1
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Janeiro/Mar 2012 Trimestral Distribuição gratuita Nº 46
Outubro/Dezembro 2013 Trimestral Distribuição gratuita Nº 53
XX Conferência
Anual
2
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
IPAI - Membros Colectivos
Click here to enter
text.
--Click here to enter text.
Click here
to enter text.
Click here to enter text..
3
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
IPAI - Membros Colectivos
.
-
.
Click here to enter text.
4
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Parcerias e protocolos
5
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Missão
Promover a partilha do saber e da prática em auditoria
interna, gestão do risco e controlo interno.
Índice
Auditoria interna CAAI 2013 , Fát ima Geada, P res idente Direcção IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Determinação - Manuel Marques Barreiro, Consultor e Presidente do Conselho Geral do IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Uma análise s istémica da auditor ia interna nos municípios em Portugal , Sofia Alexandra Lopes Fé lix e
Georgina Mora is . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sobrevivência, adpatação e responsabil idade social , Már io Parra da Si lva; Pres idente Direção da APEE 16
Modelação do Risco de TI , Luís Montanha Rebelo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Modelagem de r iscos de processos empresaria is na perspectiva da auditor ia , José Aís io Catunda
Aragão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
47,4% de abstenção, teria a uti l ização da tecnologia e a votação eletrónica ajudado? Teria a
Segurança deixado? Bruno Horta Soares, CISA®
, CGEIT®
, CRISC™
, PMP® ,
Presidente do ISACA Lisbon
Chapter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Caneta Digita l . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Post- it , Miguel Si lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Pesquisa de Inst i tutos de Auditor ia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Propriedade e Administração
IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002
Ficha técnica
Presidente da Direção: Fátima Geada; Diretor: Joaquim Leite Pinheiro; Redação: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Jorge Nunes, Manuel
Barreiro, Fátima Geada, Francisco Melo Albino. Colaboradores: Fátima Geada, Manuel Barreiro, Luís Montanha Rebelo, Miguel Silva, Mário Parra da Silva, Bruno
Horta Soares, José Aísio Catunda Aragão, Sofia Alexandra Lopes Félix, Georgina Morais.
Pré-impressão: IPAI; Impressão e Acabamento: FIG; Ano XV – Nº 53 – TRIMESTRAL Outubro/Dezembro de 2013; TIRAGEM: 1400 exemplares.
Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-
085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; Visite-nos em www.ipai.pt ERC: Exclusão de registo ao abrigo do artº 12º, DR 8/99, 9 de Julho.
http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/
http://pt.linkedin.com/in/ipaichapteriia
Nota: Os artigos vinculam exclusivamente os seus autores, não refletindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do IPAI. A
aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.
Foto da capa: JLP
6
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Auditoria interna - CAAI 2013,
Fátima Geada, Presidente Direcção IPAI
Tenho o grato prazer de dar início à XX Conferência
Anual do IPAI e começo por cumprimentar os oradores,
todos os colegas aqui presentes e os patrocinadores que
tornaram possível este evento e todos os convidados
aqui presentes.
A conferência constitui, desde sempre, um
momento particular e especial, de partilha de
conhecimentos e de perspetivas sobre o presente
e o futuro da função de Auditoria.
Este ano o tema global “Auditoria: Tendências Futuras”,
procura refletir sobre a importância e o contributo
estratégico da auditoria interna para o desempenho
organizacional na identificação de ameaças e
oportunidades na análise e na mitigação dos custos do
contexto e no contributo da função para a construção de
definição de estratégias de ajustamento, que conduzam à
adaptação das organizações, às exigências da
envolvente.
A globalização, a volatilidade dos mercados, a
complexidade dos negócios, a turbulência económica, os
constrangimentos económicos, o período da contração
económica, associado às profundas mudanças
tecnológicas, políticas e regulatórias que transformaram
radicalmente a envolvente e a contextualização dos
negócios, amplificaram os riscos para as empresas e
organizações.
Neste contexto, a Auditoria Interna tem necessariamente
de efetuar um esforço adicional e coletivo para
conseguir acompanhar o ritmo das mudanças.
As áreas de auditoria têm de se munir com metodologias
mais eficazes que demonstrem competências mais
eficientes e alinhadas com a governação, e deste modo
assegurar contributos significativos para a gestão de
riscos e adaptação às alterações legislativas, regulatórias
e de compliance.
Permito-me considerar que esta Conferência possibilitará munir-vos de novas
reflexões e caminhos a serem trilhados com melhorias efetivas no seio das vossas
organizações.
IPAI CAAI 2013
7
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Os desafios colocados atualmente à Auditoria Interna
passam por acompanhar as alterações permanentes
ocorridas em termos de regulamentação,
organizacionais, de sistemas de informação e permitir a
utilização de metodologias mais eficazes com apelo a
técnicas de monitorização e de auditoria contínua.
A auditoria interna para ser mais eficaz precisa de
desenvolver competências cada vez mais específicas,
articulando essa atuação com a crescente escassez de
recursos com que as organizações se debatem.
O ambiente continuará a permanecer desafiador e a
Auditoria Interna precisa de sair da zona de conforto, do
âmbito da conformidade, focar-se no acompanhamento
das vertentes do negócio, que demonstram um risco
mais elevado e que implicam também um maior
alinhamento com o “core business” das organizações.
As funções de Auditoria Interna que usualmente revelam
melhores resultados evidenciam vertentes de:
capacidade técnica e metodológica com sólidos
conhecimentos, coordenação com as áreas de gestão de
risco, permitindo focar nas vertentes que efetivamente
contam para a organização.
Essa integração ajuda a auditoria interna a identificar os
problemas, acompanhando eventuais riscos emergentes,
acrescentando valor em áreas novas, alinhando o plano
de auditoria e o seu âmbito com as expetativas dos
stakeholders e desenvolvimento atempado das respetivas
atuações com uma característica proactiva de caráter
preventivo.
No momento em que as empresas procuram proteger-se
num cenário de riscos acrescidos, a auditoria interna
pode desempenhar um papel crucial, parafraseando John
F. Kennedy “há riscos e custos num programa de
atuação proactiva, mas eles são menores do que os
riscos e custos a longo prazo decorrentes da inércia
confortável”.
A Auditoria Interna tem que ser vista como geradora de
valor para as organizações, ela não pode mais ser
considerada como um custo, mas um investimento na
melhoria dos processos, na eficiência, na segurança e na
mitigação de eventuais custos do contexto e da
gestão/mitigação das vertentes de risco mais importantes
para a organização, podendo mesmo assumir-se como
um consultor “de confiança”, que conhece a
organização, a sua cultura, os seus processos e que pode
potenciar a forma como os recursos estão a ser
empregues.
Esta profissão tem um grande potencial de crescimento e
para tal, precisamos de lideranças exigentes e criativas e
cada vez mais e melhor formação académica e
profissional.
A Auditoria Interna, dado o contexto atual e o escrutínio
a que as organizações estão sujeitas, está perante um
grande desafio e uma grande oportunidade, que lhe
permitirá contribuir mais proficuamente para criar valor
para as organizações e também para a sociedade.
As vertentes chave reveladas como fundamentais na
tendência de evolução da Auditoria, no final da
Conferência teremos com certeza um conhecimento
mais detalhado das mesmas, poderão ser apontadas as
seguintes:
estatuto da função – empowerment da função, que
depende da forma como a função é percecionada no
seio da organização;
como é utilizada a função;
IPAI CAAI 2013
8
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
a quem reporta – do ponto de vista
hierárquico/administrativo e funcional – se como é
recomendado pelo IIA, ao mais alto nível na
organização, de modo a garantir a sua independência
e eficácia;
foco da atividade nas áreas de maior risco,
alinhamento com as preocupações do negócio;
a responsabilidade do Auditor e o impacto real do seu
trabalho;
necessidade de ajustar o plano às expectativas dos
stakeholders, adequar a gestão de risco aos desafios
tecnológicos existentes, implica desenvolver novas
competências nos auditores, desde tecnológicos, de
comunicação, resistência ao stress e acima de tudo
comportamentos fundamentados em princípios éticos
(honestidade, coragem, responsabilidade,
credibilidade, respeitabilidade e proactividade);
possibilitar uma atuação de efetividade e de garantia
no acompanhamento dos vetores do negócio de
maior risco;
.proficiência com a utilização de ferramentas de data
mining, recorrendo a metodologias e instrumentos de
tratamento analítico de dados, que potenciem a
eficácia da sua atuação.
