética mas uma forma de aumentar o

património de experiências e conexões organizacionais.

Dar tempo às pessoas para, cumprindo o seu horário de

trabalho, terem uma vida pessoal e familiar rica e

emocionalmente gratificante é criar ativos intangíveis

que poderão ser preciosos quando há que criar valor e já

não apenas fabricar produtos ou executar serviços.

É essencial compreender que pela primeira vez na

história há alta disponibilidade de informação e o que

conta é saber o que fazer com ela.

A criação de valor já não está (pelo menos na maioria

dos casos) no controle do conhecimento mas na

adaptação da “espécie” ao que o seu ecossistema de

partes interessadas necessita.

Só assim lhe retribuirão com o valor que a sustentará.

A Responsabilidade Social não é uma teoria de

redução de risco e de incremento reputacional.

É isso mas é muito mais: é uma estratégia de

criação de valor para o conjunto das partes

interessadas e portanto um fator de

sustentabilidade da organização e de garantia de

bons dividendos para o acionista.

Sobrevivência, adpatação e responsabilidade social

18


Modelação do Risco de TI, Luís Montanha Rebelo

Vice-Presidente do IPAI, Membro da Direção do ISACA Lisbon Chapter

(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)

Introdução

Atualmente não é fácil encontrar atividades de negócio

que não façam uma utilização intensiva de Tecnologias

de Informação. É sob este racional que considero que o

Risco de TI é um risco do negócio, especificamente o

risco associado à utilização, posse e adoção das

Tecnologias de Informação numa qualquer empresa.

Quando se fala em risco, independentemente da sua

natureza, a grande dificuldade surge quando o tentamos

medir. É neste sentido que me proponho exemplificar, de

forma muito simplificada, a aplicação de metodologias

de medição de Risco Operacional à mensuração de risco

de TI3.

Risco Operacional

O Risco Operacional é o risco de perda resultante de

inadequação ou falhas internas (processos, pessoas ou

sistemas) ou de eventos externos que afetem uma

qualquer empresa. No setor financeiro, um dos objetivos

do Risco Operacional é o de calcular os requisitos de

capital necessário para fazer face aos diversos riscos

tratados no âmbito desta categoria.

Embora os restantes setores, o cálculo dos requisitos de

capital não seja um objetivo em si, as práticas de gestão

de risco operacional são extremamente úteis, como é o

3 De acordo com o acordo de Basileia II, o risco de TI é parte integrante do horizonte de Risco Operacional.leito

exemplo dos exercícios de autoavaliação e da análise de

cenários que ajudam a produzir estimativas de frequência

e severidade das perdas e ao mesmo tempo aumentar a

consciência dos gestores relativamente ao risco.

Mais uma vez no setor financeiro, a Framework de

Basileia propõe a implementação de metodologias

avançadas para a medição do risco (AMA), havendo o

entendimento que o risco é o produto entre a frequência e

a severidade dos eventos de perda. Resta-nos então

modelar cada uma destas grandezas e encontrar a

dimensão de risco final.

Modelação do risco

Antes de iniciar o processo de modelação, importa

perceber que modelar é obter uma representação ou

simulação de algo. No caso de modelação de risco o

objetivo é representar ou simular o risco incorrido pelas

organizações na persecução dos seus objetivos.

Embora os modelos a construir sejam representações

simplificadas da realidade, estes poderão envolver

milhares ou milhões de cálculos. Demasiados cálculos

para serem feitos com o recurso a papel, caneta e até

mesmo com recurso a uma calculadora, pelo que a

utilização de computadores torna-se fundamental para

esta tarefa e no nosso exemplo iremos utiliza o Excel

para modelarmos o nosso risco.

19


Dados históricos

O Risco de TI está relacionado, entre outros fatores, com

o modelo de Governance, com a Cultura e com o Sistema

de Controlo Interno da empresa, pelo que os riscos e a

forma como se materializam serão certamente únicos e

diferentes de todas as outras empresas existentes no

mercado.

Dada esta unicidade, para podermos dar início ao

processo de modelação dos riscos de TI da nossa

empresa, em primeiro lugar devemos olhar para o

interior da empresa e “perceber” QUAIS são os Riscos

de TI e COMO historicamente se têm materializado.

