AUDITANDO RELACIONAMENTOS EXTERNOS DE NEGÓCIOS · economias de custos, melhorar a precisão do...

AUDITANDORELACIONAMENTOS EXTERNOS

DE NEGÓCIOS

IPPF - GUIAS PRÁTICOS

IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios

Guia Prático

AUDITANDO RELACIONAMENTOS

EXTERNOS DE NEGÓCIOS

Maio de 2009


www.iiabrasil.org.br / B Este Guia Prático foi traduzido com o apoio de:

Índice

Introdução ...................................................................................................................................... 1

Sumário Executivo ......................................................................................................................... 1

Visão Geral dos Relacionamentos Externos de Negócios (EBRs) ................................................... 2

Exemplos de EBRs ......................................................................................................................... 3

Benefícios dos EBRs ...................................................................................................................... 4

Riscos de Negócio dos EBRs .......................................................................................................... 7

Auditando EBRs ........................................................................................................................... 13

Entender a Organização e Seus Relacionamentos ........................................................... 14

Avaliar Riscos e Controles ............................................................................................... 14

Conduzir Procedimentos de Auditoria .............................................................................. 15

Reportar ........................................................................................................................... 16

Monitorar Progresso ......................................................................................................... 16


www.iiabrasil.org.br / 1 Este Guia Prático foi traduzido com o apoio de:

Introdução Este guia fornece aos auditores internos orientações

para auditar relacionamentos externos ou estendidos

de negócios (extended business relationships – EBRs).

A gerência também pode utilizar este guia na gestão

e monitoramento dos riscos associados a esses

relacionamentos.

Sumário Executivo Ao contemplar o papel da atividade de auditoria

interna em relacionamentos externos de negócios,

considere os seguintes fatores:

1. Organizações têm múltiplos EBRs que

satisfazem uma variedade de necessidades

de negócios;

2. Cada relacionamento apresenta riscos;

3. É responsabilidade da gerência gerir estes

riscos e alcançar os benefícios;

4. A auditoria interna desempenha um papel

fundamental em auxiliar a gerência e validar

seus esforços.

As organizações conduzem negócios com parceiros

EBR por uma variedade de motivos. As organizações

podem buscar benefícios como aumentar suas

receitas por meio de acordos de licenciamento e

distribuição, redução de custos em áreas da

organização externas às suas principais

competências, ou aumentar os recursos existentes

voltados para suas principais competências. No

entanto, com esses relacionamentos de negócios

também vêm riscos inerentes e de controle

associados com o trabalho com parceiros externos de

negócios. Ao associar-se com parceiros externos,

uma organização muitas vezes enfrenta riscos

parecidos àqueles que vivenciaria internamente, sem

a associação externa (por exemplo, uma organização

ainda enfrenta riscos por processos terceirizados).

Além disso, a organização está exposta a riscos

associados à parte externa, assim como às atividades

deste terceiro, incluindo sua reputação, marca e

riscos econômicos. Os auditores internos podem

ajudar a gerência e o conselho a identificar, avaliar e

gerenciar esses riscos.

As gerências da organização são responsáveis por

gerir e monitorar seus EBRs e riscos relacionados.

Embora entrar em um relacionamento de negócio

permita que a organização crie benefícios e

compartilhe alguns riscos com o EBR, a organização

ainda retém a responsabilidade e prestação de contas

sobre uma variedade de riscos. Nem todos os riscos

podem ser delegados ao parceiro de negócio. A

organização precisa monitorar e gerenciar esses

riscos.

A organização é responsável pelas atividades de

gerenciamento de riscos, englobando tarefas tais

como a seleção de parceiros de negócio, eficácia dos

contratos, controles de gestão de contratos de

parceiros/clientes, monitoramento e reporte de

conformidade contratual e gestão do relacionamento

de negócio. Sem os controles apropriados em prática

para abordar os riscos associados a essas

responsabilidades, a organização pode perder receita

ou incorrer em riscos maiores, assim como ter

operações ineficazes, um reporte inadequado e até

mesmo danos à sua marca, além dos impactos sobre

o relacionamento de negócio.

Ao assumir propriedade e controle dessas

responsabilidades, as organizações têm a habilidade

de reduzir riscos e ajudar a promover um

relacionamento de confiança e prestação de contas

com seus parceiros de negócios. Com uma boa

supervisão de seus relacionamentos de negócio, uma

organização pode prestar contas de todas as receitas

e, potencialmente, reduzir custos, possibilitando a

organização a receber os plenos benefícios do

relacionamento de negócio.

Os auditores internos precisam entender todos os

elementos associados aos EBRs, desde o início de

um relacionamento, contratação e definição de um

relacionamento, aquisição, gestão e monitoramento



do relacionamento contínuo (incluindo

considerações do ambiente de controle quanto à

objetividade e independência daqueles responsáveis

por gerir e monitorar), e finalmente o término do

relacionamento. Após entender as expectativas de

ambas as partes, assim como os processos

apropriados para gerenciar e monitorar o

relacionamento, o auditor interno desenvolve um

programa apropriado de auditoria com objetivos

relevantes para as auditorias dos relacionamentos

externos. Além disso, os procedimentos de auditoria

interna podem incluir elementos para avaliação da

aderência aos (e conformidade com os) termos

contratuais, para determinar se as obrigações

monetárias e não monetárias foram cumpridas.

