AUDITANDO O AMBIENTE DE CONTROLE - iiabrasil.org.br · estrutura de reporte da auditoria interna...

IPPF – Guia Prático Auditando o Ambiente de Controle

Guia Prático

AUDITANDO O

AMBIENTE DE CONTROLE

Março de 2012


Índice

Sumário Executivo .......................................................................................................................................... 3

Introdução ...................................................................................................................................................... 4

O Ambiente de Controle de uma Organização ............................................................................................... 4

Escopo e Abordagem da Auditoria do Ambiente de Controle ......................................................................... 5

Considerações Práticas na Auditoria do Ambiente de Controle .................................................................... 9

Como Auditar o Ambiente de Controle ......................................................................................................... 12

Avaliando as Deficiências do Ambiente de Controle ................................................................................... 13

Comunicação dos Resultados ...................................................................................................................... 14

Anexo ............................................................................................................................................................ 16

Autores ......................................................................................................................................................... 43


www.iiabrasil.org.br / 3 Este Guia Prático foi traduzido com o apoio de:

Sumário Executivo O ambiente de controle1 é a base de um sistema

eficaz de controle interno. A maior parte dos erros

promovidos em massa (incluindo não apenas a

Enron e a WorldCom, mas também as falhas de

governança que levaram à crise financeira de 2008)

foi, ao menos em parte, resultado de ambientes

fracos de controle. Na ausência de um ambiente de

controle demonstravelmente eficaz, nenhum nível de

eficácia no “desenvolvimento e operação” dos

controles dentro dos processos de negócio e TI

poderia prestar uma avaliação suficiente às partes

interessadas quanto à integridade da estrutura de

controle interno de uma organização.

O Glossário das Normas Internacionais para a Prática

Profissional de Auditoria Interna (Normas) define o

ambiente de controle como:

Atitudes e ações do conselho e da administração em

relação à importância dos controles dentro da

organização. O ambiente de controle proporciona a

disciplina e a estrutura para se atingir os principais

objetivos do sistema de controle interno. O ambiente

de controle inclui os seguintes elementos:

• Integridade e valores éticos.

• Filosofia e estilo operacional da

administração.

• Estrutura organizacional.

• Atribuição de autoridade e responsabilidade.

• Políticas e práticas de recursos humanos.

• Competência do pessoal.

É central a qualquer abordagem à auditoria do

ambiente de controle a avaliação dos riscos por conta

de falhas em cada um dos seis elementos do

ambiente de controle, conforme definidos no

glossário das Normas. A partir da determinação dos

1 Como o “ambiente de controle” inclui a avaliação da cultura de uma organização, incentivamos que o leitor deste Guia Prático leia também a publicação “Best Practices: Evaluating the Corporate Culture” de James Roth, IIARF, 2010.

riscos relacionados a cada um dos seis elementos do

ambiente de controle, o diretor executivo de

auditoria (DEA) pode considerar a inclusão, em seu

plano anual de auditoria, de uma ou mais auditorias

dos principais riscos do ambiente de controle. O

DEA pode escolher abordar esses riscos em (1) uma

única auditoria do ambiente de controle da

organização, (2) uma série de auditorias focadas nos

aspectos do ambiente de controle e (3) auditorias de

controles sobre riscos específicos (ex., o escopo

inclui a avaliação de controles aplicados dentro do

ambiente de controle, assim como dentro de

processos de negócio). Já que a auditoria do

ambiente de controle de uma organização

frequentemente envolverá a discussão de questões

delicadas, o DEA deve planejar e executar estas

auditorias com diligência.

Há muitas considerações práticas a que o DEA deve

prestar atenção durante o planejamento e execução

de uma auditoria relativa ao ambiente de controle.

Em primeiro lugar, deve haver apoio ou adesão por

parte da alta administração e/ou do conselho ou

comitê de auditoria para tal auditoria. Segundo, a

estrutura de reporte da auditoria interna deve ser

independente o suficiente para garantir limitações

mínimas ou quase nulas no escopo da equipe de

auditoria. Terceiro, o DEA deve articular e

comunicar claramente os critérios a serem usados,

para o benefício do auditado e dos membros da

equipe de auditoria, na avaliação do ambiente de

controle. Por fim, a atenção devida deve ser dada às

diferenças na cultura do negócio, idioma, legislação

local, etc., durante a condução de tais auditorias em

uma organização global.

E porque a auditoria do ambiente de controle inclui

auditar controles “informais”, algumas das

abordagens e ferramentas tradicionais de teste

podem não permitir a coleta de evidências diretas

suficientes para sua operação eficaz. O auditor

precisará pensar “fora da caixa” para coletar materiais

de evidência suficientes e competentes em tais

auditorias, para garantir que as descobertas de

auditoria não sejam contestadas por conta da

ausência de procedimentos e evidências rigorosos.



Deficiências do ambiente de controle precisam ser

avaliadas individualmente e deve-se entender como

elas interagem ou impactam outros controles na

organização. As ações corretivas, às vezes, podem ser

levadas além do ambiente imediato de controle sob

avaliação.

A comunicação das descobertas da auditoria do

ambiente de controle envolve muitas considerações

práticas, tais como determinar a pertinência do

formato do relatório padrão de auditoria, limitações à

distribuição do relatório de auditoria, a natureza

confidencial das descobertas, oportunidade e o

envolvimento das funções do conselheiro geral e de

recursos humanos (RH) como patrocinadores

coexecutivos ou em papel de suporte, etc.

Auditar o ambiente de controle ou um ou mais de

seus elementos isoladamente ou como parte de

outras auditorias internas não é apenas consistente

com a intenção de diversas normas dentro da

Estrutura Internacional de Práticas Profissionais

(IPPF), como também agrega valor à organização.

Introdução O ambiente de controle é a base sobre a qual um

sistema eficaz de controle interno é construído e

operado em uma organização que busca (1) atingir

seus objetivos estratégicos, (2) fornecer relatórios

financeiros confiáveis a partes interessadas internas

e externas, (3) operar seu negócio com eficácia e

eficiência, (4) estar em conformidade com as leis e

regulamentos aplicáveis e (5) salvaguardar seus

ativos. Parte da culpa pela crise financeira de 2008 e

outros fracassos famosos no século XXI podem ser

apropriadamente atribuídos a falhas no ambiente de

controle.

O propósito deste Guia Prático é fornecer

orientações ao auditor interno quanto à importância

do ambiente de controle; como determinar quais

elementos do ambiente de controle devem ser

abordados por trabalhos no plano periódico de

auditoria; como definir o escopo, a equipe e o

planejamento de tais trabalhos; e quais itens

considerar na condução do trabalho de auditoria

relacionado, incluindo a avaliação e o reporte de

deficiências.

Concentrar-se apenas na avaliação e reporte dos

controles dentro de processos de negócio e TI, sem

avaliar e reportar quanto ao risco relativo a falhas no

ambiente de controle, pode ser um desvio dos

aspectos fundamentais da base da organização. O

ambiente de controle de uma entidade é a base de

toda a estrutura de controle interno da organização –

financeiro, operacional e de conformidade –,

incluindo a salvaguarda dos ativos. Os auditores

internos precisam considerar, no desenvolvimento

dos planos de auditoria anuais (e de outras

periodicidades) e no planejamento de cada auditoria

individual, o risco de falhas no ambiente de controle.

As Normas definem o ambiente de controle como

“atitudes e ações do conselho e da administração em

relação à importância dos controles dentro da

organização”. Especificamente, a Norma 2130:

Controle declara que “a atividade de auditoria

interna deve auxiliar a organização a manter

controles efetivos a partir da avaliação da sua

eficácia e eficiência e da promoção de melhorias

contínuas.” Além disso, a Norma 2130.A1: Controle

declara que “a atividade de auditoria interna deve

avaliar a adequação e a eficácia dos controles em

resposta aos riscos, abrangendo a governança, as

operações e os sistemas de informação da

organização, com relação: ao alcance dos objetivos

estratégicos da organização; à confiabilidade e

integridade das informações financeiras e

operacionais; à eficácia e eficiência das operações e

programas; à salvaguarda dos ativos; e à

conformidade com leis, regulamentos, políticas e

procedimentos e contratos.”

O Ambiente de Controle de uma Organização O Committee of Sponsoring Organizations of the

Treadway Commission (COSO) publicou a Estrutura



Integrada de Controle Interno em 1992. Ela usa

uma definição muito similar àquela citada

anteriormente a partir do Glossário das Normas. O

Sumário Executivo declara:

“O ambiente de controle define o tom de uma

organização, influenciando a consciência de controle

de suas pessoas. É a base para todos os outros

componentes de controle interno, promovendo

disciplina e estrutura. Os fatores do ambiente de

controle incluem a integridade, os valores éticos e a

competência das pessoas envolvidas na entidade; a

filosofia e estilo de operação da administração; a forma

como a administração delega autoridade e

responsabilidade e organiza e desenvolve seu pessoal; e

a atenção e direcionamento oferecidos pelo conselho de

administração.”

A obra Guidance on Control Number 1, do Conselho

do Canadian Institute of Chartered Accountants

Criteria of Control (CoCo), utiliza quatro critérios

como base de entendimento e avaliação da eficácia

da estrutura de controle interno de uma entidade:

propósito, comprometimento, capacidade, e

monitoramento e aprendizado. O critério de

comprometimento inclui os valores éticos

compartilhados, integridade, políticas e

procedimentos de RH, autoridade, responsabilidade

e prestação de contas, e uma atmosfera de confiança

mútua – essencialmente, a mesma definição que a

da estrutura de 1992 do COSO e das definições das

Normas do IIA.

Similarmente, a obra de orientação original de

Turnbull, Internal Control: Guidance for Directors on

the Combined Code, publicada pelo Institute of

Chartered Accountants of England and Wales em

1999, declara que “o sistema de controle interno de

uma empresa refletirá seu ambiente de controle, que

engloba sua estrutura organizacional. O sistema

incluirá: atividades de controle, processos de

informação e comunicação e processos para

monitoramento da eficácia contínua do sistema de

controle interno.”

Embora possam existir diferenças na linguagem de

controle no mundo, a intenção e os princípios são

parecidos e consistentes. Um ambiente de controle

eficaz funciona como uma pedra angular em uma

ponte, sem a qual, não importa o que aconteça, nem

o melhor material e artesanato conseguiriam

sustentar a ponte. Auditar o ambiente de controle e

avaliar sua eficácia é uma parte importante da

responsabilidade de avaliação do auditor.

Escopo e Abordagem da Auditoria do Ambiente de Controle Embora o ambiente de controle tenha um efeito

difundido sobre o gerenciamento de riscos e os

controles internos por toda a entidade, qualquer

abordagem à auditoria do ambiente de controle deve

incluir a avaliação dos riscos por conta de falhas em

cada elemento individual do ambiente de controle e

sua interação um com ou outro. Este Guia Prático

usa os seis elementos descritos na definição do

Glossário das Normas sobre o ambiente de controle:

Integridade e valores éticos

Filosofia de gestão e estilo de operação

Estrutura organizacional

Delegação de autoridade e responsabilidade

Políticas e procedimentos de RH

Competência do pessoal

O nível dos riscos pode variar de acordo com a

geografia, unidade, processo, etc. Por exemplo, o

nível de riscos relativos à integridade e valores éticos

pode ser maior em alguns locais do que em outros.

