apresentação do powerpoint · a auditoria operacional, como realizada pelas efs, é o exame...

Auditoria GovernamentalProf. Marcelo Spilki

Aula 3

NBASP 300 (ISSAI 300) – Princípios Fundamentais de Auditoria Operacional

A auditoria operacional, como realizada pelas EFS, é o exame independente, objetivo e confiável que analisa se empreendimentos, sistemas, operações, programas, atividades ou organizações do governo estão funcionando de acordo com os princípios de economicidade, eficiência e efetividade¹ e se há espaço para aperfeiçoamento.¹ Nota de tradução: effectiveness. Esse termo em inglês abrange dois conceitos: eficácia (grau de alcance das metas programadas em termos de produtos) e efetividade (impactos).

A auditoria operacional visa a fornecer novas informações, análises ou percepções e, quando apropriado, recomendações para aperfeiçoamento.Oferece novas informações, conhecimento ou valor ao:• proporcionar novas percepções analíticas (análises mais amplas ou

profundas ou novas perspectivas);• tornar as informações existentes mais acessíveis às várias partes

interessadas;• proporcionar uma visão independente e autorizada ou uma

conclusão baseada em evidência de auditoria;• fornecer recomendações baseadas em análises dos achados de

auditoria.


Os princípios de economicidade, eficiência e efetividade podem ser definidos como a seguir:• O princípio da economicidade significa minimizar os custos dos recursos. Os recursos

usados devem estar disponíveis tempestivamente, em quantidade suficiente, na qualidade apropriada e com o melhor preço.

• O princípio da eficiência significa obter o máximo dos recursos disponíveis. Diz respeito à relação entre recursos empregados e produtos entregues em termos de quantidade, qualidade e tempestividade.

• O princípio da efetividade diz respeito a atingir os objetivos estabelecidos e alcançar os resultados pretendidos.

Objetivos da auditoria operacionalO principal objetivo da auditoria operacional é promover, construtivamente, a governança econômica, efetiva e eficaz. Ela também contribui para a accountability e transparência.

Fonte: TCU


Ao lidar com sobreposições entre tipos de auditoria (ou auditorias combinadas), os seguintes pontos devem ser considerados:• Elementos da auditoria operacional podem ser parte de uma auditoria mais abrangente

que também cubra aspectos de auditoria de conformidade e financeira.• Caso ocorra uma sobreposição, todas as normas relevantes devem ser observadas. Talvez

isso não seja viável em todos os casos, já que diferentes normas podem conter prioridades diferentes.

• Nesses casos, o objetivo primário da auditoria deve guiar os auditores quanto a que normas eles devem aplicar. Ao determinar se considerações sobre desempenho formam o objetivo primário do trabalho de auditoria, deve-se ter em mente que a auditoria operacional tem seu foco em atividades e resultados, em vez de focar relatórios ou contas, e que seu principal objetivo é promover economicidade, eficiência e efetividade, em vez de produzir um relatório sobre conformidade.


Os elementos de auditoria do setor público (auditor, parte responsável, usuários previstos, objeto e critérios) podem assumir distintas características na auditoria operacional. Os auditores devem identificar explicitamente os elementos de cada auditoria e entender suas implicações, para que possam conduzir a auditoria adequadamente.As três partes na auditoria operacionalAuditores frequentemente têm considerável discricionariedade na seleção de objetos e identificação de critérios, o que, por sua vez, influencia em quem são as partes responsáveis e os usuários previstos.

Embora os auditores possam fazer recomendações, eles precisam tomar cuidado para não assumir as responsabilidades das partes responsáveis.

Nas auditorias operacionais, os auditores tipicamente trabalham em equipe, oferecendo habilidades diferentes e complementares.

O papel de parte responsável pode ser compartilhado por uma gama de indivíduos ou entidades, cada um com responsabilidade por um diferente aspecto do objeto da auditoria. Algumas partes podem ser responsáveis por ações que tenham causado problemas. Outras podem ser capazes de iniciar mudanças para atender às recomendações resultantes de uma auditoria operacional. Outras, ainda, podem ser responsáveis por prover o auditor com informações ou evidências.


Os usuários previstos são as pessoas para quem o auditor elabora o relatório de auditoria operacional. O poder legislativo, as agências governamentais e o público podem todos ser usuários previstos. Uma parte responsável pode também ser usuário previsto, mas, raramente, será o único.

Objeto e critérios na auditoria operacional

O objeto da auditoria operacional não precisa estar limitado a programas, entidades ou fundos, mas pode incluir atividades (com seus produtos, resultados e impactos) ou situações existentes (incluindo causas e consequências). Alguns exemplos são prestação de serviços pelas partes responsáveis ou os efeitos da política e regulação do governo sobre a administração, as partes interessadas, os negócios, os cidadãos e a sociedade. O objeto é determinado pelo objetivo e formulado nas questões de auditoria.

Na auditoria operacional, o auditor é, às vezes, envolvido no desenvolvimento ou na seleção dos critérios que são relevantes para a auditoria.


Confiança e asseguração na auditoria operacional

Os usuários dos relatórios de auditorias operacionais desejam ter segurança sobre a confiabilidade da informação que eles utilizam para a tomada de decisões.

Auditores operacionais devem fornecer achados baseados em evidência suficiente e apropriada e administrar de forma ativa o risco de relatórios inadequados. Entretanto, normalmente não se espera que auditores operacionais apresentem uma opinião geral, comparável à opinião sobre demonstrações financeiras, sobre se a entidade auditada alcançou economicidade, eficiência e efetividade. Logo, isso não é um requisito das ISSAI.

O grau de economicidade, eficiência e efetividade atingido pode ser transmitido no relatório de auditoria operacional de diferentes formas:• por meio de uma visão geral sobre aspectos de economicidade,

eficiência e efetividade, quando o objetivo da auditoria, o objeto, a evidência obtida e os achados alcançados permitam tal conclusão; ou

• fornecendo informação específica sobre uma série de pontos, incluindo o objetivo de auditoria, as questões formuladas, a evidência obtida, os critérios utilizados, os achados alcançados e as conclusões específicas.