Os aspetos enunciados poderão apontar para uma
tendência, onde se defrontam diferentes correntes: uma
tendência marcadamente evolucionista, que defende o
alargamento do âmbito e alcance da Auditoria, ou
tradicional, com uma formulação baseada nos aspetos
estritamente técnicos da profissão.
No passado o Auditor viveu o síndroma do exato, da
fiabilidade estrita da informação, hoje acresce a essa
perceção o síndroma da mudança, com as contingências
da realidade empresarial e das organizações e no futuro
esta vertente será potenciada, já o está a ser, com a
incerteza que caracteriza toda a envolvente.
O papel do Auditor vai-se colocar não só nos aspetos
quantitativos, mas também qualitativos, com uma visão
mais global, integral e menos limitada aos aspetos
financeiros e de processos, mas tendo como
preocupação fulcral e mais significativa os aspetos da
conduta e da ética, na perspetiva de corresponder ao que
a sociedade requer cada vez mais da sua atuação.
Permito-me considerar que esta Conferência
possibilitará munir-vos de novas reflexões e caminhos a
serem trilhados com melhorias efetivas no seio das
vossas organizações.
Evento
Jantar de aniversário do IPAI
6 de março de 2014
IPAI CAAI 2013
9
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Determinação- Manuel Marques Barreiro, Consultor e Presidente do
Conselho Geral do IPAI
A realidade acelerada deste nosso tempo tem
ocasionado imponderáveis tomadas de decisão a
nível político, as quais provocaram e continuam
a provocar aleijões brutais na sociedade.
É notória a cumplicidade dos mandantes do mundo
nesta perversão, nesta crescente desvalorização do
homem. Sobre os males sociais que nos afligem há
resmas de prosa e centenas e centenas de horas de
antena com diagnósticos, prognósticos e terapêuticas.
No entanto as melhorias tardam em chegar, porque não
são tomadas as medidas que se impõem para a sua
resolução.
Por conseguinte, não será pelo desconhecimento da
situação que os processos condizentes com soluções
adequadas não terão tido vencimento. Em boa verdade,
o arrastamento do problema agrava-o em cada dia que
passa. Parece que toda esta inércia decorre de um
determinismo geográfico ou radicará antes em questões
de natureza cultural, ou religiosa. Ou não será talvez o
resultado de uma tremenda abulia daqueles que gerem a
coisa pública?
Seja o que for, em boa verdade como sabemos, esta
moléstia atinge com um grau inusitado de virulência a
sociedade dos nossos dias. Os tempos que estamos
vivendo estão semeados de incertezas as quais se vão
somando a outras tantas preocupações decorrentes do
nível de aspiração a que todos temos direito.
Dentre todas elas, e são muitas, queremos realçar a
situação decorrente da velhice e do crescente
empobrecimento da população.
Ao longo da história do homem sobre a terra, não
obstante todas as vicissitudes decorrentes das épocas e
das várias culturas, a velhice sempre foi encarada e
assumida com respeito. Ainda hoje nas civilizações
ditas primitivas, segundo o conceito antropológico, a
velhice é respeitada e todas as grandes decisões da tribo
só têm lugar após a audiência dos mais velhos ou, por
exemplo, do chamado conselho de anciãos, quando este
existe.
A ausência de determinação de quem nos governa em
termos da assunção plena de uma tomada de
consciência capaz de pôr em prática os meios (porque
os há) tendentes à resolução de toda esta embrulhada
em que nos meteram, é um facto evidente.
Tudo o que está acontecendo, nunca será demasiado
dizê-lo, está dilacerando os mais indefesos.
Audire
10
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Nesse vórtice são apanhados na primeira onda os mais
fracos: os velhos, e os pobres.
Os velhos, são uma decorrência da situação natural da
vida. O que não será assim tão normal é o tratamento
abusivo, inclemente, diremos mesmo, desumano de que
estão a ser alvos. A essa injustiça é adicionada a
situação de pobreza que os tem atingido num crescendo
e que, pelos vistos, não sabemos ainda onde e quando
irá parar. Esta sanha arrasadora que ataca a fazenda e as
consciências está envolta em maus augúrios quanto ao
seu desfecho final. Do cumprimento desta profecia
estamos certos.
Dentro deste contentor de desgraças também se
encontram os desempregados de todas as idades, com
prevalência agravada para a juventude que, não
encontrando no seu país mercado de trabalho emigra,
sabe-se Deus com que vontade.
Nesta envolvente parece estar inscrita a marca da
inércia traduzida na preclara incapacidade dos
governantes desde há alguns anos a esta parte. Não
existe uma visão para o país nem uma estratégia capaz
de definir uma política empresarial (industrial) para a
economia nacional.
A incapacidade de conciliar o saneamento das contas
públicas com o crescimento económico é mais que
evidente. Deem as voltas que derem, se insistirem na
leitura da mesma partitura é certo que a tendência será
para o desconcerto da situação. Os passos que têm
vindo a ser dados são próprios de um padecente com
reumatismo mental anquilosante. Parece-nos até
descortinar-se um certo tipo de entretenimento
esquizofrénico atirando jovens contra velhos,
trabalhadores privados contra funcionários públicos e
desempregados contra empregados. E de tal modo o
fazem que, por vezes, até nos esquecemos que Portugal
é uma democracia e um Estado de direito com
separação de poderes legislativo, executivo e judicial,
três pilares fundamentais da democracia.
Estamos certos que todos os portugueses sentem na pele
as dificuldades, não lhes sendo também alheio o
conhecimento dos que foram e dos que ainda continuam
a ser os verdadeiros responsáveis pela situação a que
chegamos. Por outro lado, também sabem que estão a
ser chamados para ajudarem a resolver uma situação
crítica para a qual só por ingenuidade ou por mera
distração tiveram nisto algum grau de conivência ainda
que adventícia.
A situação de pobreza decorrente dos vários tipos dos
enunciados que referimos está a tornar-se endémica.
Trata-se de um problema particularmente grave. Tem
havido e continua a haver, uma progressiva perda do
poder de compra da população. Essa perda tende a
agravar-se mercê da ignorância ou da inabilidade de
quem nos tem governado. Isto para não entrarmos em
outras questões da esfera do poder político tão
controversas como irresponsáveis. Não queremos ir por
aí.
Paralelamente nota-se uma pobreza de espírito que
alastra a olhos vistos como fogo em palha seca.
Perderam-se as referências, já ninguém fala em valores
(morais, note-se) e bem poucos se preocupam com a
ética.
Audire
11
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Pena é que os governos pouco ou nada tenham para nos
ensinar e, sobretudo, de se mostrar capazes de dar o
exemplo, como lhes compete.
Há algum tempo a esta parte temos vindo a ouvir falar
na reforma do Estado. Ao que parece, será nessa tão
propalada equação que se encontrará a chave para o
sucesso da governação. No entanto as justificações que
têm vindo a ser aduzidas ao longo do tempo sobre o já
proverbial atraso na sua implantação radica em escolhos
dimanados de entidades que, por obscuras razões terão
entravado essa implantação.
Entretanto exibiu o governo um documento sobre este
tema. Aqui estaria o “abre-te sésamo” dessa dita
reforma. No entanto até agora ainda não teve
visibilidade prática capaz de confirmar esse propalado
desígnio. Apenas questões pontuais têm sido feitas,
medidas avulso fora do contexto. Fala-se para aí que
não passará de uma atabalhoada proposta de intenções
cuja operacionalidade “et pour cause” se afigura
bastante duvidosa.
Perante tudo isto e cingindo-nos à reforma do Estado a
dúvida permanece. Haverá perversidade, inépcia,
insipiência ou abulia? Talvez de tudo isso um pouco.
Não obstante todas as dificuldades, é imprescindível a
existência de um projecto desta envergadura, não sendo
isso impeditivo da sua execução.
Partindo deste pressuposto resta tirar a conclusão: há
falta de vontade política para o levar a cabo. Se ele se
situasse na primeira linha das preocupações do
executivo, somos de opinião que, mesmo fazendo fé
sobre o que sobre o assunto tem sido escrito, tal
propósito já deveria ter tido nesta altura algum
vencimento. Não será o caso.
