ACSS Administração Central do Sistema de Saúde, I.P. Manual de Auditoria Interna – Parte II Hospitais Página: 2 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 I. Histórico do documento Data 1/02/2007 Versão 1.0 Descrição MAI aprovado – Versão 1 Autor ACSS Aprovação Página: 3 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 II. Objectivos Objectivos do manual O propósito deste documento é disponibilizar à Função Auditoria Interna dos Hospitais (e/ou outras Unidades de Saúde com as devidas adaptações) um guia sobre: • Os princípios da Função Auditoria Interna; • O seu posicionamento no seio da Organização; • A gestão da Função Auditoria Interna; e • A gestão das acções (projectos) de Auditoria Interna. Estrutura do manual Este manual divide-se em três volumes: Parte I – Princípios, conceitos e standards de desempenho da Função Auditoria Interna Parte II – Metodologias e técnicas de trabalho de auditoria e exemplos de documentos Parte III – Questionários de controlo interno e programas de trabalho standard Responsabilidades de manutenção e aprovação do manual Compete ao responsável pelo Departamento de Auditoria da ACSS proceder à sua manutenção e actualização, e obter a respectiva aprovação do Conselho Directivo da ACSS. É da responsabilidade do Conselho de Administração do Hospital, sob proposta da ACSS, proceder à sua aprovação e implementação. Página: 4 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 III. Índice 1. 2. Documentação do trabalho de auditoria - Fase de Planeamento........................... 6 1.1. Exemplos de Plano de Anual de Auditoria..................................................... 6 1.2. Avaliação de Risco e Auditoria ...................................................................... 8 1.2.1. No âmbito de auditoria de conformidade (controlo interno).................... 8 1.2.2. Template de uma matriz de risco e controlos....................................... 11 1.2.3. No âmbito de auditoria a demonstrações/dados financeiros ................ 12 Documentação do trabalho de auditoria – Fase de Execução ............................. 16 2.1. Índice standard de papeis de trabalho......................................................... 16 2.2. Exemplo de preenchimento de um papel de trabalho .................................. 17 2.3. Formas de documentação de um sistema de controlo interno..................... 19 2.3.1. Questionários padronizados ................................................................ 19 2.3.2. Narrativas ............................................................................................ 20 2.3.3. Fluxogramas........................................................................................ 21 2.3.4. Simbologia de fluxogramas.................................................................. 22 2.3.5. Exemplo de flowchart horizontal .......................................................... 24 2.3.6. Exemplo de flowchart vertical .............................................................. 26 2.4. 3. Amostragem................................................................................................ 27 2.4.1. Meios de Selecção de Elementos para Teste ...................................... 27 2.4.2. Amostragem em Auditoria ................................................................... 29 2.4.3. Características e Concepção da Amostra e Risco de Amostragem ..... 30 2.4.4. Amostragem estatística vs Amostragem não estatística ...................... 31 2.4.5. Dimensão da Amostra ......................................................................... 33 2.4.6. Métodos de Selecção da Amostra ....................................................... 35 Documentação do trabalho de auditoria – Fase de Reporte ................................ 40 ACSS Página: 5 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 3.1. Modelo de relatório de auditoria .................................................................. 40 ACSS Página: 6 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 1. Documentação do trabalho de auditoria - Fase de Planeamento 1.1. Exemplos de Plano de Anual de Auditoria ACSS Página: 7 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Página: 8 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 1.2. 1.2.1. Avaliação de Risco e Auditoria No âmbito de auditoria de conformidade (controlo interno) A implementação e definição de processos de gestão de risco é da responsabilidade do Conselho de Administração. Tais processos deverão ser mantidos de forma adequada e eficiente ao longo do tempo. Os processos de gestão de risco deverão considerar os seguintes conceitos: Definição de objectivos Deverão ser definidos objectivos que suportem e estejam alinhados com a missão da entidade e a sua sensibilidade ao risco ao nível estratégico, estabelecendo uma base de suporte para a definição dos objectivos específicos de operações, reporte e conformidade. Os objectivos estratégicos e os objectivos de controlo (operações, reporte e conformidade) a atingir em cada processo (Produção e gestão utentes, facturação e contas a receber, etc), classificam-se da seguinte forma: o Objectivos estratégicos – de alto nível, alinhados com e de suporte à missão da entidade e que reflectem as opções dos responsáveis dos processos sobre as formas como a organização deverá agir para acrescentar valor aos stakeholders. o Objectivos de operações – relacionados com a eficácia e eficiência das operações da entidade incluindo o desempenho, realização de resultados positivos e salvaguarda dos recursos e que variam conforme a escolha dos responsáveis dos processos em relação à estrutura e desempenho. o Objectivos de reporte – preparação de reporte fiável tanto externo como interno quer de informação financeira quer não financeira. o Objectivos de conformidade – aderência à legislação e regulamentos aos quais uma entidade está sujeita e dependentes de factores externos, como por exemplo regulamentação ambiental. Identificação de eventos Deverão ser identificados os eventos externos e internos que, caso ocorram, poderão comprometer a realização dos objectivos da entidade. Os eventos podem ser classificados como oportunidades (com impacte positivo) ou riscos (com impacte negativo). Página: 9 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Avaliação do risco Deverão ser avaliados os riscos, associados a objectivos, em termos de probabilidade de ocorrência e impacte, de forma a determinar como deverão ser geridos. Os riscos deverão ser avaliados quanto a risco inerente e risco