AUDITANDO RELACIONAMENTOS EXTERNOS DE NEGÓCIOS · economias de custos, melhorar a precisão do...
Transcript of AUDITANDO RELACIONAMENTOS EXTERNOS DE NEGÓCIOS · economias de custos, melhorar a precisão do...
AUDITANDORELACIONAMENTOS EXTERNOS
DE NEGÓCIOS
IPPF - GUIAS PRÁTICOS
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
Guia Prático
AUDITANDO RELACIONAMENTOS
EXTERNOS DE NEGÓCIOS
Maio de 2009
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / B Este Guia Prático foi traduzido com o apoio de:
Índice
Introdução ...................................................................................................................................... 1
Sumário Executivo ......................................................................................................................... 1
Visão Geral dos Relacionamentos Externos de Negócios (EBRs) ................................................... 2
Exemplos de EBRs ......................................................................................................................... 3
Benefícios dos EBRs ...................................................................................................................... 4
Riscos de Negócio dos EBRs .......................................................................................................... 7
Auditando EBRs ........................................................................................................................... 13
Entender a Organização e Seus Relacionamentos ........................................................... 14
Avaliar Riscos e Controles ............................................................................................... 14
Conduzir Procedimentos de Auditoria .............................................................................. 15
Reportar ........................................................................................................................... 16
Monitorar Progresso ......................................................................................................... 16
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 1 Este Guia Prático foi traduzido com o apoio de:
Introdução Este guia fornece aos auditores internos orientações
para auditar relacionamentos externos ou estendidos
de negócios (extended business relationships – EBRs).
A gerência também pode utilizar este guia na gestão
e monitoramento dos riscos associados a esses
relacionamentos.
Sumário Executivo Ao contemplar o papel da atividade de auditoria
interna em relacionamentos externos de negócios,
considere os seguintes fatores:
1. Organizações têm múltiplos EBRs que
satisfazem uma variedade de necessidades
de negócios;
2. Cada relacionamento apresenta riscos;
3. É responsabilidade da gerência gerir estes
riscos e alcançar os benefícios;
4. A auditoria interna desempenha um papel
fundamental em auxiliar a gerência e validar
seus esforços.
As organizações conduzem negócios com parceiros
EBR por uma variedade de motivos. As organizações
podem buscar benefícios como aumentar suas
receitas por meio de acordos de licenciamento e
distribuição, redução de custos em áreas da
organização externas às suas principais
competências, ou aumentar os recursos existentes
voltados para suas principais competências. No
entanto, com esses relacionamentos de negócios
também vêm riscos inerentes e de controle
associados com o trabalho com parceiros externos de
negócios. Ao associar-se com parceiros externos,
uma organização muitas vezes enfrenta riscos
parecidos àqueles que vivenciaria internamente, sem
a associação externa (por exemplo, uma organização
ainda enfrenta riscos por processos terceirizados).
Além disso, a organização está exposta a riscos
associados à parte externa, assim como às atividades
deste terceiro, incluindo sua reputação, marca e
riscos econômicos. Os auditores internos podem
ajudar a gerência e o conselho a identificar, avaliar e
gerenciar esses riscos.
As gerências da organização são responsáveis por
gerir e monitorar seus EBRs e riscos relacionados.
Embora entrar em um relacionamento de negócio
permita que a organização crie benefícios e
compartilhe alguns riscos com o EBR, a organização
ainda retém a responsabilidade e prestação de contas
sobre uma variedade de riscos. Nem todos os riscos
podem ser delegados ao parceiro de negócio. A
organização precisa monitorar e gerenciar esses
riscos.
A organização é responsável pelas atividades de
gerenciamento de riscos, englobando tarefas tais
como a seleção de parceiros de negócio, eficácia dos
contratos, controles de gestão de contratos de
parceiros/clientes, monitoramento e reporte de
conformidade contratual e gestão do relacionamento
de negócio. Sem os controles apropriados em prática
para abordar os riscos associados a essas
responsabilidades, a organização pode perder receita
ou incorrer em riscos maiores, assim como ter
operações ineficazes, um reporte inadequado e até
mesmo danos à sua marca, além dos impactos sobre
o relacionamento de negócio.
Ao assumir propriedade e controle dessas
responsabilidades, as organizações têm a habilidade
de reduzir riscos e ajudar a promover um
relacionamento de confiança e prestação de contas
com seus parceiros de negócios. Com uma boa
supervisão de seus relacionamentos de negócio, uma
organização pode prestar contas de todas as receitas
e, potencialmente, reduzir custos, possibilitando a
organização a receber os plenos benefícios do
relacionamento de negócio.
Os auditores internos precisam entender todos os
elementos associados aos EBRs, desde o início de
um relacionamento, contratação e definição de um
relacionamento, aquisição, gestão e monitoramento
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 2 Este Guia Prático foi traduzido com o apoio de:
do relacionamento contínuo (incluindo
considerações do ambiente de controle quanto à
objetividade e independência daqueles responsáveis
por gerir e monitorar), e finalmente o término do
relacionamento. Após entender as expectativas de
ambas as partes, assim como os processos
apropriados para gerenciar e monitorar o
relacionamento, o auditor interno desenvolve um
programa apropriado de auditoria com objetivos
relevantes para as auditorias dos relacionamentos
externos. Além disso, os procedimentos de auditoria
interna podem incluir elementos para avaliação da
aderência aos (e conformidade com os) termos
contratuais, para determinar se as obrigações
monetárias e não monetárias foram cumpridas.