Dentre as sugestões, opiniões, ou mesmo até propostas
conhecidas, destacaremos um artigo vindo a lume num
jornal de referência(*) sob o título: “Guião Para a
Reforma Administrativa”, no qual se enuncia à laia de
sumário, uma tipologia para a exequibilidade dessa
reforma, contida em dez pontos. Nele está condensado o
essencial, se for tomado em consideração, capaz de
fazer chegar a bom porto um projecto desta
complexidade, com a eficiência e a eficácia que uma
operação desta natureza exige.
Trata-se duma proposta, segundo a nossa leitura, que
não se cinge ao entendimento analítico, mas é também e
sobretudo, perspectivada a partir de uma abordagem
holística da sociedade.
Somos a concluir que, nesta barafunda em que o País se
encontra e da qual tarda encontrar a forma de sair dela,
seria interessante que o governo se socorresse de meios
mais práticos e expeditos para a resolução do problema.
Parece-nos que uma das formas mais adequadas seria o
recurso a pessoas de prestígio e com provas dadas em
áreas da gestão e da condução de projectos deste jaez.
Entidades essas disponíveis para assumirem este
serviço, em termos estratégicos, tácticos e operacionais.
A responsabilidade final será sempre do executivo,
como é óbvio. O País e o governo só teriam a ganhar.
Os governantes andam distraídos. O povo finge estar
distraído mas não está.
(*) Luis Todo Bom – Economia Real, “Um Guião Para a Reforma
Administrativa” in – Expresso de 23 de Novembro de 2013
Audire
12
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Uma análise sistémica da auditoria interna nos
municípios em Portugal1, Sofia Alexandra Lopes Félix e Georgina Morais
Introdução
Nos últimos anos, a gestão municipal tem vindo a ser
alvo de uma verdadeira revolução que imprimiu
alterações na sua estrutura contabilística, financeira e
organizacional. Neste contexto particular, a auditoria
interna municipal pode ser perspetivada como um
instrumento de apoio à gestão, que favorece a prevenção
e deteção de irregularidades, constituindo um garante
que os dinheiros públicos estão a ser gastos
adequadamente.
Objetivos
O estudo teve dois objetivos primordiais,
nomeadamente, a caracterização dos serviços de
auditoria, em termos do alcance do trabalho efetuado e
aferir o contributo da auditoria interna na prossecução
dos objetivos municipais, enquanto função de suporte ao
decisor político.
Valor acrescentado
Da revisão da literatura concluiu-se que os estudos
científicos incidiram com maior profusão na área do
controlo interno do que na auditoria interna, afigurando-
se estar relacionado com o facto, do POCAL estipular a
obrigatoriedade de uma norma de controlo interno. O
estudo de Jorge e Costa (2009) apresentou algumas
conclusões pertinentes relativamente à auditoria interna.
Com efeito, através do questionário no referido estudo
foi obtida uma amostra de cerca de 27% do universo,
constatando-se que a maior parte dos municípios já
implementou o POCAL e não possuía serviço de
auditoria interna, motivado essencialmente por falta de
meios humanos ou materiais, predominando as
auditorias financeiras, de gestão e da legalidade.
Considerando então, algumas das limitações subjacentes
ao estudo apresentado por estas autoras foram definidos
pressupostos de análise para o estudo empírico. Nesse
sentido e considerando como ponto de partida que o
POCAL já se encontrava amplamente implementado
pelos municípios portugueses, foram exclusivamente
remetidos questionários aos que possuíam serviços de
auditoria interna na sua estrutura orgânica, tendo sido
estatisticamente tratados os dados.
Metodologia
Os questionários foram enviados para preenchimento on-
line apenas aos municípios que possuíam na sua
estrutura orgânica um serviço de auditoria interna. Assim
do universo de 308 municípios portugueses apenas 66
têm na sua estrutura orgânica auditoria interna. Dos 66
questionários enviados foram validados 21 questionários
correspondendo a uma taxa de (31,82%).
13
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Do contacto levado a cabo com os municípios a fim de
solicitar a resposta aos questionários, foram apresentadas
algumas causas para o número elevado das não
respostas, designadamente: a existência de serviços de
auditoria no organigrama dos municípios e os
mesmos ou não terem sido efectivamente constituídos
ou alguns não se encontrarem a funcionar, por
necessidade de alocar os recursos humanos a outras
funções e ainda a necessidade dos técnicos terem de
solicitar autorização superior.
O questionário visou a recolha de informação pelas
seguintes temáticas: caracterização do município;
caracterização do serviço de auditoria interna, alcance da
auditoria interna no município e contributo da auditoria
interna para a prossecução dos objetivos municipais. No
âmbito do estudo foram testadas 5 hipóteses visando
avaliar a correlação entre o número de funcionários
município e a dimensão da equipa de auditoria, o
número de relatórios produzidos e o número de medidas
corretivas/propostas de melhoria, visou-se também,
analisar se a dimensão do município tem influência na
existência de manual de auditoria aprovado e na
prossecução dos objetivos municipais.
Principais conclusões
As respostas obtidas foram predominantemente do
distrito do Porto e de Setúbal e dos municípios de média
dimensão1, concluindo-se que a grande maioria não
possui entidades associadas. Os serviços de auditoria
interna estão maioritariamente organizados sob a forma
de gabinete e dependem diretamente do Presidente da
Câmara e têm entre 1 a 5 anos de existência, destacando-
1 , Com um número médio de 778 funcionários e um orçamento
médio de 70.961.772,63€.
se também, os serviços que foram mais recentemente
criados. Os gabinetes são então constituídos por equipas
pequenas e por técnicos superiores (95,2%), pelo que,
existem serviços de auditoria exclusivamente
constituídos por técnicos superiores e alguns
mencionaram ainda, acumular esta função com o cargo
de dirigente. Foi ainda, referida a pertinência da criação
de uma bolsa de auditores internos. Em termos de
habilitações académicas e profissionais os técnicos
superiores são fundamentalmente licenciados em
Economia/ Gestão e Direito e nenhum afirmou possuir a
certificação em “Certified Government Auditing
Professional”(CGAP). No teste de hipóteses inferiu-se
contudo, à medida que aumenta o número de
funcionários do município, aumenta o número de
funcionários afetos ao serviço de auditoria interna. Pese
embora os inquiridos tenham indicado possuir manual de
auditoria e norma e controlo interno aprovado, o ritmo
de atualização tem sido extremamente fraco. Verificou-
se não existir relação entre dimensão do município e a
existência de manual de auditoria interna. A totalidade
dos municípios possui Plano de Gestão de Riscos de
Corrupção e Infrações Conexas2 aprovado tendo-se
contudo, registado uma percentagem de 71,4% de “não
resposta” relativamente à implementação de medidas de
acompanhamento, o que induz a não efetivação de
acompanhamento ao plano. Não obstante, o
acompanhamento poderia ser desenvolvido pela equipa
de auditoria interna.
2 Plano elaborado pelos municípios decorrente de recomendações do
Tribunal de Contas Português.
Uma análise sistémica da auditoria interna nos municípios em Portugal
14
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
A atividade dos serviços de auditoria reside
fundamentalmente na realização de auditorias, ou seja,
em média são produzidos 5 auditorias por ano, sendo
significativa a frequência de inquéritos (traduzindo-se
numa percentagem total de resposta de 42,9%) e
processos de mera averiguação (traduzindo-se numa
percentagem total de respostas de 28,6%), pelo que, as
sindicâncias têm menor expressão. Os principais
critérios utilizados nas auditorias internas são as áreas de
maior risco (81,0% dos inquiridos) e as queixas dos
munícipes (38,1%). De um modo, geral as auditorias
mais frequentemente encetadas pelos serviços de
auditoria interna são: a auditoria contabilístico
financeiro; a auditoria ao controlo interno; a auditoria
aos recursos humanos e a auditoria da qualidade. É
predominante o recurso à amostragem não estatística,
contudo, alguns inquiridos mencionaram o recurso a
random access, standardizada e a perceção do auditor
face à avaliação do risco. Na recolha de informação são
utilizados os testes de conformidade e de procedimento e
as provas recolhidas são suficientes e adequadas na
opinião de 85,7% dos inquiridos. A quase totalidade dos
serviços de auditoria interna não tem implementado o
recurso a sistemas informáticos. Em média são
produzidos 6 relatórios de auditoria por ano.