Os relatórios de auditoria só devem incluir achados que sejam suportados por evidência suficiente e apropriada. As decisões tomadas ao elaborar um relatório equilibrado, extrair conclusões e formular recomendações, frequentemente precisam ser feitas de modo a proporcionar informação suficiente ao usuário.

Os auditores operacionais devem descrever especificamente a forma como seus achados levaram a um conjunto de conclusões e – quando aplicável – a uma única conclusão geral. Isto significa explicar quais critérios foram desenvolvidos e utilizados e porque, e declarar que todos os pontos de vista relevantes foram levados em consideração para que um relatório equilibrado possa ser apresentado.


Princípios da Auditoria Operacional - Princípios gerais

Objetivo de auditoria: Os auditores devem estabelecer um objetivo de auditoria claramente definido que se relacione aos princípios de economicidade, eficiência e efetividade.

Abordagem de auditoria: Os auditores devem escolher uma abordagem orientada a resultado, problema ou sistema, ou uma combinação destas, para facilitar a solidez do desenho da auditoria.

A auditoria operacional geralmente segue uma das três abordagens:• uma abordagem orientada a sistemas, que examina o adequado

funcionamento dos sistemas de gestão, por exemplo, sistemas de gestão financeira;

• uma abordagem orientada a resultados, que avalia se os objetivos de impactos ou de produtos foram atingidos como planejados ou se os programas e serviços estão funcionando como pretendido;

• uma abordagem orientada a problemas, que examina, verifica e analisa as causas de problemas específicos ou de desvios em relação a critérios.


Critérios: Os auditores devem estabelecer critérios adequados que correspondam às questões de auditoria e sejam relacionados aos princípios de economicidade, eficiência e efetividade.

Critérios de auditoria operacional são padrões razoáveis e especificados de auditoria relacionados a desempenho, com base nos quais a economicidade, eficiência e efetividade das operações são avaliadas e aferidas. Fornecem uma base para avaliar as evidências, desenvolver os achados e chegar a conclusões sobre os objetivos de auditoria.

Podem ser qualitativos ou quantitativos e devem definir o que será usado para avaliar a entidade auditada. Os critérios podem ser gerais ou específicos, com foco no “dever ser” de acordo com as leis, regulamentos ou objetivos; no que é “esperado” de acordo com princípios sólidos, conhecimento científico e melhores práticas; ou naquilo que “poderia ser” (dadas melhores condições).

Devem ser discutidos com as entidades auditadas, mas, em última instância, a seleção de critérios adequados é responsabilidade do auditor.


Risco de auditoria: Os auditores devem gerenciar ativamente o risco de auditoria, que é o risco de obter conclusões incorretas ou incompletas, fornecendo informações desequilibradas ou deixando de agregar valor para os usuários.

Os auditores devem gerenciar riscos ativamente. Lidar com riscos de auditoria é parte integrante de todo o processo e da metodologia de auditoria operacional. Os documentos de planejamento de auditoria devem indicar os possíveis ou conhecidos riscos do trabalho pretendido bem como mostrar como tais riscos serão tratados.

Comunicação: Os auditores devem manter uma comunicação eficaz e adequada com as entidades auditadas e as partes interessadas relevantes durante todo o processo de auditoria e definir o conteúdo, o processo e os destinatários da comunicação para cada auditoria.

Habilidades: Coletivamente, a equipe de auditoria deve possuir as competências profissionais necessárias para realizar a auditoria. Isso inclui conhecimento sólido de auditoria, delineamento de pesquisa, métodos de ciências sociais e técnicas de investigação ou avaliação, bem como habilidades pessoais tais como capacidade analítica, de escrita e comunicação.


Julgamento e ceticismo profissionais: Os auditores devem exercer ceticismo profissional, mas também ser receptivos e dispostos a inovar.

Controle de qualidade: Os auditores devem aplicar procedimentos para salvaguardar a qualidade, garantindo que os requisitos aplicáveis sejam atendidos e dando ênfase a relatórios apropriados, equilibrados e justos que agreguem valor e respondam às questões de auditoria.

Materialidade: Os auditores devem considerar a materialidade em todas as fases do processo de auditoria. Atenção deve ser dada não somente aos aspectos financeiros, mas também aos aspectos sociais e políticos do objeto, com o objetivo de entregar tanto valor agregado quanto seja possível.

Documentação: Os auditores devem documentar a auditoria de acordo com as circunstâncias particulares desta. A informação deve ser suficientemente completa e detalhada para permitir que um auditor experiente, sem nenhum contato prévio com a auditoria, possa posteriormente determinar qual trabalho foi feito a fim de chegar aos achados, às conclusões e às recomendações da auditoria.


Princípios relacionados ao processo de auditoria

A auditoria operacional compreende as seguintes fases principais:


• Planejamento: seleção de temas, pré-estudo e desenho da auditoria;

• Execução: coleta e análise de dados e informações;

• Relatório: apresentação dos resultados da auditoria: respostas às questões de auditoria, achados, conclusões e recomendações aos usuários;

• Monitoramento: determinar se as ações adotadas em resposta aos achados e recomendações resolveram os problemas e/ou deficiências subjacentes.

Essas fases podem ser iterativas. Por exemplo, novas perspectivas surgidas na fase de execução podem acarretar mudanças no plano de auditoria e elementos importantes do relatório (por exemplo, a formulação de conclusões) podem ser esboçados ou até mesmo concluídos durante essa fase do processo.


PlanejamentoSeleção de temas: Os auditores devem selecionar temas de auditoria usando o processo de planejamento estratégico da EFS, analisando temas em potencial e realizando pesquisas para identificar riscos e problemas.