residual. • Probabilidade de ocorrência – representa a possibilidade de um dado evento se verificar. • Impacte – representa o efeito do evento ocorrer o qual deverá ser medido utilizando a mesma unidade definida para o objectivo respectivo. • Risco Inerente – risco existente sem ter em conta as acções que podem ser efectuadas para diminuir a probabilidade de ocorrência ou o impacte. • Risco residual – risco remanescente após a definição de respostas ao risco. Resposta ao risco Deverão ser seleccionadas as respostas ao risco, (eliminação, aceitação, redução ou partilha) e desenvolvido um conjunto de acções de forma a alinhar os riscos com a sensibilidade ao risco da entidade. Actividades de controlo Deverão ser estabelecidas e executadas políticas e procedimentos de controlo de forma a assegurar que as respostas ao risco são efectuadas de forma efectiva. Informação e comunicação Em redor destas actividades existem sistemas de informação e comunicação ou divulgação. Estes permitem que as pessoas da entidade capturem e permutem a informação necessária para conduzir, gerir e controlar as operações. Monitorização O processo de gestão de risco, na sua globalidade, deverá ser controlado devendo ser efectuadas modificações sempre que necessário. Desta forma, o sistema pode reagir de forma dinâmica, modificando-se sempre que as condições o requeiram. A monitorização é efectuada por actividades contínuas e/ou avaliações periódicas. Deverão ser implementadas actividades de monitorização de forma a periodicamente avaliar o risco, verificar a eficácia dos controlos para os gerir e elaborados relatórios periódicos de acompanhamento e avaliação dos resultados para o Conselho de Administração. Página: 10 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 O processo de gestão de risco inclui, entre outras, as seguintes actividades: • Análise de políticas empresariais e de minutas das actas do conselho de administração de forma a identificar quais as estratégias empresariais, a filosofia de gestão de risco e sua metodologia, a apetência para o risco e a aceitação do mesmo; • Entrevistas com a administração, directores de primeira linha e operacionais, de forma a identificar os objectivos sectoriais, riscos relacionados e as actividades de minimização do risco e monitorização de controlo pela gestão; • Definição de prioridades quanto aos métodos e as técnicas para testar e validar as exposições, em Função do impacte e da probabilidade de ocorrência dos riscos; • Análise de relatórios previamente emitidos sobre avaliação de risco; • Avaliação e adequação dos canais de informação para as actividades de monitorização de risco; • Análise das acções tomadas para solucionar as questões levantadas pelos processos de gestão de risco, e recomendação de melhorias; A Auditoria Interna deverá: • Auxiliar o Conselho de Administração no exame, avaliação, informação e recomendação de melhorias sobre a adequação e eficácia dos processos de gestão de risco, nomeadamente, na identificação e avaliação de eventos e apoio na definição de metodologias de implementação de gestão de risco e controlo. • Executar acções de auditoria, no sentido de validar os controlos implementados na mitigação dos riscos/eventos identificados e geridos no processo de gestão de riscos. A avaliação dos riscos e exposições que possam afectar os processos a serem auditados deverão influenciar a estratégia de auditoria. O auditor interno deverá estabelecer programas de trabalho para verificar se as actividades de controlo instituídas são adequadas para gerir ou minimizar o efeito dos riscos. O RAI deverá comunicar ao Conselho de Administração, os resultados da avaliação do processo de gestão do risco efectuada, de forma a transmitir o grau de exposição existente e eventual impacte na consecução dos objectivos da Organização. Página: 11 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 1.2.2. Objectivo (1) Tipo (2) Template de uma matriz de risco e controlos Indicadores de medida (3) Tolerância (4) Evento (Risco) (5) Risco Inerente Prob. Imp. (6) (7) Resposta ao risco (8) Risco Residual Actividades de controlo Custo (9) Prob. Imp. Actividade Tipo M/A (10) (11) (12) (13) (14) (1) Descrição do objectivo de controlo (2) Tipo de objectivo de controlo: Estratégico (E); Operacional (O); Reporte (R); Conformidade (C) (3) Indicadores para medição da materialização do risco (4) Níveis de tolerância mínimos para tomada de acções (5) Descrição do risco potencial (6) Probabilidade de risco inerente (antes implementação de controlos): Alto (A); Médio(M); Baixo (B) (7) Impacte de risco inerente (antes implementação de controlos): Alto (A); Médio(M); Baixo (B) (8) Custo de implementação do controlo (9) Resposta ao risco: Reduzir; Partilhar; Aceitar e monitorizar (10) Probabilidade de risco residual (após a implementação de controlos): Alto (A); Médio(M); Baixo (B) (11) Impacte de risco residual (após a implementação de controlos): Alto (A); Médio(M); Baixo (B) (12) Descrição da actividade de controlo (13) Tipo de controlo: Preventivo (P) ou Detectivo (D) (14) Controlo Manual (M) ou Automático (A) Página: 12 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 1.2.3. No âmbito de auditoria a demonstrações/dados financeiros Após a recolha de elementos que permita obter/actualizar uma razoável compreensão da actividade da entidade e dos seus sistemas de controlo interno e contabilístico, o auditor estará então em condições de desenvolver a estratégia de auditoria, bem como proceder à sua execução, de acordo com a metodologia que se segue: Apreensão do Risco Inerente Corresponde à identificação da susceptibilidade de um saldo de conta ou uma classe de transacções, a uma distorção que possa ser materialmente relevante, individualmente ou quando agregada com distorções em outros saldos ou classes, assumindo que não existiam os respectivos controlos internos. Nesta fase é necessário identificar o risco inerente e distribuí-lo pelas áreas relevantes das demonstrações financeiras, após a determinação das mesmas, conforme se indica mais à frente (ver II.2.1.3.4) e pelas principais asserções. No caso de auditorias recorrentes a uma mesma entidade, em cada ano, é necessário reavaliar o risco inerente em relação a cada unidade de auditoria. Esta avaliação pode ser efectuada com base num Questionário de Avaliação do Risco Inerente, que inclui um conjunto de perguntas críticas desenhadas para identificar a existência de factores conducentes a um incremento de risco, cujo modelo apresentamos de seguida: QUESTIONÁRIO DE AVALIAÇÃO DO RISCO INERENTE (GLOBAL) Sim Não 0 5 0 5 0 5 5 0 5 0 5 0 0 5 0 ? 