É importante que as organizações saibam que elas
estão obtendo aquilo por que estão pagando, que
estão recebendo o que estão ganhando ou,
simplesmente, que estão usufruindo dos benefícios
esperados do relacionamento. Tais procedimentos de
auditoria podem revelar receitas perdidas ou
economias de custos, melhorar a precisão do reporte
e aumentar o valor resultante do relacionamento, por
meio de um ou mais dos elementos a seguir:
limitação de atividades fraudulentas, aumento da
confiança do relacionamento, estímulo do feedback,
melhoria dos relacionamentos e auxílio à gerência
para melhorar os controles internos e externos.
Visão Geral dos Relacionamentos Externos de Negócios (EBRs) “Parceiros externos de negócios”, “relacionamentos
estendidos” e “relacionamentos contratuais” são
alguns dos diversos nomes que as organizações
atuais usam para definir seus relacionamentos
estendidos de negócios. Por meio deste guia prático,
vamos simplesmente nos referir a eles como EBRs e
à outra entidade como parceiro EBR.
As organizações frequentemente usam parceiros de
negócios e parcerias variadas para atingir seus
objetivos. Para apoiar e sustentar o crescimento, os
negócios são crescentemente apoiados por meio de
terceirização e licenciamento. Mais do que nunca,
produtos e serviços são agora desenvolvidos por meio
de alianças estratégicas e acordos conjuntos de
desenvolvimento. Os negócios escolheram se
aproveitar destes relacionamentos comerciais por
motivos que vão de cortes de custos a uma força de
trabalho mais econômica e eficiente, de aumentar o
alcance ao cliente ou a escalabilidade até a melhoria
do acesso às novas tecnologias, ou uma marca
conhecida. Este modelo de negócio, no qual os
negócios são interdependentes, e no qual
relacionamentos “externos” e “estendidos” de
negócios existem, também é conhecido como
empreendimento estendido.
Conforme utilizado neste guia, EBRs não incluem
relacionamentos comerciais nos quais a organização
apenas forneça informações a outras organizações e
relacionamentos que não sejam necessariamente
criados como uma questão de escolha; exemplos
incluem agências de classificação, analistas
financeiros e autoridades tributárias.
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 3 Este Guia Prático foi traduzido com o apoio de:
Exemplos de EBRs
TIPO DE RELACIONAMENTO EXEMPLOS DE SERVIÇOS
Prestador de Serviços Processamento (ex., benefícios, folha de pagamento)
Centros de serviços de contabilidade/ computador
Tecnologia da informação
Centros de serviços compartilhados
Terceirização ou co-sourcing de auditoria interna
Processamento de garantias
Call centers
Propaganda/Marketing
Leasing
Construção
Parceiros de fornecimento Terceirização ou assistência de produção
Pesquisa e Desenvolvimento
Fornecedores/Vendedores
Desenvolvimento de software
Parceiros de demanda Distribuidor/revendedor
Franqueado
Licenciado
Replicador
Produtor original do equipamento (Original equipment manufacturer –
OEM)
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 4 Este Guia Prático foi traduzido com o apoio de:
Alianças estratégicas, Consórcios e Joint
Ventures
Relacionamentos de compartilhamento de custos (ex., desenvolvimento
farmacêutico, produção e distribuição de produtos de petróleo e gás, e
produção e distribuição de mídia)
Relacionamentos de compartilhamento de receita (ex., desenvolvimento
farmacêutico e produção e distribuição de mídia)
Compartilhamento de lucros (ex., mercado imobiliário, farmacêutico e de
mídia)
Combinação das opções acima
Parceiros de Propriedade Intelectual (PI) Licenciados de PI
Uso interno de PI (ex., software)
Largura de Banda (ex., telecomunicações)
Assinantes
Benefícios dos EBRs As organizações escolhem fazer negócios com
parceiros EBR por uma variedade de motivos. Há
um valor que um parceiro EBR agrega à organização
que ela, sozinha, não consegue criar com eficiência
ou eficácia para seus clientes e clientes em
potencial. Alguns dos motivos mais comuns para
utilizar EBRs incluem a redução de custos e o
aproveitamento de uma competência do parceiro
EBR que não seja uma competência principal da
organização; mas os benefícios de usar um EBR não
param por aí. Veja a tabela abaixo para mais
benefícios de utilizar um parceiro EBR.