Desenhando a auditoria: Os auditores devem planejar a auditoria de forma que contribua para uma auditoria de alta qualidade, que será realizada de maneira econômica, eficiente, eficaz e oportuna e de acordo com os princípios da boa gestão de projetos.Ao planejar uma auditoria, é importante considerar:• o conjunto de conhecimentos e informações necessários para um

entendimento das entidades auditadas, permitindo, assim, uma avaliação de problemas e riscos, possíveis fontes de evidência, auditabilidade e importância da área considerada para ser auditada;

• os objetivos, questões, critérios, objeto e metodologia da auditoria (incluindo técnicas para coletar evidências e conduzir análises);

• as atividades necessárias e requisitos relativos a pessoal e habilidades (incluindo independência da equipe, recursos humanos e possível necessidade de especialistas externos), o custo estimado da auditoria, os prazos, metas e principais pontos de controle.


Para garantir que a auditoria seja adequadamente planejada, portanto, os auditores precisam adquirir conhecimento suficiente do objeto. Uma auditoria operacional geralmente requer que o conhecimento específico, substantivo e metodológico da auditoria sejam adquiridos antes do seu início (“pré-estudo”).


Execução

Evidências, achados e conclusões: Os auditores devem obter evidência de auditoria suficiente e apropriada para fundamentar os achados, chegar a conclusões em resposta aos objetivos e questões de auditoria e emitir recomendações.

A auditoria operacional envolve uma série de processos analíticos que evoluem gradualmente por meio de interação mútua, permitindo que as questões e métodos empregados se desenvolvam e fiquem mais profundos e sofisticados.Isso pode envolver combinar e comparar dados de diferentes fontes, extrair conclusões preliminares e compilar achados a fim de construir hipóteses que possam ser testadas, caso necessário, com dados adicionais.Todo o processo é estreitamente ligado à elaboração do relatório de auditoria, que pode ser visto como uma parte essencial do processoanalítico que culmina em respostas para as questões de auditoria.É importante que os auditores sejam orientados pelos objetivos, que trabalhem sistematicamente e com devido zelo e objetividade.


Relatório

Os auditores devem se esforçar para fornecer relatórios de auditoria que sejam completos, convincentes, tempestivos, de fácil leitura e equilibrados.

Em uma auditoria operacional, os auditores relatam seus achados sobre a economicidade e eficiência com que os recursos são adquiridos e usados e a eficácia com que os objetivos são alcançados. Os relatórios podem variar consideravelmente em escopo e natureza, por exemplo, avaliando se os recursos foram aplicados de uma boa maneira, comentando sobre o impacto de políticas e programas e recomendando mudanças destinadas a resultar em melhorias.

O relatório deve incluir informações sobre o objetivo, as questões de auditoria e as respostas a essas questões, o objeto, os critérios, a metodologia, as fontes dos dados, quaisquer limitações referentes aos dados utilizados e os achados de auditoria. Deve responder claramente as questões ou explicar porque não foi possível respondê-las.

Alternativamente, os auditores devem considerar reformular as questões de auditoria para ajustá-las às evidências obtidas e, assim, chegar a uma posição onde as questões possam ser respondidas.


Recomendações: Se relevante e permitido pelo mandato da EFS, os auditores devem procurar fornecer recomendações construtivas que possam contribuir significativamente para enfrentar as deficiências e os problemas identificados pela auditoria.

As recomendações devem:• ser bem fundamentadas e agregar valor.• ser redigidas de forma a evitar banalidades ou simplesmente contradizer as conclusões da

auditoria, e não devem invadir as responsabilidades da administração.• ser práticas e devem ser dirigidas às entidades que têm responsabilidade e competência

para implementá-las.• ser claras e apresentadas de maneira lógica e fundamentada.• ter conexão com os objetivos, os achados e as conclusões de auditoria.


Distribuição do relatório: Os auditores devem procurar tornar seus relatórios amplamente acessíveis, de acordo com o mandato da EFS.

Os auditores devem ter em mente que a ampla distribuição dos relatórios de auditoria pode promover a credibilidade da função de auditoria. Relatórios devem, portanto, ser distribuídos para as entidades auditadas, os poderes executivo e/ou legislativo e, quando pertinente, tornados acessíveis ao público em geral diretamente e através da mídia e de outras partes interessadas.

Monitoramento: Os auditores devem monitorar achados e recomendações de auditorias anteriores sempre que apropriado. O monitoramento deve ser relatado adequadamente para dar um retorno ao poder legislativo, se possível, juntamente com as conclusões e os impactos de todas as ações corretivas relevantes.

Os resultados do monitoramento podem ser relatados individualmente ou como um relatório consolidado, o que, por sua vez, pode incluir uma análise de auditorias diferentes, possivelmente destacando tendências e temas comuns em várias áreas relatadas.

NBASP 400 (ISSAI 400) – Princípios Fundamentais de Auditoria de Conformidade

O objetivo da auditoria de conformidade

A auditoria de conformidade é a avaliação independente para determinar se um dado objeto está em conformidade com normas aplicáveis identificadas como critérios. As auditorias de conformidade são realizadas para avaliar se atividades, transações financeiras e informaçõescumprem, em todos os aspectos relevantes, as normas que regem a entidade auditada.

O objetivo da auditoria de conformidade do setor público, portanto, é permitir que as EFS avaliem se as atividades das entidades do setor público estão de acordo com as normas que as regem.

A auditoria de conformidade pode ser relacionada com a legalidade(aderência a critérios formais tais como leis, regulamentos e acordos aplicáveis) ou com a legitimidade (observância aos princípios gerais que regem a gestão financeira responsável e a conduta de agentes públicos).

Enquanto a legalidade é o foco principal da auditoria de conformidade, a legitimidade pode também ser pertinente dado o contexto do setor público, no qual existem certas expectativas relacionadas à gestãofinanceira e à conduta dos agentes públicos.

NBASP 400 (ISSAI 400) – Princípios Fundamentais de Auditoria de ConformidadeA auditoria de conformidade pode também levar as EFS com poderes jurisdicionais a proferir julgamentos e aplicar sanções aos responsáveis pela gestão de recursos públicos.Algumas EFS são obrigadas a encaminhar os fatos passíveis de processo criminal às autoridades judiciais.A auditoria de conformidade pode cobrir uma ampla variedade de objetos e pode ser realizada para fornecer asseguração razoável ou limitada, utilizando diversos tipos de critérios, procedimentos de obtenção de evidências e formatos de relatório.