Para dar resposta a estas questões, deverá existir uma

base de dados de acontecimentos, onde esteja registada

informação relativa à ocorrência de problemas

associados às tecnologias ao longo do tempo (ex. Falhas

de sistema, perdas de informação, etc.). A tabela seguinte

é um resumo estatístico do risco de Perdas devido a

indisponibilidade de aplicações ou comunicações.

Historicamente, o risco do nosso exemplo, conta com

cerca de 4.759 acontecimentos registados e com perdas

que ascendem a um valor total de 7.508.411€.

Dado o valor significativo de perdas associadas a

acontecimentos que, imprevisivelmente afetam a nossa

empresa, torna-se necessário aplicar metodologias de

gestão de risco, para tal devermos começar por medi-lo e

de alguma forma diminuir a incerteza/imprevisibilidade

associada ao mesmo.

Distribuições estatísticas

As ciências atuariais utilizam as distribuições estatísticas

para descrever o número e a dimensão das perdas

incorridas pelas companhias seguradoras.

Tradicionalmente, a matemática é utilizada em conjunto

com estas distribuições, para analisar os riscos incorridos

e a forma como as decisões tomadas pela empresa

poderão mitigar este risco.

A evolução da capacidade de computação permitiu que

estas distribuições estatísticas fossem combinadas com

processos de simulação, permitindo desta forma

trabalhar de forma mais simplificada, com modelos mais

complexos e realistas. Embora o nível de matemática

necessária para construção de um modelo seja reduzido,

continua a ser necessário um bom entendimento das

distribuições e do seu significado, por forma a ser

possível construir o modelo e entender os seus

resultados.

Modelação do risco de TI

20


Modelação da Frequência

As distribuições Binomial e a Poisson são as estatísticas

mais comummente utilizadas para modelação da

frequência de materialização de um determinado

acontecimento. Estas distribuições necessitam de muito

poucos parâmetros de entrada, o que torna relativamente

simples a sua aplicação. No nosso exemplo, iremos

utilizar a distribuição de Poisson, que necessita

unicamente da média de acontecimentos num

determinado período de tempo.

No nosso caso, utilizámos a média do número de eventos

nos últimos anos. É uma média evolutiva, pouco sensível

a variações pontuais, mas indicadora da tendência

evolutiva do número de eventos.

A escolha deste valor dependerá da realidade onde o

conceito será aplicado e do perfil da tolerância ao risco

da empresa.

Modelação da Severidade

No que respeita à modelação da severidade, existem

diversas distribuições possíveis (Gamma, Lognormal,

Pareto, etc.), a sua escolha deverá ter em atenção a sua

adequação à realidade histórica da severidade dos

acontecimentos na empresa, principalmente o seu

comportamento nos percentis mais elevados. Existem

métodos estatísticos para identificação da distribuição

que melhor se adequa à realidade, estes métodos não

serão aqui explicados, mas é possível encontrar

informação relevante na internet.

No nosso exemplo iremos utilizar a distribuição de

Pareto, caracterizada por ter uma cauda bastante longa.

Mais uma vez, a distribuição também está associada ao

perfil de risco da empresa.

Apuramento do Risco

Chegámos ao ponto em que conseguimos modelar a

frequência dos acontecimentos, ou seja conseguimos

associar uma probabilidade ao número máximo de

eventos que acontecem por ano. Conseguimos também

associar uma probabilidade às perdas causadas por cada

acontecimento.

Falta-nos por fim, apurar o produto entre estas duas

grandezas.

Simulação de Monte Carlo

A simulação de Monte Carlo é um método muito eficaz e

eficiente para calcular o produto das grandezas

Frequência e Severidade, e assim apurar o nosso risco

final. Sendo um método de simulação, nós vamos

construir tantos cenários quantos os necessários para

poder construir a nossa curva de risco, no nosso exemplo

temos um total de 10.000 simulações.


21


O primeiro passo consiste em identificar, para cada

cenário e de acordo com a distribuição da Frequência

anteriormente apurada, a quantidade provável de eventos

que poderão ocorrer.

Seguidamente, fazendo uso da distribuição da

Severidade anteriormente apurada, calcular, para o

número de eventos anteriormente identificados, o custo

total provável que a quantidade de acontecimentos

poderá provocar.

Com base na tabela anterior, conseguimos construir a

tabela e os gráficos da distribuição do nosso risco de

Perdas devido a indisponibilidade de aplicações ou

comunicações.