Algumas unidades de negócio podem ter uma força

de trabalho melhor estabelecida e experiente,

levando a uma redução significante dos riscos

associados à competência do pessoal em comparação

com unidades de negócio nas quais a rotatividade do

pessoal é alta.



Há diversos exemplos de situações que poderiam

influenciar a avaliação do risco de fracasso em um

ou mais elementos do ambiente de controle:

As estruturas de compensação e incentivo

podem contribuir com comportamentos

inapropriados ou a aceitação excessiva de

riscos.

Uma alta taxa de rotatividade de

funcionários em funções chave pode levar a

uma falta de experiência e uma execução

menos confiável dos controles. Isso pode ser

resultado de uma variedade de falhas no

ambiente de controle, incluindo a supervisão

ineficaz e outros problemas do processo de

RH.

A ausência de um código de conduta e ética

definido e/ou uma política de denúncias

anônimas, a falha em estabelecer um canal

de denúncias de ética, a ausência de um

processo para avaliar a eficácia do código de

conduta e da política de ética, um alto

número de fraudes relatadas ou a

superposição da administração sobre os

controles estabelecidos podem levar a

atividades inapropriadas não detectadas e

abordadas oportunamente.

Funções chave podem ser ocupadas por

pessoal que não possua o nível necessário de

competência. O nível de risco é aumentado

se houver uma percepção de que estas

pessoas se mantêm no cargo por conta de

sua relação com a alta administração, os

promotores ou diretores executivos do

conselho.

O conselho pode não supervisionar

eficazmente a condução das operações da

organização e pode não entender e monitorar

o amplo ambiente de controle

organizacional.

Os gerentes principais na organização podem

estar inclinados a tomar decisões de

negócios sem entender claramente os riscos

relacionados às suas decisões; a

administração pode não mostrar uma

consciência de risco e controle em sua

tomada de decisões.

Os processos relativos à definição das

descrições dos cargos para posições chave

podem ser fracos, verificações de histórico

e/ou referências podem não ser conduzidas

consistentemente ou a organização pode ter

dificuldade em contratar e reter indivíduos

qualificados.

Uma vez que o DEA tenha avaliado os riscos

relativos a cada um dos seis elementos do ambiente

de controle, ele poderá incluir uma ou mais

auditorias dos mais altos riscos do ambiente de

controle no plano de auditoria anual. O DEA pode

determinar a frequência da auditoria do ambiente de

controle com base em sua avaliação do risco de

falhas de controle associadas a um ou mais

elementos do ambiente de controle.

O DEA pode decidir abordar os riscos em:

Uma única auditoria da organização toda.

Uma série de auditorias, cada uma

abordando aspectos específicos do ambiente

de controle (tais como o canal de denúncias

de ética, as operações do conselho e do

comitê, etc.).

Auditorias do ambiente de controle dentro

de divisões específicas de unidades

operacionais.2

Uma variação dos itens acima.

Por exemplo, se unidades operacionais individuais

tiverem suas próprias políticas de ética e comitês de

conformidade autônomos, auditorias separadas do

2 Os riscos relativos ao ambiente de controle em um local ou dentro de uma unidade de negócio também podem ser inclusos como parte do escopo de trabalhos de auditoria individuais e mais amplos daquele local ou unidade de negócio. Por exemplo, uma auditoria de uma fábrica na China poderia incluir avaliações dos elementos do ambiente de controle (tais como código de conduta e consciência ética), assim como os controles sobre o inventário e aquisições. Uma auditoria de uma central de serviços compartilhada na Irlanda poderia incluir avaliações das práticas de RH, até controles de contabilidade e contas a pagar.



ambiente de controle em cada unidade podem ser a

melhor abordagem. Se cada divisão investigar

violações de ética com base nas diretrizes

organizacionais e denúncias recebidas por meio de

um canal de denúncias centralizado, uma auditoria

única de toda a organização, com foco nas

investigações, pode ser mais relevante. Se a

contratação e a filtragem de novos funcionários

forem consideradas atividades importantes do

ambiente de controle e este processo for

centralizado, uma auditoria de toda a organização

pode ser a melhor abordagem.

Embora o escopo e abordagem iniciais possam ser

alterados ao longo do tempo, conforme melhores

avaliações e conhecimentos do ambiente de controle

da organização vêm à tona, o DEA deve considerar:

Quais são os elementos do ambiente de

controle e seus atributos (política de ética,

governança do conselho, conformidade,

detecção de fraude, etc.) que são

fundamentais para o ambiente de controle

da entidade?

Como esses elementos e atributos

relacionados são geridos nas operações

diárias? Há uma prestação de contas clara

dentro da organização?

Esses elementos e atributos podem ser

geridos com eficácia e eficiência no escopo

de uma grande auditoria ou auditorias

separadas e concentradas seriam mais

eficazes e eficientes?

O equilíbrio das operações centralizadas

versus as descentralizadas dentro da

organização influencia a forma como o

ambiente de controle opera e, portanto, a

natureza do trabalho de auditoria?

Qual combinação de auditorias do ambiente

de controle permitirá ao DEA prestar uma

avaliação do sistema de controle interno da

organização à alta administração e ao

conselho?

A auditoria do ambiente de controle deve ser

uma auditoria anual, uma auditoria

recorrente que ocorre periodicamente a cada

“tantos” anos ou auditorias separadas

específicas a cada ano de diferentes

princípios, levando a uma revisão de todos os

princípios principais do ambiente de

controle a cada “tantos” anos?

Se o ambiente de controle não tiver sido

examinado anteriormente, qual

conhecimento existente guiaria a decisão

quanto à abordagem da auditoria? Uma

avaliação de riscos de alto nível de todos os

princípios do ambiente de controle serviria

de base para as decisões? Uma auditoria de

primeiro ano pode ser diferente do que

auditorias contínuas que tenham sido

previstas no plano de auditoria?

Algum aspecto da avaliação do ambiente de

controle deve ser conduzido com a

orientação de conselheiros legais; por

exemplo, os aspectos pertinentes a

investigações?

Os recursos de auditoria adequados estão

disponíveis?

Há preferências explícitas por parte da alta

administração ou do conselho (ex., um

desejo declarado de completar uma avaliação

até uma determinada data)?

Conforme observado anteriormente, o plano de

auditoria pode incluir uma auditoria única dos riscos

do ambiente de controle. Também pode incluir

múltiplas auditorias, cada uma abordando elementos

diferentes do ambiente de controle, ou elementos do

ambiente de controle em locais ou unidades de

negócio diferentes. Quando o plano incluir

auditorias múltiplas do ambiente de controle e o

DEA estiver planejando prestar uma avaliação geral

com base nos resultados dessas auditorias

individuais, o DEA deve:

Determinar, durante a fase de planejamento

inicial, o processo que será usado para

agregar os resultados das auditorias



individuais em uma avaliação geral do

ambiente de controle.

Planejar as auditorias individuais de modo

que diferenças em seu timing não impeçam

a avaliação geral. Em caso de diferenças de

tempo substanciais entre as auditorias

individuais, pode ser necessário conduzir

procedimentos para atualizar os resultados

de auditorias anteriores, para apoiar a

avaliação geral.

Considerar a estruturação da equipe para as

auditorias, de modo a garantir a

continuidade da abordagem de auditoria e

consistência no processo de avaliação.

Programas bem definidos de auditoria

também podem ajudar neste quesito.

Auditorias do ambiente de controle frequentemente

envolvem o debate sobre questões delicadas,

incluindo as ações ou inações da alta administração

ou do conselho. O auditor interno deve considerar as

questões a seguir durante a fase de planejamento:

Se habilidades específicas serão exigidas

(ex., exigir o uso de especialistas internos ou

externos). Estas habilidades podem ser

oferecidas por meio de auditores convidados

de outras partes da organização ou de um

prestador de serviços co-source.

Se conversas com a alta administração e o

exame de documentos confidenciais exigem

a estruturação da equipe com pessoas

amadurecidas e experientes. Em algumas

situações, o DEA pode decidir por tomar a

frente da auditoria e/ou conduzir

pessoalmente certos aspectos (ex., o exame

da compensação dos executivos ou dos

resultados das investigações que envolvem a

alta administração).

Garantir, por meio de discussões com

bastante antecedência da auditoria, que as

informações necessárias para conduzir a

auditoria (especialmente quaisquer

informações consideradas confidenciais)

estarão disponíveis quando solicitadas. Além

disso, o auditor deve garantir que todas as

pessoas a quem se peça para auxiliar na

auditoria entendam a necessidade de

fornecer à equipe da auditoria as

informações solicitadas oportunamente. Isso

pode exigir o envolvimento do patrocinador.

Consequências do Ambiente de Controle

para Trabalhos de Auditoria Interna

Individuais

A gestão eficaz dos riscos envolve avaliar e monitorar

não apenas os controles de processos de negócio,

mas também os controles relativos ao ambiente de

controle da entidade. Se a eficácia do ambiente de

controle não for considerada em um trabalho de

auditoria, há um risco de que a avaliação da

adequação dos controles fique incompleta e, talvez,

até enganosa ou incorreta.

Na hora de definir o escopo de qualquer auditoria, o

auditor interno deve considerar o nível de confiança

dedicado à eficácia das atividades do ambiente de

controle e o risco de deficiências no ambiente de

controle. Em alguns casos, esses riscos e os

controles relacionados serão incluídos dentro do

escopo da auditoria. Em outros, a confiança será

depositada em auditorias separadas do ambiente de

controle ou de um ou mais de seus elementos.

Por exemplo, ao desenvolver o escopo de trabalho

para uma auditoria de contas a pagar (accounts

payable – AP), o auditor deve considerar riscos tais

como:

Equipe de AP e gerentes envolvidos no

processo de AP (ex., como aprovadores de

faturas) não estão familiarizados com as

expectativas da organização quanto ao

comportamento ético.

Práticas de contratação não são eficazes na

estruturação de equipe nos cargos

fundamentais de AP com funcionários

experientes.

Procedimentos de auditoria em torno desses riscos

poderiam ser incluídos no escopo da auditoria de

AP. No entanto, se auditorias separadas que



abordem especificamente esses riscos forem

conduzidas - por exemplo, como parte de auditorias

do código de conduta e das práticas de contratação -,

o auditor pode querer usar como referência aquelas

auditorias, e depender dos seus resultados, em vez

de duplicar o trabalho.

Quando o escopo de trabalho para uma auditoria não

inclui a cobertura dos riscos do ambiente de

controle, essa limitação deve ser claramente

comunicada à administração e ao patrocinador

executivo durante a fase de planejamento e no

relatório final.

Os resultados de auditorias separadas do ambiente

de controle devem ser considerados na preparação

do relatório de auditoria:

Quando a auditoria do ambiente de controle

já foi concluída, o auditor deve considerar

esses resultados e incluí-los ao avaliar se os

sistemas de controle interno – incluindo

aqueles do ambiente de controle – são

adequados.