Podem ser trabalhos de certificação ou de relatório direto, ou ambos ao mesmo tempo.O relatório de auditoria pode ter forma longa ou curta e as conclusões podem ser expressas como uma declaração escrita, simples e clara, de opinião sobre a conformidade ou como uma resposta mais elaborada a questões específicas.A auditoria de conformidade é frequentemente parte integrante do mandato de uma EFS, pois a legislação e outras normas são o principal meio pelo qual o poder legislativo exerce o controle das receitas e despesas, da gestão e dos direitos dos cidadãos ao devido processo nas suas relações com o setor público.


É responsabilidade dos órgãos públicos e de seus servidores nomeados serem transparentes quanto a suas ações e responsáveis perante os cidadãos pelos recursos que lhes são confiados, e exercerem a boa governança desses recursos.

A auditoria de conformidade promove a transparência ao fornecer relatórios confiáveis sobre se os recursos foram administrados, a gestão exercida e os direitos dos cidadãos ao devido processo atendidos, conforme exigido pelas normas aplicáveis. Promove a accountability ao reportar desvios e violações a normas, de modo que ações corretivas possam ser tomadas e os responsáveis possam ser responsabilizados por suas ações.

Promove a boa governança tanto ao identificar fragilidades e desvios de leis e regulamentos como ao avaliar a legitimidade onde há insuficiência ou inadequação de leis e regulamentos.

Fraude e corrupção são, pela própria natureza, elementos que contrariam a transparência, a accountability e a boa gestão. Auditoria de conformidade, portanto, promove a boa governança no setor público ao considerar o risco de fraude relacionado à conformidade.


As diferentes perspectivas da auditoria de conformidade

A auditoria de conformidade pode ser parte de uma auditoria combinada que pode também incluir outros aspectos. Apesar de existirem outras possibilidades, a auditoria de conformidade geralmente é conduzida de um ou outro modo a seguir:• relacionada à auditoria de demonstrações financeiras (ver ISSAI 4200 para orientações

adicionais a esse respeito), ou• separadamente da auditoria de demonstrações financeiras (ver ISSAI 4100), ou• em combinação com a auditoria operacional.


Elementos da Auditoria de Conformidade

Normas e critérios: Normas são os elementos mais fundamentais da auditoria de conformidade, uma vez que fornecem os critérios de auditoria e, portanto, formam a base de como a auditoria deve proceder sob um ordenamento constitucional específico.

As normas podem incluir regras, leis e regulamentos, resoluções orçamentárias, políticas, códigos estabelecidos, termos acordados ou os princípios gerais que regem a gestão financeira responsável do setor público e a conduta de agentes públicos. A maioria das normas têm origem nas premissas básicas e decisões do poder legislativo nacional, mas podem ser emitidas em um nível inferior da estrutura organizacional do setor público.

Os critérios são as referências usadas para avaliar ou mensurar consistentemente e razoavelmente o objeto. O auditor identifica os critérios com base nas normas pertinentes. Para serem adequados, os critérios devem ser relevantes, confiáveis, completos, objetivos, compreensíveis, comparáveis, aceitáveis e disponíveis para evitar interpretações pessoais e a mal-entendidos.


O objeto de uma auditoria de conformidade é definido no escopo da auditoria. Pode assumir a forma de atividades, transações financeiras ou informações.

Em trabalhos de certificação sobre conformidade, é mais importante identificar a informação do objeto, que pode ser uma declaração de conformidade preparada de acordo com uma estrutura de relatório estabelecida e padronizada.

O objeto depende do mandato da EFS, das normas pertinentes e do escopo da auditoria. Por isso, o conteúdo e o escopo do objeto da auditoria de conformidade podem variar bastante.

O objeto de uma auditoria pode ser geral ou específico. Alguns tipos de objeto são quantitativos e, muitas vezes, facilmente mensuráveis (por exemplo, pagamentos que não satisfazem certas condições), enquanto outros são qualitativos e mais subjetivos por natureza (por exemplo, o comportamento ou a aderência a requisitos processuais).


A auditoria de conformidade é baseada em uma relação de três partes, na qual o auditor tem como objetivo obter evidência de auditoria apropriada e suficiente, a fim de expressar uma conclusão com a finalidade de aumentar o grau de confiança dos usuários previstos, que não seja a parte responsável, acerca da mensuração ou avaliação de um objeto de acordo com critérios aplicáveis.Na auditoria de conformidade, a responsabilidade do auditor é identificar os elementos da auditoria, avaliar se um determinado objeto está em conformidade com os critérios aplicáveis e emitir um relatório de auditoria de conformidade.

A “parte responsável” é o poder executivo do governo e/ou sua hierarquia subjacente de agentes públicos e entidades responsáveis pela gestão de recursos públicos e pelo exercício de autoridade, sob o controle do poder legislativo.Os usuários previstos são pessoas, organizações ou grupos destas. Geralmente incluem o poder legislativo, como representantes do povo, que são os usuários finais dos relatórios de auditorias de conformidade. O poder legislativo toma decisões e estabelece prioridades relacionadas ao cálculo e propósito de despesas e receitas do setor público. O usuário primário em auditorias de conformidade é, frequentemente, a entidade que emitiu as normas identificadas como critérios de auditoria.


Asseguração na auditoria de conformidadeUm auditor executa procedimentos para reduzir ou administrar o risco de fornecer conclusões incorretas, reconhecendo que, devido a limitações inerentes a todas as auditorias, nenhuma delas pode jamais fornecer garantia absoluta quanto à condição do objeto. Em geral uma auditoria de conformidade não cobrirá todos os elementos do objeto, mas se apoiará em algum grau de amostragem qualitativa ou quantitativa.