É importante que as organizações saibam que elas

estão obtendo aquilo por que estão pagando, que

estão recebendo o que estão ganhando ou,

simplesmente, que estão usufruindo dos benefícios

esperados do relacionamento. Tais procedimentos de

auditoria podem revelar receitas perdidas ou

economias de custos, melhorar a precisão do reporte

e aumentar o valor resultante do relacionamento, por

meio de um ou mais dos elementos a seguir:

limitação de atividades fraudulentas, aumento da

confiança do relacionamento, estímulo do feedback,

melhoria dos relacionamentos e auxílio à gerência

para melhorar os controles internos e externos.

Visão Geral dos Relacionamentos Externos de Negócios (EBRs) “Parceiros externos de negócios”, “relacionamentos

estendidos” e “relacionamentos contratuais” são

alguns dos diversos nomes que as organizações

atuais usam para definir seus relacionamentos

estendidos de negócios. Por meio deste guia prático,

vamos simplesmente nos referir a eles como EBRs e

à outra entidade como parceiro EBR.

As organizações frequentemente usam parceiros de

negócios e parcerias variadas para atingir seus

objetivos. Para apoiar e sustentar o crescimento, os

negócios são crescentemente apoiados por meio de

terceirização e licenciamento. Mais do que nunca,

produtos e serviços são agora desenvolvidos por meio

de alianças estratégicas e acordos conjuntos de

desenvolvimento. Os negócios escolheram se

aproveitar destes relacionamentos comerciais por

motivos que vão de cortes de custos a uma força de

trabalho mais econômica e eficiente, de aumentar o

alcance ao cliente ou a escalabilidade até a melhoria

do acesso às novas tecnologias, ou uma marca

conhecida. Este modelo de negócio, no qual os

negócios são interdependentes, e no qual

relacionamentos “externos” e “estendidos” de

negócios existem, também é conhecido como

empreendimento estendido.

Conforme utilizado neste guia, EBRs não incluem

relacionamentos comerciais nos quais a organização

apenas forneça informações a outras organizações e

relacionamentos que não sejam necessariamente

criados como uma questão de escolha; exemplos

incluem agências de classificação, analistas

financeiros e autoridades tributárias.



Exemplos de EBRs

TIPO DE RELACIONAMENTO EXEMPLOS DE SERVIÇOS

Prestador de Serviços Processamento (ex., benefícios, folha de pagamento)

Centros de serviços de contabilidade/ computador

Tecnologia da informação

Centros de serviços compartilhados

Terceirização ou co-sourcing de auditoria interna

Processamento de garantias

Call centers

Propaganda/Marketing

Leasing

Construção

Parceiros de fornecimento Terceirização ou assistência de produção

Pesquisa e Desenvolvimento

Fornecedores/Vendedores

Desenvolvimento de software

Parceiros de demanda Distribuidor/revendedor

Franqueado

Licenciado

Replicador

Produtor original do equipamento (Original equipment manufacturer –

OEM)



Alianças estratégicas, Consórcios e Joint

Ventures

Relacionamentos de compartilhamento de custos (ex., desenvolvimento

farmacêutico, produção e distribuição de produtos de petróleo e gás, e

produção e distribuição de mídia)

Relacionamentos de compartilhamento de receita (ex., desenvolvimento

farmacêutico e produção e distribuição de mídia)

Compartilhamento de lucros (ex., mercado imobiliário, farmacêutico e de

mídia)

Combinação das opções acima

Parceiros de Propriedade Intelectual (PI) Licenciados de PI

Uso interno de PI (ex., software)

Largura de Banda (ex., telecomunicações)

Assinantes

Benefícios dos EBRs As organizações escolhem fazer negócios com

parceiros EBR por uma variedade de motivos. Há

um valor que um parceiro EBR agrega à organização

que ela, sozinha, não consegue criar com eficiência

ou eficácia para seus clientes e clientes em

potencial. Alguns dos motivos mais comuns para

utilizar EBRs incluem a redução de custos e o

aproveitamento de uma competência do parceiro

EBR que não seja uma competência principal da

organização; mas os benefícios de usar um EBR não

param por aí. Veja a tabela abaixo para mais

benefícios de utilizar um parceiro EBR.

BENEFÍCIO DESCRIÇÃO DO BENEFÍCIOS

Redução de custos Acesso à estrutura de custo inferior do parceiro EBR

Custo inferior de mão-de-obra

Redução das ineficiências operacionais

Foco da organização em capacidades e ofertas

principais

Permite que a organização se concentre nas competências primárias

do negócio e nas competências fundamentais



Melhor uso dos recursos internos

Vantagem comparativa do parceiro EBR em prestar serviços

Maior qualidade de serviço ou produto Utilização da expertise do parceiro EBR

Conhecimento combinado e de colaboração reúne as forças de cada

organização

Redução das ineficiências operacionais e erros

Acesso a novos mercados Mais oportunidades de alcançar novos mercados

Aproveitamento dos relacionamentos por meio dos parceiros EBR

Economias de escala e porte

Conhecimento do parceiro EBR quanto à cultura local e idioma

Conclusão oportuna de projetos Conjunto de recursos oportuno, ágil e flexível, incluindo pessoal