1. ASPECTOS DE GESTÃO 1.1 É a entidade gerida efectiva e eficientemente? 1.2 São corrigidos os pontos fracos do controle interno? 1.3 Estão os serviços de contabilidade adequadamente dotados de pessoal? 1.4 Há frequentes alterações nas actividades da entidade? 1.5 Verificam-se com frequência mudanças da administração? 1.6 Existem pessoas de tal modo dominantes que ultrapassem os controles em vigor? 1.7 Existe uma estrutura hierárquica e uma correcta subdivisão de funções definida para a instituição? 1.8 Outros assuntos relacionados com a gestão (discriminar) 2. ASPECTOS DO NEGÓCIO Pontuação ACSS Página: 13 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.1 Está a entidade inserida num sector em crescimento? 2.2 Está a entidade inserida num sector onde existe um forte peso ao nível das decisões políticas tomadas? 2.3 Está o funcionamento da entidade dependente do montante de verba orçamental atríbuida pelo Estado ao sector? 2.4 Está a entidade dependente de um pequeno número de fornecedores? 0 5 5 0 5 0 5 0 2.5 Está a entidade dependente de um reduzido número de clientes/utentes? 5 0 2.6. Existe legislação específica que regulamente o funcionamento da entidade nos seus vários níveis? 0 5 2.7 Outros assuntos relacionados com a actividade da entidade (discriminar) 0 ? 0 5 5 0 0 5 5 0 5 0 3.6 Existem activos ou passivos significativos cuja valorização esteja baseada somente em critérios definidos pela Administração? 5 0 3.7. Outros aspectos relacionados com assuntos financeiros e contabilísticos (discriminar)? 0 ? 3. ASPECTOS FINANCEIROS E CONTABILÍSTICOS 3.1 É o capital circulante (Disponibilidades + Créditos + Existências menos Débitos a c.p.) adequado? 3.2 Existem razões que possam por em causa a viabilidade da entidade? 3.3 Tem-se mantido estável o nível dos proveitos da entidade? 3.4 Verifica-se alguma circunstância extraordinária que obrigue a entidade a apresentar um montante mínimo de resultados (remunerações de direcção/administração, publicação de contas previsionais, pressões políticas, etc.)? 3.5 Existem pressões para que as Demonstrações Financeiras sejam rápida e ligeiramente preparadas? (existem prazos de entrega de documentação junto do IGIF e Direcção Geral do Orçamento) Página: 14 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 4. ASPECTOS RELACIONADOS COM A AUDITORIA 4.1 O relacionamento profissional do auditor com a entidade objecto de auditoria tem sido marcado pela franqueza e cordialidade? 0 5 4.2 No caso da entidade estar sujeita a supervisão de outra entidade, ou de ser uma subsidiária ou associada existem circunstâncias ou pressões sofridas que possam afectar a auditoria dessa entidade ou de qualquer outra entidade relacionada? 5 0 5 0 5 0 5 0 0 10 0 10 5. TRANSACCOES NÃO USUAIS 5.1 Existem transacções pouco vulgares relacionadas com o fecho das contas de associadas, participadas ou entidades sob supervisão directa ou que exercem essa supervisão? 5.2 Temos conhecimento de que existam transacções significativas com associadas, participadas ou outras entidades de supervisão ou sobre as quais é exercida supervisão? 5.3 Existem outros tipos de transacções que possam ser consideradas invulgares? 6. CONTABILIDADE 6.1 São os registos contabilísticos de uma maneira geral adequados e têm suporte documental referente às transacções, aos activos e passivos da entidade? 6.2 A informação que é extraída dos diversas ferramentas informáticas utilizadas (GEMA, RHV, entre outros) é devidamente integrada no programa informático de contabilidade (SDIC) e é feito com regularidade o cruzamento dessa informação. Sensibilidade ao Risco: Baixa 0 – 38 pontos Média 39 – 57 pontos Alta + de 57 pontos ACSS Página: 15 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Instruções de preenchimento: A pontuação relativa a cada questão deve variar entre os limites indicados à frente de cada questão. Exemplo: Relativamente à questão:“1.1 É a entidade gerida efectiva e eficientemente?” Considerando que a mesma é muito bem gerida a pontuação a atribuir deverá ser 0 ou 1, se a qualidade da gestão é boa a pontuação a atribuir deve variar entre 1 e 2, entre 3 e 4, para média e entre 4 e 5 para má. É possível adicionar ou suprimir questões, mas nesse caso é necessário rever as pontuações que servem de guia para a determinação da sensibilidade ao risco e que estão referidas no final do questionário. As respostas às questões devem, sempre que possível, ser suportadas em papéis de trabalho. De referir que é conveniente que tanto o questionário como os papéis de trabalho auxiliar devem conter a referenciação cruzada da respectiva indexação. É improvável que o risco inerente tenha igual impacte potencial sobre cada uma das áreas das demonstrações financeiras e sobre todas as asserções de uma mesma área. Uma vez identificadas as componentes do risco inerente, consideramos: • quais as áreas, por exemplo, que podem ser afectadas por esse risco; e • quais as principais asserções, (por uma questão de simplificação do processo é normal restringir as análises a asserções principais: integralidade (também designada por plenitude), existência/ocorrência, mensuração e valorização) para cada área ou conjunto de transacções podem ser afectadas por cada uma das componentes do risco identificadas. Todos estes factores são tomados em consideração para chegar a uma avaliação do risco inerente que poderemos definir como Alto, Médio ou Baixo para cada asserção. Página: 16 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2. Documentação do trabalho de auditoria – Fase de Execução 2.1. Índice standard de papeis de trabalho Dossier permanente (índice): I. Caracterização da Organização e da actividade; II. Informação financeira e de gestão; III. Informação contabilística e outros elementos de auditoria; IV. Compreensão do sistema de controlo interno; V. Informação estatutária; VI. Relatórios e outra documentação de auditoria; VII. Documentos de prestação de contas; VIII. Obrigações legais, fiscais e parafiscais; Dossier corrente (índice) A. Produção e Gestão de Utentes B. Facturação e Contas a Receber C. Recursos Humanos D. Compras e Contas a Pagar E. Existências F. Imobilizado G. Tesouraria (Pagamentos / Recebimentos) H. Contabilidade e Reporte ACSS Página: 17 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.2. Exemplo de preenchimento de um papel de trabalho ACSS Página: 18 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 ACSS Página: 19 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.3. 