BENEFÍCIO DESCRIÇÃO DO BENEFÍCIOS
Redução de custos Acesso à estrutura de custo inferior do parceiro EBR
Custo inferior de mão-de-obra
Redução das ineficiências operacionais
Foco da organização em capacidades e ofertas
principais
Permite que a organização se concentre nas competências primárias
do negócio e nas competências fundamentais
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 5 Este Guia Prático foi traduzido com o apoio de:
Melhor uso dos recursos internos
Vantagem comparativa do parceiro EBR em prestar serviços
Maior qualidade de serviço ou produto Utilização da expertise do parceiro EBR
Conhecimento combinado e de colaboração reúne as forças de cada
organização
Redução das ineficiências operacionais e erros
Acesso a novos mercados Mais oportunidades de alcançar novos mercados
Aproveitamento dos relacionamentos por meio dos parceiros EBR
Economias de escala e porte
Conhecimento do parceiro EBR quanto à cultura local e idioma
Conclusão oportuna de projetos Conjunto de recursos oportuno, ágil e flexível, incluindo pessoal
Maior e mais aprofundado conhecimento para desenvolver e
implementar planos de ação mais eficientes e produtivos
Aumento de recursos Conjunto de recursos de pessoal maior e mais flexível
Acesso a um novo conjunto de recursos de conhecimento
Acesso a melhores tecnologias e habilidades
Compartilhamento de riscos e gerenciamento
de riscos
Compartilhamento do risco do investimento
Maior agilidade, para permitir que organização se adapte e reaja a
riscos com maior rapidez
As organizações podem reduzir seus custos por meio
de EBRs. Por exemplo, os custos podem ser
reduzidos ao aproveitar a estrutura de custos
inferiores do parceiro de EBR, o que poderia existir
por meio de uma maior economia de escala ou
localização em um país com mão de obra mais
barata. As organizações que escolhem permanecer
sem parceiros EBR são responsáveis por todos os
custos, incluindo custos de pesquisa, marketing,
desenvolvimento e contratação. A redução de custos
é um motivo comum pelo qual as organizações
escolhem trabalhar com parceiros EBR.
Outro benefício chave ganho por meio de EBRs é a
capacitação; uma organização pode se utilizar das
capacidades de outros e pode focar em suas
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 6 Este Guia Prático foi traduzido com o apoio de:
competências principais. Por meio do uso de EBRs,
as organizações não gastam seus recursos em áreas
nas quais não têm expertise. Ao gastar recursos com
competências não principais, as organizações podem
perder suas vantagens competitivas e recursos
internos valiosos, tais como funcionários, são
necessários para apoiar atividades que tendem a ser
mais custosas e menos lucrativas. Por outro lado, os
recursos redirecionados o negócio central da
organização poderiam causar uma redução no
sucesso de seu negócio central. Parceiros EBR
podem solucionar este problema ao abordar essas
áreas externas ao negócio central e os recursos
internos podem se aproveitar melhor de suas
habilidades ao se concentrar no negócio central.
Parceiros EBR também têm a habilidade de ajudar a
organização a entregar serviços melhorados ou criar
um produto melhor. Um EBR pode trazer
habilidades ou conhecimentos especializados que
uma organização não tem. Este conhecimento e
habilidade pode melhorar muito o serviço ou produto
da organização, ao trazer inovação, eficiências
aprendidas, e muitos outros atributos que a
organização pode não ter. Além disso, esse
conhecimento coletivo e seu compartilhamento
podem levar a uma maior inovação, além de
produtos e serviços melhores, conforme as
habilidades são usadas colaborativamente.
EBRs podem dar acesso a novos mercados. Um
parceiro EBR pode ter presença em um mercado
existente no qual a organização pode estar querendo
entrar. Ao trabalhar com este parceiro EBR, a
organização aumenta e melhora sua habilidade de
adentrar e crescer dentro deste novo mercado. O
parceiro EBR pode ser capaz de compartilhar seus
relacionamentos; pode ter uma marca conhecida que
a organização pode utilizar no novo mercado, pode
ter capacidades que promovam a propriedade
intelectual da organização, ou pode ter
conhecimentos regulatórios, culturais ou outros
conhecimentos relevantes do novo mercado que a
organização não tenha. Um parceiro EBR também
pode aumentar a habilidade da organização de
adentrar e crescer dentro de um mercado por meio
de maiores economias de escala e porte, ao fornecer
recursos para ajudar a corresponder ao crescimento
acelerado dentro de um novo mercado.
Projetos podem ser concluídos mais oportunamente
com a ajuda de EBRs. Um dos benefícios das EBRs
é poder fornecer um conjunto de recursos maior e
mais flexível. Eles podem rapidamente fornecer à
organização recursos habilidosos e especializados,
que podem ajudar com a conclusão oportuna de
projetos que a organização possa não ter os recursos
necessários para concluir. Além disso, parceiros EBR
podem ter mais experiência na área com a qual a
organização está precisando de ajuda, o que pode
aumentar a probabilidade da conclusão oportuna das
tarefas e projetos. A organização não precisará se
esforçar sozinha ao aprender a fazer o trabalho. A
curva ascendente será mais rápida por conta do
benefício dos sucessos já vivenciados e as eficiências
operacionais do parceiro EBR.
Em geral, um parceiro EBR pode aumentar e
melhorar o conjunto geral de recursos com
profissionais experientes, qualificados e habilidosos
em grande escala. Estes recursos podem aperfeiçoar
áreas de fraqueza para as quais a organização talvez
não tenha os recursos ou inclinação de aperfeiçoar.
Parceiros EBR também podem fornecer recursos
além de pessoal, tais como tecnologia, para
beneficiar a organização. O acesso à tecnologia
especializada pode trazer à organização benefícios
tais como a automação de processos manuais
existentes, melhorando a eficiência operacional, a
qualidade da produção e do serviço, ou aumentando
a escalabilidade da saída de uma organização, ou
reduzindo erros. Usar um EBR pode ajudar a
organização a melhorar seus controles internos, por
exemplo, quando o parceiro EBR tem controles mais
fortes do que a organização.
Por fim, por meio de EBRs, a organização pode se
beneficiar pelo compartilhamento de riscos e do
gerenciamento de riscos. Uma organização pode
compartilhar seu risco de investimento com um
parceiro EBR em um novo empreendimento por
meio do investimento de capital, recursos e tempo.