Maior e mais aprofundado conhecimento para desenvolver e

implementar planos de ação mais eficientes e produtivos

Aumento de recursos Conjunto de recursos de pessoal maior e mais flexível

Acesso a um novo conjunto de recursos de conhecimento

Acesso a melhores tecnologias e habilidades

Compartilhamento de riscos e gerenciamento

de riscos

Compartilhamento do risco do investimento

Maior agilidade, para permitir que organização se adapte e reaja a

riscos com maior rapidez

As organizações podem reduzir seus custos por meio

de EBRs. Por exemplo, os custos podem ser

reduzidos ao aproveitar a estrutura de custos

inferiores do parceiro de EBR, o que poderia existir

por meio de uma maior economia de escala ou

localização em um país com mão de obra mais

barata. As organizações que escolhem permanecer

sem parceiros EBR são responsáveis por todos os

custos, incluindo custos de pesquisa, marketing,

desenvolvimento e contratação. A redução de custos

é um motivo comum pelo qual as organizações

escolhem trabalhar com parceiros EBR.

Outro benefício chave ganho por meio de EBRs é a

capacitação; uma organização pode se utilizar das

capacidades de outros e pode focar em suas



competências principais. Por meio do uso de EBRs,

as organizações não gastam seus recursos em áreas

nas quais não têm expertise. Ao gastar recursos com

competências não principais, as organizações podem

perder suas vantagens competitivas e recursos

internos valiosos, tais como funcionários, são

necessários para apoiar atividades que tendem a ser

mais custosas e menos lucrativas. Por outro lado, os

recursos redirecionados o negócio central da

organização poderiam causar uma redução no

sucesso de seu negócio central. Parceiros EBR

podem solucionar este problema ao abordar essas

áreas externas ao negócio central e os recursos

internos podem se aproveitar melhor de suas

habilidades ao se concentrar no negócio central.

Parceiros EBR também têm a habilidade de ajudar a

organização a entregar serviços melhorados ou criar

um produto melhor. Um EBR pode trazer

habilidades ou conhecimentos especializados que

uma organização não tem. Este conhecimento e

habilidade pode melhorar muito o serviço ou produto

da organização, ao trazer inovação, eficiências

aprendidas, e muitos outros atributos que a

organização pode não ter. Além disso, esse

conhecimento coletivo e seu compartilhamento

podem levar a uma maior inovação, além de

produtos e serviços melhores, conforme as

habilidades são usadas colaborativamente.

EBRs podem dar acesso a novos mercados. Um

parceiro EBR pode ter presença em um mercado

existente no qual a organização pode estar querendo

entrar. Ao trabalhar com este parceiro EBR, a

organização aumenta e melhora sua habilidade de

adentrar e crescer dentro deste novo mercado. O

parceiro EBR pode ser capaz de compartilhar seus

relacionamentos; pode ter uma marca conhecida que

a organização pode utilizar no novo mercado, pode

ter capacidades que promovam a propriedade

intelectual da organização, ou pode ter

conhecimentos regulatórios, culturais ou outros

conhecimentos relevantes do novo mercado que a

organização não tenha. Um parceiro EBR também

pode aumentar a habilidade da organização de

adentrar e crescer dentro de um mercado por meio

de maiores economias de escala e porte, ao fornecer

recursos para ajudar a corresponder ao crescimento

acelerado dentro de um novo mercado.

Projetos podem ser concluídos mais oportunamente

com a ajuda de EBRs. Um dos benefícios das EBRs

é poder fornecer um conjunto de recursos maior e

mais flexível. Eles podem rapidamente fornecer à

organização recursos habilidosos e especializados,

que podem ajudar com a conclusão oportuna de

projetos que a organização possa não ter os recursos

necessários para concluir. Além disso, parceiros EBR

podem ter mais experiência na área com a qual a

organização está precisando de ajuda, o que pode

aumentar a probabilidade da conclusão oportuna das

tarefas e projetos. A organização não precisará se

esforçar sozinha ao aprender a fazer o trabalho. A

curva ascendente será mais rápida por conta do

benefício dos sucessos já vivenciados e as eficiências

operacionais do parceiro EBR.

Em geral, um parceiro EBR pode aumentar e

melhorar o conjunto geral de recursos com

profissionais experientes, qualificados e habilidosos

em grande escala. Estes recursos podem aperfeiçoar

áreas de fraqueza para as quais a organização talvez

não tenha os recursos ou inclinação de aperfeiçoar.

Parceiros EBR também podem fornecer recursos

além de pessoal, tais como tecnologia, para

beneficiar a organização. O acesso à tecnologia

especializada pode trazer à organização benefícios

tais como a automação de processos manuais

existentes, melhorando a eficiência operacional, a

qualidade da produção e do serviço, ou aumentando

a escalabilidade da saída de uma organização, ou

reduzindo erros. Usar um EBR pode ajudar a

organização a melhorar seus controles internos, por

exemplo, quando o parceiro EBR tem controles mais

fortes do que a organização.

Por fim, por meio de EBRs, a organização pode se

beneficiar pelo compartilhamento de riscos e do

gerenciamento de riscos. Uma organização pode

compartilhar seu risco de investimento com um

parceiro EBR em um novo empreendimento por

meio do investimento de capital, recursos e tempo.