2.3.1. Formas de documentação de um sistema de controlo interno Questionários padronizados O questionário padronizado, também conhecido por “check-list” representa um agregado mais ou menos extenso de medidas de controlo interno e de procedimentos contabilísticos que se deseja estejam em efectividade numa entidade minimamente organizada. Os questionários padronizados são elaborados atendendo aos grandes ramos de actividade, como é por exemplo o sector da Saúde. As áreas cobertas serão todas as existentes na entidade, tendo-se maior preocupação para as áreas relacionadas com a actividade operacional. Cada procedimento tem duas hipóteses de resposta: Sim e Não. Conforme o caso, assinalar-se-á na coluna respectiva, um sinal convencional (por exemplo 9) e um outro (por exemplo ¢), quando existir referência a quaisquer aspectos particulares que devem ser descritos no final de cada questionário, ou em folhas anexas, onde também se deverão incluir exemplares dos principais documentos utilizados na entidade, na respectiva área, a fim de serem arquivados no dossier permanente. Normalmente as questões são estruturadas de forma a que quando a resposta é Não, esta configura um potencial ponto fraco no sistema contabilístico e de controlo interno, que deve ser clarificado e explicado no final do próprio questionário ou em folha anexa. Os questionários padronizados são muito importantes pelas ideias de organização que transmitem, sendo a forma mais fácil e rápida de proceder ao levantamento do Sistema de Controlo Interno. Contudo, são muito limitados por poderem ignorar aspectos muito relevantes e específicos da organização em análise. Devem entenderse como guias orientadores e nunca como formulários únicos. Na parte III do Manual de Auditoria Interna apresentam-se alguns questionários padronizados/adoptados para o sector da Saúde. Página: 20 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.3.2. Narrativas Uma narrativa consta de uma descrição relativamente detalhada das medidas de controlo interno e dos procedimentos contabilísticos existentes em cada uma das diversas áreas operacionais da entidade. Esta forma de registo tem nítidos benefícios em relação à anterior, embora também apresente alguns inconvenientes como sejam a inclinação para a excessiva pormenorização e consequentemente perda de uma visão rápida e global do conjunto da área descrita e dos seus aspectos mais significativos. Tal como nos questionários padronizados deverão ser incluídos exemplares dos documentos mais importantes. Página: 21 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.3.3. Fluxogramas Um fluxograma é uma forma de representação gráfica que se auxilia de vários símbolos para apresentar as diversas medidas de controlo interno e procedimentos contabilísticos existentes em cada uma das diferentes áreas operacionais da Organização. Normalmente, a utilização dos fluxogramas é feita para os trabalhos de análise desenvolvidos pelos técnicos de organização e de informática, sendo elaborados de uma forma bastante detalhada. Contudo, o auditor apenas necessita de obter informação sintética que lhe dê a conhecer, de uma forma global, como está implementado o sistema. Existem dois tipos de fluxogramas: • Horizontais – evidenciam a sucessão dos procedimentos de forma horizontal, os quais atravessam duas ou mais secções envolvidas; • Verticais – apresentam a sucessão dos procedimentos de forma vertical, normalmente de forma descendente, salientando-se os documentos em detrimento das secções em que o mesmo são originados ou por onde vão circulando. Ambas as tipologias têm vantagens e inconvenientes, sendo de referir que para o auditor o fluxograma horizontal é o suficiente, pois apresenta com mais clareza e num espaço mais reduzido os procedimentos seguidos em cada uma das áreas operacionais, ou seja, possibilita uma visão e avaliação globais. Os fluxogramas apresentam a desvantagem de não serem fáceis de preparar, exigindo o conhecimento de técnicas específicas e obriga à utilização das técnicas anteriormente abordadas (questionários padronizados e narrativas). Contudo, os fluxogramas representam de forma clara, simples e concisa qualquer esquema por mais complexo que seja. A simbologia usada na preparação de fluxogramas não é universal, no entanto, apresentam-se, de seguida, um exemplo de fluxograma e respectiva simbologia que poderá ser adoptada na realização de fluxogramas. O exemplo inclui um fluxograma genérico e um outro mais detalhado sobre um circuito de compras de uma entidade fictícia. Página: 22 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.3.4. Simbologia de fluxogramas Serviço Procedimento Cod. Proced. Processamento/Operação/Actividade: este símbolo é utilizado sempre que existe uma actividade que produz alteração ao estado inicial dos inputs. (Fluxograma Vertical) O canto inferior direito, indica actividade com execução de controlo. Processamento/Operação/Actividade: este símbolo é utilizado sempre que existe uma actividade que produz alteração ao estado inicial dos inputs. (Fluxograma Horizontal) Documento: este símbolo é utilizado para representar um documento em suporte papel. Multi_Documentos: este símbolo é utilizado para representar dois ou mais documento em suporte papel. Armazenagem: este símbolo aplica-se a pontos do processo onde existe uma armazenagem de controlo, ou seja, é necessário um documento com uma autorização para executar uma operação de movimentação dos itens armazenados. Arquivo de documentos- este símbolo representa um arquivo de documentos em suporte manual/físico. Decisão: este símbolo é utilizado para representar a actividade de decisão, este símbolo é complementado com descritivo onde deverá existir um caracter de interrogação. Limites: este símbolo representa o inicio ou o fim de um processo. Sendo o descritivo a indicar no símbolo os termos “INICIO” ou “FIM” Página: 23 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Conexão: este símbolo é normalmente usado para representar uma ligação entre subprocessos/actividades intervenientes no mesmo processo. É normalmente adicionado um caracter (número), indicando a saída (output) e a entrada (input) de outro processo/actividade. Base de Dados: este símbolo representará um conjunto de ficheiros, geridos por um SGBD; Ficheiro informático: este símbolo representa, um ficheiro electrónico ou conjunto de registo/campos de informação. Material: este símbolo representa os artigos/materiais físicos. Material Consulta sistema: este símbolo representa introdução de dados (input) ou consulta de dados via ecrã. Sentido de Fluxo de Informação/Movimentação/Transporte: este símbolo representa uma operação de transporte entre dois pontos do processo, indicando o sentido de fluxo de informação, seja de um produto para stock, seja de um documento para outra área. Transmissão: este símbolo representa uma transmissão imediata de informação sem suporte físico. 