Quando a auditoria do ambiente de controle

ainda não foi concluída, o auditor deve

considerar aceitar esse fato e deixar claro

que a avaliação dos controles internos é

baseada na suposição de que as atividades

do ambiente de controle são eficazes. O

auditor deve considerar revisitar sua

avaliação da adequação dos controles

internos, caso a auditoria do ambiente de

controle resulte na identificação de

deficiências.

Considerações Práticas na Auditoria do Ambiente de Controle Abaixo, discutimos algumas considerações práticas

que devem ser levadas em conta durante o

planejamento, a execução e o reporte das auditorias

nesta área.

Apoio ou Adesão da Alta Administração

e do Conselho

Uma auditoria do ambiente de controle envolve

avaliar controles que, em muitos casos, direta ou

indiretamente, são executados ou orientados pela

alta administração ou pelo conselho. Na fase de

planejamento de uma auditoria de todos ou de um

elemento do ambiente de controle, avalie se a equipe

de auditoria interna será desafiada em sua

necessidade de acesso a indivíduos pertinentes e

documentação necessária. Podem ser necessárias

ações para mitigar e gerenciar tais desafios antes de

dar início à auditoria. Essas ações podem incluir:

Discutir a necessidade de acesso durante o

desenvolvimento do plano de auditoria.

Garantir que o estatuto de auditoria forneça

acesso apropriado.

Obter o apoio e patrocínio do conselho e/ou

do diretor executivo da auditoria. Em alguns

casos, o apoio do diretor financeiro (CFO)

ou conselheiro geral pode ser suficiente.

Comunicações por escrito por parte de um

membro apropriado da gerência executiva,

instruindo a organização a fornecer o acesso

e as informações necessárias.

Comparecimento do patrocinador executivo3

na reunião de abertura da auditoria.

Reunião com principais membros da

gerência executiva que estejam em posição

de conceder acesso logo no início da fase de

planejamento da auditoria. O auditor interno

deve garantir que os executivos entendam

quais informações e acessos são necessários

e por quê. Suas preocupações devem ser

ouvidas, entendidas e abordadas sempre que

possível. Levar a questão à gerência

3 Para os propósitos deste Guia Prático, “patrocinador executivo” é um membro da equipe executiva ou do conselho, que apoiará ativamente a conclusão da auditoria.



executiva ou ao conselho pode ser necessário

para resolver a recusa contínua do acesso.

Posição da Auditoria Interna Dentro da

Organização

A estrutura de reporte para a auditoria interna

também pode ser um problema. A Norma 1110:

Independência Organizacional declara que “o diretor

executivo de auditoria deve reportar-se a um nível

dentro da organização que permita à atividade de

auditoria interna cumprir suas responsabilidades.”

Quando o DEA não reporta a um nível apropriado,

sua habilidade de conduzir uma auditoria do

ambiente de controle da organização ou de seus

elementos pode ser prejudicada. Por exemplo, o

DEA pode ser orientado a não avaliar certos

elementos do ambiente de controle (ex., a

competência do pessoal em cargos financeiros) ou

ter apenas acesso limitado a informações

confidenciais (tais como minutas de reuniões do

conselho ou registros que contenham discussões

sobre alegações contra a alta administração). Isso

pode ser mitigado se o DEA for capaz de obter forte

apoio do conselho ou da gerência executiva, com um

mandato claro de que a equipe de auditoria tenha

acesso irrestrito às informações necessárias para

condução da auditoria.

Se o DEA não for capaz de garantir que a equipe de

auditoria tenha acesso irrestrito às informações

necessárias para concluir uma auditoria eficaz do

ambiente de controle, ou estiver impossibilitado em

fato ou aparentemente de ser objetivo e

independente o suficiente em sua avaliação do

ambiente de controle, tais restrições de escopo e

outras limitações devem ser reportadas prontamente

ao conselho. O DEA deverá considerar se deve

seguir em frente com a auditoria, com as restrições

de escopo apropriadas comunicadas em relatório de

acordo com as Normas. Tais restrições não liberam o

DEA de suas obrigações de reportar ao conselho de

governança quanto à importância e a necessidade de

avaliar o ambiente de controle.

Critérios de Avaliação do Ambiente de

Controle

O processo de planejamento de auditoria inclui

considerar o produto final da auditoria, em especial

quais critérios serão usados para a avaliação. Assim

como em outros trabalhos, as opções incluem:

Uma avaliação dos controles incluída no

escopo, usando o sistema de classificação da

organização, em conjunto com

oportunidades de melhoria.

A avaliação dos controles usando um modelo

definido de maturidade do controle, além da

classificação padrão e oportunidades de

melhoria.

Avaliação dos controles conforme orientada

pelo conselheiro geral com um objetivo

específico em mente.

Benchmarking (comparação com referências

entre companhias e/ou entre

unidades/departamentos da mesma

companhia).

O DEA deve usar seu julgamento quando

necessário, em consulta com o conselho ou o

patrocinador executivo ou o conselheiro geral, para

determinar quais critérios serão usados para

mensurar a eficácia do ambiente de controle. O

DEA deve garantir que o conselho, a alta

administração e a gerência responsável pela área sob

auditoria entendam claramente como os resultados

serão comunicados se forem diferentes do processo

padrão de reporte da auditoria interna.

Seja avaliação sobre a eficácia do desenvolvimento e

operação de controles específicos ou sobre a

qualidade geral de quais controles usando um

modelo particular de maturidade do controle, os

critérios para a avaliação deverão ser definidos

durante o processo de planejamento e claramente

explicados ao cliente do trabalho, incluindo os

membros apropriados da alta administração. O DEA

deve considerar discutir os critérios aplicáveis com a

administração e obter sua concordância, se possível.

Pode-se obter valor significante para a organização



por meio de tal discussão e adesão anterior ao início

da auditoria.

Consideração da Cultura Local e Valores

A cultura local e valores devem ser considerados na

determinação dos critérios para avaliar a condução

do negócio e outros elementos do ambiente de

controle. A condução do negócio e outros padrões e

expectativas não são uniformes ao redor do mundo,

em grande parte devido a diferenças em tradições

legais, valores culturais e sociais e na estrutura dos

mercados capitais. Por exemplo, embora haja

tradições, em alguns mercados emergentes, de que o

comércio seja permitido por meio de pagamentos aos

indivíduos envolvidos e para que compras sejam

feitas entre as partes relacionadas, esta prática é

considerada ilegal pela lei U.S. Foreign Corrupt

Practices Act (FCPA) e pela lei UK Bribery Act. As

nações diferem em suas leis e regulamentos de

governança (ex., quanto à exigência de membros

independentes no conselho e outros órgãos

governantes) ou em outros aspectos do ambiente de

controle (ex., algumas restringem a habilidade dos

empregadores de realizar verificações de histórico

sobre seus funcionários; em alguns locais, são

aceitas práticas relativas à contratação e ao

tratamento de minorias que seriam ilegais em outros

países).

A maioria das organizações multinacionais

desenvolveu e publicou um código de conduta

organizacional que se aplica a todas as suas

operações globalmente. Em tais casos, as auditorias

do ambiente de controle já possuem um conjunto de

normas no qual os auditores internos podem basear

seu escopo de auditoria, programa, avaliação e

reporte.

No entanto, nem todas as organizações adotaram

normas globais, ou as normas globais podem precisar

de ajustes para a unidade sob auditoria, para

alcançar a conformidade com as leis locais. Nesses

casos, a equipe de auditoria interna deve, em

consulta com a gerência apropriada, buscar uma

concordância sobre quais critérios ou normas a

equipe de auditoria deve seguir. Isso deve ser

comunicado claramente à gerência operacional antes

de iniciar a auditoria. Se as normas forem diferentes,

de alguma forma, das normas publicadas

organizacionalmente, os motivos para essas

diferenças devem ser claramente explicados.

O DEA deve considerar variações na cultura, valores

e práticas, assim como na necessidade de

habilidades idiomáticas4 para a avaliação dos riscos

relativos ao ambiente de controle e para a

estruturação da equipe de cada auditoria. A equipe

deve incluir indivíduos que sejam capazes de

entender o contexto, assim como as práticas de cada

região, e capazes de prestar uma avaliação objetiva,

equilibrada e justa da adequação das práticas do


Coordenação com Auditores Externos

Embora seja claro que a avaliação da auditoria

interna quanto ao ambiente de controle da entidade,

ou de um ou mais de seus elementos, fornece uma

avaliação muito necessária à alta administração e ao

conselho de administração, o auditor interno deve

estar ciente de que os auditores externos podem não

ser capazes de confiar completamente em seu

trabalho na avaliação do ambiente de controle com

relação às auditorias das demonstrações financeiras

e do sistema de controle interno sobre o reporte

financeiro. Dependendo da avaliação do auditor

externo, os auditores externos podem se sentir

obrigados a validar certos controles por si mesmos

para aumentar sua independência. A auditoria

interna deve trabalhar com os auditores internos

durante as sessões de planejamento anual para

minimizar a duplicação e garantir que o conselho e

as partes interessadas entendam: (a) que os

auditores externos podem examinar apenas os

aspectos do ambiente de controle relativos a um

risco ou uma declaração errônea material de

demonstrações financeiras, (b) os auditores externos

podem precisar conduzir alguns níveis de avaliação

4 Falta de familiaridade com a cultura comercial e o idioma local podem ser barreiras no desenvolvimento de um entendimento eficaz das diferenças nas normas culturais e comportamentais em relação ao país anfitrião da auditoria. A experiência e o entendimento do idioma e da cultura local trazem a probabilidade de melhorar a habilidade de entender e avaliar a conformidade – ou sua falta – com políticas, normas e expectativas organizacionais.



independente, (c) uma revisão por parte da auditoria

interna normalmente abordará uma maior variedade

de riscos (riscos operacionais e de conformidade,

além dos riscos de reporte financeiro) e (d) há uma

oportunidade para a auditoria interna contribuir com

melhorias nos processos relacionados, por meio de

seu melhor entendimento da organização como um

todo.

Como Auditar o Ambiente de Controle Esta seção trata de ferramentas e técnicas genéricas

para auditar o ambiente de controle. O Anexo lista

os procedimentos potenciais de auditoria que podem

ser considerados no desenvolvimento de uma

auditoria do ambiente de controle de uma entidade,

ou de um ou mais de seus elementos. Os sete

elementos e atributos são retirados do componente

de ambiente de controle da obra Controle Interno –

Estrutura Integrada do COSO.5 Os elementos e

atributos incluem objetivos de controle quanto à

eficácia financeira, de conformidade e operacional.

O Anexo é apresentado apenas com propósitos

ilustrativos e não tem como intenção ser completo

ou abrangente.

Uma auditoria de alguns elementos do ambiente de

controle incluirá uma revisão dos controles

informais, tais como os relacionados à ética,

integridade, competências, comportamentos e

percepções. Eles são considerados controles

informais, porque pode ser difícil obter evidências

diretas de sua operação eficaz por meio de testes

tradicionais. Em vez disso, autoavaliações, pesquisas,

workshops ou técnicas similares podem ser mais

adequadas do que métodos tradicionais.

Especificamente:

Pesquisas com os funcionários são usadas

frequentemente na avaliação do sucesso dos

5 Os sete elementos de controle incluem os seis das Normas e um elemento adicional – “A Importância do Conselho” – conforme definido pelo COSO.

esforços da gestão em estabelecer um

ambiente de controle eficaz. Essas pesquisas

fornecem métricas úteis da eficácia de um

ou mais elementos do ambiente de controle.