Essa pode não ser a forma mais comum pela qual as

organizações compartilham riscos. Ao compartilhar

seu investimento de capital, recursos e tempo em

um projeto ou empreendimento, uma organização

reduz seu risco de “colocar todos os ovos na mesma

cesta”. O impacto sobre a organização é reduzido se

os parceiros comerciais participem do investimento,

permitindo que a organização faça outros

investimentos e diversifique seu portfólio. Os riscos

também podem ser reduzidos e o gerenciamento de

riscos pode ser melhorado por meio de EBRs. As

vantagens comparativas que um parceiro EBR traz

podem ser nas áreas de maior risco para a

organização, reduzindo o risco geral de um projeto

ou empreendimento. Os benefícios podem incluir

uma habilidade maior de reagir a riscos e fazer as

mudanças apropriadas com os recursos,

conhecimento e habilidades disponíveis do parceiro

EBR. E porque um EBR pode fornecer estes

benefícios, os auditores internos precisam considerar

os EBRs ao fazer recomendações para melhoria das

operações e controles.

Riscos de Negócio dos EBRs Embora EBRs sejam desenvolvidos para alcançar

benefícios, há riscos significantes no geral e

especificamente. A tabela a seguir lista alguns

exemplos de objetivos e metas gerais de negócios,

riscos associados, assim como atividades de controle

potencial para mitigar esses riscos. Riscos e

controles associados a um processo razoável de

gestão de aquisições e contratos não são abordados

na tabela abaixo; mas são abordados em diversas

publicações e cursos de treinamento do IIA. Além

disso, muitos aspectos de Responsabilidade Social

Corporativa (Corporate Social Responsibility – CSR)

são relevantes ao conduzir negócios com EBRs. A

tabela abaixo lida brevemente com alguns conceitos

de CSR, mas uma discussão mais ampla pode ser

encontrada em outras publicações e informações do

IIA.

Para alcançar os benefícios dos EBRs e mitigar os

riscos associados, a organização precisa desenvolver

procedimentos e controles apropriados. Eles são

abordados no gráfico abaixo e incluem a necessidade

de conformidade com os acordos EBR e a gestão

proativa do relacionamento para aumentar o valor e

minimizar os riscos.

META / OBJETIVO

RISCOS POTENCIAIS QUE PODEM

PREVENIR O ALCANCE DAS METAS E

OBJETIVOS

POSSÍVEIS ATIVIDADES ORGANIZACIONAIS

PARA MITIGAR RISCOS

Observação: Em cada exemplo abaixo,

conduzir auditorias de conformidade do EBR é

geralmente apropriado.

1. Identificar e avaliar todos os EBRs EBRs não são identificados.

Riscos adicionais:

Relacionamentos não identificados

não podem ser avaliados ou

monitorados apropriadamente.

Relacionamentos não identificados

podem não ter contratos em

Funcionários encarregados documentam

todos os EBRs e mantém a documentação

atualizada.

Supervisores revisam a documentação

para verificar sua adequação.

Identificar riscos inerentes a cada

relacionamento e avaliar riscos residuais,



conformidade com as políticas e

diretrizes contratuais da organização

ou com as políticas e diretrizes de EBR

da organização.

depois de considerar controles.

2. Manter uma reputação positiva As ações do EBR impactam

negativamente a reputação da

organização.

Riscos adicionais:

EBR representa mal os valores da

organização.

EBR não está em conformidade com

as obrigações contratuais.

EBR viola as leis e regulamentos

governamentais.

O departamento jurídico revisa o contrato

para determinar se ele inclui normas

éticas, conformidade com cláusulas de

leis/regulamentos, requisitos de

conformidade com valores específicos da

organização e um direito bem

documentado de auditar (mais do que

“livros e registros”, diz respeito aos

riscos mais amplos do relacionamento).

Quando o relacionamento é iniciado, o

zelo devido apropriado é conduzido para

terminar se o EBR tem probabilidade de

representar mal os valores

organizacionais.

3. Minimizar riscos seguráveis (ex.,

indenização profissional)

Parceiro EBR não mantém cobertura de

seguro adequada/eficaz, incluindo as

seguintes:

Compensação de funcionários (ex., por

tempo perdido por conta de lesões)

Indenização profissional

Responsabilidade Pública

Seguro de Veículos Motorizados

Riscos adicionais:

Outros riscos surgem quando consórcios

são formados para fornecer um serviço no

qual a organização que o presta é

subsidiária de uma organização maior

(principalmente quando a organização

mãe não está no mesmo país):

Seguro recomendado para o contrato

específico pode não cobrir todos os

membros do consórcio para aquele

contrato específico.

No caso de uma subsidiária, o seguro

A revisão, por parte da gerência, da

adequação e eficácia da cobertura do

seguro do parceiro EBR, antes da

assinatura do contrato e durante a

vigência do contrato. A gerência pode

revisar:

Como o nível de seguro foi

determinado e se é adequado ou não.

Se o seguro precisa ser aumentado

durante o período do relacionamento

(ex., o efeito da inflação; registros de

solicitações anteriores do prestador).