21 71 Contabilização: este símbolo representa a contabilização da operação, indicação da conta a débito (à direita) e da conta a crédito (à esquerda) ACSS Página: 24 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.3.5. Exemplo de flowchart horizontal ACSS Página: 25 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 ACSS Página: 26 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.3.6. Exemplo de flowchart vertical Página: 27 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.4. 2.4.1. Amostragem Meios de Selecção de Elementos para Teste O auditor ao estabelecer os seus procedimentos de auditoria, deve determinar os meios apropriados para seleccionar os seus elementos para teste, bem como para reunir a evidência de auditoria necessária para alcançar os objectivos dos testes auditoria. Os meios disponíveis para a selecção dos elementos para teste são: • Selecção de todos os elementos (100%); • Selecção de elementos específicos; • Amostragem de auditoria. A decisão do método a utilizar depende das circunstâncias, e a aplicação de qualquer meio ou de combinações de meios acima identificados pode ser apropriada em circunstâncias particulares. Essa decisão deve ser feita com base no risco de auditoria e na eficiência da sua realização, pelo que o auditor deve escolher os métodos mais eficazes para fornecer suficiente e apropriada evidência de auditoria para alcançar os objectivos do teste. A realização de exame a 100% é improvável no caso de testes de controlo, no entanto, é mais comum para testes substantivos, especialmente quando o universo é constituído por um pequeno número de elementos com valor elevado, ou quando o risco inerente e o de controlo são altos e o auditor considera que os restantes meios não fornecem prova de auditoria suficiente e apropriada. Pode ainda ser mais eficiente a utilização de exames a 100%, quando se testa cálculos de natureza repetitiva ou quando o teste pode ser efectuado através de um sistema informatizado, que torna o custo de desenvolvimento do teste económico. O auditor interno pode decidir seleccionar elementos específicos de um determinado universo, com base no conhecimento do negócio, em avaliações preliminares dos riscos inerentes e de controlo, e nas características específicas da população a ser testada. É apropriado efectuar selecção específica de determinados elementos quando: • Existam elementos de alto valor ou principais, elementos suspeitos, não usuais, que estejam associados historicamente a erros ou distorções, ou que tenham determinadas características específicas que o auditor queira testar. • Seja necessário testar todos os elementos acima de uma certa quantia, para testar uma percentagem significativa do montante total de um saldo de conta ou de uma classe de transacções. ACSS Página: 28 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 • Exista a necessidade de obter informação sobre assuntos tais como o negócio do cliente, a natureza das transacções, sistemas contabilísticos e de controlo interno, através da análise de elementos específicos. • Podem ainda ser seleccionados elementos a fim de determinar se um determinado procedimento está ou não a ser executado. Os exames selectivos de elementos específicos de um determinado saldo ou classe de transacções, constituem com frequência uma forma eficiente de obtenção de evidência de auditoria, no entanto, não podem ser considerados como amostragem de auditoria, dado que os resultados obtidos pelos testes realizados aos elementos seleccionados desta forma não podem ser projectados para o universo sobre o qual se pretende concluir. Desta forma é importante o auditor ponderar sobre a necessidade de obter evidência adequada no que concerne ao remanescente da população não testada quando o mesmo for materialmente relevante. ACSS Página: 29 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.4.2. Amostragem em Auditoria Conforme já anteriormente foi referido as análises a efectuar utilizam, frequentemente, formas de aproximação e de teste que devem ser representativas do universo total, na análise de determinadas operações e transacções, com base numa parte daquele universo, parte essa que constitui o que se designa por amostra. Desta forma é possível concluir que a amostragem de auditoria envolve a aplicação de procedimentos de auditoria a menos de 100% dos elementos constantes de um saldo de conta ou de uma classe de transacções de forma tal que todas as unidades de amostragem tenham a mesma hipótese de selecção. Tal facto permite ao auditor obter e avaliar a sua evidência de auditoria acerca de algumas características dos elementos seleccionados a fim de concluir sobre as características da população com base na análise de uma parte da qual a amostra é extraída. ACSS Página: 30 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.4.3. Características e Concepção da Amostra e Risco de Amostragem A amostra deverá fornecer informação suficiente, permitindo retirar conclusões sobre o universo total, devendo assim ser representativa, isto é, os seus elementos devem possuir as características de todos os elementos do universo, devendo, por outro lado ser estável, i.e., os resultados dos testes não devem depender da dimensão da amostra. O auditor deve seleccionar elementos para a amostra com a expectativa de que todas as unidades de amostragem contidas na população tenham uma oportunidade de selecção. Não obstante as características chave da amostra, está sempre presente um risco de amostragem, que é o risco das conclusões obtidas pelo auditor, com base numa amostra, poderem ser diferentes da conclusão atingida se a população total fosse toda ela sujeita ao mesmo procedimento de auditoria. Podem ser identificados dois tipos de risco de amostragem: (i) o risco de se concluir, no caso de um teste de controlo, que o risco de controlo é mais baixo do que realmente é, ou no caso de testes substantivos, que uma distorção materialmente relevante não existe quando de facto existe (afecta a eficácia de auditoria e conduz normalmente a uma opinião inapropriada); e (ii) o risco de se concluir, no caso de um teste de controlo, que risco de controlo é mais alto do que na realidade é, ou no caso