Formulários anuais de conformidade ética

dos funcionários são outro exemplo.

O DEA deve usar sua rede de contatos

dentro da empresa. A rede de contatos é

fundamental para discernir se a

comunicação, o tom no topo, a prática da

teoria por parte da gestão e uma supervisão

eficaz estão em prática no dia a dia.

O conhecimento do auditor interno sobre o

funcionamento interno da organização é útil

para corroborar ainda mais a eficácia dos

controles informais.

O valor da “auditoria by walking around” não

pode ser subestimado. Ao estarem presentes,

visíveis e observando toda a organização, os

auditores internos podem identificar as

pistas intangíveis que podem levar a

avaliações mais profundas. Associados que

acreditam poder contribuir com a auditoria

compartilhando suas preocupações com um

nível apropriado de anonimato também são

valiosos.

Resultados de auditorias passadas de

atividades de controle e a reação e ações

corretivas da gestão também são bons

indicadores.

A participação dos auditores internos em

comitês, forças-tarefa, grupos de trabalho e

seu envolvimento na implementação e

avaliações do programa de ética e

conformidade fornecem insights valiosos ao

longo de períodos extensos de tempo.

Como os itens acima podem servir para a obtenção

de evidências primariamente indiretas, o auditor

deve sempre garantir que evidências suficientes

sejam obtidas para apoiar as conclusões e avaliação

da auditoria. Sempre que possível, o auditor não

deve hesitar em empregar análise de dados para



filtrar padrões e anomalias, para gerar evidências

sólidas.

Os controles relacionados aos elementos do

ambiente de controle (ex., publicar um código de

conduta atualizado e apropriado e obter referências e

verificações de histórico dos novos funcionários)

podem servir para técnicas tradicionais de auditoria.

No planejamento da auditoria, o auditor deve

entender a natureza diferente dos controles

informais e demais, e selecionar as técnicas mais

apropriadas.

Avaliando as Deficiências do Ambiente de Controle As deficiências do ambiente de controle geralmente

impactam áreas ou processos múltiplos e são

essencialmente dominantes em sua natureza. As

deficiências do ambiente de controle podem ser

identificadas durante auditorias com foco (1) no

ambiente de controle da organização, de um ou mais

de seus elementos; (2) em um ou mais elementos do

ambiente de controle de uma unidade de negócio,

local ou equivalente; e (3) em um ou mais elementos

do ambiente de controle como parte de outras

auditorias internas.

1. Avaliando as deficiências descobertas durante

uma auditoria que é focada no ambiente de

controle de uma organização, ou em um ou mais

de seus elementos específicos.

O auditor interno pode escolher avaliar as

deficiências dentro do contexto da auditoria do

ambiente de controle. Em outras palavras, o relatório

de auditoria pode limitar a discussão a questionar se

os elementos individuais do ambiente de controle

são eficazes.

No entanto, limitar a avaliação dessa forma

provavelmente resultará na impossibilidade de

entender ou atuar sobre o efeito dominante da

deficiência. A prática preferencial é que o auditor

interno trabalhe com a gerência e entenda toda e

qualquer consequência, sobre a gerência, dos riscos

críticos e da eficácia dos controles interno relativos.

Por exemplo, deficiências no processo de

contratação podem levar à incapacidade de contratar

pessoal suficiente e competente para o cargo de

contabilidade. Como resultado direto, análises

contábeis fundamentais, reconciliações bancárias e a

resolução de recibos de caixa divergentes podem não

ser totalmente oportunas.

Ao avaliar as deficiências dos elementos do ambiente

de controle, o auditor deve estar alerta aos

indicadores de que outros controles afetados podem

estar falhando também. Esses controles podem ser

controles do processo de negócio, de processos de TI

ou até outros controles do ambiente de controle. Por

exemplo, a incapacidade de contratar uma equipe

suficiente pode levar a atalhos nos processos. Esses

indicadores podem apontar para um nível maior de

risco para a organização por conta da deficiência do


O auditor também deve considerar as consequências

de deficiências múltiplas e relacionadas nos

elementos do ambiente de controle. Algumas

deficiências podem ter um efeito maior quando

estão todas presentes do que a simples agregação de

seus riscos individuais pode sugerir. Por exemplo,

quando a ausência de um treinamento para novos

funcionários quanto ao código de conduta ética de

uma organização é combinada à incapacidade de

obter referências e verificações do histórico dos

novos funcionários, o risco de contratar pessoas

potencialmente incompetentes – e até indivíduos

com histórico criminal – é exacerbado.

Até mesmo se o relatório de auditoria for limitado a

divulgar as deficiências sem considerar seu efeito

dominante, o DEA deve discutir as consequências e

ações de gestão relativas com o conselho e o comitê

de auditoria.

As ações corretivas necessárias para abordar as

deficiências do ambiente de controle podem ser

estendidas além do elemento imediato do ambiente

de controle; por exemplo, para incluir um



monitoramento mais amplo dos controles afetados

nos processos de negócio.

2. Avaliando as deficiências encontradas durante

uma auditoria que é focada no ambiente de

controle dentro de uma unidade de negócio, local

ou equivalente.

Além da análise discutida anteriormente, o auditor

deve determinar se as questões do ambiente de

controle identificadas em uma auditoria localizada

são indicadores de mais questões dominantes em

unidades de negócio, áreas ou processos dentro da

organização. Por exemplo, se práticas de contratação

em divisões estão deficientes, os procedimentos,

processos e sistemas relacionados poderiam estar

deficientes em outras divisões? Se há uma falta de

consciência do código de conduta da organização,

teria sido devido ao fato de que a versão atual do

código não foi publicada no portal corporativo,

portanto afetando todas as partes da organização? O

código foi traduzido para os idiomas locais, para

apoiar todas as partes da organização?

O auditor interno e o DEA devem discutir as

possíveis consequências das deficiências do

ambiente de controle local sobre a organização como

um todo e ajustar o plano de auditoria

apropriadamente. Em alguns casos, trabalhos

adicionais de auditoria podem ser necessários para

avaliar se as deficiências foram difundidas, em vez

de confinadas à unidade, país, etc., coberto pela

auditoria.

3. Avaliando as deficiências descobertas durante

uma auditoria focada no ambiente de controle ou

em um ou mais de seus elementos como parte de

outra auditoria (ex., uma auditoria de AP que

inclui avaliar a competência da gestão e da equipe

e sua consciência do código de conduta e

expectativas éticas).

Muitas das questões discutidas acima também se

aplicam aqui. O auditor interno deve se reunir com o

DEA e considerar se as questões do ambiente de

controle que foram identificadas podem ter se

estendido para outras partes da organização. O plano

de auditoria deve ser ajustado apropriadamente.

A avaliação do sistema geral de controles internos

para os riscos de negócio cobertos pela auditoria

deve considerar se as deficiências do ambiente de

controle são compensadas ou mitigadas por outros

controles que estejam em operação eficaz dentro ou

fora da unidade de negócio/função/área sob

auditoria.

Comunicação dos Resultados Na comunicação dos resultados de uma auditoria de

ambiente de controle, o auditor deve considerar:

Se o formato padrão do relatório de

auditoria, incluindo a escala padrão de

avaliação, deve ser usado. Em alguns casos,

a alta administração ou o conselho pode

preferir uma apresentação, em vez de um

relatório padrão de auditoria.

Em muitas situações, limitar a distribuição

do relatório. Isso pode ser feito em algumas

organizações por meio da marcação clara do

relatório como confidencial, limitando,

portanto, sua distribuição. No entanto, o

DEA deve entender claramente como e

quando devem ser comunicadas aos

auditores externos as descobertas sobre as

deficiências do ambiente de controle

relativas ao sistema de controle interno sobre

o reporte financeiro.

Salvaguardas adicionais, se a auditoria for

conduzida sob a direção de um conselheiro

geral, especialmente quando puder haver a

necessidade de proteger a confidencialidade

do relatório sob sigilo advocatício ou

medidas similares de proteção.



Se a auditoria não incluiu procedimentos

relativos a um elemento do ambiente de

controle que é relevante para a avaliação. Tal

limitação de escopo deve ser claramente

reportada no relatório final de auditoria,

mesmo se a exclusão for baseada na

avaliação de riscos, conforme discutido

anteriormente.

Se a revisão do ambiente de controle foi

conduzida como parte de uma auditoria de

negócio com base em riscos, em linha com o

plano de auditoria, seja para incluir uma

discussão de questões relativas ao ambiente

de controle como parte da auditoria, ou

como parte de um relatório separado sobre o

ambiente de controle em geral.

Variar os cronogramas para emissão do

relatório com base:

o Na importância das questões

identificadas.

o No timing da certificação bimestral dos

controles internos sobre o reporte

financeiro e a conformidade.

o No escopo e objetivo da auditoria.

o Na natureza e sensibilidade das

questões identificadas.

o No público-alvo do relatório de

auditoria.

Além disso, o DEA deve considerar os seguintes

fatores específicos ao determinar como comunicar os

resultados das auditorias de ambiente de controle.

Informações Delicadas

Em algumas situações, a comunicação de riscos

dentro do ambiente de controle devido à natureza

das deficiências de controle pode ser considerada

delicada ou confidencial. Por exemplo, se houver um

problema no nível da alta administração que poderia

ter uma consequência adversa potencial para a

percepção de sua integridade e representar um

comprometimento potencial dos valores

organizacionais, o DEA deve consultar os membros

apropriados da alta administração, principalmente o

conselheiro geral, e o conselho para determinar a

estratégia e o processo de comunicação apropriados

– incluindo como as ações corretivas serão

documentadas e monitoradas.

Identificação de Questões Significantes

Se uma auditoria de ambiente de controle identificar

questões importantes, o DEA deve revisar os

resultados de auditorias internas anteriores para

determinar se avaliações anteriores devem ser

revisadas. Os resultados dessa revisão devem ser

comunicados à alta administração e ao conselho.

Isso pode resultar em mudanças no plano de

auditoria em andamento, por conta de uma possível

mudança no perfil de risco da organização.

Natureza e Tom das Recomendações

As recomendações no relatório devem ser práticas

com intenção positiva e devem abordar a causa-raiz

do risco identificado no ambiente de controle.

Acompanhamento das Recomendações

Assim como em outras auditorias internas, as

recomendações apresentadas nessas auditorias

também devem ser acompanhadas. Dada a natureza

delicada das descobertas, o acompanhamento pode

ser realizado pela auditoria interna ou por outros na

organização, como o comitê de auditoria e/ou o

conselho de administração.



ANEXO A seguir, temos um exemplo de procedimentos de auditoria que utilizam sete princípios básicos para uma

auditoria ampla que avalie o ambiente de controle. Os princípios, assim como seus elementos e atributos, são

adaptados a partir do componente de ambiente de controle da Controle Interno-Estrutura Integrada do COSO.6

Os elementos e atributos incluem a eficácia dos objetivos de controle financeiro, de conformidade e operacional.