Nível de confiança

Através dos procedimentos anteriores, conseguimos

comunicar o risco, através de um nível de confiança e de

um valor, então vejamos as seguintes afirmações:

Com um nível de confiança de 75%, teremos perdas com

um valor total máximo de 300.000 Euros.


um valor total máximo de 750.000 Euros.


um valor total máximo de 2.800.000 Euros.

A escolha do nível de confiança a utilizar está

relacionado com o perfil de risco da nossa empresa.

Recordo que, de acordo com o acordo de Basileia

anteriormente referido, o nível de confiança exigido para

o setor financeiro situa-se nos 99%, havendo

metodologias para diminuir ainda mais a restante

imprevisibilidade, como por exemplo o método

estatístico conhecido como Expected Shortfall (ES), não

tratado neste artigo.

Desafios

Abordei propositadamente este tema de forma muito

simplificada. No entanto, se o leito entender debruçar-se

sobre estes temas encontrará alguns desafios pela frente,

como por exemplo a escassez de dados internos para

poder modelar adequadamente o risco ou a forma de

agregar riscos, de forma a poder trabalhá-los sobre

diversas perspetivas. Neste sentido, convido-os a

consultar o tema “Operacional Risk”, na base de dados

do BIS (Bank for International Settlement) -

http://www.bis.org/, onde o leitor encontrará muita

informação sobre estas e outras questões associadas ao

tema.


http://www.bis.org/

22


Consultar / Downloads

Ficheiro em Excel -

https://www.dropbox.com/s/i30pzfp9xzkimlc/Mensuraca

oITRisk.xlsm?m=

The Failure of Risk Management

(www.hubbardresearch.com/the-failure-of-risk-

management/)

Risk IT

(Pesquisar em www.isaca.org)

IT Controls for Basel II

(Pesquisar em www.isaca.org)

Operational Risk Management

(Pesquisar em www.bis.org)

Pode comentar ou esclarecer alguma questão?

Poderá enviar email para [email protected]

Aniversário IPAI

6 de Março de 2014

Jantar comemorativo

Informações IPAI Maria Manuel Telef. 213151002

[email protected]




23


Modelagem de riscos de processos empresariais na

perspectiva da auditoria, José Aísio Catunda Aragão

Em sua teoria Bertalanffy, (2012; p.21-29),

defende que os sistemas estão em toda parte e

que não podem ser compreendidos somente pela

análise separada e exclusiva de cada uma de suas

partes.

Vista assim, pode-se dizer que negócios são sistemas,

que fazem parte de uma cadeia de sistemas bastante

complexos, tais como mercados, indústrias, sociedades,

organizações, etc.

Eles são partes inter-relacionadas que compõem um todo

unificado. Kaufman (2012; p.323) indica que um sistema

complexo necessariamente evolui de um sistema simples

que funcionava e nunca de um sistema complexo

projetado, ou seja, todos os sistemas que funcionam

evoluíram de sistemas mais simples que funcionava. Tal

afirmativa ficou conhecida como a Lei de Gall.

Neste contexto, a evolução do mundo dos negócios tende

a reforçar tal afirmativa considerando que as

organizações podem ser vistas como um sistema dentro

de outros sistemas maiores e complexos como o

ambiente social, o ambiente geográfico, o ambiente fiscal

e/ou financeiro, dentre outros.

Assim as organizações constituem-se em subsistemas, de

outro sistema maior, embora no início não passassem de

organizações simples, como escambo.

Nesta linha de raciocínio a organização (a empresa) pode

ser vista também como um sistema, abrigando por sua

vez subsistemas organizacionais, tais como estoque,

contabilidade, financeiro, etc., que receberá movimentos

de entradas e saídas do sistema e de outros subsistemas

da organização.

Os sistemas ou subsistema são constituídos pelos

processos de atividades que dá vida a organização, sendo

necessário conhecer a dinâmica para melhor entende-los.

Kaufman (2012; p. 325) cita Frank Herbert, romancista

de ficção científica e autor de “Duna4”, de que “Não é

possível compreender um processo interrompendo-o. A

compreensão deve se mover com fluxo do processo, deve

se unir a ele e fluir com ele”.