de testes substantivos, que uma distorção é materialmente relevante quando de facto não existe (afecta a eficiência dado que conduz a trabalho adicional para estabelecer que as conclusões iniciais estavam incorrectas). Os complementos matemáticos destes riscos designam-se por níveis de confiança. A principal tarefa do auditor é, a este respeito, reduzir o risco de amostragem a um nível aceitável. O risco de não-amostragem advém de factores que levam a uma conclusão errónea por razões não relacionadas com a dimensão da amostra (por exemplo, o revisor/auditor pode interpretar mal e deixar de reconhecer um erro). ACSS Página: 31 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.4.4. Amostragem estatística vs Amostragem não estatística A amostragem de auditoria pode ser aplicada usando métodos não - estatísticos ou métodos de amostragem estatística. A amostragem não estatística é apoiada num critério subjectivo, baseado apenas na experiência profissional e apreciação do auditor, que este utiliza para determinar o tamanho da amostra, a selecção dos elementos que a integram e a avaliação dos resultados. A amostragem estatística é uma abordagem à amostragem com selecção aleatória de uma amostra e em que é usada a teoria das probabilidades para avaliar os resultados da amostra, incluindo a mensuração do risco de amostragem. Na amostragem estatística a determinação do tamanho da amostra, a selecção dos elementos que a integram e a avaliação dos resultados são efectuados por métodos matemáticos baseados no cálculo das probabilidades. A decisão entre usar uma abordagem estatística ou não-estatística é uma questão de julgamento, que deve atender à eficiência na obtenção da prova de auditoria nas circunstâncias particulares. Exemplificando, na execução de testes de controlo é normalmente mais importante as análises do auditor à natureza e à causa dos erros que uma análise estatística da contagem numérica de erros detectados. Nestas circunstâncias a amostragem não - estatística pode ser a mais apropriada. A amostra estatística tem a vantagem de permitir uma avaliação matemática do grau de variação dos possíveis erros na população total, com base no número ou valor de erros encontrados na amostra. O auditor poderá avaliar se esse grau de variação de possíveis erros excede o considerado tolerável. Apesar das vantagens inerentes ao método estatístico, as técnicas de amostragem não estatística são mais utilizadas devido à sua maior facilidade de aplicação. A sua utilização deverá, na medida do possível, ser apoiada em métodos de selecção aleatória para aumentar a probabilidade da amostra ser representativa da população. Na concepção de uma amostragem, devem ser considerados os objectivos do teste e as características da população a analisar. A consideração prévia da natureza da prova de auditoria procurada e o possível erro de condições ou outras características relativamente à prova de auditoria ajudará o auditor a definir o que constitui um erro e qual a população a usar para a amostragem. O auditor deve identificar as condições que constituem um erro em referência aos objectivos do teste a realizar. Uma clara compreensão do que constitui um erro é importante para assegurar que todas, e apenas, aquelas condições que são relevantes para os objectivos do teste são incluídas na projecção dos erros. Na execução de um teste de controlo, o auditor deve efectuar uma avaliação preliminar da taxa de erro que espera encontrar na população a ser testada e o nível do risco de controlo. Essa avaliação é baseada no seu conhecimento prévio de um ACSS Página: 32 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 pequeno número de elementos da população. Tal procedimento deve também ser seguido no caso de testes substantivos. Estas avaliações preliminares são úteis para a concepção e determinação da dimensão da amostra. Por exemplo, se a taxa esperada de erro é inaceitavelmente alta, não serão normalmente executados testes de controlo. No entanto, quando executar procedimentos substantivos, se a quantia de erro esperada for alta, pode ser apropriado examinar a 100% ou aumentar a dimensão da amostra. ACSS Página: 33 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.4.5. Dimensão da Amostra A dimensão da amostra pode ser determinada pela aplicação de uma fórmula com base estatística ou através do exercício de julgamento profissional objectivamente aplicado às circunstâncias. A dimensão da amostra deve ser estabelecida de modo a que o risco de amostragem fique reduzido a um nível aceitavelmente baixo, sendo esta inversamente proporcional ao nível de risco de amostragem que o auditor esteja disposto a aceitar. Dado que finalidade da amostragem é extrair conclusões acerca de toda a população, é importante seleccionar uma amostra representativa escolhendo elementos da amostra que tenham características típicas da população. Por outro lado, a amostra necessita de ser seleccionada de forma a que se evite o seu enviesamento. Desta forma, devem ser seleccionados os elementos para a amostra com a expectativa de que todas as unidades de amostragem contidas na população, tenham uma oportunidade de selecção e devem ser utilizados métodos que permitam fixar o tamanho da amostra em conformidade com os objectivos de auditoria antecipadamente determinados. Com esse fim, deve adoptar-se previamente uma definição exacta da natureza dos erros procurados (inexactidões das contas, operações ilegais, etc.), o grau de confiança a afectar às conclusões que se podem obter a partir da amostra e o erro tolerável (que significa o erro máximo numa população que a amostragem corre o risco de não descobrir e que o auditor está disposto a aceitar). Com base nos erros constantes numa amostra, é possível estimar com um determinado grau de confiança, a importância dos erros existentes na respectiva população. Desta forma, o grau de confiança traduz, a probabilidade de que o valor máximo dos erros existentes na população total não ultrapasse o erro tolerável estabelecido pelo auditor. Se for estabelecido o grau de confiança em 95%, tal significa que se aceita que existe 95% de probabilidade de que os erros eventualmente existentes na população, não serão superiores ao limite previamente fixado como tolerável. No entanto, caso o valor dos erros que afectam a população, extrapolado a partir dos erros existentes na amostra ultrapassar aquele limite, o erro tolerável é excedido. Nessa medida, o erro tolerável representa o montante máximo de erro possível de aceitar e constitui um elemento essencial para a