ELEMENTOS E ATRIBUTOS

DESIGN DO CONTROLE

(MÉTODOS PARA ALCANÇAR OS

PRINCÍPIOS, ELEMENTOS E

ATRIBUTOS DO AMBIENTE DE

CONTROLE)

CONSIDERAÇÕES DO TESTE

DE CONTROLE7

1. Integridade e Valores Éticos: Princípio Básico - A integridade sadia e os valores éticos,

particularmente os da alta administração, são desenvolvidos e estabelecem o padrão de conduta para

fazer negócios.

Desenvolvido - a alta

administração desenvolve uma

declaração clara e articulada dos

valores ou comportamentos

éticos que são compreendidos

pelos principais executivos e

pelo conselho.

A alta administração transmite a

mensagem de que a integridade

e os valores éticos não podem

ser comprometidos, tanto em

palavras quanto em ações.

A alta administração

desenvolveu um código de ética

que enfatiza a expectativa da

organização de que os

funcionários irão agir com

integridade em todas as ações

relacionadas ao seu escopo de

emprego.

A alta administração

desenvolveu um código de

conduta de negócios que

Conduzir, periodicamente,

pesquisas anônimas "de pulso"

de funcionários no que diz

respeito à comunicação da

atitude ética por parte da alta

administração.

Revisar a existência e o

conteúdo do código de conduta

da organização e garantir que

exista um processo para a

atualização periódica do código.

Revisar a existência e o

conteúdo do código de conduta

de negócios da organização e

garantir que exista um processo

para a atualização periódica do

6 Adaptado de "Internal Control over Financial Reporting-Guidance for Smaller Public Companies Volume III, Ferramentas de Avaliação", COSO, 2006, páginas 25-31 de Princípios do Ambiente de Controle, Atributos e sumário relacionado de Documentação de Controles e Gerência para Entidades. Os auditores devem considerar a obtenção e a revisão da literatura COSO encontrada em www.COSO.org para uma orientação mais profunda e ferramentas de metodologia. 7 O teste de controle sugerido requer, em muitas instâncias, que o auditor interno obtenha certa documentação. Na prática, o auditor pode encontrar situações onde a documentação esteja perdida ou não exista. É importante que essa falta de comunicação seja listada, quando apropriado, como uma descoberta significante de auditoria feita pelo auditor.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

enfatiza o comprometimento da

organização em negociar de

forma justa e honesta com os

seus clientes, fornecedores e

outras partes externas.

As expectativas e os incentivos

de desempenho são

desenvolvidos de modo a não

criar tentações indevidas de

violar leis, regras, regulamentos,

políticas e procedimentos da

organização.

código.

Revisar a mistura entre

elementos fixos e variáveis nos

planos de compensação de

funcionários e o peso relativo de

um desempenho financeiro de

curto prazo nos planos de

compensação.

Comunicado - a alta

administração comunica o seu

comprometimento com os

valores éticos através de

palavras e ações.

Novos funcionários recebem uma

cópia do código de ética e do

código de conduta de negócios e

são treinados sobre como essas

diretrizes se aplicam a situações

factuais específicas comuns ao

ambiente de negócios da

organização.

Funcionários existentes recebem

cópias atualizadas do código de

ética e do código de conduta de

negócios da organização

anualmente, no mínimo, e

recebem uma reeducação

periódica sobre a aplicação

dessas diretrizes para o

ambiente de negócios da

organização.

Clientes, fornecedores e outras

partes externas recebem uma

cópia do código de conduta de

negócios da organização no

Revisar a declaração assinada

pelos funcionários de que leram

e compreenderam os códigos de

ética e de conduta de negócios

e, para funcionários existentes,

a certificação de que eles não

violaram os códigos durante o

ano passado e não estão cientes

de nenhuma violação do tipo –

ou, se estão cientes de tais

violações, eles 1) comunicaram

essas violações, conforme

orientados pelo setor de

compliance ou ética durante seu

treinamento e 2) se, com base

em suas perspectivas, as

violações não tiverem sido

resolvidas, comunicaram as

violações em potencial através

do canal de denúncias de ética

de sua companhia.

Revisar cursos de treinamento

da organização, incluindo o




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

mínimo anualmente, através da

inclusão do mesmo em outras

correspondências para essas

partes. Os arranjos contratuais

com essas partes devem incluir

requisitos para a aderência ao

código de ética e ao código de

conduta de negócios da

organização.

processo para garantir que todos

os funcionários compareçam a

esses cursos sobre os códigos de

ética e de conduta de negócios.

Revisar a política da organização

de incluir o código de conduta

de negócios em uma

correspondência anual para

clientes, fornecedores e outras

partes externas. Verificar que o

código de conduta de negócios

seja incluído em

correspondências.

Reforçado - a importância da

integridade e dos valores éticos

é comunicada e reforçada para

todos os funcionários, de uma

maneira apropriada para a

organização.

A newsletter (e outros meios de

comunicação interna) da

organização realça:

a. Dilemas éticos

frequentemente surgindo

na indústria da

organização e como a

gerência espera que os

funcionários ajam nessas

situações.

b. Falhas éticas (com

nomes disfarçados) e as

consequências dessas

falhas para a organização

e para os funcionários

envolvidos.

c. Sucessos éticos (com

nomes mantidos e

destacados) com a

situação descrita, o

comportamento dos

funcionários e por que o

comportamento foi

Revisar edições da newsletter da

organização durante o ano, para

examinar se a cobertura de

dilemas, falhas e sucessos

éticos está incluída.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

consistente com as

diretrizes da organização.

Monitorado - os processos estão

em ordem para monitorar a

conformidade da organização

com os princípios de uma

integridade sadia e valores

éticos.

Todos os novos funcionários são

obrigados a assinar o código de

ética e de conduta de negócios,

indicando que eles leram e

compreenderam esses códigos.

Todos os funcionários existentes

são obrigados a assinar um

contrato anual, reconhecendo

que eles leram as versões mais

recentes do código de ética e de

conduta de negócios e que eles

entendem e estão em

conformidade com esses

códigos.

A gerência do RH ou do

departamento de contratações

deve monitorar se os

funcionários novos e os

existentes completaram o

treinamento requerido sobre os

códigos de ética e de conduta de

negócios.

A organização estabeleceu canal

de denúncias - um mecanismo

de reporte que permite o

anonimato e que,

preferencialmente, é composta

por um grupo interno com

relação de reporte direto ao

conselho ou a um fornecedor

externo - para receber reportes

de suspeitas de violações dos

Revisar a declaração assinada

pelos funcionários de que leram

e compreenderam os códigos de

ética e de conduta de negócios

e, para funcionários existentes,

a certificação de que eles não

violaram os códigos durante o

ano passado e não estão cientes

de nenhuma violação do tipo –

ou, se estão cientes de tais

violações, comunicaram essas

violações através do canal de

denúncias.

Revisar os cursos de

treinamento da organização,

incluindo o processo para

garantir que todos os

funcionários compareçam a

esses cursos sobre os códigos de

ética e de conduta de negócios.

Revisar a existência do canal de

denúncias - incluindo a unidade

organizacional responsável por

gerenciar e supervisionar o

canal. Examinar os esforços de

promoção do canal por parte da

organização. Revisar uma

amostra de chamadas recebidas

no canal de denúncias e

examinar a adequação da

investigação e da resolução das

alegações.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7


negócios da organização e

promove a existência desse

canal.

Desvios Tratados – Desvios em

relação à integridade sadia e aos

valores éticos são identificados

pontualmente, tratados e

remediados nos níveis

apropriados dentro da

organização.

Um executivo sênior, de

preferência com relação reporte

direto ao conselho, é responsável

por supervisionar a função de

ética e conformidade da

organização.

Alegações de violações dos


negócios da organização são

adequadamente investigadas e

as ações corretivas, disciplinares

e de remediação necessárias

acontecem pontualmente. Isso

inclui assuntos reportados ao

canal de denúncias.

Examinar a unidade

organizacional - e suas relações

de reporte relacionadas -

responsável pela supervisão da

ética e da conformidade.

Examinar a adequação das

investigações das alegações de

violações do código de ética e

de conduta de negócios da

organização, incluindo ações

corretivas, disciplinares e de

remediação tomadas.

Revisar as políticas e práticas de

investigação da organização,

para garantir que profissionais

apropriadamente qualificados

estejam realizando as

investigações. Avaliar as

qualificações dos investigadores

e averiguar se há uma boa

segregação de tarefas entre as

investigações, a gerência

operacional e aqueles que

tomam as decisões

disciplinares.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

2. A Importância do Conselho: Princípio Básico - O conselho entende e exerce uma supervisão de

responsabilidade relacionada a reportes financeiros, leis e regulamentos aplicáveis, eficácia e

eficiência operacional e controles internos relacionados.

Avaliar e Monitorar Riscos - o

conselho avalia e monitora

ativamente:

Os riscos de fraude

gerencial através da

sobreposição aos

controles internos.

Riscos afetando o

alcance dos objetivos de

controle interno.

O conselho desenvolve princípios

de governança e incluída entre

esses princípios está a

responsabilidade do conselho de

avaliar e monitorar os riscos,

especialmente os riscos de

fraude por parte da alta

administração.

O conselho, ativamente ou por

delegação do comitê de

auditoria, avalia e monitora os

riscos de fraude gerencial por

meio de sobreposição aos

controles internos.

O conselho avalia e monitora

ativamente os riscos de não

alcançar os objetivos de controle

interno.

Revisar os princípios de

governança do conselho e se,

entre esses princípios, está a

responsabilidade do conselho de

avaliar e monitorar riscos.

Perguntar ao conselho, à alta

administração, ao DEA e ao

auditor externo sobre os

processos do conselho para

avaliar e monitorar riscos.

Revisar a agenda, as minutas e

os conjuntos de informações do

conselho, para obter evidências

de que o conselho avalia e

monitora os riscos de fraude

gerencial por parte da alta

administração por meio de

sobreposição aos controles

internos da gerência. Perguntar

ao conselho, à alta

administração, ao DEA e ao

auditor externo sobre os

processos do conselho para

avaliar e monitorar os riscos de

fraude gerencial e de

sobreposição aos controles

internos da gerência.


os conjuntos de informações do

conselho, para obter evidências

de que o conselho avalia e




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

monitora os riscos de não

alcançar os objetivos de controle

interno. Perguntar ao conselho,

à alta administração, ao DEA e

ao parceiro de auditoria externa

sobre os processos do conselho

para avaliar e monitorar os riscos

de não alcançar os objetivos de

controle interno.

Supervisionar a Qualidade e a

Confiabilidade - o conselho

fornece supervisão para a

eficácia do sistema de controle

interno.

O estatuto do conselho exige a

prestação de contas, por parte

do conselho, quanto à supervisão

do sistema de controle interno

da organização.

O conselho recebe reportes

periódicos sobre a eficácia dos

controles internos.

Revisar o estatuto do conselho,

para verificar se o conselho tem

a responsabilidade de

supervisionar o sistema de

controle interno. Revisar a

agenda e as minutas de reuniões

do conselho, denotando uma

atenção substancial do conselho

a essa questão.


os conjuntos de informações de

reuniões do conselho, para obter

evidências de reporte ao

conselho sobre a eficácia dos

controles internos.