Adicionalmente, concluiu-se que um maior número de
técnicos nem sempre conduz a uma maior produção de
relatórios/ano. Verificou-se um equilíbrio nas respostas
quanto à publicitação dos relatórios de auditoria, os
inquiridos que decidem pela publicitação dos relatórios
fazem-no essencialmente com recurso ao envio de email,
intranet, tendo adicionalmente sido referido que o
relatório preliminar é enviado ao auditado para efeitos de
contraditório. Em termos de consequências mais
frequentes são dominantes as medidas
corretivas/propostas de melhoria, constituindo as
infrações disciplinares um procedimento menos usual,
assim como, os factos passíveis de reporte ao Ministério
Público. Desta forma, a grande maioria dos municípios
assinalou que o resultado da sua ação visa propor a
adoção de medidas corretivas/propostas de melhoria
(uma média de 14 propostas por ano). No entanto, não
foi possível concluir que o número de funcionários tenha
um impacto positivo no número de medidas corretivas/
propostas de melhoria, ou seja, equipas de auditoria
maiores não conduzem necessariamente, a uma maior
produção de medidas e /ou propostas. Uma significativa
percentagem de inquiridos (cerca de 61,9%) indicou não
proceder à avaliação dos procedimentos de auditoria
interna, uma das causas apontadas é a recente criação do
serviço. No entanto, os que assinalaram positivamente a
avaliação dos procedimentos são maioritariamente
escolhidas a aplicação de indicadores de rendimento e
em termos de outros métodos foi mencionada a
realização de auditorias por terceiros. Os técnicos
consideraram que os principais contributos da auditoria
interna na prossecução dos objetivos municipais residem
em assegurar que: as normas regulamentares são
executadas; promover o controlo dos riscos;
salvaguardar os ativos e otimizar a alocação dos ativos
(conforme descrito no gráfico 1). De igual modo, pode
deduzir-se não existir relação entre dimensão do
município e os diferentes contributos para a prossecução
dos objetivos municipais.
Uma análise sistémica da auditoria interna nos municípios em Portugal
15
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Gráfico 1: Contributo da auditoria interna para a prossecução dos objetivos municipais
Fonte: Elaboração própria
O estudo permitiu concluir que a atividade de auditoria
interna reside essencialmente na produção de relatórios
baseados em inquéritos e nas queixas dos munícipes. Os
principais contributos da auditoria interna consiste em
assegurar que as normas regulamentares são cumpridas e
proceder ao controlo dos ativos, pesquisas futuras
poderão contudo, ser desenvolvidas, alargando-se a
amostra.
O estudo, representou um importante contributo na
caracterização dos serviços de auditoria interna, em
termos de perspetivas futuras poderão ser recolhidos
mais resultados, bem como, poderão ainda ser analisados
um conjunto alargado de pressupostos, tendo sido
propostos os seguintes: a avaliação do desempenho do
serviço interno pelos restantes serviços municipais, o
impacto da atividade de auditoria interna no combate à
fraude e a realização de estudos futuros que permitam
acompanhar a evolução da auditoria interna nos
municípios, uma vez que se trata de uma área emergente.
Contactos: Sofia Alexandra Lopes Félix
([email protected]) e Georgina Morais
Palavras-Chave: auditoria interna, municípios de
Portugal.
76,2% 71,4%
90,5%
19,0%
66,7%
4,8%
0,0%
20,0%
40,0%
60,0%
80,0%
100,0%
Controlo dos
riscos
Salvaguarda
dos ativos
Assegurar que
as normas
regulamentares
são executadas
Preparação
dos controlos
externos
Otimização da
alocação dos
recursos
Outro
Contributo para os objetivos municipais
Contributo
Uma análise sistémica da auditoria interna nos municípios em Portugal
16
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
http://www.apee.pt/
Sobrevivência, adpatação e
responsabilidade social, Mário Parra da Silva;
Presidente Direção da APEE
Como é sabido a Responsabilidade Social de uma
organização apoia-se nas suas “partes interessadas” e
entre elas e a organização estabelece uma relação que é
semelhante às que se estabelecem nos ecossistemas
naturais.
A extensão deste conceito ambiental ao plano social e
económico leva a pensar em sobrevivência das espécies,
em espécies em risco de extinção, em diversidade, em
adaptação, em cadeia alimentar, e no valor que cada
espécie tem para os seus parceiros imediatos e para o
sistema no seu conjunto.
Outra ideia é a de redundância: os ecossistemas
raramente dependem de uma só espécie para manter um
certo processo em funcionamento. Se um elemento
cessa de produzir valor outros se posicionam para
ocupar o seu “nicho ecológico”.
Mas a Natureza, apesar de maravilhosa e isenta do mal,
é regida pelo binómio necessidade e disponibilidade.
Os ecossistemas humanos, compostos por pessoas
dotadas de consciência, terão incorporar os valores
espirituais que as sucessivas gerações identificaram e
que fundamentam a vida humana como destinada não
apenas à existência mas à criação e à sabedoria, e é
assim que “se vão da lei da morte libertando”.
Desde que comecei a interrogar-me sobre o tema
acreditei que a atividade económica teria como objetivo
progressivamente libertar o ser humano do império da
necessidade e proporcionar-lhe mais tempo para
construir arte e pensamento, boas obras e boas ações,
numa vida com significado.
Era o lugar-comum “trabalhar para viver e não viver
para trabalhar”. Aqui parecia estarmos a conseguir esse
objetivo, com a imensa melhoria dos nossos padrões de
saúde, educação, consumo, férias, eventos musicais e
culturais, etc.
Mas noutras partes do mundo a luta pela vida
continuava muito dura e o que para nós era já passado
em muitos países era ainda um sonho para o futuro.
Poucos compreenderam que nas últimas décadas a nossa
vida próspera assentava no acesso fácil e a bom preço às
matérias-primas. E que muito do que consumíamos era
resultado de trabalho sem dignidade e sem esperança em
países onde as pessoas estavam ainda no limiar da
sobrevivência.
O fim dos impérios coloniais (ainda que sucedidos por
outras formas de domínio) abriu a possibilidade de
desenvolvimento a vastas zonas do globo.
A diluição das fronteiras e as possibilidades abertas
pelas novas tecnologias colocaram-nos num sistema de
vasos comunicantes e o nosso nível de competitividade
baixou, durante muito tempo ocultado por crescentes
dívidas externas.
17
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Assim nos tornámos cada vez mais incapazes de
responder à procura com produtos de boa qualidade e
bom preço.
Tal como num ecossistema ambiental a nossa
incapacidade em responder às necessidades do sistema
leva-o a procurar outras alternativas.
Primeiro as empresas migraram para procurar
sobreviver em condições idênticas às dos seus
concorrentes, depois porque os novos mercados
começaram a ser interessantes por si próprios,
alimentados por crescentes classes médias ansiosas de
desfrutar. Hoje são as próprias pessoas que emigram,
porque as empresas que as empregariam já não estão
aqui.
Como inverter este processo? Como criar valor no
ecossistema sem cair no fundo do vaso comunicante dos
salários baixos e da generalização da pobreza? Como
tornar sustentável a nossa comunidade, no quadro da
sustentabilidade geral do ecossistema humano?
A necessidade de mudar é óbvia. A necessidade de
pensar a produção de riqueza e a administração das
necessidades sociais de forma compatível com a
realidade criada pela globalização é imperiosa.
Assim a questão está, em terminologia ambiental, em
capacidade de adaptação. Ou em termos económicos em
inovação. Ou ainda, traduzindo em medidas de gestão,
em abertura, flexibilidade, diversidade, tudo isso
orientado para a criação de valor para o ecossistema de
trocas em que a organização está ou pretende vir a estar.
Como fazer tudo isto?
O sucesso no exterior está sempre associado a
características no interior.
A resposta está em obter informação das partes
interessadas e saber ouvir as suas expectativas,
incorporando-as na oferta de valor da organização.
Parece simples mas não é porque exige mudanças de
mentalidade além de um alto nível das competências
técnicas próprias do negócio/atividade em causa.
Sobre a mudança de mentalidades uma primeira
recomendação é “ver” a organização como um espaço
de interação entre pessoas, promover e aproveitar ao
máximo a sua relação natural com outras, desse modo
mantendo a organização aberta ao exterior e capaz de
incorporar o conhecimento que chegue por essa portas
para o mundo.
Neste quadro a promoção da diversidade resultará em
grande benefício. O balanço entre homens e mulheres,
entre jovens e seniores, entre origens e culturas, não é só
uma obrigação ética mas uma forma de aumentar o
património de experiências e conexões organizacionais.