Se os parceiros EBR fornecem provas

de terceiros, tais como um certificado

da companhia de seguros.

Cláusulas de contrato que exijam que

o prestador forneça certificados

atualizados do seguro durante

contratos de longo prazo (quando o

contrato for além da data de expiração

do certificado inicial do seguro).



recomendado para contrato específico

pode não se aplicar à subsidiária e/ou

país no qual o trabalho será

conduzido.

A organização mãe toma atitudes que

impedem a cobertura do seguro sobre

a subsidiária.

Solvência do segurador e

resseguradora.

Eficácia (incluindo solvência) do

fornecedor do seguro.

Revisão por parte da gerência pode

incluir o envolvimento de um especialista

em seguros, a revisão de históricos de

circunstâncias semelhantes,

investigações diretas da empresa de

seguros e revisão da cobertura do seguro

sobre o consórcio ou subsidiária.

4. Um entendimento claro dos níveis

de serviços entre a organização e

seu EBR

Níveis de serviço são inadequados ou

insatisfatórios.

Disputas ou desacordos com relação ao

escopo dos serviços entre a organização e

seu EBR.

Riscos adicionais:

O escopo dos entregáveis do EBR não

é adequadamente definido na

documentação contratual, um

memorando de entendimento, um

acordo de nível de serviço, ou outra

documentação parecida detalhando os

termos de referência.

Diferenças no entendimento ou

interpretação dos requisitos do

serviço.

Inicialmente, isso pode ser documentado

em uma solicitação de proposta/

orçamento, quando uma organização

solicita que possíveis parceiros EBR

forneçam o melhor valor para solução

monetária.

Produtos a serem entregues ou

produzidos podem ser definidos em um

documento de escopo de trabalho que

defina os requisitos de qualidade,

regulamentos ou normas com as quais

deva haver conformidade.

Qualquer que seja a forma de serviço ou

produto a ser entregue, o princípio guia é

Revisão jurídica do contrato e por parte

da gerência, para o seguinte:

O contrato e/ou documentação de

apoio estão claramente

documentados?

As principais partes interessadas no

relacionamento aprovaram o

documento?

O contrato inclui uma cláusula

adequada de direito de auditar (não

apenas limitada a livros e registros) e

um processo acordado de resolução de

disputas?

A responsabilidade por gerir o contrato

foi designada a alguém?

O contrato inclui o dever claro de

reportar os principais parâmetros de

forma regular e oportuna?

O parceiro EBR tem habilidades e a

experiência adequada?

As notas recebidas do parceiro EBR

estão adequadamente documentadas

para permitir a identificação de

solicitações “fora do escopo”?

As aprovações para trabalho a realizar

e pagamentos e enviar são dadas no

nível apropriado de autoridade?

Os processos são adequados para

mensurar e validar os níveis



o de que o serviço ou produto a ser

entregue está adequadamente definido,

entendido e acordado por todas as

partes.

esperados de serviço?

A informação fornecida pelo parceiro

EBR é validada para buscar precisão,

relevância e oportunidade?

5. EBR é capaz de fornecer serviços

sem conflitos de interesse

EBR identifica conflitos de interesse em

prestar serviços.

Riscos adicionais:

Conflitos de interesse podem ser reais,

potenciais ou percebidos. Um conflito de

interesse pode não necessariamente

impedir um EBR de prestar um serviço;

no entanto, controles adequados são

necessários para mitigar os riscos.

Exemplos de como eles podem surgir em

um EBR incluem:

Qualidade ou oportunidade do

trabalho pode ser afetada de forma

adversa por conta de outros contratos

vigentes.

Informações obtidas durante o

contrato podem influenciar de forma

adversa a tomada de decisões devido

a outros contratos vigentes.

Exigir que o parceiro EBR declare

qualquer conflito de interesse real,

potencial ou percebido antes de

aceitar a indicação.

Exigir que o parceiro EBR declare

qualquer conflito de interesse real,

potencial ou percebido conforme e

quando surgirem ao longo do contrato.

Revisão, por parte da gerência, das

declarações de interesse para avaliar

impacto e decidir se há uma violação

de contrato e qual atitude tomar

6. A organização recebe remuneração

apropriada para propriedade

intelectual (PI).

O EBR protege apropriadamente a

propriedade intelectual (PI) da

organização.

Propriedade intelectual (PI) licenciada a

outros pode estar recebendo fluxos

inapropriados de royalties.

Roubo ou má utilização de ideias ou

tecnologia.

Riscos adicionais:

Perda de receitas

Violação de informações confidenciais

Uso inapropriado de propriedade

intelectual

Riscos associados a diferentes

jurisdições, práticas legais,

ineficiência legal ou até mesmo

corrupção legal.

Revisão jurídica do contrato e por parte

da gerência, para determinar se o

contrato inclui cláusulas de que ideias,

tecnologias e/ou propriedades

intelectuais (PI) fornecidas pela

organização estejam recebendo os fluxos

apropriados de royalties e permaneçam

como propriedade da organização.

O contrato é claro quanto à mensuração e

validação dos fluxos de royalties e quanto

a quem é proprietário da PI gerada como

resultado do contrato e o que o prestador

pode ou não fazer com tal PI.