Supervisionar Atividades de

Auditoria - o conselho

supervisiona o trabalho de todas

as funções de auditoria,

incluindo auditorias internas e

externas, e interage com

auditores regulatórios conforme

necessário. O conselho possui

autoridade exclusiva de

contratar, demitir e determinar a

O estatuto do conselho dá ao

comitê de auditoria ou ao corpo

governante similar a autoridade

de supervisionar:

Reportes financeiros e

processos de auditoria

externa, além da


contratar, demitir e

determinar a

Revisar o estatuto do comitê de

auditoria, para verificar se ele dá

ao comitê de auditoria a

autoridade de supervisionar:

Reportes financeiros e


externa, além da


contratar, demitir e

determinar a




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

compensação da firma de

auditoria externa e do DEA.

compensação da firma de

auditoria externa.

A atividade de auditoria

interna e a autoridade de

contratar ou demitir o

DEA e de aprovar o

orçamento para a

atividade de auditoria

interna.

compensação da firma

de auditoria externa.

Perguntar aos membros

do conselho, à alta

administração e aos

auditores externos sobre

o papel do conselho na

supervisão dos reportes

financeiros e dos


externa, incluindo a

responsabilidade de

selecionar a firma de

auditoria e determinar a

taxa de auditoria.

O grupo de auditoria

interna, com a

autoridade de contratar e

demitir o DEA e de

aprovar o orçamento para

a atividade de auditoria

interna. Perguntar aos

membros do conselho, à

alta administração e ao

DEA sobre o papel do

conselho na supervisão

da atividade de auditoria

interna, incluindo a

responsabilidade de

selecionar o DEA e

aprovar o orçamento da

auditoria interna.

Massa Crítica Independente - o

conselho possui uma massa

crítica de membros que são

independentes da gerência.

O estatuto ou o regulamento da

organização requer uma massa

crítica de diretores

independentes no conselho e é

apropriado, dado o tamanho, a

indústria e o ambiente

regulatório da organização.

Revisar as provisões do estatuto

ou do regulamento que requer

diretores independentes no

conselho e avaliar o número de

diretores independentes, dado o

tamanho, a indústria e o

ambiente regulatório da

organização. Revisar o histórico




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

de direção dos diretores

classificados como

independentes.

Competência Financeira8 - o

conselho possui um ou mais

membros que têm competência

financeira.

O estatuto do conselho requer

que pelo menos um membro

tenha competência financeira e

que todos os membros sejam

letrados em finanças.

Pelo menos um membro do

conselho possui experiência

substancial em contabilidade

(por exemplo, contador público

certificado, CFO ou controlador).

Revisar os históricos, incluindo

educação e experiência, dos

membros do conselho, para

avaliar a natureza da sua

competência financeira e

formação.

Frequência - o conselho se

reúne regularmente,

frequentemente em sessões

executivas, e dedica tempo e

recursos suficientes para

cumprir suas funções

adequadamente.

O estatuto do conselho requer

que ele se reúna com uma

frequência igual ou superior a

trimestralmente.

O conselho realiza uma sessão

executiva em cada reunião.

O conselho aloca tempo para se

reunir com o parceiro da firma

de contabilidade pública

registrada e com o DEA em cada

reunião.

O conselho dedica tempo

suficiente para cumprir com

suas responsabilidades (por

exemplo, como regra geral, o

conselho deve se reunir por 1-2

Revisar o estatuto para essas

provisões. Avaliar se o conselho

estava em conformidade com

esse aspecto do estatuto.

Perguntar aos membros do

conselho se o número de

reuniões foi suficiente (para

diretores independentes e não

independentes, separadamente).

Revisar as minutas do conselho

e perguntar aos membros do

conselho se uma sessão

executiva foi realizada em cada

reunião.


e perguntar aos membros do

comitê de auditoria se o

8 Embora o Small Business Guidance do COSO se concentre em controles internos, em vez de reportes financeiros, é importante notar que os conselhos precisam e possuem outros especialistas (por exemplo, gerenciamento de riscos, etc.) como membros em vários comitês. Em tais casos, é esperado que o histórico educacional e a experiência relacionada de tais indivíduos também sejam avaliados.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

dias em cada reunião e o comitê

de auditoria deve se reunir por

3-4 horas em cada reunião).

O presidente do conselho, se

independente, ou, se não, o

diretor independente líder, é

responsável primariamente por

desenvolver a agenda para

reuniões do conselho. Outros

diretores, o DEA, a alta

administração e os auditores

externos dão sua colaboração

para o processo de

estabelecimento da agenda.

O conselho colabora com o

conjunto de informações

recebido antes das reuniões do

conselho/comitê. O conjunto de

informações é recebido pelo

menos três dias antes da

reunião.

Membros do conselho gastam

tempo suficiente revisando o

conjunto de informações pré-

reunião.

O estatuto do conselho autoriza

o conselho a contratar

orientadores externos ou

advogados conforme necessário.

conselho teve a oportunidade de

se reunir sozinho com o parceiro

de auditoria da firma de

contabilidade pública registrada

e com o DEA em cada reunião, e

se ele faz isso em múltiplas

ocasiões ao longo do ano.


sobre a duração das reuniões do

conselho. Perguntar aos

membros do conselho se o

número de reuniões foi

suficiente (para diretores

independentes e não

independentes, separadamente).

Perguntar ao presidente do

conselho (diretor independente

líder) e outros membros do

conselho sobre o processo de

estabelecer a agenda do

conselho. Confirmar se os

membros do conselho tiveram

oportunidade de revisar e dar

sua colaboração para o

estabelecimento da agenda.


conselho sobre o seu

envolvimento na determinação

do conteúdo do conjunto de

informações e a adequação da

distribuição avançada para

revisão anterior à reunião.


conselho, à alta administração,

ao parceiro de auditoria e ao




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

DEA sobre a preparação do

conselho para as reuniões.

Revisar o processo anual de

avaliação do grupo do conselho,

verificando que a preparação do

conselho seja avaliada.

Revisar os estatutos para

provisões, permitindo que o

conselho contrate advogados e

orientadores externos conforme

necessário.

3. Filosofia e Estilo de Operação da Gerência: Princípio Básico - A filosofia e o estilo de operação da

gerência sustentam o alcance de um controle interno eficaz.

Estabelecer o Tom - a filosofia e

o estilo de operação da gerência

enfatizam um reporte interno e

externo de alta qualidade e

transparente, além da

importância de um controle

interno eficaz e do

gerenciamento de riscos.

A gerência enfatiza a

importância de cumprir com os

objetivos de controle interno

através de suas palavras e ações.

Perguntar aos funcionários

relevantes sobre sua percepção

quanto à importância de cumprir

com os objetivos de controle

interno. Revisar os critérios para

as revisões de desempenho dos

funcionários, verificando se os

funcionários são considerados

responsáveis por alcançar os

objetivos de controle interno.

Revisar discursos e

apresentações para partes

internas e externas que possam

refletir o tom e o estilo da

liderança.

Observar ou questionar, de

forma independente, quem

compareceu às reuniões

executivas e/ou do conselho,




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

para confirmar se a extensão e a

profundidade das conversas

sobre riscos, controles e

questões de conformidade foram

apropriadas, considerando os

assuntos encarados pela

organização.

Revisar os resultados das

pesquisas de funcionários, nas

quais questões relacionadas à

cultura e à liderança tenham

sido levantadas.

Articular Objetivos - a gerência

estabelece e articula claramente

os objetivos de controle interno.

Os objetivos de controle interno

sobre o reporte financeiro, a

conformidade com as leis e os

regulamentos aplicáveis, a

eficiência e a eficácia das

operações e a salvaguarda de

bens são comunicados aos

indivíduos relevantes de toda a

organização.

Revisar os manuais de operação

e contabilidade da organização,

além de outros meios de

disseminar os objetivos de

controle interno por toda a

organização. Perguntar aos

indivíduos relevantes a respeito

de seu entendimento dos


Selecionar Princípios e

Estimativas - a gerência segue

um processo disciplinado e

objetivo no desenvolvimento dos


A organização segue um

processo periódico e disciplinado

para o estabelecimento dos

objetivos de controle interno

sobre o reporte financeiro,

conformidade com as leis e os

regulamentos aplicáveis,

eficiência e eficácia das

operações e a salvaguarda de

bens, além de envolver a alta

administração financeira e

operacional.

Revisar a documentação do

processo de estabelecimento dos

objetivos de controle interno da

organização. Perguntar à alta

administração financeira e

operacional sobre seu

envolvimento no

estabelecimento dos objetivos

de controle interno.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

4. Estrutura Organizacional: Princípio Básico - A estrutura organizacional da organização sustenta o

controle interno eficaz.

Estabelecer Responsabilidade -

a gerência estabelece

responsabilidades de reporte

interno para cada área funcional

e unidade de negócios na

organização.

A organização desenvolve uma

estrutura que é apropriada para

seu tamanho, indústria, idade e

riscos de negócios.

A gerência estabelece

responsabilidades de reporte

para todas as unidades

organizacionais.

Revisar a estrutura

organizacional da entidade.

Comparar a estrutura

organizacional com outras

companhia de tamanho,

indústria e idade similares.

Revisar responsabilidades de

reporte estabelecidas e

evidências escritas da delegação

dessas responsabilidades de

reporte durante o período.

Perguntar aos funcionários

principais do operacional,

financeiro e jurídico sobre seu

entendimento e sua

conformidade com as

responsabilidades de reporte.

Revisar se os riscos associados à

estrutura da organização foram

discutidos pela alta

administração e pelo conselho

(por exemplo, riscos associados

a complexidades legais da

entidade, centralização versus

descentralização, abrangência

do controle, ritmo de mudanças

no negócios e se a estrutura

organizacional está se

adaptando, etc.).

Revisar se a estrutura da

organização facilita o fluxo de




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

informações de riscos para cima,

para baixo e por toda a

organização.

Manter a Estrutura - a gerência

mantém uma estrutura

organizacional que facilita o

reporte eficaz e outras

comunicações sobre o controle

interno, entre várias funções e

posições da gerência.

A organização desenvolve e

mantém uma tabela

organizacional que estabelece

papéis e responsabilidades de

reporte para todos os

funcionários.


mantém descrições de cargo das

posições principais.

Revisar a tabela organizacional,

incluindo a especificação de

papéis e responsabilidades de

reporte, além de revisar o

processo de atualização da

tabela organizacional. Perguntar

aos funcionários principais na

estrutura de controle interno

sobre seu entendimento dos

papéis e responsabilidades.

Revisar as descrições de cargo

dos funcionários principais,

incluindo o processo de

atualização das descrições de

cargo. Perguntar aos

funcionários principais na

estrutura de controle interno

sobre seu entendimento das

descrições de cargo.

Manter Processos - as linhas de

reporte da gerência reconhecem

a importância da manutenção de

processos para verificações

objetivas de informações

geradas a partir do sistema de

informação da organização.

A organização estabeleceu

processos para validar,

periodicamente, a confiabilidade

do seu sistema de informação e

a precisão, completude e

pontualidade das informações

geradas por esse sistema.

Revisar o processo da

organização de validar,

periodicamente, a confiabilidade

do seu sistema de informação e

a precisão, completude e

pontualidade das informações

geradas por esse sistema, além

de reportes gerados como

resultado desse processo.