Assim, para melhor compreender as atividades

operacionais de uma empresa se faz necessário conhecer

a modelagem dos processos de trabalho no seu contexto

de funcionamento. Certamente este conhecimento

permitirá entender o seu modus operandi, permitindo um

melhor gerenciamento dos riscos que o gestor pode ter

que enfrentar para alcançar seus objetivos. Assim, o

fluxo de um processo, é o caminho para entender o

funcionamento do sistema.

A modelagem dos processos das atividades empresariais,

conforme Oliveira (2005; p.29) permite o conhecimento

necessário para que haja uma coordenação das

atividades, visando alcançar os resultados traçados e se

tenha um mapeamento de como as atividades

operacionais são realizadas e como elas afetam o dia-a-

dia da empresa. A importância deste conhecimento

decorre do fato de que hoje se vive em um mundo

incerto.

Eventos que jamais se imaginaria, aconteceram e eventos

possíveis de acontecer, não aconteceram. São exemplos:

colapsos financeiros, ataques terroristas, falhas em

grandes sistemas de computadores dentre outros. Tais

eventos passaram a exigir uma gestão de riscos não

somente como um aspecto específico das operações de

determinadas companhias, mas como uma questão de

integração empresarial, extrapolando seus limites

geográficos e organizacionais.

4Duna é um romance de ficção científica escrito por Frank Herbert e

publicado em 1965. É considerada uma das maiores obras de ficção

científica de todos os tempos. Duna ganhou os prêmios Hugo e

Nebula no ano de sua publicação.

24


É importante destacar que há uma grande diferença entre

risco e a incerteza. Se um sistema depender de outras

pessoas para funcionar, ocorrerá um grande risco. Neste

caso é preciso possuir planos para mensurar, minimizar

e/ou prevenir este risco. Já a incerteza não tem como

prever.

A propósito, Kaufman (2012; p. 333) toma como

referência as palavras de Donald Rumsfeld, ex-secretário

de Defesa dos Estados Unidos para melhor elucidar a

diferença entre risco e incerteza:

“Existem conhecidos que são conhecidos. São as coisas

que sabemos que sabemos - a isso se pode chamar de

Risco. Mas também existem desconhecidos que não são

conhecidos. São as coisas que não sabemos que não

sabemos.” Sendo assim, pode-se dimensionar a

importância da gestão de riscos.

A auditoria interna tem enfrentado estes novos desafios

tais como antecipar e previnir os riscos inerentes aos

negócios; avaliar processos que possam ser ineficientes,

pois esses são fontes primárias de risco; ter uma visão de

controle como sendo elementos de mitigação, prevenção

e monitoramento de riscos.

Nesta perspectiva, a auditoria interna muda o enfoque de

seu processo de trabalho, passando a focalizar os riscos

operacionais e até mesmo de negócio da organização,

notadamente aqueles que possam comprometer os

resultados.

Dessa forma, age de forma mais pró-ativa, por meio de

uma auditoria baseada ou com foco no risco.

O IIA5 por meio das “Practice Advisories” indica ainda

que o escopo do trabalho de auditoria interna deve

abranger uma abordagem sistemática e disciplinada para

avaliar e melhorar a adequação e a eficácia do risco

gerencial, controle e processos de governança e a

qualidade do desempenho no desenvolvimento das

responsabilidades atribuídas.

O propósito de avaliar a adequação do risco gerencial

existente, o controle e os processos de governança na

organização é prover razoável certeza de que estes

processos estejam funcionando como tencionados e que

irão habilitar os objetivos e metas da organização a

5 Statement of Responsabilities of Internal Auditing

atingir e fornecer recomendações para melhorar as

operações dela, em termos de desempenho eficiente e

eficaz.

Entretanto, algumas organizações podem não ter um

processo estabelecido de gestão de riscos. Se

determinada organização não estabeleceu um processo de

gestão de risco, o auditor tem papel importante no

sentido de sensibilizar a administração, devendo se

possível desempenhar um papel proativo assistindo no

estabelecimento de um processo de gestão de risco para a

organização.

O IIA em suas orientações para prática das normas,

alerta que a auditoria deve ter o cuidado para não

perder a independência, e indica que um papel

proativo no processo de desenvolvimento e gestão de

risco não é o mesmo do papel da “propriedade dos

riscos”.

A fim de evitar uma “propriedade dos riscos” os

auditores internos podem buscar confirmação da

administração relativamente a sua responsabilidade pela

investigação, mitigação e “propriedade” dos riscos.