Dar tempo às pessoas para, cumprindo o seu horário de
trabalho, terem uma vida pessoal e familiar rica e
emocionalmente gratificante é criar ativos intangíveis
que poderão ser preciosos quando há que criar valor e já
não apenas fabricar produtos ou executar serviços.
É essencial compreender que pela primeira vez na
história há alta disponibilidade de informação e o que
conta é saber o que fazer com ela.
A criação de valor já não está (pelo menos na maioria
dos casos) no controle do conhecimento mas na
adaptação da “espécie” ao que o seu ecossistema de
partes interessadas necessita.
Só assim lhe retribuirão com o valor que a sustentará.
A Responsabilidade Social não é uma teoria de
redução de risco e de incremento reputacional.
É isso mas é muito mais: é uma estratégia de
criação de valor para o conjunto das partes
interessadas e portanto um fator de
sustentabilidade da organização e de garantia de
bons dividendos para o acionista.
Sobrevivência, adpatação e responsabilidade social
18
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Modelação do Risco de TI, Luís Montanha Rebelo
Vice-Presidente do IPAI, Membro da Direção do ISACA Lisbon Chapter
(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)
Introdução
Atualmente não é fácil encontrar atividades de negócio
que não façam uma utilização intensiva de Tecnologias
de Informação. É sob este racional que considero que o
Risco de TI é um risco do negócio, especificamente o
risco associado à utilização, posse e adoção das
Tecnologias de Informação numa qualquer empresa.
Quando se fala em risco, independentemente da sua
natureza, a grande dificuldade surge quando o tentamos
medir. É neste sentido que me proponho exemplificar, de
forma muito simplificada, a aplicação de metodologias
de medição de Risco Operacional à mensuração de risco
de TI3.
Risco Operacional
O Risco Operacional é o risco de perda resultante de
inadequação ou falhas internas (processos, pessoas ou
sistemas) ou de eventos externos que afetem uma
qualquer empresa. No setor financeiro, um dos objetivos
do Risco Operacional é o de calcular os requisitos de
capital necessário para fazer face aos diversos riscos
tratados no âmbito desta categoria.
Embora os restantes setores, o cálculo dos requisitos de
capital não seja um objetivo em si, as práticas de gestão
de risco operacional são extremamente úteis, como é o
3 De acordo com o acordo de Basileia II, o risco de TI é parte integrante do horizonte de Risco Operacional.leito
exemplo dos exercícios de autoavaliação e da análise de
cenários que ajudam a produzir estimativas de frequência
e severidade das perdas e ao mesmo tempo aumentar a
consciência dos gestores relativamente ao risco.
Mais uma vez no setor financeiro, a Framework de
Basileia propõe a implementação de metodologias
avançadas para a medição do risco (AMA), havendo o
entendimento que o risco é o produto entre a frequência e
a severidade dos eventos de perda. Resta-nos então
modelar cada uma destas grandezas e encontrar a
dimensão de risco final.
Modelação do risco
Antes de iniciar o processo de modelação, importa
perceber que modelar é obter uma representação ou
simulação de algo. No caso de modelação de risco o
objetivo é representar ou simular o risco incorrido pelas
organizações na persecução dos seus objetivos.
Embora os modelos a construir sejam representações
simplificadas da realidade, estes poderão envolver
milhares ou milhões de cálculos. Demasiados cálculos
para serem feitos com o recurso a papel, caneta e até
mesmo com recurso a uma calculadora, pelo que a
utilização de computadores torna-se fundamental para
esta tarefa e no nosso exemplo iremos utiliza o Excel
para modelarmos o nosso risco.
19
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Dados históricos
O Risco de TI está relacionado, entre outros fatores, com
o modelo de Governance, com a Cultura e com o Sistema
de Controlo Interno da empresa, pelo que os riscos e a
forma como se materializam serão certamente únicos e
diferentes de todas as outras empresas existentes no
mercado.
Dada esta unicidade, para podermos dar início ao
processo de modelação dos riscos de TI da nossa
empresa, em primeiro lugar devemos olhar para o
interior da empresa e “perceber” QUAIS são os Riscos
de TI e COMO historicamente se têm materializado.
Para dar resposta a estas questões, deverá existir uma
base de dados de acontecimentos, onde esteja registada
informação relativa à ocorrência de problemas
associados às tecnologias ao longo do tempo (ex. Falhas
de sistema, perdas de informação, etc.). A tabela seguinte
é um resumo estatístico do risco de Perdas devido a
indisponibilidade de aplicações ou comunicações.
Historicamente, o risco do nosso exemplo, conta com
cerca de 4.759 acontecimentos registados e com perdas
que ascendem a um valor total de 7.508.411€.
Dado o valor significativo de perdas associadas a
acontecimentos que, imprevisivelmente afetam a nossa
empresa, torna-se necessário aplicar metodologias de
gestão de risco, para tal devermos começar por medi-lo e
de alguma forma diminuir a incerteza/imprevisibilidade
associada ao mesmo.
Distribuições estatísticas
As ciências atuariais utilizam as distribuições estatísticas
para descrever o número e a dimensão das perdas
incorridas pelas companhias seguradoras.
Tradicionalmente, a matemática é utilizada em conjunto
com estas distribuições, para analisar os riscos incorridos
e a forma como as decisões tomadas pela empresa
poderão mitigar este risco.
A evolução da capacidade de computação permitiu que
estas distribuições estatísticas fossem combinadas com
processos de simulação, permitindo desta forma
trabalhar de forma mais simplificada, com modelos mais
complexos e realistas. Embora o nível de matemática
necessária para construção de um modelo seja reduzido,
continua a ser necessário um bom entendimento das
distribuições e do seu significado, por forma a ser
possível construir o modelo e entender os seus
resultados.
Modelação do risco de TI
20
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Modelação da Frequência
As distribuições Binomial e a Poisson são as estatísticas
mais comummente utilizadas para modelação da
frequência de materialização de um determinado
acontecimento. Estas distribuições necessitam de muito
poucos parâmetros de entrada, o que torna relativamente
simples a sua aplicação. No nosso exemplo, iremos
utilizar a distribuição de Poisson, que necessita
unicamente da média de acontecimentos num
determinado período de tempo.
No nosso caso, utilizámos a média do número de eventos
nos últimos anos. É uma média evolutiva, pouco sensível
a variações pontuais, mas indicadora da tendência
evolutiva do número de eventos.
A escolha deste valor dependerá da realidade onde o
conceito será aplicado e do perfil da tolerância ao risco
da empresa.
Modelação da Severidade
No que respeita à modelação da severidade, existem
diversas distribuições possíveis (Gamma, Lognormal,
Pareto, etc.), a sua escolha deverá ter em atenção a sua
adequação à realidade histórica da severidade dos
acontecimentos na empresa, principalmente o seu
comportamento nos percentis mais elevados. Existem
métodos estatísticos para identificação da distribuição
que melhor se adequa à realidade, estes métodos não
serão aqui explicados, mas é possível encontrar
informação relevante na internet.
No nosso exemplo iremos utilizar a distribuição de
Pareto, caracterizada por ter uma cauda bastante longa.
Mais uma vez, a distribuição também está associada ao
perfil de risco da empresa.
Apuramento do Risco
Chegámos ao ponto em que conseguimos modelar a
frequência dos acontecimentos, ou seja conseguimos
associar uma probabilidade ao número máximo de
eventos que acontecem por ano. Conseguimos também
associar uma probabilidade às perdas causadas por cada
acontecimento.
Falta-nos por fim, apurar o produto entre estas duas
grandezas.
Simulação de Monte Carlo
A simulação de Monte Carlo é um método muito eficaz e
eficiente para calcular o produto das grandezas
Frequência e Severidade, e assim apurar o nosso risco
final. Sendo um método de simulação, nós vamos
construir tantos cenários quantos os necessários para
poder construir a nossa curva de risco, no nosso exemplo
temos um total de 10.000 simulações.
Modelação do risco de TI
21
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
O primeiro passo consiste em identificar, para cada
cenário e de acordo com a distribuição da Frequência
anteriormente apurada, a quantidade provável de eventos
que poderão ocorrer.
Seguidamente, fazendo uso da distribuição da
Severidade anteriormente apurada, calcular, para o
número de eventos anteriormente identificados, o custo
total provável que a quantidade de acontecimentos
poderá provocar.
Com base na tabela anterior, conseguimos construir a
tabela e os gráficos da distribuição do nosso risco de
Perdas devido a indisponibilidade de aplicações ou
comunicações.