Na auditoria de conformidade, existem dois níveis de asseguração:• asseguração razoável, transmitindo que, na opinião do auditor, o

objeto está ou não em conformidade, em todos os aspectos relevantes, com os critérios estabelecidos; e

• asseguração limitada, transmitindo que nada veio ao conhecimento do auditor para fazê-lo acreditar que o objeto não está em conformidade com os critérios. Tanto asseguração razoável quanto limitada são possíveis nos trabalhos de relatório direto e nos de certificação em auditoria de conformidade.


Princípios gerais da Auditoria de Conformidade

Julgamento e ceticismo profissionais: Os auditores devem planejar e conduzir a auditoria com ceticismo profissional e exercer julgamento profissional durante todo o processo de auditoria.

Controle de qualidade: Os auditores devem assumir a responsabilidade pela qualidade geral da auditoria.

Gestão de equipes de auditoria e habilidades: Os auditores devem ter acesso às habilidades necessárias.Risco de auditoria: Os auditores devem considerar o risco da auditoria durante todo o processo de auditoria. O risco da auditoria é o risco de que o relatório – ou mais especificamente a conclusão ou opinião do auditor – possa ser inadequado às circunstâncias da auditoria.O auditor deve considerar três dimensões diferentes do risco de auditoria – risco inerente, risco de controle e risco de detecção – em relação ao objeto e ao formato do relatório, isto é, se o objeto é quantitativo ou qualitativo e se o relatório de auditoria deve incluir uma opinião ou uma conclusão.


Materialidade: Os auditores devem considerar a materialidade durante todo o processo de auditoria.

Documentação: Os auditores devem preparar documentação de auditoria suficiente.

Comunicação: Os auditores devem manter uma comunicação eficaz durante todo o processo de auditoria.

Princípios relacionados ao processo de auditoria

Planejando e formatando uma auditoria de conformidade

Escopo de auditoria: Quando o mandato da EFS ou a legislação aplicável não prescrever o escopo da auditoria, este deve ser decidido pelo auditor. O escopo de auditoria é uma declaração clara do foco, da extensão e dos limites da auditoria em termos da conformidade do objeto com os critérios. É influenciado pela materialidade e pelo risco, e determina quais normas e partes delas serão cobertas. O processo de auditoria como um todo deve ser formatado para cobrir o escopo completo da auditoria.


Objeto e critérios: Os auditores devem identificar o objeto e os critérios adequados.

Entendendo a entidade: Os auditores devem entender a entidade auditada à luz das normas pertinentes. A auditoria de conformidade pode abranger todos os níveis do governo e pode incluir vários níveis administrativos, tipos de entidades e combinações de entidades. O auditor deve, portanto, estar familiarizado com a estrutura e as operações da entidade auditada e com seus procedimentos para alcançar a conformidade. O auditor usará esse conhecimento para determinar a materialidade e avaliar o risco de não conformidade.

Entendendo controles internos e o ambiente de controle: Os auditores devem entender o ambiente de controle e os controles internos relevantes e considerar se eles são apropriados para assegurar a conformidade.

Avaliação de risco: Os auditores devem realizar uma avaliação de risco para identificar riscos de não conformidade.

Risco de fraude: Os auditores devem considerar o risco de fraude.

Estratégia de auditoria e plano de auditoria: Os auditores devem desenvolver uma estratégia e um plano de auditoria.


Evidência de auditoria: Auditores devem reunir evidência de auditoria suficiente e apropriada para cobrir o escopo de auditoria.

Avaliando evidência e formando conclusões: Os auditores devem avaliar se a evidência de auditoria suficiente e apropriada foi obtida e formular conclusões pertinentes.

Relatando: Os auditores devem preparar um relatório baseado nos princípios de completude, objetividade, tempestividade e contraditório.


Relatórios de auditoria de conformidade devem incluir os seguintes elementos (embora não necessariamente nesta ordem):1 título;2 destinatário;3 escopo de auditoria, incluindo o período coberto;4 identificação ou descrição do objeto;5 critérios identificados;6 identificação das normas de auditoria aplicadas na realização do trabalho;7 resumo do trabalho realizado;8 achados;9 conclusão/opinião;10 respostas da entidade auditada (quando apropriado);11 recomendações (quando apropriado);12 data do relatório;13 assinatura.


Monitorando: Os auditores devem monitorar os casos de não conformidade quando apropriado.

Um processo de monitoramento facilita a eficaz implementação da ação corretiva e fornece um feedback à entidade auditada, aos usuários do relatório de auditoria e ao auditor (para futuro planejamento de auditoria).

A necessidade de monitorar casos de não conformidade relatados anteriormente variará conforme a natureza do objeto, a não conformidade identificada e as circunstâncias específicas da auditoria. Em algumas EFS, incluindo tribunais de contas, o monitoramento pode incluir a emissão de relatórios ou decisões judiciais legalmente vinculantes. Em auditorias realizadas em bases regulares, os procedimentos de monitoramento podem fazer parte da avaliação de risco do ano subsequente.

Controle Interno e Governança

Controle interno administrativo: conjunto de atividades e processos que garantem que uma organização atinja de forma razoável seus objetivos com administração dos riscos inerentes a suas atividades. As instituições identificam os riscos associados à consecução dos seus objetivos e implantam diversos processos para controlar e/ou mitigar essas ameaças

Faz parte do conceito de governança corporativa, que pode ser definido como o conjunto dos princípios básicos de• transparência,• equidade,• prestação de contas, e• responsabilidade corporativa.