A fase mais importante numa auditoria com foco no risco

reside na etapa de planejamento. De acordo com

Boynton, (2002; p.172) muitas falhas de auditoria

acontecem porque procedimentos importantes não são

adotados ou porque evidências colhidas não são

adequadamente avaliadas.

Ainda segundo Boynton (2002; p.190) cada plano de

negócios traz em si um risco de que os objetivos fixados

não sejam atingidos. Nessa perspectiva, as etapas que

envolvem, na fase do planejamento, a construção do

programa de auditoria, cujo foco seja o risco no enfoque

COSO, em geral tem como roteiro o fluxo a seguir

apresentado.

Estabelecer

objetivos

Identificar

Riscos

Medir e

analisar

riscos

Implementar

atividades de

controle

Monitorar

atividades

de

controle

Fluxo 1: Etapas da Avaliação de riscos no enfoque COSO

Fonte: Adaptado do Manual de Auditoria Interna ANAC

Modelação de riscos de processos empresariais na perspectiva da auditoria interna

25


Estabelecer objetivos - Os auditores internos devem

realizar uma avaliação preliminar dos riscos pertinentes à

atividade sob revisão. Os objetivos do trabalho devem

refletir os resultados desta avaliação. Deve considerar a

probabilidade de erros, irregularidades, descumprimentos

e outras exposições materiais ao desenvolver os objetivos

do trabalho. O alcance estabelecido deve ser suficiente

para satisfazer os objetivos do trabalho.

Identificar riscos - Os gerentes e auditores devem

identificar e priorizar os riscos para determinar quais são

mais importantes ou fundamentais para a organização e,

portanto, merecem mais atenção. De uma forma geral, os

riscos mais altos requerem procedimentos de controles

mais rigorosos. A revisão dos procedimentos de controle

durante o planejamento deve, portanto, apontar os temas

de maior risco para determinar se a direção controla

adequadamente estes riscos. A priorização dos riscos

também é útil na elaboração do programa de auditoria, de

modo que o esforço esteja concentrado nas áreas de

maior risco.

Medir e analisar os riscos - A medida de risco é fruto da

conjunção das duas dimensões – magnitude e

probabilidade. Quanto maior a probabilidade de

ocorrência de determinado evento negativo e quanto

maior a magnitude das consequências resultantes da

ocorrência desse evento negativo, maior o risco da

atividade. A mensuração dos riscos considera que a

magnitude (gravidade) das consequências dos riscos

mede o tamanho do efeito negativo. Pode ser o risco em

unidades monetárias ou o alcance do impacto negativo na

organização; já a probabilidade de que ocorram as

consequências, leva-se em consideração a probabilidade

ou a frequência de que o risco ocorra.

Implementar atividades de controle - Depois de

priorizados os riscos, o passo seguinte é confirmar se a

administração tem gerenciado adequadamente seus

riscos, particularmente os mais altos, mediante a

instituição de controles. A identificação dos controles é

realizada com o uso de descrições, fluxogramas, manuais

e documentação dos processos de negócios.

Monitorar atividades de Controle - Do ponto de vista

prático, os gerentes podem utilizar diferentes meios para

monitorar e/ou gerenciar os riscos: implementar políticas

e procedimentos de controle interno; transferir os riscos

através de seguros, terceirização, disposições contratuais;

compartilhar os riscos através da fusão de recursos com

outras organizações; diversificar operações; monitorar os

riscos. O objetivo do monitoramento é determinar se os

controles instituídos mitigam adequadamente o risco.

Caso as atividades de controle se mostrem frágeis ou

ineficientes, ou até mesmo inexistentes, se faz necessário

recomendações visando suprir a deficiência.

Independentemente de a Unidade contar ou não com

um processo formal de gestão de riscos, o auditor

interno deve promover o mapeamento dos objetivos do

objeto da auditoria6, dos riscos de esses objetivos não

serem alcançados e dos mecanismos de controle

instituídos para mitigar esses riscos, de forma a

possibilitar uma visão mais sistêmica e objetiva, por

parte do auditor, bem como oferecendo subsídios

complementares à eventual redefinição dos objetivos e

do escopo do trabalho e à definição dos procedimentos

de auditoria a serem aplicados durante a fase de

execução. No caso de a administração já contar com

esse mapeamento, o auditor deve proceder à sua

revisão, no sentido de concluir sobre sua pertinência.