Para reduzir o risco em países com

proteção legal menor do que adequada, o

contrato com o parceiro EBR é elaborado



de forma que o parceiro EBR compartilha

da perda pelos controles insuficientes

sobre a PI.

7. Tarifas precisas para serviços EBR Superfaturamento por ineficiências ou

serviços não prestados.

Superfaturamento por conta de erros

administrativos nas contas.

Riscos adicionais:

Serviços prestados não correspondem

às obrigações contratuais.

Exigir que o parceiro EBR mantenha

controles eficazes sobre seu sistema

de registro de tempo e quaisquer

outros sistemas que afetem a quantia

cobrada.

Planos da gestão do projeto

identificam o alcance de marcos e a

certificação de qualidade sobre os

serviços prestados.


controles eficazes sobre o

faturamento.

O diretor/gestor do projeto revisa se os

produtos do contrato atendem todos os

requisitos e aprova todas as

cobranças pelos serviços anteriores ao

pagamento.

8. Risco do EBR sair do negócio é

consistente com as expectativas

da organização

EBR sai do negócio e fica incapaz de

cumprir com suas obrigações

contratuais.

Riscos adicionais:

Solvência dos fiadores ou seguradoras

também poderiam ser riscos.

Antes da indicação, a gerência faz seu

zelo devido com relação ao negócio do

parceiro EBR, para uma avaliação

razoável de que ele continuará viável

durante o período do contrato. O zelo

devido pode incluir a revisão de áreas

tais como:

Qual será o impacto do contrato sobre

o negócio do parceiro EBR?

O parceiro EBR depende de certos

contratos principais?

Os indicadores financeiros principais

parecem razoáveis?

Os dados fornecidos foram auditados?

A organização tem planos de

contingência em prática para cobrir o

cancelamento ou incapacidade por

parte do parceiro EBR de cumprir com



o contrato?

Para contratos de prazo maior, a gerência

atualiza esta revisão ao menos

anualmente.

9. Informações compartilhadas com

o EBR são apropriadamente

protegidas e estão em

conformidade com as regras de

privacidade apropriadas

Perda de informações confidenciais.

Riscos adicionais:

Risco reputacional

Risco legal associado à perda de

informação pessoalmente identificável

(personally identifiable information –

PII).


controles de segurança físicos e lógicos

apropriados em prática, para restringir o

acesso de indivíduos inapropriados.

Exigir que o parceiro EBR revise o acesso

a informações de forma periódica para

avaliar sua adequação.

Exigir que o parceiro EBR esteja em

conformidade com a privacidade de

dados e outras leis e regulamentos.

A gerência avalia a Declaração de

Normas de Auditoria (Statement on

Auditing Standards – SAS) 70 do parceiro

ou seu relatório International Standard on

Auditing (ISA) 402.

Alguns dos riscos podem ser riscos de fraude, tais

como quando o parceiro EBR se apropria

indevidamente dos ativos da organização

fraudulentamente.

Por fim, embora não seja o foco deste guia, o auditor

interno deve considerar se a organização atingiu

conformidade apropriada com as obrigações e

compromissos que assumiu ao contratar outros, isto

é, mitigando o risco de que a própria organização não

atingisse a conformidade com os requisitos

contratuais.



Auditando EBRs Similarmente a outras auditorias internas, as Normas

Internacionais para Prática Profissional de Auditoria

Interna se aplicam ao auditar EBRs. Por exemplo, o

diretor executivo de auditoria (DEA) inclui

auditorias internas de EBRs no universo de

auditoria, determina quais auditorias conduzir a cada

ano e estrutura cada auditoria com uma equipe de

auditoria interna independente. O auditor interno

pode combinar a auditoria de EBRs com outras

auditorias operacionais, de conformidade com leis

ou regulamentos, ou demonstrações financeiras.

O DEA precisa decidir se auditará cada EBR como

uma auditoria separada, se auditará certos tipos de

relacionamento ou o processo EBR em sua

totalidade. Esta última abordagem pode permitir que

o auditor interno dê uma avaliação geral do processo

de EBR. O restante deste guia prático concentra-se

na auditoria de EBRs. O contexto mais amplo,

incluindo a gestão de contratos, seleção de parceiros

comerciais e outros, estão além do escopo deste guia

prático.

O gráfico a seguir ilustra o ciclo de condução de

auditorias de EBRs.



Os itens a seguir são os passos essenciais, como na

maioria das auditorias internas; o processo é

normalmente iterativo e não precisa seguir a ordem

abaixo:

Entender a Organização e Seus

Relacionamentos

Entender a organização – A organização pode

ter uma variedade de motivos para manter

EBRs, conforme discutido anteriormente. Cada

relacionamento apresenta seu próprio conjunto

de riscos e benefícios. EBRs podem ser

iniciados e gerenciados por um departamento

ou vários e podem representar uma grande

importância para uma organização. Entender a

estrutura, o modelo de negócio, as metas

estratégicas e os riscos corporativos da

organização permitirá que o auditor interno

entenda melhor os riscos da não conformidade

por parte de um parceiro EBR.

Entender o ambiente – Determinar se os EBRs

da organização foram identificados; se não,

solicitar à gerência que os identifique, obtenha

informações sobre a natureza de cada

relacionamento, incluindo informações de

contato do parceiro EBR, o que fornecem,

quantidades envolvidas, detalhes contratuais e

outros fatores.