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 7 Este Guia Prático foi traduzido com o apoio de:
Essa pode não ser a forma mais comum pela qual as
organizações compartilham riscos. Ao compartilhar
seu investimento de capital, recursos e tempo em
um projeto ou empreendimento, uma organização
reduz seu risco de “colocar todos os ovos na mesma
cesta”. O impacto sobre a organização é reduzido se
os parceiros comerciais participem do investimento,
permitindo que a organização faça outros
investimentos e diversifique seu portfólio. Os riscos
também podem ser reduzidos e o gerenciamento de
riscos pode ser melhorado por meio de EBRs. As
vantagens comparativas que um parceiro EBR traz
podem ser nas áreas de maior risco para a
organização, reduzindo o risco geral de um projeto
ou empreendimento. Os benefícios podem incluir
uma habilidade maior de reagir a riscos e fazer as
mudanças apropriadas com os recursos,
conhecimento e habilidades disponíveis do parceiro
EBR. E porque um EBR pode fornecer estes
benefícios, os auditores internos precisam considerar
os EBRs ao fazer recomendações para melhoria das
operações e controles.
Riscos de Negócio dos EBRs Embora EBRs sejam desenvolvidos para alcançar
benefícios, há riscos significantes no geral e
especificamente. A tabela a seguir lista alguns
exemplos de objetivos e metas gerais de negócios,
riscos associados, assim como atividades de controle
potencial para mitigar esses riscos. Riscos e
controles associados a um processo razoável de
gestão de aquisições e contratos não são abordados
na tabela abaixo; mas são abordados em diversas
publicações e cursos de treinamento do IIA. Além
disso, muitos aspectos de Responsabilidade Social
Corporativa (Corporate Social Responsibility – CSR)
são relevantes ao conduzir negócios com EBRs. A
tabela abaixo lida brevemente com alguns conceitos
de CSR, mas uma discussão mais ampla pode ser
encontrada em outras publicações e informações do
IIA.
Para alcançar os benefícios dos EBRs e mitigar os
riscos associados, a organização precisa desenvolver
procedimentos e controles apropriados. Eles são
abordados no gráfico abaixo e incluem a necessidade
de conformidade com os acordos EBR e a gestão
proativa do relacionamento para aumentar o valor e
minimizar os riscos.
META / OBJETIVO
RISCOS POTENCIAIS QUE PODEM
PREVENIR O ALCANCE DAS METAS E
OBJETIVOS
POSSÍVEIS ATIVIDADES ORGANIZACIONAIS
PARA MITIGAR RISCOS
Observação: Em cada exemplo abaixo,
conduzir auditorias de conformidade do EBR é
geralmente apropriado.
1. Identificar e avaliar todos os EBRs EBRs não são identificados.
Riscos adicionais:
Relacionamentos não identificados
não podem ser avaliados ou
monitorados apropriadamente.
Relacionamentos não identificados
podem não ter contratos em
Funcionários encarregados documentam
todos os EBRs e mantém a documentação
atualizada.
Supervisores revisam a documentação
para verificar sua adequação.
Identificar riscos inerentes a cada
relacionamento e avaliar riscos residuais,
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 8 Este Guia Prático foi traduzido com o apoio de:
conformidade com as políticas e
diretrizes contratuais da organização
ou com as políticas e diretrizes de EBR
da organização.
depois de considerar controles.
2. Manter uma reputação positiva As ações do EBR impactam
negativamente a reputação da
organização.
Riscos adicionais:
EBR representa mal os valores da
organização.
EBR não está em conformidade com
as obrigações contratuais.
EBR viola as leis e regulamentos
governamentais.
O departamento jurídico revisa o contrato
para determinar se ele inclui normas
éticas, conformidade com cláusulas de
leis/regulamentos, requisitos de
conformidade com valores específicos da
organização e um direito bem
documentado de auditar (mais do que
“livros e registros”, diz respeito aos
riscos mais amplos do relacionamento).
Quando o relacionamento é iniciado, o
zelo devido apropriado é conduzido para
terminar se o EBR tem probabilidade de
representar mal os valores
organizacionais.
3. Minimizar riscos seguráveis (ex.,
indenização profissional)
Parceiro EBR não mantém cobertura de
seguro adequada/eficaz, incluindo as
seguintes:
Compensação de funcionários (ex., por
tempo perdido por conta de lesões)
Indenização profissional
Responsabilidade Pública
Seguro de Veículos Motorizados
Riscos adicionais:
Outros riscos surgem quando consórcios
são formados para fornecer um serviço no
qual a organização que o presta é
subsidiária de uma organização maior
(principalmente quando a organização
mãe não está no mesmo país):
Seguro recomendado para o contrato
específico pode não cobrir todos os
membros do consórcio para aquele
contrato específico.
No caso de uma subsidiária, o seguro
A revisão, por parte da gerência, da
adequação e eficácia da cobertura do
seguro do parceiro EBR, antes da
assinatura do contrato e durante a
vigência do contrato. A gerência pode
revisar:
Como o nível de seguro foi
determinado e se é adequado ou não.
Se o seguro precisa ser aumentado
durante o período do relacionamento
(ex., o efeito da inflação; registros de
solicitações anteriores do prestador).