José Aísio Catunda Aragão – Graduado em Ciências Contábeis;

Pós-Graduado em Auditoria e Mestrando em Administração. Chefe de

Auditoria do Banco Central do Brasil até 2009, tendo anteriormente

exercido diversas funções desde 1978. Chefe de Auditoria da Agência

Nacional de Aviação Civil (ANAC/Brasil) até 2012. Atualmente

professor de auditoria na UNICESP/DF, nível graduação de Ciências

Contábeis. Este “paper” é um resumo da dissertação de mestrado.

([email protected]).

Referências:

1. BERTALANFFY, Ludwig von. Teoria Geral dos Sistemas. São

Paulo: Ed. Atlas 6ª Ed. 2012.

2. BOYNTON, William C; JOHNSON, Raymond N; KELL, Walter

G. Auditoria. São Paulo: Ed. Atlas 7ª Ed. 2002.

3. IIA - The Institute of Internal Auditors - Global Practices Center,

Professional Practices Group. Disponível em:

https//na.theiia.org/standards-guidance/mandatory-

guidance/Pages/Definition-of-Internal-Auditing.aspx

4. KAUFMAN, Josh – Manual do CEO – São Paulo: Ed. Saraiva

2012.

5. OLIVEIRA, Djalma de Pinho Rebouças de. Sistemas de

informações gerenciais: estratégicas, tático, operacionais. São

Paulo: Ed. Atlas, 10ª Ed. 2005.

6 Objeto da auditoria – representa o sistema ou subsistema a ser

auditado. Pode ser uma atividade (área de recursos humanos), ou um

processo de trabalho (operações aeroportuárias).

Modelação de riscos de processos empresariais na perspectiva da auditoria interna


https://na.theiia.org/standards-guidance/mandatory-%20guidance/Pages/Definition-of-Internal-Auditing.aspx



26


47,4% de abstenção, teria a utilização da

tecnologia e a votação eletrónica ajudado? Teria

a Segurança deixado? Bruno Horta Soares, CISA®, CGEIT

®,

CRISC™

, PMP®,

Presidente do ISACA Lisbon Chapter

No passado mês de Novembro realizou-se mais uma

“COBIT Session”, um evento organizado pelo ISACA

Lisbon Chapter e com o apoio do Núcleo de Auditores

de Sistemas de Informação do IPAI.

A escolha da questão “47,4% de abstenção, teria a

utilização da tecnologia e a votação eletrónica

ajudado? Teria a Segurança deixado?” pretendeu

colocar em cima da mesa o problema (abstenção) e uma

proposta de solução (voto eletrónico), procurando

analisar esta questão complexa com o contributo de três

perspetivas: 1) a visão da Sociedade da Informação; 2) a

visão da Auditoria; e 3) a visão da Segurança da

Informação. Para tal foram convidados alguns

profissionais com experiência profissional e associativa

na área da sociedade da informação, bem como alguns

especialistas em segurança e auditoria de sistemas de

informação.

Tendo em consideração as limitações de tempo para o

debate, bem como o âmbito de atuação da ISACA,

procurou-se contrariar o princípio básico defendido em

qualquer sistema de informação de “análise do

problema através de uma reflexão das suas causas”,

tendo-se avançado diretamente para a reflexão sobre o

papel que a tecnologia poderia ter na resposta ao

problema da abstenção (e até desinteresse!), o qual afeta

não apenas a sociedade Portuguesa mas de uma forma

geral grande parte dos sistemas democráticos.

O debate iniciou-se apresentando um cenário onde a

tecnologia passaria a desempenhar um papel central no

processo democrático: “Um sistema de opção, em que

o eleitor poderia escolher votar eletronicamente e

com isso poderia, por exemplo, votar

descansadamente enrolado numa manta

aconchegante ou duma esplanada à beira mar”. Será

este um cenário real ou uma mera ficção?

É curioso ressalvar que apesar de se tratar de um cenário

aparentemente futurista, a utilização de meios

informáticos em processos eleitorais não é novidade,

existindo países onde estas soluções são adotadas (com

diferentes graus de dependência tecnológica), países

onde este tipo de soluções já foram testados (onde se

inclui Portugal) e outros onde este tipo de soluções já

foram abandonaram tendo-se regressado a modelos de

votação tradicional7.