Entender os processos de sua organização –

Como a organização:

– Determina a necessidade de um EBR?

– Determina e documenta os objetivos e metas

para um EBR?

– Identifica, avalia e documenta riscos para o

EBR?

– Controla os riscos identificados?

– Faz seu zelo devido (incluindo a obtenção de

histórico e referências de verificação) com

relação ao parceiro EBR?

– Aprova a entrada no acordo?

– Aprova a redação do acordo?

– Gerencia o relacionamento?

– Monitora o desempenho do parceiro EBR?

– Dá feedback a EBRs?

– Monitora sua própria conformidade com o

acordo?

– Aprende com o parceiro EBR?

– Termina o relacionamento?

– Continua o relacionamento?

Entender a natureza geral de cada EBR – Quais

são os objetivos de sua organização? Qual tipo

de serviço é prestado? Quem controla e

monitora as relações com o parceiro EBR? Há

um acordo por escrito, incluindo as expectativas

e proteções apropriadas? Quais são as provisões

principais? Qual o nível de aprovação que

recebeu? Qual o nível de importância que o

EBR tem em relação ao modelo de negócio da

organização? Há uma cláusula de auditoria no

contrato com o parceiro EBR? O que a

organização faz para melhorar o

relacionamento?

Avaliar Riscos e Controles

Entender os riscos inerentes – Determinar

impactos potenciais da ausência de quaisquer

controles dos riscos inerentes que a organização

tenha avaliado, assim como daqueles que o

auditor interno tenha identificado e avaliado.

Veja “Riscos de Negócio de EBRs” para

exemplos de riscos inerentes gerais e detalhes.

Entender o desenvolvimento de controles que

sua organização pôs em prática para mitigar

riscos – Avaliar o risco de controle de forma

preliminar.

Determinar os principais controles – Principais

controles que, se não forem eficazes, significam

que os riscos não foram mitigados. Veja tabela

acima para referências a controles típicos.

Entender o ambiente, processos e controles do

parceiro EBR – Como os bens ou serviços serão

fornecidos e como os processos e controles do



parceiro EBR mitigarão os riscos da

organização? Isso fornecerá um maior histórico

e ajudará na avaliação de riscos do auditor

interno.

Determinar quais EBRs auditar a fundo, quais

processos auditar e os objetivos de auditoria – A

auditoria poderia ser operacional (por exemplo,

a organização alcançou seus objetivos a um

custo razoável?), de conformidade (o EBR está

em conformidade com as leis e regulamentos,

tais como segurança do trabalhador, trabalho

infantil, qualidade do produto e obrigações

contratuais?), financeira (os controles sobre o

reporte financeiro são eficazes e estão em

conformidade com diretrizes regulatórias tais

como a Sarbanes-Oxley e as informações estão

bem declaradas?), ou alguma combinação

dessas auditorias.

Determinar se o auditor interno do parceiro

EBR realizou algum trabalho com relação ao

contrato – Considerações incluem o objetivo,

escopo e resultados de seu trabalho. O

resultado do trabalho apoia seus objetivos; e

você usará este trabalho, ou como usará?

Conduzir Procedimentos de Auditoria

Determinar se será conduzido trabalho no local

do EBR – Com base nos objetivos de auditoria,

determinar se os procedimentos precisam ser

conduzidos no EBR (Observação: alguns EBRs

não autorizam acesso da atividade de auditoria

de um parceiro comercial, a não ser que o

contrato forneça esse acesso). Se apropriado,

desenvolver e conduzir testes para determinar

se os principais controles estão operando com

eficácia e/ou para validar questões substanciais.

O auditor pode obter os manuais de usuário do

parceiro EBR e outras orientações sobre seus

processos. Para processos financeiros, isso

normalmente inclui procedimentos recomendados

para o usuário e relatório de um auditor de serviço. A

International Standard on Auditing 402 (Revisada e

reformulada), Audit Considerations Related to an

Entity Using a Third Party Service Organization (ISA

402), fornece orientações e normas para auditores

externos; esta orientação é útil para auditores

internos testarem esses relacionamentos. [ISA 402 é

similar à SAS 70 (AU 324) nos EUA.]

A ISA 402 discute dois tipos de relatórios que um

auditor de serviço pode fornecer:

– Tipo A – Relatório sobre o Desenvolvimento e

Descrição de Controles em uma Organização de

Serviços;

– Tipo B – Relatório sobre o Desenvolvimento,

Descrição e Eficácia Operacional dos Controles

em uma Organização de Serviços.

Relatórios Tipo A são usados para entender os

processos da organização de serviços e o

desenvolvimento de controles. O auditor interno usa

relatórios Tipo B para determinar se os controles na

organização de serviço estão operando com eficácia.

Para mais orientações, consulte a ISA 402.

O auditor interno da organização pode usar o

trabalho de outros auditores na auditoria de EBRs.

Por exemplo, o auditor interno pode trabalhar com o

auditor interno de um parceiro EBR para obter

informações necessárias ou para conduzir testes

necessários. Antes de tomar a decisão de confiar no

trabalho de outro auditor, o auditor interno

determina se o auditor conduzindo o trabalho é

competente e objetivo. Além disso, a natureza,

objetivos e escopo do trabalho a ser utilizado são

avaliados para determinar se ele apoia os objetivos de

auditoria interna da organização.