Revisar deficiências

identificadas e a investigação,

resolução e remediação de




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

deficiências identificadas da

organização.

5. Comprometimento com a Competência: Princípio Básico - A organização retém indivíduos

competentes no reporte financeiro, controle interno e gerenciamento de riscos, além de papéis de

supervisão relacionados.

Identificar Competências - as

competências que sustentam a

eficácia do reporte financeiro,

controle interno e gerenciamento

de riscos são identificadas.

Uma estratégia/plano de

competência claro e

transparente existe, alinhado

com a estratégia de negócios e

os objetivos da organização. A

estratégia foi aprovada pela

gerência executiva e

comunicada. A estratégia/plano

deve incluir os requisitos de

competência para atividades que

foram terceirizadas. O plano

deve incluir métodos para

aquisição de competências

requeridas.

Existem planos em prática para

garantir um nível apropriado de

estruturação da equipe.

Existem descrições formais de

cargo/papel e definem tarefas e

competências para cada cargo.

Descrições de cargo/papel (e

experiência) devem incluir

habilidades e comportamentos

necessários para completar o

trabalho atribuído. Para cada

competência, o nível desejado

de competência deve ser

Obter e revisar a estratégia/plano

de competência para verificar se

existe, está alinhado com as

estratégias de negócios e

objetivos, foi aprovado pela

gerência executiva e foi

comunicado conforme

apropriado.

Revisar os níveis de estruturação

da equipe e os organogramas da

organização e conferir com

gerência para entender as

metodologias usadas para avaliar

se há equipe suficiente para

executar estratégias e planos

operacionais.

A partir dos organogramas da

organização, selecionar uma

amostra de cargos e revisar suas

descrições de cargo/papel, para

garantir que o nível certo de

competências tenha sido

articulado para cumprir as

tarefas atribuídas àquele cargo.

As habilidades parecem

apropriadas e as competências

(e experiência) parecem

razoáveis e consistentes? É




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

articulado. recomendado que a amostra

inclua posições principais de

liderança, gerência e de

supervisão, particularmente na

forma como elas se relacionam

com o reporte financeiro, risco e

controle.

Retém Indivíduos - a

organização emprega ou utiliza

de outra forma indivíduos que

possuem as competências

requeridas para o reporte

financeiro, controle interno,

conformidade e gerenciamento

de riscos.

Indivíduos são alocados em

cargos com base em suas

competência (e experiência) com

relação aos requisitos do

trabalho, conforme definido

pelas descrições do cargo.

No preenchimento das posições

principais de gestão, experiência

funcional abrangente deve ser

um objetivo.

É considerada a competência de

prestadores de serviços em casos

de terceirização de atividades.

Deve haver um plano de

treinamento cruzado para a

gerência e a equipe, para dar a

eles um entendimento das

outras funções que impactam os

seus trabalhos específicos e para

suporte a essas funções.

Há planos em prática para

garantir que os níveis adequados

de estruturação da equipe sejam

mantidos.

Existem planos de sucessão para

as posições principais e os

Para contratações recentes,

obter o curriculum vitae ou o

résumé dos incumbentes para

verificar se há uma combinação

apropriada da competência

deles com a posição de trabalho.

Considerar competências,

histórico, educação e

experiência. Perguntar à

gerência sobre a adequação do

processo de seleção.

Na hora de revisar as principais

descrições de cargos de gestão

dos incumbentes, verificar se há

uma experiência funcional

abrangente, em vez de um peso

maior em uma ou duas áreas

funcionais. Perguntar à gerência

sobre o alinhamento das

habilidades e competências

atuais dos incumbentes,

considerando mudanças

contínuas no negócio, riscos e o

desempenho operacional atual.

Revisar acordos/arranjos

terceirizados para verificar se

foram devidamente

consideraadas as competências




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

indivíduos identificados nesses

planos de sucessão possuem as

competências necessárias ou

existem planos para desenvolver

essas competências.

Existe um processo em prática

para obter assistência em

assuntos técnicos de alta

complexidade.

A contratação de indivíduos

inclui a verificação de histórico e

referências, etc.

na hora de selecionar o

prestador do serviço (pré-

qualificação). Garantir que

existam provisões que exijam

que o prestador do serviço

mantenha as competências

necessárias. Avaliar se o

processo de monitoramento de

competências é eficaz.

Obter planos de treinamento e

verificar se o treinamento

cruzado está sendo incluído nas

estratégias de plano de

treinamento.

Perguntar aos auditores externos

sobre sua percepção quanto às

capacidades e do nível de

estruturação da equipe no

reporte financeiro e principais

funções de governança na

organização. Revisar auditorias

feitas por partes externas

(regulatórias, de contrato,

ambiental, etc.).

As competências foram

avaliadas? Se sim, quais foram

as conclusões/recomendações?

Revisar os planos de sucessão

para cargos principais. Garantir

que os planos de

desenvolvimento de treinamento

e as competências dos

candidatos potenciais ao

planejamento de sucessão

geralmente se alinhem com os




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

requisitos do trabalho/papel.

Consultar a equipe financeira e,

independentemente, os

auditores externos, para

determinar como as

necessidades anteriores de

assistência/confirmação técnica

de procedimentos de

contabilidade foram atendidas.

Avaliar Competências – as

competências necessárias são

regularmente avaliadas e

mantidas.

Existe uma abordagem e uma

diretriz de avaliação de

competência que são

documentadas e atualizadas

regularmente. A abordagem é

desenvolvida para identificar

brechas nas competências e

estabelecer planos de

desenvolvimento por escrito para

tratar essas brechas dentro de

uma linha de tempo razoável e

um sistema de monitoramento/

reporte, para garantir que essas

brechas sejam tratadas.

Para indivíduos em cargos

principais de reporte financeiro,

risco e controle, o conselho

avalia, anualmente, suas

competências.

As avaliações anuais de

competências e desempenho da

organização e dos funcionários

do prestador de serviço

terceirizado estão em prática.

Obter e revisar a adequação de

procedimentos para avaliar

competências individuais.

Selecionar uma amostra da

gerência e da equipe e revisar

avaliações, planos para tratar

brechas e o progresso feito até

então. Revisar o sistema de

reporte e concluir se as pessoas

estão, coletivamente,

progredindo adequadamente no

tratamento das brechas de

competências.

Para indivíduos principais,

revisar a documentação de que

isso foi concluído.

Revisar os processos de

negócios nos quais tenham

ocorrido eventos de riscos

surpresa, fraquezas materiais ou

deficiências, para determinar se

as avaliações de competências

foram conduzidas

apropriadamente.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

Habilidades notadas em

descrições de cargo fazem parte

da revisão anual regular de

desempenho dos funcionários.

Revisar uma amostra das

avaliações de desempenho, para

determinar se as habilidades

notadas nas descrições de cargo

realmente fazem parte da

avaliação de desempenho anual

dos funcionários e se os ajustes

de compensação diferem para

funcionários aplicando a mesma

habilidade em vários níveis de

competência.

6. Autoridade e Responsabilidade: Princípio Básico - A gerência e os funcionários têm níveis

apropriados de autoridade e responsabilidade, para facilitar a eficácia do controle interno.

O Conselho Supervisiona o

Controle Interno e o

Gerenciamento de Riscos - o

conselho supervisiona o

processo da gerência para

definir as responsabilidades pelo

controle interno e pelo

gerenciamento de riscos.

As estruturas do conselho legal

da entidade e do comitê,

regimentos e/ou estatutos

definem as responsabilidades

pela supervisão e avaliação dos

principais papéis e

responsabilidades da gerência

pelo gerenciamento de riscos e

controle interno.

As reuniões do conselho devem

incluir, regularmente, discussões

sobre a eficácia dos papéis e

responsabilidades da gerência

pelo gerenciamento de riscos e

controle interno.

Como resultado das discussões,

o conselho deve fazer

recomendações sobre o

realinhamento, se necessário.

Obter e revisar os documentos

legais da organização, para

garantir que existem papéis de

supervisão apropriados e que

estão documentados.

Revisar a agenda e as minutas

das reuniões do conselho, para

verificar se as discussões

apropriadas de supervisão estão

sendo conduzidas.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

Responsabilidades Definidas - a

atribuição de responsabilidade e

de autoridade está claramente

definida para todos os

funcionários envolvidos no

controle interno e nos processos

de gerenciamento de riscos,

conformidade e reporte

financeiro.

O conselho atribui autoridade e

responsabilidade ao CEO, que,

por sua vez, atribui autoridade e

responsabilidade a indivíduos

apropriados na organização.

Essas autoridades e

responsabilidades atribuídas

devem ser formalmente

documentadas.

Para cargos principais de gestão,

o conselho revisa e aprova as

descrições das responsabilidades

e autoridades dos cargos, além

de considerar como essas

funções afetam a força do

controle interno.

A evidência para a atribuição de

autoridades pode ser na forma

de uma matriz de autoridades

atribuídas, descrições de cargo

por escrito ou cartas de

concessão de autoridade

individual. Os funcionários

devem entender suas

autoridades e responsabilidades

claramente.

Quando a gerência atribui

autoridade e responsabilidade a

indivíduos principais, ela

considera o impacto sobre a

eficácia do ambiente de controle

e a importância de manter uma

segregação de tarefas eficaz. Um

conjunto definido de critérios

deve existir, no qual a gerência

Revisar a completude do

processo de atribuição de

responsabilidade e autoridades.

Avaliar a adequação de critérios

para atribuir autoridade.

Através de uma inspeção,

verificar se a gerência principal

possui autoridades

documentadas apropriadas. Por

meio de entrevistas, verificar se

a gerência compreende suas

autoridades e responsabilidades.

Verificar se as autoridades são

revisadas e ajustadas quando

apropriado, periodicamente.

Revisar pesquisas de

funcionários (ou conduzir uma

pesquisa, se não foi conduzida

por outros), para determinar se

as autoridades e

responsabilidades foram

claramente comunicadas e

entendidas.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

baseará os níveis de autoridade.

Quando delega níveis de

autoridade e responsabilidade, a

gerência estabelece um balanço

apropriado entre a autoridade

necessária para "realizar o

trabalho" e a necessidade de

manter controles internos

adequados sobre os principais

processos de negócio.

Os níveis de autoridade devem

ser revisados periodicamente,

para garantir que sejam

apropriados.

Os funcionários são autorizados

a corrigir problemas ou

implementar melhorias nos

processos de negócio a eles

atribuídos, conforme acharem

necessário. A autorização para

tomar essas ações é

acompanhada de níveis pré-

aprovados de responsabilidade e

autoridade.

A gerência considera a natureza

dos cargos dos funcionários

dentro da organização na hora de

atribuir responsabilidades a

indivíduos ou determinar certos

níveis de autoridade aos cargos.

Limite de Autoridade - a

atribuição de autoridade e

responsabilidade inclui

Como parte de conceder

autoridade, o processo da

organização inclui linhas claras

Incluir a verificação dos limites

de autoridade no teste acima.

Durante o período de revisão




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

limitações apropriadas. de autoridade para a aprovação

de transações acima de uma

quantia específica de dólares ou

para o cumprimento de certas

características descritas.