Nível de confiança
Através dos procedimentos anteriores, conseguimos
comunicar o risco, através de um nível de confiança e de
um valor, então vejamos as seguintes afirmações:
Com um nível de confiança de 75%, teremos perdas com
um valor total máximo de 300.000 Euros.
Com um nível de confiança de 95%, teremos perdas com
um valor total máximo de 750.000 Euros.
Com um nível de confiança de 99%, teremos perdas com
um valor total máximo de 2.800.000 Euros.
A escolha do nível de confiança a utilizar está
relacionado com o perfil de risco da nossa empresa.
Recordo que, de acordo com o acordo de Basileia
anteriormente referido, o nível de confiança exigido para
o setor financeiro situa-se nos 99%, havendo
metodologias para diminuir ainda mais a restante
imprevisibilidade, como por exemplo o método
estatístico conhecido como Expected Shortfall (ES), não
tratado neste artigo.
Desafios
Abordei propositadamente este tema de forma muito
simplificada. No entanto, se o leito entender debruçar-se
sobre estes temas encontrará alguns desafios pela frente,
como por exemplo a escassez de dados internos para
poder modelar adequadamente o risco ou a forma de
agregar riscos, de forma a poder trabalhá-los sobre
diversas perspetivas. Neste sentido, convido-os a
consultar o tema “Operacional Risk”, na base de dados
do BIS (Bank for International Settlement) -
http://www.bis.org/, onde o leitor encontrará muita
informação sobre estas e outras questões associadas ao
tema.
Modelação do risco de TI
22
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Consultar / Downloads
Ficheiro em Excel -
https://www.dropbox.com/s/i30pzfp9xzkimlc/Mensuraca
oITRisk.xlsm?m=
The Failure of Risk Management
(www.hubbardresearch.com/the-failure-of-risk-
management/)
Risk IT
(Pesquisar em www.isaca.org)
IT Controls for Basel II
(Pesquisar em www.isaca.org)
Operational Risk Management
(Pesquisar em www.bis.org)
Pode comentar ou esclarecer alguma questão?
Poderá enviar email para [email protected]
Aniversário IPAI
6 de Março de 2014
Jantar comemorativo
Informações IPAI Maria Manuel Telef. 213151002
Modelação do risco de TI
23
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Modelagem de riscos de processos empresariais na
perspectiva da auditoria, José Aísio Catunda Aragão
Em sua teoria Bertalanffy, (2012; p.21-29),
defende que os sistemas estão em toda parte e
que não podem ser compreendidos somente pela
análise separada e exclusiva de cada uma de suas
partes.
Vista assim, pode-se dizer que negócios são sistemas,
que fazem parte de uma cadeia de sistemas bastante
complexos, tais como mercados, indústrias, sociedades,
organizações, etc.
Eles são partes inter-relacionadas que compõem um todo
unificado. Kaufman (2012; p.323) indica que um sistema
complexo necessariamente evolui de um sistema simples
que funcionava e nunca de um sistema complexo
projetado, ou seja, todos os sistemas que funcionam
evoluíram de sistemas mais simples que funcionava. Tal
afirmativa ficou conhecida como a Lei de Gall.
Neste contexto, a evolução do mundo dos negócios tende
a reforçar tal afirmativa considerando que as
organizações podem ser vistas como um sistema dentro
de outros sistemas maiores e complexos como o
ambiente social, o ambiente geográfico, o ambiente fiscal
e/ou financeiro, dentre outros.
Assim as organizações constituem-se em subsistemas, de
outro sistema maior, embora no início não passassem de
organizações simples, como escambo.
Nesta linha de raciocínio a organização (a empresa) pode
ser vista também como um sistema, abrigando por sua
vez subsistemas organizacionais, tais como estoque,
contabilidade, financeiro, etc., que receberá movimentos
de entradas e saídas do sistema e de outros subsistemas
da organização.
Os sistemas ou subsistema são constituídos pelos
processos de atividades que dá vida a organização, sendo
necessário conhecer a dinâmica para melhor entende-los.
Kaufman (2012; p. 325) cita Frank Herbert, romancista
de ficção científica e autor de “Duna4”, de que “Não é
possível compreender um processo interrompendo-o. A
compreensão deve se mover com fluxo do processo, deve
se unir a ele e fluir com ele”.
Assim, para melhor compreender as atividades
operacionais de uma empresa se faz necessário conhecer
a modelagem dos processos de trabalho no seu contexto
de funcionamento. Certamente este conhecimento
permitirá entender o seu modus operandi, permitindo um
melhor gerenciamento dos riscos que o gestor pode ter
que enfrentar para alcançar seus objetivos. Assim, o
fluxo de um processo, é o caminho para entender o
funcionamento do sistema.
A modelagem dos processos das atividades empresariais,
conforme Oliveira (2005; p.29) permite o conhecimento
necessário para que haja uma coordenação das
atividades, visando alcançar os resultados traçados e se
tenha um mapeamento de como as atividades
operacionais são realizadas e como elas afetam o dia-a-
dia da empresa. A importância deste conhecimento
decorre do fato de que hoje se vive em um mundo
incerto.
Eventos que jamais se imaginaria, aconteceram e eventos
possíveis de acontecer, não aconteceram. São exemplos:
colapsos financeiros, ataques terroristas, falhas em
grandes sistemas de computadores dentre outros. Tais
eventos passaram a exigir uma gestão de riscos não
somente como um aspecto específico das operações de
determinadas companhias, mas como uma questão de
integração empresarial, extrapolando seus limites
geográficos e organizacionais.
4Duna é um romance de ficção científica escrito por Frank Herbert e
publicado em 1965. É considerada uma das maiores obras de ficção
científica de todos os tempos. Duna ganhou os prêmios Hugo e
Nebula no ano de sua publicação.
24
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
É importante destacar que há uma grande diferença entre
risco e a incerteza. Se um sistema depender de outras
pessoas para funcionar, ocorrerá um grande risco. Neste
caso é preciso possuir planos para mensurar, minimizar
e/ou prevenir este risco. Já a incerteza não tem como
prever.
A propósito, Kaufman (2012; p. 333) toma como
referência as palavras de Donald Rumsfeld, ex-secretário
de Defesa dos Estados Unidos para melhor elucidar a
diferença entre risco e incerteza:
“Existem conhecidos que são conhecidos. São as coisas
que sabemos que sabemos - a isso se pode chamar de
Risco. Mas também existem desconhecidos que não são
conhecidos. São as coisas que não sabemos que não
sabemos.” Sendo assim, pode-se dimensionar a
importância da gestão de riscos.
A auditoria interna tem enfrentado estes novos desafios
tais como antecipar e previnir os riscos inerentes aos
negócios; avaliar processos que possam ser ineficientes,
pois esses são fontes primárias de risco; ter uma visão de
controle como sendo elementos de mitigação, prevenção
e monitoramento de riscos.
Nesta perspectiva, a auditoria interna muda o enfoque de
seu processo de trabalho, passando a focalizar os riscos
operacionais e até mesmo de negócio da organização,
notadamente aqueles que possam comprometer os
resultados.
Dessa forma, age de forma mais pró-ativa, por meio de
uma auditoria baseada ou com foco no risco.
O IIA5 por meio das “Practice Advisories” indica ainda
que o escopo do trabalho de auditoria interna deve
abranger uma abordagem sistemática e disciplinada para
avaliar e melhorar a adequação e a eficácia do risco
gerencial, controle e processos de governança e a
qualidade do desempenho no desenvolvimento das
responsabilidades atribuídas.
O propósito de avaliar a adequação do risco gerencial
existente, o controle e os processos de governança na
organização é prover razoável certeza de que estes
processos estejam funcionando como tencionados e que
irão habilitar os objetivos e metas da organização a
5 Statement of Responsabilities of Internal Auditing
atingir e fornecer recomendações para melhorar as
operações dela, em termos de desempenho eficiente e
eficaz.
Entretanto, algumas organizações podem não ter um
processo estabelecido de gestão de riscos. Se
determinada organização não estabeleceu um processo de
gestão de risco, o auditor tem papel importante no
sentido de sensibilizar a administração, devendo se
possível desempenhar um papel proativo assistindo no
estabelecimento de um processo de gestão de risco para a
organização.
O IIA em suas orientações para prática das normas,
alerta que a auditoria deve ter o cuidado para não
perder a independência, e indica que um papel
proativo no processo de desenvolvimento e gestão de
risco não é o mesmo do papel da “propriedade dos
riscos”.