Governança corporativa, gestão de riscos e controles internossão usados por instituições públicas e privadas para a edição de normas e modelos para implantação de controles internos e gestão de riscos

Tipos de controlesControle preventivos: impedem a ocorrência de informações incorretas e devem ser enfatizados no projeto de processos. São os mais eficientes, mas em geral não provam evidência documentada de seu benefício. Exemplos: controle de acessos a locais e sistemas, autorizações, segregação de funçõesControle de detecção: são complementos aos controles preventivos que fornecem evidência de que erros são impedidos. Exemplos: conciliação, conferência de estoque

Custo x benefício: O custo do controle deve ser inferior ao benefício gerado. O resultado dos controles internos pode ser de difícil mensuração. Pressão por benefícios pode forçar a administração a evitar custos que não produzam retorno imediato. Mesmo bem mensurados, certos controles podem ser eliminados baseados nessa premissa

Atividades de Controle InternoSegregação de funções: busca evitar que indivíduos sejam postos em situações que possam cometer e encobrir fraudes. Ex: autorização de transação, registro e custódia física de ativoProcedimentos de autorização: garantem que somente sejam realizadas transações permitidas e que pessoas sem autorização não tenham acesso a transações registradas, nem tenham poder de alterá-las. As autorizações correspondem à responsabilidade pela tarefa/função. Ex: crédito x vendas

Documentação adequada: gera evidência das autorizações, da existência das transações, da fundamentação de lançamentos e das obrigações financeiras. Ex: documentos prenumeradosAcesso aos ativos: protegem contra destruição acidental, deliberada ou furto. Ex: controle de acesso a estoques, equipamentos e centrais de computação; cofresConciliações: conferência de registros e transações. Ex: saldo bancário e registro contábil, contagens físicas de ativos e registroControles de TI: acesso e alterações em dados, sistemas, equipamentos, downloads

Manual do Sistema de Controle Interno do Poder Executivo Federal, aprovado pela IN/SFC 01/01:

“Conceituação

1. Um dos objetivos fundamentais do Sistema de Controle Interno do Poder Executivo Federal é a avaliação dos controles internos administrativos das unidades ou entidades sob exame. Somente com o conhecimento da estruturação, rotinas e funcionamento desses controles, podem os Órgãos/Unidades de Controle Interno do Poder Executivo Federal avaliar, com a devida segurança, a gestão examinada.

2. Controle interno administrativo é o conjunto de atividades, planos, rotinas, métodos e procedimentos interligados, estabelecidos com vistas a assegurar que os objetivos das unidades e entidades da administração pública sejam alcançados, de forma confiável e concreta, evidenciando eventuais desvios ao longo da gestão, até a consecução dos objetivos fixados pelo Poder Público.

...

...

Processo de controle interno administrativo

5. Os controles internos administrativos implementados em uma organização devem:

I. prioritariamente, ter caráter preventivo;

II. permanentemente, estar voltados para a correção de eventuais desvios em relação aos parâmetros estabelecidos;

III. prevalecer como instrumentos auxiliares de gestão; e

IV. estar direcionados para o atendimento a todos os níveis hierárquicos da administração.

6. Quanto maior for o grau de adequação dos controles internos administrativos, menor será a vulnerabilidade dos riscos inerentes à gestão propriamente dita.”

COSO• EUA 1985 - iniciativa independente do setor privado criou a National Commission on

Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), também conhecida como Treadway Commission

• Finalidade: estudar causas da ocorrência de fraudes em relatórios financeiros e contábeis e propor recomendações para empresas públicas e seus auditores independentes e para as instituições educativas

• Patrocinada por cinco grandes associações de profissionais de classe ligadas à área financeira, totalmente independentes de suas entidades patrocinadoras:

AICPA - American Institute of Certified Public Accounts (Instituto Americano de Contadores Públicos Certificados)AAA - American Accounting Association (Associação Americana de Contadores)FEI - Financial Executives Internacional (Executivos Financeiros Internacionais)IIA - The Institute of Internal Auditors (Instituto dos Auditores Internos)IMA - Institute of Management Accountants (Instituto dos Contadores Gerenciais)

• Posteriormente, esta Comissão transformou-se em Comitê, conhecido como COSO –The Committee of Sponsoring Organizations of the Treadway Commission

• Organização americana não governamental cujo objetivo é promover a qualidade de relatórios contábeis por meio da gestão ética, de controles internos efetivos e da governança corporativa

COSO – Enterprise RiskManagement - Integrating with

Strategy and Performance

____________I_____________

2017

COSO I – Internal Control – Integrated Framework (Controle Interno – Estrutura Integrada) (1992) apresentou ferramentas para implementação e avaliação de controles internos, contemplando a gestão de riscos como parte de seus componentes.

Controle interno: “processo conduzido pela alta administração, gerência e demais colaboradores, com a finalidade de promover razoável segurança quanto ao atingimento dos objetivos nas seguintes categorias:

eficácia e eficiência operacionalconfiabilidade das informações financeirasconformidade com as leis e regulamentos”

Conceitos-chave:

O Controle Interno é um processo que se destina a um objetivo (fim). Não é um fim em si mesmoControles internos são exercidos por pessoas. Não é meramente um conjunto de manuais, políticas e formulários, mas pessoas em todos os níveis de uma organizaçãoO que se espera do Controle Interno é que ele traga razoável segurança, e não absoluta, para a alta administração, acionistas e stakeholdersO Controle Interno é orientado para atingir os objetivos em uma ou mais categorias, que, embora segregadas, se relacionam

Segundo o modelo COSO, o Controle Interno compreende 5 componentes inter-relacionados:• ambiente de controle: estabelece o perfil de uma organização, influenciando na

consciência das pessoas acerca do controle. Fornece o conjunto de regras e a estrutura de controle. Seus elementos são:integridade pessoal e valores éticos da direção e do quadro de pessoalcompetênciafilosofia da direçãoestrutura organizacionalpolíticas e práticas de recursos humanos

• avaliação de risco: processo de identificação e análise dos riscos relevantes. Envolve:identificação do riscomensuração do risco (impacto e probabilidade)avaliação da tolerância ao riscodesenvolvimento de respostas (riscos podem ser transferidos, tolerados ou minimizados, mas sempre haverá um risco residual)

• procedimentos de controle: políticas e ações para diminuir riscos e alcançar os objetivos da entidade. Exemplos:procedimentos de autorização e aprovação;segregação de funções;controles de acessos a recursos e registros;verificações;conciliações;avaliação de desempenho operacional (eficácia e eficiência);avaliação das operações, processos e atividades;supervisão (alocação, revisão e aprovação, orientação e capacitação)