Se os parceiros EBR fornecem provas
de terceiros, tais como um certificado
da companhia de seguros.
Cláusulas de contrato que exijam que
o prestador forneça certificados
atualizados do seguro durante
contratos de longo prazo (quando o
contrato for além da data de expiração
do certificado inicial do seguro).
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 9 Este Guia Prático foi traduzido com o apoio de:
recomendado para contrato específico
pode não se aplicar à subsidiária e/ou
país no qual o trabalho será
conduzido.
A organização mãe toma atitudes que
impedem a cobertura do seguro sobre
a subsidiária.
Solvência do segurador e
resseguradora.
Eficácia (incluindo solvência) do
fornecedor do seguro.
Revisão por parte da gerência pode
incluir o envolvimento de um especialista
em seguros, a revisão de históricos de
circunstâncias semelhantes,
investigações diretas da empresa de
seguros e revisão da cobertura do seguro
sobre o consórcio ou subsidiária.
4. Um entendimento claro dos níveis
de serviços entre a organização e
seu EBR
Níveis de serviço são inadequados ou
insatisfatórios.
Disputas ou desacordos com relação ao
escopo dos serviços entre a organização e
seu EBR.
Riscos adicionais:
O escopo dos entregáveis do EBR não
é adequadamente definido na
documentação contratual, um
memorando de entendimento, um
acordo de nível de serviço, ou outra
documentação parecida detalhando os
termos de referência.
Diferenças no entendimento ou
interpretação dos requisitos do
serviço.
Inicialmente, isso pode ser documentado
em uma solicitação de proposta/
orçamento, quando uma organização
solicita que possíveis parceiros EBR
forneçam o melhor valor para solução
monetária.
Produtos a serem entregues ou
produzidos podem ser definidos em um
documento de escopo de trabalho que
defina os requisitos de qualidade,
regulamentos ou normas com as quais
deva haver conformidade.
Qualquer que seja a forma de serviço ou
produto a ser entregue, o princípio guia é
Revisão jurídica do contrato e por parte
da gerência, para o seguinte:
O contrato e/ou documentação de
apoio estão claramente
documentados?
As principais partes interessadas no
relacionamento aprovaram o
documento?
O contrato inclui uma cláusula
adequada de direito de auditar (não
apenas limitada a livros e registros) e
um processo acordado de resolução de
disputas?
A responsabilidade por gerir o contrato
foi designada a alguém?
O contrato inclui o dever claro de
reportar os principais parâmetros de
forma regular e oportuna?
O parceiro EBR tem habilidades e a
experiência adequada?
As notas recebidas do parceiro EBR
estão adequadamente documentadas
para permitir a identificação de
solicitações “fora do escopo”?
As aprovações para trabalho a realizar
e pagamentos e enviar são dadas no
nível apropriado de autoridade?
Os processos são adequados para
mensurar e validar os níveis
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 10 Este Guia Prático foi traduzido com o apoio de:
o de que o serviço ou produto a ser
entregue está adequadamente definido,
entendido e acordado por todas as
partes.
esperados de serviço?
A informação fornecida pelo parceiro
EBR é validada para buscar precisão,
relevância e oportunidade?
5. EBR é capaz de fornecer serviços
sem conflitos de interesse
EBR identifica conflitos de interesse em
prestar serviços.
Riscos adicionais:
Conflitos de interesse podem ser reais,
potenciais ou percebidos. Um conflito de
interesse pode não necessariamente
impedir um EBR de prestar um serviço;
no entanto, controles adequados são
necessários para mitigar os riscos.
Exemplos de como eles podem surgir em
um EBR incluem:
Qualidade ou oportunidade do
trabalho pode ser afetada de forma
adversa por conta de outros contratos
vigentes.
Informações obtidas durante o
contrato podem influenciar de forma
adversa a tomada de decisões devido
a outros contratos vigentes.
Exigir que o parceiro EBR declare
qualquer conflito de interesse real,
potencial ou percebido antes de
aceitar a indicação.
Exigir que o parceiro EBR declare
qualquer conflito de interesse real,
potencial ou percebido conforme e
quando surgirem ao longo do contrato.
Revisão, por parte da gerência, das
declarações de interesse para avaliar
impacto e decidir se há uma violação
de contrato e qual atitude tomar
6. A organização recebe remuneração
apropriada para propriedade
intelectual (PI).
O EBR protege apropriadamente a
propriedade intelectual (PI) da
organização.
Propriedade intelectual (PI) licenciada a
outros pode estar recebendo fluxos
inapropriados de royalties.
Roubo ou má utilização de ideias ou
tecnologia.
Riscos adicionais:
Perda de receitas
Violação de informações confidenciais
Uso inapropriado de propriedade
intelectual
Riscos associados a diferentes
jurisdições, práticas legais,
ineficiência legal ou até mesmo
corrupção legal.
Revisão jurídica do contrato e por parte
da gerência, para determinar se o
contrato inclui cláusulas de que ideias,
tecnologias e/ou propriedades
intelectuais (PI) fornecidas pela
organização estejam recebendo os fluxos
apropriados de royalties e permaneçam
como propriedade da organização.
O contrato é claro quanto à mensuração e
validação dos fluxos de royalties e quanto
a quem é proprietário da PI gerada como
resultado do contrato e o que o prestador
pode ou não fazer com tal PI.