A fim de evitar uma “propriedade dos riscos” os
auditores internos podem buscar confirmação da
administração relativamente a sua responsabilidade pela
investigação, mitigação e “propriedade” dos riscos.
A fase mais importante numa auditoria com foco no risco
reside na etapa de planejamento. De acordo com
Boynton, (2002; p.172) muitas falhas de auditoria
acontecem porque procedimentos importantes não são
adotados ou porque evidências colhidas não são
adequadamente avaliadas.
Ainda segundo Boynton (2002; p.190) cada plano de
negócios traz em si um risco de que os objetivos fixados
não sejam atingidos. Nessa perspectiva, as etapas que
envolvem, na fase do planejamento, a construção do
programa de auditoria, cujo foco seja o risco no enfoque
COSO, em geral tem como roteiro o fluxo a seguir
apresentado.
Estabelecer
objetivos
Identificar
Riscos
Medir e
analisar
riscos
Implementar
atividades de
controle
Monitorar
atividades
de
controle
Fluxo 1: Etapas da Avaliação de riscos no enfoque COSO
Fonte: Adaptado do Manual de Auditoria Interna ANAC
Modelação de riscos de processos empresariais na perspectiva da auditoria interna
25
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Estabelecer objetivos - Os auditores internos devem
realizar uma avaliação preliminar dos riscos pertinentes à
atividade sob revisão. Os objetivos do trabalho devem
refletir os resultados desta avaliação. Deve considerar a
probabilidade de erros, irregularidades, descumprimentos
e outras exposições materiais ao desenvolver os objetivos
do trabalho. O alcance estabelecido deve ser suficiente
para satisfazer os objetivos do trabalho.
Identificar riscos - Os gerentes e auditores devem
identificar e priorizar os riscos para determinar quais são
mais importantes ou fundamentais para a organização e,
portanto, merecem mais atenção. De uma forma geral, os
riscos mais altos requerem procedimentos de controles
mais rigorosos. A revisão dos procedimentos de controle
durante o planejamento deve, portanto, apontar os temas
de maior risco para determinar se a direção controla
adequadamente estes riscos. A priorização dos riscos
também é útil na elaboração do programa de auditoria, de
modo que o esforço esteja concentrado nas áreas de
maior risco.
Medir e analisar os riscos - A medida de risco é fruto da
conjunção das duas dimensões – magnitude e
probabilidade. Quanto maior a probabilidade de
ocorrência de determinado evento negativo e quanto
maior a magnitude das consequências resultantes da
ocorrência desse evento negativo, maior o risco da
atividade. A mensuração dos riscos considera que a
magnitude (gravidade) das consequências dos riscos
mede o tamanho do efeito negativo. Pode ser o risco em
unidades monetárias ou o alcance do impacto negativo na
organização; já a probabilidade de que ocorram as
consequências, leva-se em consideração a probabilidade
ou a frequência de que o risco ocorra.
Implementar atividades de controle - Depois de
priorizados os riscos, o passo seguinte é confirmar se a
administração tem gerenciado adequadamente seus
riscos, particularmente os mais altos, mediante a
instituição de controles. A identificação dos controles é
realizada com o uso de descrições, fluxogramas, manuais
e documentação dos processos de negócios.
Monitorar atividades de Controle - Do ponto de vista
prático, os gerentes podem utilizar diferentes meios para
monitorar e/ou gerenciar os riscos: implementar políticas
e procedimentos de controle interno; transferir os riscos
através de seguros, terceirização, disposições contratuais;
compartilhar os riscos através da fusão de recursos com
outras organizações; diversificar operações; monitorar os
riscos. O objetivo do monitoramento é determinar se os
controles instituídos mitigam adequadamente o risco.
Caso as atividades de controle se mostrem frágeis ou
ineficientes, ou até mesmo inexistentes, se faz necessário
recomendações visando suprir a deficiência.
Independentemente de a Unidade contar ou não com
um processo formal de gestão de riscos, o auditor
interno deve promover o mapeamento dos objetivos do
objeto da auditoria6, dos riscos de esses objetivos não
serem alcançados e dos mecanismos de controle
instituídos para mitigar esses riscos, de forma a
possibilitar uma visão mais sistêmica e objetiva, por
parte do auditor, bem como oferecendo subsídios
complementares à eventual redefinição dos objetivos e
do escopo do trabalho e à definição dos procedimentos
de auditoria a serem aplicados durante a fase de
execução. No caso de a administração já contar com
esse mapeamento, o auditor deve proceder à sua
revisão, no sentido de concluir sobre sua pertinência.
José Aísio Catunda Aragão – Graduado em Ciências Contábeis;
Pós-Graduado em Auditoria e Mestrando em Administração. Chefe de
Auditoria do Banco Central do Brasil até 2009, tendo anteriormente
exercido diversas funções desde 1978. Chefe de Auditoria da Agência
Nacional de Aviação Civil (ANAC/Brasil) até 2012. Atualmente
professor de auditoria na UNICESP/DF, nível graduação de Ciências
Contábeis. Este “paper” é um resumo da dissertação de mestrado.
Referências:
1. BERTALANFFY, Ludwig von. Teoria Geral dos Sistemas. São
Paulo: Ed. Atlas 6ª Ed. 2012.
2. BOYNTON, William C; JOHNSON, Raymond N; KELL, Walter
G. Auditoria. São Paulo: Ed. Atlas 7ª Ed. 2002.
3. IIA - The Institute of Internal Auditors - Global Practices Center,
Professional Practices Group. Disponível em:
https//na.theiia.org/standards-guidance/mandatory-
guidance/Pages/Definition-of-Internal-Auditing.aspx
4. KAUFMAN, Josh – Manual do CEO – São Paulo: Ed. Saraiva
2012.
5. OLIVEIRA, Djalma de Pinho Rebouças de. Sistemas de
informações gerenciais: estratégicas, tático, operacionais. São
Paulo: Ed. Atlas, 10ª Ed. 2005.
6 Objeto da auditoria – representa o sistema ou subsistema a ser
auditado. Pode ser uma atividade (área de recursos humanos), ou um
processo de trabalho (operações aeroportuárias).
Modelação de riscos de processos empresariais na perspectiva da auditoria interna
26
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
47,4% de abstenção, teria a utilização da
tecnologia e a votação eletrónica ajudado? Teria
a Segurança deixado? Bruno Horta Soares, CISA®, CGEIT
®,
CRISC™
, PMP®,
Presidente do ISACA Lisbon Chapter
No passado mês de Novembro realizou-se mais uma
“COBIT Session”, um evento organizado pelo ISACA
Lisbon Chapter e com o apoio do Núcleo de Auditores
de Sistemas de Informação do IPAI.
A escolha da questão “47,4% de abstenção, teria a
utilização da tecnologia e a votação eletrónica
ajudado? Teria a Segurança deixado?” pretendeu
colocar em cima da mesa o problema (abstenção) e uma
proposta de solução (voto eletrónico), procurando
analisar esta questão complexa com o contributo de três
perspetivas: 1) a visão da Sociedade da Informação; 2) a
visão da Auditoria; e 3) a visão da Segurança da
Informação. Para tal foram convidados alguns
profissionais com experiência profissional e associativa
na área da sociedade da informação, bem como alguns
especialistas em segurança e auditoria de sistemas de
informação.
Tendo em consideração as limitações de tempo para o
debate, bem como o âmbito de atuação da ISACA,
procurou-se contrariar o princípio básico defendido em
qualquer sistema de informação de “análise do
problema através de uma reflexão das suas causas”,
tendo-se avançado diretamente para a reflexão sobre o
papel que a tecnologia poderia ter na resposta ao
problema da abstenção (e até desinteresse!), o qual afeta
não apenas a sociedade Portuguesa mas de uma forma
geral grande parte dos sistemas democráticos.
O debate iniciou-se apresentando um cenário onde a
tecnologia passaria a desempenhar um papel central no
processo democrático: “Um sistema de opção, em que
o eleitor poderia escolher votar eletronicamente e
com isso poderia, por exemplo, votar
descansadamente enrolado numa manta
aconchegante ou duma esplanada à beira mar”. Será
este um cenário real ou uma mera ficção?
É curioso ressalvar que apesar de se tratar de um cenário
aparentemente futurista, a utilização de meios
informáticos em processos eleitorais não é novidade,
existindo países onde estas soluções são adotadas (com
diferentes graus de dependência tecnológica), países
onde este tipo de soluções já foram testados (onde se
inclui Portugal) e outros onde este tipo de soluções já
foram abandonaram tendo-se regressado a modelos de
votação tradicional7.