Tendo este contexto em consideração, e focando a

análise no âmbito da ISACA, foi importante avaliar qual

o contributo que profissões das áreas de risco,

controlo, auditoria ou segurança poderão ter em

futuras decisões sobre a adoção deste tipo de

soluções.

7 http://www.e-voting.cc/en/it-elections/world-map/

27


Antes de se entrar a fundo na componente tecnológica,

foi importante enquadrar o fenómeno democrático e o

seu expoente máximo: O voto. Não entrando numa

análise demasiado detalhada, foi dada relevância a um

aspeto fundamental em qualquer fenómeno que envolve

os interesses de uma comunidade ou sociedade: A

responsabilidade. O tema da responsabilidade foi

apresentado como sendo um dos principais desafios na

vertente da sociedade da informação.

A tecnologia pode ser uma ameaça séria quando se

sobrepõe aos valores fundamentais do contexto onde

é utilizada, deixando de ser encarada como um meio

para alcançar um fim maior e passando a ser o fim

em si mesma.

Estaria um regime democrático preparado para

transformar o processo de reflexão e a solenidade do

momento do voto num contexto de simplicidade onde

votar seria tão simples como colocar um Like na página

de Facebook do candidato?

Qual seria o resultado para uma democracia se a

tecnologia fosse utilizada como arma de arremesso por

grupos marginais ou anti-sistema para ganharem escala à

conta de fenómenos mediáticos de curto prazo?

Tal como referido no filme do Homem Aranha, “com

grande poder vem grande responsabilidade”, e como

qualquer advento tecnológico no passado, a utilização de

tecnologias de informação e comunicação no processo

eleitoral terá necessariamente de ser acompanhada de

uma enorme sensibilização de todo o contexto com vista

a uma maior literacia democrática.

Ultrapassada a questão fundamental dos pressupostos da

utilização da tecnologia, foi importante ressalvar as

propriedades intrinsecamente ligadas à democracia, as

quais configurariam requisitos fundamentais para a

implementação de qualquer sistema de suporte ao

processo eleitoral: Autenticidade, Singularidade,

Direito de Voto, Anonimato, Integridade dos votos,

Não-Coercibilidade e Privacidade.

Tendo em consideração este conjunto de requisitos, foi

evidente que a tecnologia pode desempenhar um papel

fundamental na resposta ao requisito “Direito ao Voto”.

A acessibilidade aos locais de voto continua a ser, em

alguns contextos, um desafio relevante, podendo a

utilização das tecnologias de informação e comunicação

desempenhar um papel determinante para levar este

direito fundamental da democracia a um número mais

alargado de cidadãos.

Este é provavelmente o fator que leva algumas “jovens

democracias” a adotar este tipo de soluções, onde o

“Direito ao Voto” se sobrepõe aos outros requisitos e

onde as oportunidades da tecnologia se sobrepõem às

suas ameaças.

No entanto, quando as democracias apresentam uma

maior maturidade e a literacia tecnológica é mais

alargada, os restantes atributos ganham uma maior

relevância, passando a análise a estar mais centrada nas

ameaças, sobretudo nos pressupostos de Transparência e

Confiança no sistema, pressupostos diretamente

relacionados com as funções de auditoria e segurança.

Um sistema desta natureza envolve objetivos de enorme

importância, motivo pelo qual as ameaças relacionadas,

as vulnerabilidades dos recursos utilizados, os riscos

inerentes e os controlos necessários deverão ser sempre

objeto de análise e avaliação por forma a garantir um

nível de riscos residuais aceitáveis.

47,4% de abstenção, teria a utilização da tecnologia e a votação eletrónica ajudado? Teria a Segurança deixado?

28


No entanto, a questão central esteve precisamente

relacionada com a possibilidade de existência de

níveis de tolerância ao risco ou a impossibilidade de

utilização deste tipo de soluções caso essa tolerância

não exista.

Para os auditores presentes na sala, não existem

sistemas que não sejam auditáveis nem riscos

inerentes que não sejam controláveis, no entanto para

que tal seja possível será sempre garantir o

envolvimento de especialistas e o recurso a boas

práticas das áreas de auditoria, risco e controlo para

dessa forma assegurar uma maior confiança e

transparência do processo.