Para reduzir o risco em países com
proteção legal menor do que adequada, o
contrato com o parceiro EBR é elaborado
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 11 Este Guia Prático foi traduzido com o apoio de:
de forma que o parceiro EBR compartilha
da perda pelos controles insuficientes
sobre a PI.
7. Tarifas precisas para serviços EBR Superfaturamento por ineficiências ou
serviços não prestados.
Superfaturamento por conta de erros
administrativos nas contas.
Riscos adicionais:
Serviços prestados não correspondem
às obrigações contratuais.
Exigir que o parceiro EBR mantenha
controles eficazes sobre seu sistema
de registro de tempo e quaisquer
outros sistemas que afetem a quantia
cobrada.
Planos da gestão do projeto
identificam o alcance de marcos e a
certificação de qualidade sobre os
serviços prestados.
Exigir que o parceiro EBR mantenha
controles eficazes sobre o
faturamento.
O diretor/gestor do projeto revisa se os
produtos do contrato atendem todos os
requisitos e aprova todas as
cobranças pelos serviços anteriores ao
pagamento.
8. Risco do EBR sair do negócio é
consistente com as expectativas
da organização
EBR sai do negócio e fica incapaz de
cumprir com suas obrigações
contratuais.
Riscos adicionais:
Solvência dos fiadores ou seguradoras
também poderiam ser riscos.
Antes da indicação, a gerência faz seu
zelo devido com relação ao negócio do
parceiro EBR, para uma avaliação
razoável de que ele continuará viável
durante o período do contrato. O zelo
devido pode incluir a revisão de áreas
tais como:
Qual será o impacto do contrato sobre
o negócio do parceiro EBR?
O parceiro EBR depende de certos
contratos principais?
Os indicadores financeiros principais
parecem razoáveis?
Os dados fornecidos foram auditados?
A organização tem planos de
contingência em prática para cobrir o
cancelamento ou incapacidade por
parte do parceiro EBR de cumprir com
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 12 Este Guia Prático foi traduzido com o apoio de:
o contrato?
Para contratos de prazo maior, a gerência
atualiza esta revisão ao menos
anualmente.
9. Informações compartilhadas com
o EBR são apropriadamente
protegidas e estão em
conformidade com as regras de
privacidade apropriadas
Perda de informações confidenciais.
Riscos adicionais:
Risco reputacional
Risco legal associado à perda de
informação pessoalmente identificável
(personally identifiable information –
PII).
Exigir que o parceiro EBR mantenha
controles de segurança físicos e lógicos
apropriados em prática, para restringir o
acesso de indivíduos inapropriados.
Exigir que o parceiro EBR revise o acesso
a informações de forma periódica para
avaliar sua adequação.
Exigir que o parceiro EBR esteja em
conformidade com a privacidade de
dados e outras leis e regulamentos.
A gerência avalia a Declaração de
Normas de Auditoria (Statement on
Auditing Standards – SAS) 70 do parceiro
ou seu relatório International Standard on
Auditing (ISA) 402.
Alguns dos riscos podem ser riscos de fraude, tais
como quando o parceiro EBR se apropria
indevidamente dos ativos da organização
fraudulentamente.
Por fim, embora não seja o foco deste guia, o auditor
interno deve considerar se a organização atingiu
conformidade apropriada com as obrigações e
compromissos que assumiu ao contratar outros, isto
é, mitigando o risco de que a própria organização não
atingisse a conformidade com os requisitos
contratuais.
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 13 Este Guia Prático foi traduzido com o apoio de:
Auditando EBRs Similarmente a outras auditorias internas, as Normas
Internacionais para Prática Profissional de Auditoria
Interna se aplicam ao auditar EBRs. Por exemplo, o
diretor executivo de auditoria (DEA) inclui
auditorias internas de EBRs no universo de
auditoria, determina quais auditorias conduzir a cada
ano e estrutura cada auditoria com uma equipe de
auditoria interna independente. O auditor interno
pode combinar a auditoria de EBRs com outras
auditorias operacionais, de conformidade com leis
ou regulamentos, ou demonstrações financeiras.
O DEA precisa decidir se auditará cada EBR como
uma auditoria separada, se auditará certos tipos de
relacionamento ou o processo EBR em sua
totalidade. Esta última abordagem pode permitir que
o auditor interno dê uma avaliação geral do processo
de EBR. O restante deste guia prático concentra-se
na auditoria de EBRs. O contexto mais amplo,
incluindo a gestão de contratos, seleção de parceiros
comerciais e outros, estão além do escopo deste guia
prático.
O gráfico a seguir ilustra o ciclo de condução de
auditorias de EBRs.
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 14 Este Guia Prático foi traduzido com o apoio de:
Os itens a seguir são os passos essenciais, como na
maioria das auditorias internas; o processo é
normalmente iterativo e não precisa seguir a ordem
abaixo:
Entender a Organização e Seus
Relacionamentos
Entender a organização – A organização pode
ter uma variedade de motivos para manter
EBRs, conforme discutido anteriormente. Cada
relacionamento apresenta seu próprio conjunto
de riscos e benefícios. EBRs podem ser
iniciados e gerenciados por um departamento
ou vários e podem representar uma grande
importância para uma organização. Entender a
estrutura, o modelo de negócio, as metas
estratégicas e os riscos corporativos da
organização permitirá que o auditor interno
entenda melhor os riscos da não conformidade
por parte de um parceiro EBR.