Tendo este contexto em consideração, e focando a
análise no âmbito da ISACA, foi importante avaliar qual
o contributo que profissões das áreas de risco,
controlo, auditoria ou segurança poderão ter em
futuras decisões sobre a adoção deste tipo de
soluções.
7 http://www.e-voting.cc/en/it-elections/world-map/
27
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Antes de se entrar a fundo na componente tecnológica,
foi importante enquadrar o fenómeno democrático e o
seu expoente máximo: O voto. Não entrando numa
análise demasiado detalhada, foi dada relevância a um
aspeto fundamental em qualquer fenómeno que envolve
os interesses de uma comunidade ou sociedade: A
responsabilidade. O tema da responsabilidade foi
apresentado como sendo um dos principais desafios na
vertente da sociedade da informação.
A tecnologia pode ser uma ameaça séria quando se
sobrepõe aos valores fundamentais do contexto onde
é utilizada, deixando de ser encarada como um meio
para alcançar um fim maior e passando a ser o fim
em si mesma.
Estaria um regime democrático preparado para
transformar o processo de reflexão e a solenidade do
momento do voto num contexto de simplicidade onde
votar seria tão simples como colocar um Like na página
de Facebook do candidato?
Qual seria o resultado para uma democracia se a
tecnologia fosse utilizada como arma de arremesso por
grupos marginais ou anti-sistema para ganharem escala à
conta de fenómenos mediáticos de curto prazo?
Tal como referido no filme do Homem Aranha, “com
grande poder vem grande responsabilidade”, e como
qualquer advento tecnológico no passado, a utilização de
tecnologias de informação e comunicação no processo
eleitoral terá necessariamente de ser acompanhada de
uma enorme sensibilização de todo o contexto com vista
a uma maior literacia democrática.
Ultrapassada a questão fundamental dos pressupostos da
utilização da tecnologia, foi importante ressalvar as
propriedades intrinsecamente ligadas à democracia, as
quais configurariam requisitos fundamentais para a
implementação de qualquer sistema de suporte ao
processo eleitoral: Autenticidade, Singularidade,
Direito de Voto, Anonimato, Integridade dos votos,
Não-Coercibilidade e Privacidade.
Tendo em consideração este conjunto de requisitos, foi
evidente que a tecnologia pode desempenhar um papel
fundamental na resposta ao requisito “Direito ao Voto”.
A acessibilidade aos locais de voto continua a ser, em
alguns contextos, um desafio relevante, podendo a
utilização das tecnologias de informação e comunicação
desempenhar um papel determinante para levar este
direito fundamental da democracia a um número mais
alargado de cidadãos.
Este é provavelmente o fator que leva algumas “jovens
democracias” a adotar este tipo de soluções, onde o
“Direito ao Voto” se sobrepõe aos outros requisitos e
onde as oportunidades da tecnologia se sobrepõem às
suas ameaças.
No entanto, quando as democracias apresentam uma
maior maturidade e a literacia tecnológica é mais
alargada, os restantes atributos ganham uma maior
relevância, passando a análise a estar mais centrada nas
ameaças, sobretudo nos pressupostos de Transparência e
Confiança no sistema, pressupostos diretamente
relacionados com as funções de auditoria e segurança.
Um sistema desta natureza envolve objetivos de enorme
importância, motivo pelo qual as ameaças relacionadas,
as vulnerabilidades dos recursos utilizados, os riscos
inerentes e os controlos necessários deverão ser sempre
objeto de análise e avaliação por forma a garantir um
nível de riscos residuais aceitáveis.
47,4% de abstenção, teria a utilização da tecnologia e a votação eletrónica ajudado? Teria a Segurança deixado?
28
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
No entanto, a questão central esteve precisamente
relacionada com a possibilidade de existência de
níveis de tolerância ao risco ou a impossibilidade de
utilização deste tipo de soluções caso essa tolerância
não exista.
Para os auditores presentes na sala, não existem
sistemas que não sejam auditáveis nem riscos
inerentes que não sejam controláveis, no entanto para
que tal seja possível será sempre garantir o
envolvimento de especialistas e o recurso a boas
práticas das áreas de auditoria, risco e controlo para
dessa forma assegurar uma maior confiança e
transparência do processo.
Veja-se o exemplo do documento “Recommendation
Rec(2004)11”8 onde o Comité de Ministros do Conselho
da Europa procurou definir alguns requisitos para a
auditoria de sistemas de votação eletrónica, no entanto
uma análise detalhada dos requisitos e um mapeamento
com boas práticas como o COBIT permite detetar falhas
que poderiam ter sido evitadas com a utilização de um
maior alinhamento com referenciais de mercado9.
Apesar de não existirem sistemas que não sejam
auditáveis, as auditorias podem deixar de ser complexas
e passar a ser muito complicadas à medida que deixamos
as soluções mais tradicionais de votação em papel em
8 Council of Europe - Committee of Ministers,
Recommendation Rec(2004)11 of the Committee
of Ministers to member states on legal, operational and
technical standards for e-voting,
https://wcd.coe.int/ViewDoc.jsp?id=778189, 2010 9 “Plataformas de Votação Electrónica desenvolvimento e
aplicação de um modelo genérico de avaliação e melhoria dos
requisitos e recomendações de segurança”, Pedro Manuel
Patrocínio Dias Madeira, Novembro 2012
ambiente controlado e avançamos para soluções de
votação eletrónica remota em ambiente não controlado.
Foi notório o desconforto existente com os cenários
totalmente dependentes de tecnologia, sobretudo devido
à possibilidade de aceitar que os sistemas poderão não
ser auditáveis para garantir requisitos como o
“Anonimato” a 100%.
E foi precisamente neste ponto que a discussão terminou,
com os profissionais a concluírem que as oportunidades
relacionadas com a utilização da tecnologia são
inegáveis, mas será sempre necessário garantir que a
dependência tecnológica não impossibilita a
confiança e transparência do processo. Como tal,
cenários que potenciem a utilização de tecnologia mas
em ambientes controlados serão sempre os mais viáveis,
pois quem conhece e trabalha com tecnologia sabe que
não existe esse pressuposto de sistemas 100% seguros.
Entre a esperança e a desconfiança na tecnologia, os
profissionais das áreas de risco, controlo, auditoria ou
segurança terão certamente um papel determinante
na evolução deste tipo de soluções, podendo
contribuir de forma decisiva para apoiar na tomada
de decisão, assegurando o devido equilíbrio entre as
oportunidades e as ameaças.
http://www.isaca.org/chapters8/lisbon/Pages/default.aspx
47,4% de abstenção, teria a utilização da tecnologia e a votação eletrónica ajudado? Teria a Segurança deixado?
29
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Conferência anual de auditoria interna 2013
30
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Conferência anual de auditoria interna 2013
31
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Conferência anual de auditoria interna 2013
32
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Conferência anual de auditoria interna 2013
33
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Caneta Digital
Que as coisas futuras não te preocupem. Chegarás a
elas, se tiver de ser assim, levando a mesma razão que
agora usas para as coisas presentes, Marco Aurélio
A verdadeira medida de um homem não é como ele se
comporta em momentos de conforto e conveniência,
mas como ele se mantém em tempos de controvérsia e
desafio, Martin Luther King
Sugestão de leitura
Pesquisa na rede
06-July-2014-
09-July-2014
The IIA's 2014 International
Conference
London, England
Primary Language: English
18 August-2014-
20-August-2014
Conference Governance, Risk,
and Control Conference - An IIA
and ISACA Collaboration
The Breakers / Palm Beach,
FL USA
Primary Language: English
A certificação está ao seu alcance.
Contacte o [email protected]
34
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Post-it, Miguel Silva
Esta edição não engloba o cartoon habitual.
As nossas desculpas.
Mas, uma piada:
Why did the auditors cross the road?
Because they looked in the file and that's what they did last year.
http://www.the-alternative-accountant.com/funny-nicknames.html
e uma imagem
http://blog.taxguru.net/category/audits/
35
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Pesquisa de Institutos de Auditoria
http://www.tide.org.tr/Page.aspx?nm=anasayfa
http://iia.org.ua/ua/#.Up4KaRvuPIU
36
IPAI Auditoria Interna Outubro/Dezembro de 2013 nº 53
Top Related