Avaliar resultados dos testes.

Identificar descobertas e, conforme apropriado,

alcançar conclusões – Ao fazer isso, considerar

se as descobertas se aplicam além do EBR

específico a outros EBRs ou ao processo inteiro

de EBR da organização. Individualmente, os

resultados das auditorias EBR podem identificar

deficiências no parceiro EBR ou nos processos

comerciais individuais da organização. Mesmo

se o DEA não tiver planejado as auditorias para

alcançar conclusões gerais, pode às vezes ser

possível fazê-lo. Ao agregar os resultados de

auditorias individuais de EBRs, o auditor



interno pode identificar problemas mais amplos

e sistêmicos. Depois de conduzir as auditorias

individuais de contrato, o auditor interno pode

considerar formar uma avaliação e conclusão

geral quanto à eficácia do programa de

monitoramento de EBR da organização. Ao

fazê-lo, o auditor interno considera se foi feito

trabalho suficiente para alcançar tais

conclusões.

Reportar

Rascunhar, discutir e reportar os resultados –

Os resultados podem ser reportados

internamente para ajudar no processo de

negócio e nas melhorias dos controles.

Normalmente, o auditor segue o processo

normal de reporte para se comunicar com a

gerência e, se apropriado, com o conselho. No

entanto, quando o auditor interno encontra

deficiências nos controles e operações do EBR,

o auditor pode também se comunicar com

aqueles que estão gerenciando o

relacionamento com o parceiro EBR.

Monitorar Progresso

Dar feedback ao EBR – Aqueles encarregados

de gerenciar o relacionamento podem se

comunicar com o EBR sobre a necessidade de

corrigir quaisquer deficiências identificadas. Se

as deficiências não forem corrigidas, os gestores

do relacionamento e outros na gerência

determinam a melhor forma de mitigar os

riscos, incluindo se deverão dar continuidade ao

EBR. Isso pode ser considerado quando o EBR

está agendado para renovação ou até mesmo

antes disso, em casos de deficiências

significantes. Isso é mais fácil se o contrato

permitir renegociações em casos de surgimento

de deficiências significantes.

O auditor interno pode conduzir periodicamente

procedimentos para determinar se a gerência

abordou apropriadamente as descobertas

identificadas e pode ser convocado para auxiliar a

gerência a determinar se os EBRs estão sendo

geridos apropriadamente.

Este guia fornece aos auditores internos orientações

para auditar relacionamentos externos ou estendidos

de negócios (extended business relationships – EBRs).

A gerência também pode utilizar este guia na gestão

e monitoramento dos riscos associados a esses

relacionamentos.



Membros da Equipe do Guia

Prático: David W. Zechnich, CIA

Abraham D. Akresh

Gregory S. Dubis, CIA, CCSA

Gaston L. Gianni Jr., CGAP

Stephen J. Linden

Gilbert T. Radford, CIA

Susan L. Rudolph, CIA



Sobre o Instituto

Fundado em 1941, The Institute of Internal Auditors

(IIA) é uma associação profissional com sede global

em Altamonte Springs, Fla., EUA. O IIA é a voz da

profissão de auditoria interna em todo o mundo,

autoridade reconhecida, líder valorizado, advogado

chefe e principal educador.

Sobre os Guias Práticos

Os Guias Práticos são uma declaração do IIA para

auxiliar uma grande variedade de partes interessadas,

incluindo aquelas que não pertençam à profissão da

auditoria interna, a entender questões significantes

de governança, riscos ou controle e a delinear os

papéis e responsabilidades relacionados dos

auditores internos quanto a uma questão

significante. Os Guias Práticos fazem parte da

Estrutura Internacional de Práticas Profissionais

(IPPF) do IIA. Como parte da categoria de

orientação Fortemente Recomendada, a

conformidade não é obrigatória, mas é altamente

recomendada, e a orientação é endossada pelo IIA

por meio de processos formais de revisão e

aprovação. Para mais materiais de orientação

fidedignos fornecidos pelo IIA, visite nosso website:

www.iiabrasil.org.br ou www.theiia.org

Isenção de Responsabilidade

O IIA publica este documento para fins informativos

e educacionais. Este material de orientação não tem

como objetivo fornecer respostas definitivas a

específicas circunstâncias individuais e, como tal,

tem o único propósito de servir de guia. O IIA

recomenda que você sempre busque conselhos

especializados independentes, relacionados

diretamente a qualquer situação específica. O IIA

não assume responsabilidade pela confiança

depositada unicamente neste guia.

Copyright

Os direitos autorais deste documento pertencem ao

The IIA. Para permissão para reprodução, favor

entrar em contato com o IIA pelo e-mail:

[email protected]

Rua Princesa Isabel, 94 1º Andar Brooklin PaulistaCEP: 04601-000

AUDITANDO RELACIONAMENTOS EXTERNOS DE NEGÓCIOS · economias de custos, melhorar a precisão do...

Documents

Transcript of AUDITANDO RELACIONAMENTOS EXTERNOS DE NEGÓCIOS · economias de custos, melhorar a precisão do...