Conforme o limiar do dólar

cresce, aprovações adicionais

por parte da alta administração

são necessárias, com os maiores

limiares de dólar reservados para

aprovação do CEO e do

conselho.

Existe um processo em

andamento para monitorar a

conformidade com os níveis de

autoridade e um processo de

remediação nos casos em que as

autoridades forem excedidas.

para quaisquer eventos/

transações significantes,

verificar se o processo de

aprovação e os níveis de

aprovação apropriados foram

seguidos.

7. Recursos Humanos: Princípio Básico - Políticas e práticas de RH são desenvolvidas e

implementadas para facilitar a eficácia do controle interno.

Estabelecer Políticas de RH - a

gerência estabelece políticas e

procedimentos de RH que

demonstram o seu

comprometimento com a

integridade, o comportamento

ético e a competência.

Existem políticas e

procedimentos de RH. Eles

foram revisados e aprovados pelo

conselho e implementados pela

gerência. As políticas e

procedimentos estão

documentados e, portanto,

fornecem evidências do processo

de controle.

As políticas e procedimentos de

RH são periodicamente

revisados, atualizados se

necessário e

Obter e revisar as políticas e

procedimentos de RH da

organização, para garantir que

estejam completos, atuais e

aprovados apropriadamente.

Revisar o conteúdo da pesquisa

de funcionários mais recente.

Ela pediu que os funcionários

avaliassem a qualidade/eficácia

das políticas, dos procedimentos

e das práticas? Onde existem

oportunidade de melhorias, qual

o status das ações? Os




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

certificados/aprovados pelos

indivíduos apropriados.

Uma política eficaz existe para a

disseminação das políticas e

procedimentos de RH e os

funcionários os entendem.

Funcionários recentemente

contratados recebem uma cópia

de todas as políticas e

procedimentos e todos os

funcionários recebem

atualizações.

São conduzidas pesquisas

periódicas com os funcionários,

para avaliar seu entendimento

sobre as políticas e

procedimentos de RH e se têm

sido eficazes em alcançar os

objetivos de RH.

resultados foram resumidos e

revisados com a alta

administração e o conselho?

Recrutamento e Retenção - o

recrutamento e retenção de

funcionários para cargos

principais são guiados pelos

princípios da integridade e pelas

competências necessárias

associadas aos cargos.

A gerência estabelece e reforça

padrões para a contratação de

profissionais, de forma

consistente com os requisitos da

descrição de cargo.

Políticas sobre conflitos de

interesse com relação a

relacionamentos empregatícios,

tais como aqueles envolvendo

membros da família ou

relacionamentos pessoais entre

colegas de trabalho, estão em

prática e reforçadas.

Práticas de recrutamento

Incluir revisão de procedimentos

de recrutamento/retenção

quando completar a revisão

acima.

Verificar se os procedimentos de

triagem estão sendo seguidos.

Para contratações recentes em

cargos principais, verificar se o

novo contratado cumpre com os

requisitos da posição.

Revisar a documentação de

entrevistas demissionais.

Verificar se a ação de




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

incluem entrevistas de trabalho

formais e profundas.

Procedimentos de triagem,

incluindo verificação de

referências, revisão do currículo

e verificação de histórico são

empregados para candidatos à

vaga, particularmente para

candidatos a cargos principais

da gestão.

As práticas de entrevista e

triagem estão em conformidade

com o trabalho local, os direitos

humanos e leis/regulamentos de

privacidade.


mantém descrições de posições

que refletem seus valores e as

competências necessárias para

satisfazer os requisitos da

posição. As descrições do cargo

contêm referências específicas

às responsabilidades

relacionadas ao controle.

A organização realiza entrevistas

demissionais com aqueles que

estão deixando a organização e

perguntam sobre quaisquer

preocupações relacionadas ao

controle interno.

Estratégias de retenção incluem

planos de sucessão formais. A

organização deve ter um plano

de sucessão documentado para

posições principais de gerência.

acompanhamento foi apropriada.

Obter e revisar os planos de

sucessão para cargos principais.

Garantir que eles sejam

periodicamente revisados e

aprovados.

Revisar estatísticas de

rotatividade e tendências. Os

resultados estavam fora de um

limite razoável analisado foram e

discutidos no nível apropriado?

Avaliar se o RH ou outra área de

gestão revisa os níveis de

rotatividade. Revisar

independentemente os dados de

rotatividade com relação à

rotatividade geral, rotatividade

de contratações recentes e

rotatividade de cargos ou

competências principais. Saber

mais sobre a possível causa raiz

de uma rotatividade excessiva,

inesperada ou inexplicável.




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

Planos de sucessão devem ser

atualizados periodicamente e

aprovados pelo CEO e pelo

conselho.

Treinamento Adequado - a

gerência dá suporte aos

funcionários ao possibilitar o

acesso às ferramentas e ao

treinamento necessário para que

eles cumpram com seus papéis.

Existem programas de

treinamento para reforçar e

promover um comportamento

ético e o controle interno.

Um programa de treinamento

deve incluir a identificação do

conhecimento, das habilidades e

das competências necessárias

para cumprir com seus papéis.

Treinamentos individuais devem

ser documentados em um plano

de treinamento.

O processo de treinamento

contínuo permite que as pessoas

lidem de forma eficaz com seus

ambientes de negócio em

evolução.

Treinamento inclui o

desenvolvimento e o coaching

em liderança e habilidades

interpessoais.

A gerência dá suporte aos

funcionários ao fornecer a eles

as ferramentas e os recursos

necessários para realizar seu

trabalho.

Obter e revisar programas de

treinamento e desenvolvimento,

para garantir que eles abordem

os elementos principais.

Verificar se o programa inclui

passos para avaliar a eficácia do

funcionário e para estabelecer

um plano para fechar quaisquer

brechas identificadas.

Inspecionar os planos de

treinamento de vários membros

principais da equipe de gestão,

para verificar se existem. Avaliar

o progresso do fechamento de

"brechas".

Revisar orçamentos para garantir

que existam recursos adequados

(por exemplo, tempo, pessoas,

fundos, equipamentos) para

cumprir com os planos de

desenvolvimento. Revisar o

gasto atual, para garantir que os

funcionários estejam se

utilizando dos treinamentos.

Revisar o programa de educação

suplementar, se existir um.

Coletar amostras de funcionários

com relação à adequação do

treinamento interno e o valor




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

agregado do treinamento para o

aprimoramento de habilidades e

competências.

Desempenho e Compensação -

as avaliações de desempenho

dos funcionários e as práticas de

compensação da organização,

incluindo aquelas que afetam a

alta administração, apoiam o

alcance dos objetivos de

controle interno.

Existe um processo de

gerenciamento de desempenho

que inclui o estabelecimento de

objetivos, avaliações e

recompensas.

O plano de compensação/

incentivo da organização para os

executivos sênior é balanceado

entre o alcance de objetivos

financeiros e não financeiros e

não é sobrecarregado com

relação ao alcance de resultados

financeiros trimestrais.

O processo de gerenciamento de

desempenho inclui passos para

confirmar a consciência do

progresso de um funcionário em

relação ao alcance de objetivos

durante o período de

desempenho.

Revisões de desempenho são

conduzidas anualmente e

assinadas pelo funcionário e

pelo respectivo gerente. A

revisão documentada é evidência

da revisão de desempenho e é

de fácil obtenção.

Avaliações de desempenho e

compensação para incluir

compensação de incentivo para

Obter e revisar o processo de

gerenciamento de desempenho

documentado da organização.

Verificar se os elementos

principais existem.

Para a gerência principal (ênfase

particular na executiva), verificar

se o processo de gerenciamento

de desempenho foi realizado

conforme requerido.

Revisar as minutas das reuniões

do conselho ou outras

documentações para sustentar

sua revisão e aprovação de

desempenho e recompensas.

Verificar se as mudanças de

compensação, prêmios de

incentivo e as concessões de

ações são consistentes com as

quantias aprovadas pelo

conselho.

Revisar os conjuntos de

informações para o conselho,

para garantir que possui

informações apropriadas para

fazer o benchmarking da

compensação e a premiação de

incentivos.

Revisar processos usados para

desenvolver e compilar




DESIGN DO CONTROLE




CONTROLE)


DE CONTROLE7

a gerência principal são

revisadas pelo conselho antes da

administração/pagamento.

Programas de compensação são

estudados em comparação com

o mercado e com a indústria

periodicamente. O conselho está

atualizado em relação a esses

estudos.

O conselho está certo da

integridade dos sistemas de

informação de programas de

incentivo e de que as

informações usadas para

recompensar uma compensação

de incentivo são confiáveis.

informações de compensação e

identificar se as atividades de

garantia cobrem todas as

atividades importantes.

Revisar a compensação paga

atualmente e os prêmios de

incentivo em relação às quantias

aprovadas e às diretrizes de

pagamento.



Autores: Parveen P. Gupta

Philip D. Bahrman, CIA

Joseph Carcello, CIA

Princy Jain, CIA, CCSA

Norman Marks

James A. Rose, CIA

Erich Schumann, CIA

Natarajan Girija Shankar, CIA

Revisores: Carlos Alberto Reyes, CIA

Maria E. Mendes, CIA, CCSA

Lynn C. Morley, CIA

David W.Zechnich, CIA

Douglas J. Anderson, CIA

Steve Jameson, CIA, CCSA, CFSA



Sobre o Instituto

Fundado em 1941, The Institute of Internal Auditors

(IIA) é uma associação profissional com sede global

em Altamonte Springs, Fla., EUA. O IIA é a voz da

profissão de auditoria interna em todo o mundo,

autoridade reconhecida, líder valorizado, advogado

chefe e principal educador.

Sobre os Guias Práticos

Os Guias Práticos fornecem uma orientação

detalhada para a condução de atividades de auditoria

interna. Eles incluem processos e procedimentos

detalhados, como ferramentas e técnicas, programas

e abordagens passo-a-passo, assim como exemplos

de deliverables. Os Guias Práticos são parte da

Estrutura Internacional de Práticas Profissionais do

IIA. Como parte da categoria de orientação

Fortemente Recomendada, a conformidade não é

obrigatória, mas é altamente recomendada, e a

orientação é endossada pelo IIA por meio de

processos formais de revisão e aprovação. Para mais

materiais de orientação fidedignos fornecidos pelo

IIA, por favor, visite nosso website:

www.iiabrasil.org.br ou www.theiia.org

Isenção de Responsabilidade

O IIA publica este documento para fins informativos

e educacionais. Este material de orientação não tem

como objetivo fornecer respostas definitivas a

específicas circunstâncias individuais e, como tal,

tem o único propósito de servir de guia. O IIA

recomenda que você sempre busque conselhos

especializados independentes, relacionados

diretamente a qualquer situação específica. O IIA

não assume responsabilidade pela confiança

depositada unicamente neste guia.

Copyright

Copyright ® 2011 The Institute of Internal

Auditors. Para permissão para reprodução, favor

entrar em contato com o IIA pelo e-mail:

[email protected]

AUDITANDO O AMBIENTE DE CONTROLE - iiabrasil.org.br · estrutura de reporte da auditoria interna...

Documents

Transcript of AUDITANDO O AMBIENTE DE CONTROLE - iiabrasil.org.br · estrutura de reporte da auditoria interna...