Entender o ambiente – Determinar se os EBRs
da organização foram identificados; se não,
solicitar à gerência que os identifique, obtenha
informações sobre a natureza de cada
relacionamento, incluindo informações de
contato do parceiro EBR, o que fornecem,
quantidades envolvidas, detalhes contratuais e
outros fatores.
Entender os processos de sua organização –
Como a organização:
– Determina a necessidade de um EBR?
– Determina e documenta os objetivos e metas
para um EBR?
– Identifica, avalia e documenta riscos para o
EBR?
– Controla os riscos identificados?
– Faz seu zelo devido (incluindo a obtenção de
histórico e referências de verificação) com
relação ao parceiro EBR?
– Aprova a entrada no acordo?
– Aprova a redação do acordo?
– Gerencia o relacionamento?
– Monitora o desempenho do parceiro EBR?
– Dá feedback a EBRs?
– Monitora sua própria conformidade com o
acordo?
– Aprende com o parceiro EBR?
– Termina o relacionamento?
– Continua o relacionamento?
Entender a natureza geral de cada EBR – Quais
são os objetivos de sua organização? Qual tipo
de serviço é prestado? Quem controla e
monitora as relações com o parceiro EBR? Há
um acordo por escrito, incluindo as expectativas
e proteções apropriadas? Quais são as provisões
principais? Qual o nível de aprovação que
recebeu? Qual o nível de importância que o
EBR tem em relação ao modelo de negócio da
organização? Há uma cláusula de auditoria no
contrato com o parceiro EBR? O que a
organização faz para melhorar o
relacionamento?
Avaliar Riscos e Controles
Entender os riscos inerentes – Determinar
impactos potenciais da ausência de quaisquer
controles dos riscos inerentes que a organização
tenha avaliado, assim como daqueles que o
auditor interno tenha identificado e avaliado.
Veja “Riscos de Negócio de EBRs” para
exemplos de riscos inerentes gerais e detalhes.
Entender o desenvolvimento de controles que
sua organização pôs em prática para mitigar
riscos – Avaliar o risco de controle de forma
preliminar.
Determinar os principais controles – Principais
controles que, se não forem eficazes, significam
que os riscos não foram mitigados. Veja tabela
acima para referências a controles típicos.
Entender o ambiente, processos e controles do
parceiro EBR – Como os bens ou serviços serão
fornecidos e como os processos e controles do
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 15 Este Guia Prático foi traduzido com o apoio de:
parceiro EBR mitigarão os riscos da
organização? Isso fornecerá um maior histórico
e ajudará na avaliação de riscos do auditor
interno.
Determinar quais EBRs auditar a fundo, quais
processos auditar e os objetivos de auditoria – A
auditoria poderia ser operacional (por exemplo,
a organização alcançou seus objetivos a um
custo razoável?), de conformidade (o EBR está
em conformidade com as leis e regulamentos,
tais como segurança do trabalhador, trabalho
infantil, qualidade do produto e obrigações
contratuais?), financeira (os controles sobre o
reporte financeiro são eficazes e estão em
conformidade com diretrizes regulatórias tais
como a Sarbanes-Oxley e as informações estão
bem declaradas?), ou alguma combinação
dessas auditorias.
Determinar se o auditor interno do parceiro
EBR realizou algum trabalho com relação ao
contrato – Considerações incluem o objetivo,
escopo e resultados de seu trabalho. O
resultado do trabalho apoia seus objetivos; e
você usará este trabalho, ou como usará?
Conduzir Procedimentos de Auditoria
Determinar se será conduzido trabalho no local
do EBR – Com base nos objetivos de auditoria,
determinar se os procedimentos precisam ser
conduzidos no EBR (Observação: alguns EBRs
não autorizam acesso da atividade de auditoria
de um parceiro comercial, a não ser que o
contrato forneça esse acesso). Se apropriado,
desenvolver e conduzir testes para determinar
se os principais controles estão operando com
eficácia e/ou para validar questões substanciais.
O auditor pode obter os manuais de usuário do
parceiro EBR e outras orientações sobre seus
processos. Para processos financeiros, isso
normalmente inclui procedimentos recomendados
para o usuário e relatório de um auditor de serviço. A
International Standard on Auditing 402 (Revisada e
reformulada), Audit Considerations Related to an
Entity Using a Third Party Service Organization (ISA
402), fornece orientações e normas para auditores
externos; esta orientação é útil para auditores
internos testarem esses relacionamentos. [ISA 402 é
similar à SAS 70 (AU 324) nos EUA.]
A ISA 402 discute dois tipos de relatórios que um
auditor de serviço pode fornecer:
– Tipo A – Relatório sobre o Desenvolvimento e
Descrição de Controles em uma Organização de
Serviços;
– Tipo B – Relatório sobre o Desenvolvimento,
Descrição e Eficácia Operacional dos Controles
em uma Organização de Serviços.
Relatórios Tipo A são usados para entender os
processos da organização de serviços e o
desenvolvimento de controles. O auditor interno usa
relatórios Tipo B para determinar se os controles na
organização de serviço estão operando com eficácia.
Para mais orientações, consulte a ISA 402.
O auditor interno da organização pode usar o
trabalho de outros auditores na auditoria de EBRs.