determinação do tamanho da amostra. Na amostragem estatística, os elementos da amostra devem ser seleccionados aleatoriamente por forma que cada unidade de amostragem tenha uma oportunidade conhecida de ser seleccionada. As unidades da amostra podem ser elementos físicos (tais como as facturas) ou unidades monetárias. No caso da amostragem não estatística, o auditor usa o julgamento profissional para seleccionar os elementos para amostra. ACSS Página: 34 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Regra geral, os procedimentos de controlo interno são idênticos para todas as operações, independentemente dos montantes envolvidos. Por isso, ao testar o cumprimento de normas internas não é necessário seleccionar especialmente operações de montante elevado. Pelo contrário, para testes substantivos não interessará tanto a extensão da amostra mas mais o montante total testado. • Mais especificamente, apresentamos alguns factores que influenciam a dimensão de amostra relativa a testes de controlo: • Aumento na confiança esperada do auditor nos sistemas contabilísticos e de controlo interno => Aumento na dimensão da amostra; • Aumento na taxa de desvio do procedimento de controlo a testar que o auditor está disposto a aceitar => Diminuição na dimensão da amostra; • Aumento na taxa de desvio do procedimento de controlo a testar que se espera encontrar na população => Aumento na dimensão da amostra; • Aumento do nível de confiança (ou inversamente, uma diminuição no risco tal que o revisor/auditor venha a concluir que o risco de controlo é mais baixo que o risco de controlo real na população) exigido pelo revisor/auditor => Aumento na dimensão da amostra. No que respeita aos factores a considerar na determinação da dimensão da amostra para procedimentos substantivos, temos: • Aumento na avaliação do risco inerente => Aumento na dimensão da amostra; • Aumento na avaliação do risco de controlo => Aumento na dimensão da amostra; • Aumento na utilização de outros procedimentos substantivos dirigidos à mesma asserção => Diminuição na dimensão da amostra; • Aumento no nível de confiança exigido pelo auditor (ou inversamente, uma diminuição no risco que o auditor venha a concluir que um erro materialmente relevante não existe, quando de facto existe) => Diminuição na dimensão da amostra; • Aumento no erro total que o auditor está disposto a aceitar (erro tolerável) => Diminuição na dimensão da amostra; • Um aumento na quantia de erro que se espera encontrar na população => Aumento na dimensão da amostra; • Estratificação da população quando apropriado => Diminuição na dimensão da amostra. ACSS Página: 35 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 2.4.6. Métodos de Selecção da Amostra Os métodos principais de selecção de amostras baseadas na amostragem não estatística são a selecção sistemática, a selecção sobre valores estratificados, a selecção ao acaso e a selecção por números aleatórios através de tabelas de números aleatórios ou programas de computador. São também associadas à amostragem não - estatística a amostragem por blocos e a amostragem por atributos. Por outro lado, de entre as técnicas baseadas em dados estatísticos destacam-se a amostragem sobre valores acumulados, a amostragem por unidades monetárias (MUS) e a amostragem numérica. Selecção sistemática: O número de unidades de amostragem da população é dividido pela dimensão da amostra para dar um intervalo de amostragem, por exemplo 100 e tendo determinado um ponto de partida dentro dos primeiros 100, a cada centésima unidade de amostragem é posteriormente seleccionada. Se bem que o ponto de partida possa ser determinado ao acaso, a amostra torna-se mais verdadeiramente aleatória se ele for determinado usando um gerador de números aleatórios computorizado ou tabelas de números aleatórios. Na utilização da selecção sistemática, deve ser verificado previamente se os elementos da população não estão dispostos de forma a que a um intervalo de amostragem corresponda a um determinado modelo da população. Este método é mais utilizado nas médias e grandes organizações, quando o auditor deposita uma certa margem de confiança no sistema de controlo interno, podendo aplicar-se, por exemplo, na realização dos testes de conformidade. A utilização deste método permite a reduzir a amostra, não obriga a estimar a taxa de erro, não exige o estabelecimento de um grau de precisão e possibilita a extensão da amostra, caso se considere necessário. Selecção ao acaso: A amostra é determinada sem seguir uma técnica estruturada, no entanto é importante evitar influências ou situações predizíveis (por exemplo, evitar a dificuldade em localizar elementos ou escolher sempre ou evitando o primeiro ou último lançamentos de uma página) e por consequência assegurar que todos os elementos na população têm oportunidade de selecção. A selecção ao acaso não é apropriada se pretender usar uma amostra estatística. Selecção por blocos: Envolve a selecção a partir de uma população de um bloco(s) por elementos contíguos. A selecção por bloco não pode normalmente ser usada em amostragem de auditoria, porque a maior parte das populações são estruturadas de forma que se possa esperar que os elementos de uma sequência tenham características semelhantes uns com os outros mas de características diferentes de elementos algures na população. Embora em algumas circunstâncias possa ser um procedimento de auditoria, examinar blocos de elementos, raramente será uma técnica apropriada de selecção da amostra quando se pretende extrair diferenças válidas acerca de toda a população com base na amostra. ACSS Página: 36 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Selecção estratificada: Quando haja uma vasta escala (variabilidade) na dimensão monetária de elementos na população, pode ser útil agrupar elementos de dimensão similar em subpopulações ou estratos separados. Quando uma população pode ser estratificada apropriadamente, o total das dimensões da amostra daí extraídas é geralmente menor que a dimensão da amostra que teria sido necessária para atingir o mesmo nível de risco de amostragem, no caso de utilização de uma selecção não estratificada. Esta técnica tem grande aplicação na realização de testes substantivos, relativos, por exemplo, à confirmação de saldos de clientes e à valorimetria das existências. Assim podem ser seleccionados os clientes ou os itens das existências com saldos mais significativos de tal modo que o total da amostra represente uma percentagem relevante dos saldos globais de cada uma das contas. Selecção