Veja-se o exemplo do documento “Recommendation

Rec(2004)11”8 onde o Comité de Ministros do Conselho

da Europa procurou definir alguns requisitos para a

auditoria de sistemas de votação eletrónica, no entanto

uma análise detalhada dos requisitos e um mapeamento

com boas práticas como o COBIT permite detetar falhas

que poderiam ter sido evitadas com a utilização de um

maior alinhamento com referenciais de mercado9.

Apesar de não existirem sistemas que não sejam

auditáveis, as auditorias podem deixar de ser complexas

e passar a ser muito complicadas à medida que deixamos

as soluções mais tradicionais de votação em papel em

8 Council of Europe - Committee of Ministers,

Recommendation Rec(2004)11 of the Committee

of Ministers to member states on legal, operational and

technical standards for e-voting,

https://wcd.coe.int/ViewDoc.jsp?id=778189, 2010 9 “Plataformas de Votação Electrónica desenvolvimento e

aplicação de um modelo genérico de avaliação e melhoria dos

requisitos e recomendações de segurança”, Pedro Manuel

Patrocínio Dias Madeira, Novembro 2012

ambiente controlado e avançamos para soluções de

votação eletrónica remota em ambiente não controlado.

Foi notório o desconforto existente com os cenários

totalmente dependentes de tecnologia, sobretudo devido

à possibilidade de aceitar que os sistemas poderão não

ser auditáveis para garantir requisitos como o

“Anonimato” a 100%.

E foi precisamente neste ponto que a discussão terminou,

com os profissionais a concluírem que as oportunidades

relacionadas com a utilização da tecnologia são

inegáveis, mas será sempre necessário garantir que a

dependência tecnológica não impossibilita a

confiança e transparência do processo. Como tal,

cenários que potenciem a utilização de tecnologia mas

em ambientes controlados serão sempre os mais viáveis,

pois quem conhece e trabalha com tecnologia sabe que

não existe esse pressuposto de sistemas 100% seguros.

Entre a esperança e a desconfiança na tecnologia, os

profissionais das áreas de risco, controlo, auditoria ou

segurança terão certamente um papel determinante

na evolução deste tipo de soluções, podendo

contribuir de forma decisiva para apoiar na tomada

de decisão, assegurando o devido equilíbrio entre as

oportunidades e as ameaças.

http://www.isaca.org/chapters8/lisbon/Pages/default.aspx

47,4% de abstenção, teria a utilização da tecnologia e a votação eletrónica ajudado? Teria a Segurança deixado?

http://www.isaca.org/chapters8/lisbon/Pages/default.aspx

29


Conferência anual de auditoria interna 2013

30



31



32



33


Caneta Digital

Que as coisas futuras não te preocupem. Chegarás a

elas, se tiver de ser assim, levando a mesma razão que

agora usas para as coisas presentes, Marco Aurélio

A verdadeira medida de um homem não é como ele se

comporta em momentos de conforto e conveniência,

mas como ele se mantém em tempos de controvérsia e

desafio, Martin Luther King

Sugestão de leitura

Pesquisa na rede

06-July-2014-

09-July-2014

The IIA's 2014 International

Conference

London, England

Primary Language: English

18 August-2014-

20-August-2014

Conference Governance, Risk,

and Control Conference - An IIA

and ISACA Collaboration

The Breakers / Palm Beach,

FL USA

Primary Language: English

A certificação está ao seu alcance.

Contacte o [email protected]


34


Post-it, Miguel Silva

Esta edição não engloba o cartoon habitual.

As nossas desculpas.

Mas, uma piada:

Why did the auditors cross the road?

Because they looked in the file and that's what they did last year.

http://www.the-alternative-accountant.com/funny-nicknames.html

e uma imagem

http://blog.taxguru.net/category/audits/

http://www.the-alternative-accountant.com/funny-nicknames.html

http://blog.taxguru.net/category/audits/

35


Pesquisa de Institutos de Auditoria

http://www.tide.org.tr/Page.aspx?nm=anasayfa

http://iia.org.ua/ua/#.Up4KaRvuPIU

http://www.tide.org.tr/Page.aspx?nm=anasayfa

http://iia.org.ua/ua/#.Up4KaRvuPIU

36


xx conferência - ipai · ual. 2 ipai auditoria interna outubro/dezembro de 2013 nº 53 ipai -...

Documents