Por exemplo, o auditor interno pode trabalhar com o
auditor interno de um parceiro EBR para obter
informações necessárias ou para conduzir testes
necessários. Antes de tomar a decisão de confiar no
trabalho de outro auditor, o auditor interno
determina se o auditor conduzindo o trabalho é
competente e objetivo. Além disso, a natureza,
objetivos e escopo do trabalho a ser utilizado são
avaliados para determinar se ele apoia os objetivos de
auditoria interna da organização.
Avaliar resultados dos testes.
Identificar descobertas e, conforme apropriado,
alcançar conclusões – Ao fazer isso, considerar
se as descobertas se aplicam além do EBR
específico a outros EBRs ou ao processo inteiro
de EBR da organização. Individualmente, os
resultados das auditorias EBR podem identificar
deficiências no parceiro EBR ou nos processos
comerciais individuais da organização. Mesmo
se o DEA não tiver planejado as auditorias para
alcançar conclusões gerais, pode às vezes ser
possível fazê-lo. Ao agregar os resultados de
auditorias individuais de EBRs, o auditor
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 16 Este Guia Prático foi traduzido com o apoio de:
interno pode identificar problemas mais amplos
e sistêmicos. Depois de conduzir as auditorias
individuais de contrato, o auditor interno pode
considerar formar uma avaliação e conclusão
geral quanto à eficácia do programa de
monitoramento de EBR da organização. Ao
fazê-lo, o auditor interno considera se foi feito
trabalho suficiente para alcançar tais
conclusões.
Reportar
Rascunhar, discutir e reportar os resultados –
Os resultados podem ser reportados
internamente para ajudar no processo de
negócio e nas melhorias dos controles.
Normalmente, o auditor segue o processo
normal de reporte para se comunicar com a
gerência e, se apropriado, com o conselho. No
entanto, quando o auditor interno encontra
deficiências nos controles e operações do EBR,
o auditor pode também se comunicar com
aqueles que estão gerenciando o
relacionamento com o parceiro EBR.
Monitorar Progresso
Dar feedback ao EBR – Aqueles encarregados
de gerenciar o relacionamento podem se
comunicar com o EBR sobre a necessidade de
corrigir quaisquer deficiências identificadas. Se
as deficiências não forem corrigidas, os gestores
do relacionamento e outros na gerência
determinam a melhor forma de mitigar os
riscos, incluindo se deverão dar continuidade ao
EBR. Isso pode ser considerado quando o EBR
está agendado para renovação ou até mesmo
antes disso, em casos de deficiências
significantes. Isso é mais fácil se o contrato
permitir renegociações em casos de surgimento
de deficiências significantes.
O auditor interno pode conduzir periodicamente
procedimentos para determinar se a gerência
abordou apropriadamente as descobertas
identificadas e pode ser convocado para auxiliar a
gerência a determinar se os EBRs estão sendo
geridos apropriadamente.
Este guia fornece aos auditores internos orientações
para auditar relacionamentos externos ou estendidos
de negócios (extended business relationships – EBRs).
A gerência também pode utilizar este guia na gestão
e monitoramento dos riscos associados a esses
relacionamentos.
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 17 Este Guia Prático foi traduzido com o apoio de:
Membros da Equipe do Guia
Prático: David W. Zechnich, CIA
Abraham D. Akresh
Gregory S. Dubis, CIA, CCSA
Gaston L. Gianni Jr., CGAP
Stephen J. Linden
Gilbert T. Radford, CIA
Susan L. Rudolph, CIA
IPPF – Guia Prático Auditando Relacionamentos Externos de Negócios
www.iiabrasil.org.br / 18 Este Guia Prático foi traduzido com o apoio de:
Sobre o Instituto
Fundado em 1941, The Institute of Internal Auditors
(IIA) é uma associação profissional com sede global
em Altamonte Springs, Fla., EUA. O IIA é a voz da
profissão de auditoria interna em todo o mundo,
autoridade reconhecida, líder valorizado, advogado
chefe e principal educador.
Sobre os Guias Práticos
Os Guias Práticos são uma declaração do IIA para
auxiliar uma grande variedade de partes interessadas,
incluindo aquelas que não pertençam à profissão da
auditoria interna, a entender questões significantes
de governança, riscos ou controle e a delinear os
papéis e responsabilidades relacionados dos
auditores internos quanto a uma questão
significante. Os Guias Práticos fazem parte da
Estrutura Internacional de Práticas Profissionais
(IPPF) do IIA. Como parte da categoria de
orientação Fortemente Recomendada, a
conformidade não é obrigatória, mas é altamente
recomendada, e a orientação é endossada pelo IIA
por meio de processos formais de revisão e
aprovação. Para mais materiais de orientação
fidedignos fornecidos pelo IIA, visite nosso website:
www.iiabrasil.org.br ou www.theiia.org
Isenção de Responsabilidade
O IIA publica este documento para fins informativos
e educacionais. Este material de orientação não tem
como objetivo fornecer respostas definitivas a
específicas circunstâncias individuais e, como tal,
tem o único propósito de servir de guia. O IIA
recomenda que você sempre busque conselhos
especializados independentes, relacionados
diretamente a qualquer situação específica. O IIA
não assume responsabilidade pela confiança
depositada unicamente neste guia.
Copyright
Os direitos autorais deste documento pertencem ao
The IIA. Para permissão para reprodução, favor
entrar em contato com o IIA pelo e-mail:
Rua Princesa Isabel, 94 1º Andar Brooklin PaulistaCEP: 04601-000