• informação e comunicação: a informação relevante deve ser identificada, armazenada e comunicada. A comunicação deve fluir para baixo, para cima e através da organização, por todos os seus componentes

• monitoramento: avaliação da qualidade dos controles ao longo do tempo por monitoramento contínuo e avaliações específicas

Categorias de Objetivos:

• Operacional: eficácia e eficiência das operações, incluindo desempenho financeiro, operacional e proteção contra perdas de ativos

• Relatórios financeiros: confiabilidade, tempestividade

• Conformidade (compliance): aderência a leis e regulamentos aos quais a organização está sujeita

OBJETIVOS

Existe uma relação intrínseca entre objetivos (o que a organização

pretende alcançar); componentes (o que é

necessário para alcançá-los); e estrutura organizacional (onde

eles se materializam).

Cubo do COSO I:

COSO III (atualização do COSO I – 2013):• Transformação de conceitos fundamentais trazidos pela Estrutura original em 17

princípios, que são associados aos 5 componentes e que proporcionam ao usuário clareza no desenvolvimento e na implementação dos sistemas de controle interno, além de compreensão dos requisitos de um controle interno eficaz

• Ampliação da categoria de objetivos de divulgação financeira, incluindo outros formatos de divulgação, como as internas e não financeiras

• Considerações sobre as muitas mudanças nos ambientes operacionais e corporativosdurante as últimas décadas, inclusive:Expectativas em relação à supervisão da governançaGlobalização dos mercados e das operaçõesMudanças nos negócios e maior complexidadeDemandas e complexidades nas leis, regras, regulamentações e normasExpectativas em relação a competências e responsabilidades pela prestação de contas (accountability)Uso de tecnologias em transformação e confiança nas mesmasExpectativas em relação à prevenção e detecção de fraudes

Princípios (17)

representam conceitos fundamentaisassociados a cada componente

• Ambiente de controle1. A organização demonstra ter comprometimento com a integridade e os valores éticos2. A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno3. A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos4. A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos5. A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos

• Avaliação de riscos 6. A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos7. A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados8. A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos9. A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno

• Informação e comunicação13. A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno14. A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle15. A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno

• Atividades de monitoramento

16. A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno

17. A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável

COSO IIContexto:• Final anos 1990- início dos anos 2000 - escândalos corporativos de manipulação de

demonstrações contábeis nos Estados Unidos• Congresso e governo americano agiram de forma rápida, promulgando em 23 de

janeiro de 2002 a Lei Sarbanes-Oxley (Lei contra fraude corporativa)

destaca a equidade nos direitos e obrigações aumentou o grau de responsabilidade desde a alta direção da

empresa até as auditorias internas, externas e assessores jurídicos

Introduziu regras rígidas de governança corporativa, buscando maior transparência e confiabilidade nos resultados das organizações

resultado: maior independência dos órgãos de auditoria

COSO II – Enterprise Risk Management – Integrated Framework (Gerenciamento de Riscos Corporativos – Estrutura Integrada) (2004)O controle interno é apresentado como parte do gerenciamento de riscos corporativos e as atividades de gestão de riscos são expandidas para todas as áreas da organização, e não só àquelas responsáveis pelas demonstrações contábeisO gerenciamento de riscos corporativos é constituído de 8 componentes inter-relacionados e integrados ao processo de gestãoPremissa Inerente ao Gerenciamento de Riscos CorporativosToda organização existe para gerar valor às partes interessadasOrganizações enfrentam incertezas, e o desafio dos administradores é determinar até que ponto aceita-las, assim como definir como elas podem interferir na geração de valorIncertezas representam riscos e oportunidades, com potencial para destruir ou agregar valorO gerenciamento de riscos corporativos possibilita tratar incertezas (riscos/oportunidades) com eficácia a fim de melhorar a capacidade de gerar valorO valor é maximizado quando a organização estabelece estratégias e objetivospara alcançar o equilíbrio ideal entre metas de crescimento e de retorno de investimentos e riscos a elas associados, e para explorar os seus recursos com eficácia e eficiência na busca dos objetivos da organização

O gerenciamento de riscos corporativos tem por finalidade:

Alinhar o apetite a risco com a estratégia adotada –avaliação do apetite a risco ao analisar as estratégias, definindo objetivos e desenvolvendo mecanismos para gerenciar riscos

Fortalecer as decisões em resposta aos riscos – identificação e seleção de alternativas de respostas aos riscos (evitar, reduzir, compartilhar, aceitar)

Reduzir as surpresas e prejuízos operacionais –identificar eventos em potencial e estabelecer respostas, reduzindo surpresas e custos ou prejuízos associados

Identificar e administrar riscos múltiplos e entre empreendimentos –resposta eficaz a impactos inter-relacionados e, também, respostas integradas aos diversos riscos

Aproveitar oportunidades –posicionamento para identificar e aproveitar oportunidades de forma proativa

Otimizar o capital – a obtenção de informações adequadas a respeito de riscos possibilita uma avaliação eficaz das necessidades de capital como um todo e aprimorar sua alocação

Em suma, o gerenciamento de riscos corporativos ajuda a organização a atingir seus objetivos e a evitar os perigos e surpresas em seu percurso

Eventos – Riscos e OportunidadesEventos podem gerar impacto negativo, positivo ou ambosOs que geram impacto negativo representam riscos que podem impedir a criação

de valor ou destruir o valor existenteOs de impacto positivo podem contrabalançar os de impacto negativo ou podem

representar oportunidades , que por sua vez representam a possibilidade de um evento ocorrer e influenciar favoravelmente a realização dos objetivos, apoiando a criação ou a preservação de valor

A direção canaliza as oportunidades para seus processos de elaboração de estratégias ou objetivos, formulando planos que visam ao seu aproveitamento

Definição de Gerenciamento de Riscos Corporativos

“Processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias formuladas para identificar em toda a organização eventos em potencial capazes de afetá-la, e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.”

Assim, o gerenciamento de riscos corporativos é:um processo contínuo e que flui através da organizaçãoconduzido pelos profissionais em todos os níveis da organizaçãoaplicado à definição das estratégiasaplicado em toda a organização, em todos os níveis e unidades, e inclui a

formação de uma visão de portfólio de todos os riscos a que ela está exposta formulado para identificar eventos em potencial, cuja ocorrência poderá

afetar a organização, e para administrar os riscos de acordo com seu apetite a risco

capaz de propiciar garantia razoável para o conselho de administração e a diretoria executiva de uma organização

orientado para a realização de objetivos em uma ou mais categorias distintas, mas dependentes

Realização de ObjetivosCom base na missão ou visão estabelecida pela organização, a administração estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da organizaçãoEssa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos de uma organização e são classificados em quatro categorias:Estratégicos – metas gerais, alinhadas com sua missãoOperaçionais – utilização eficaz e eficiente dos recursosComunicação – confiabilidade de relatóriosConformidade – cumprimento de leis e regulamentos aplicáveis

• Essas categorias se inter-relacionam, já que determinado objetivo pode ser classificado em mais de uma categoria, tratam de necessidades diferentes da organização e podem permanecer sob a responsabilidade direta de diferentes executivos

• Essa classificação também permite diferenciar o que pode ser esperado de cada categoria de objetivos. A salvaguarda dos recursos, outra categoria utilizada por algumas organizações, também é descrita

Componentes do COSO II:Ambiente Interno – o ambiente interno compreende o tom de uma organização e fornece

a base pela qual os riscos são identificados e abordados pelo seu pessoal, inclusive a filosofia de gerenciamento de riscos, o apetite a risco, a integridade e os valores éticos, além do ambiente em que estes estão

Fixação de Objetivos – os objetivos devem existir antes que a administração possa identificar os eventos em potencial que poderão afetar a sua realização. O gerenciamento de riscos corporativos assegura que a administração disponha de um processo implementado para estabelecer os objetivos que propiciem suporte e estejam alinhados com a missão da organização e sejam compatíveis com o seu apetite a riscos

Identificação de Eventos – os eventos internos e externos que influenciam o cumprimento dos objetivos de uma organização devem ser identificados e classificados entre riscos e oportunidades. Essas oportunidades são canalizadas para os processos de estabelecimento de estratégias da administração ou de seus objetivos

Avaliação de Riscos – os riscos são analisados, considerando-se a sua probabilidade e o impacto como base para determinar o modo pelo qual deverão ser administrados. Esses riscos são avaliados quanto à sua condição de inerentes e residuais

Componentes do COSO II:

Resposta a Risco – a administração escolhe as respostas aos riscos - evitando, aceitando, reduzindo ou compartilhando - desenvolvendo uma série de medidas para alinhar os riscos com a tolerância e com o apetite a risco

Atividades de Controle – políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos sejam executadas com eficácia

Informações e Comunicações – as informações relevantes são identificadas, colhidas e comunicadas de forma e no prazo que permitam que cumpram suas responsabilidades. A comunicação eficaz também ocorre em um sentido mais amplo, fluindo em todos níveis da organização

Monitoramento – a integridade da gestão de riscos corporativos é monitorada e são feitas as modificações necessárias. O monitoramento é realizado através de atividades gerenciais contínuas ou avaliações independentes ou de ambas as formas

A rigor, o gerenciamento de riscos corporativos não é um processo em série pelo qual um componente afeta apenas o próximo. É um processo multidirecional e interativo segundo o qual quase todos os componentes influenciam os demais

• Existe um relacionamento direto entre os objetivos de uma organização e os componentes do gerenciamento de riscos corporativos, que representam aquilo que é necessário para o seu alcance, apresentado em uma matriz tridimensional em forma de cubo

Matriz do COSO ERM

COSO ERM – Integrating with Strategy and Performance (Gerenciamento de RiscosCorporativos – Integrado com Estratégica e Performance)(2017):

Contexto:Em uma década a complexidade dos riscos mudou e surgiram novos riscosDemanda pelo aperfeiçoamento dos processos de divulgação dos riscosEvolução do GRCImportância de se considerar os riscos na definição de estratégias e na melhoria da

performance

A atualização:Elucida o valor do GRC ao estabelecer e executar uma estratégiaIntensifica o alinhamento entre performance e GRC para aperfeiçoar a

definição de metas e entendimento do impacto do risco sobre a performanceContempla expectativas relativas a governança e supervisãoReconhece globalização dos mercados e necessidade de abordagem comumTraz novas interpretações de riscos face maior complexidade de negóciosAmplia divulgação de riscos para maior transparênciaContempla tecnologias evolutivasEstabelece definições básicas, componentes e princípios para todos os níveis

da organização envolvidos em desenho, implementação e execução do GRC

• Estabelece um guia para o conselho (de administração) supervisionar o GRC

• Atualiza os benefícios do GRC:Aumento do leque de oportunidadesIdentificação e gestão do risco na entidade como um todoAumento dos resultados positivos e da vantagem com a diminuição das surpresas

negativasDiminuição da oscilação da performanceMelhor distribuição de recursosAumento da resiliência da empresa

• Destaca 2 aspectos do GRC que podem ter grande efeito sobre o valor da entidade: Possibilidade de desalinhamento entre estratégia e missão, visão e

valores Implicações da estratégia escolhida

* O GRC envolve tanto entender as implicações da estratégia e a possibilidade de seu eventual desalinhamento quanto gerenciar riscos associados aos objetivos do negócio

• O Framework é um conjunto de 20 princípios organizados em 5 componentes inter-relacionados, conforme a figura a seguir:

Componentes:• Governança e Cultura• Estratégia e Definição de Objetivos• Performance• Análise e Revisão• Informação, Comunicação e Divulgação

Princípios por componente:

apresentação do powerpoint · a auditoria operacional, como realizada pelas efs, é o exame...

Documents