por números aleatórios: Este tipo de selecção é realizado com base na coincidência entre números aleatórios, gerados por computador ou extraídos de uma tabela de números aleatórios. Através deste método, cada um dos documentos a testar tem a mesma probabilidade de ser seleccionado que qualquer outro documento da população. A utilização de uma tabela de números aleatórios, pressupõe que cada um dos elementos do universo donde se pretende retirar uma amostra esteja devidamente numerado (cheques, facturas, recibos, etc.) de forma a poder-se seleccionar qualquer deles em função do número aleatório seleccionado da tabela. Selecção por atributos: Este método é aplicado quando os objectivos de um teste de auditoria podem ser traduzidos por atributos (Exemplo: sim ou não, verdadeiro ou falso). Desta forma pretende-se identificar a frequência com que determinado acontecimento ocorre. É um método em que o auditor imputa o mesmo peso a cada acontecimento, independentemente do valor monetário e é um método muito utilizado para determinar amostras para testes de conformidade. Neste método é fundamental conhecer o número de elementos da população, e é requerida a decisão do auditor relativamente ao nível de confiança, precisão e taxa de erro esperada. A dimensão da amostra é obtida através de tabelas estatísticas que relacionam a taxa máxima de erro esperada com o respectivo nível de confiança. Depois de definidas estas duas variáveis, é necessário que o auditor localize a coluna correspondente à precisão com que quer trabalhar, deslocando-se nesta até à linha que corresponde à dimensão mais próxima da população objecto de amostragem. A dimensão da amostra a utilizar corresponde à intersecção da coluna da população com a da precisão seleccionada. Se não constar da tabela a dimensão do universo obtida, deve utilizar-se a linha imediatamente antes ou, então, proceder à interpolação linear. No caso de populações muito grandes, deixa de ser considerada a sua dimensão, aplicando-se nesse caso tabelas específicas que relacionam a taxa máxima de erro esperada com o erro tolerável, para vários níveis de risco de amostragem (complemento do nível de confiança). Página: 37 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Exemplo: • Nível de confiança: 95% • Taxa máxima de erro esperada: 4% Nesse caso, por consulta de uma tabela, cujo extracto a seguir apresentamos, para um grau de precisão de cerca de 2% e uma população de 8 000, a amostra será de 184 itens. TABELA PARA UM NÍVEL DE CONFIANÇA DE 95% População Tamanho da amostra em função do grau de precisão ±0,5% ±0,75% ±1% ±1,25% ±1,5% ±2% 8000 2189 1147 688 455 322 184 8500 2224 1157 692 457 322 185 9000 2257 1166 695 458 323 185 9500 2287 1174 698 459 324 185 10000 2315 1181 700 460 324 185 Selecção por unidades monetárias (MUS): É um método de selecção muito utilizado para procedimentos substantivos baseado no valor monetário dos elementos que compõem a população. Cada unidade monetária (1€) da população é considerada como uma unidade autónoma da amostra e a cada unidade monetária é dada igual possibilidade de selecção. Em primeiro lugar é necessário calcular o intervalo de amostragem, que pode ser feito através de dois processos: 1) Decidir qual o erro máximo tolerável para o trabalho em causa e determinar o factor de risco, tendo em conta o controlo interno existente. O factor de risco varia entre 1 e 3, correspondendo este último a um elevado grau de risco. O intervalo de amostragem é dado pela seguinte fórmula: I = E / R em que I = Intervalo, E = Erro Máximo tolerável, R = Factor de Risco. 2) Decidir primeiro o número máximo de itens a seleccionar (M). Sabendo o total dos saldos (S), o intervalo ser-nos-á dado pela fórmula seguinte: I=S/M ACSS Página: 38 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Na prática proceder-se-á da seguinte forma: 1) Obter uma listagem de todos os valores de onde se extrairá a amostra (por exemplo, de um balancete de clientes ou fornecedores, extracto de conta ou de despesa, ou de uma lista de facturas de um fornecedor); 2) Escolher um valor aleatório, situado entre 0 (zero) e o valor do intervalo (I); 3) Proceder ao somatório do valor aleatório escolhido, com os valores dos documentos constantes da listagem referida em 1, de forma a obter valores acumulados; 4) Após o que se deduzirá a primeira parcela, isto é, a que foi escolhida aleatoriamente, verificando-se se o valor acumulado coincide com o valor global dos documentos donde se extrairá a amostra; 5) Obter uma listagem de múltiplos de I, sendo o último aquele que ultrapasse o valor global dos documentos donde se extrairá a amostra; 6) Seleccionar todos os valores, cujo acumulado seja superior aos sucessivos múltiplos de I. Página: 39 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Exemplo 2: • M = 5; S = 2845; I = 2845 : 5 = 569 • Valor aleatório = 400 O auditor deve seleccionar cinco documentos, com base na relação de documentos de despesa seleccionada ( valores em euros): Universo: 15 documentos com os seguintes valores cada um: 100, 210, 70, 115, 20, 310, 60, 180, 440, 600, 130, 85, 90, 390, 45 N.º de cada documento 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Valor de cada documento 100 210 70 115 20 310 60 180 440 600 130 85 90 390 45 2845 Acumulado Múltiplo de I 400 500 710 780 895 915 1225 1285 1465 1905 2505 2635 2720 2810 3200 3245 - 400 2845 569 1138 1707 2276 2845 3414 Os documentos a seleccionar serão o n.º 2, 6, 9, 10 e 14, a que correspondem os valores 210, 310, 440, 600 e 390, respectivamente. Página: 40 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 3. Documentação do trabalho de auditoria – Fase de Reporte 3.1. Modelo de relatório de auditoria RE: AUDITORIA DE área <…dia…> de <…mês…> de <…ano…> Exmos. Senhores, Vimos por esta forma trazer ao conhecimento de V.Exas. os resultados da auditoria efectuada à <…área…> bem como as oportunidades para introduzir melhorias no sistema de controlo interno instituído. Salientamos que o objectivo deste auditoria é o de avaliar se o sistema da <…área…> é adequado em face dos objectivos estabelecidos para a área e que as políticas e procedimentos que foram definidos estão a ser cumpridos. Por fim, gostaríamos de agradecer toda a colaboração prestada pela Direcção da <…área…> na execução desta acção de auditoria. Com os nossos mais respeitáveis cumprimentos, subscrevemo-nos, Atentamente ACSS Página: 41 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Sumário executivo Objectivos De acordo com o plano de actividades aprovado pelo Conselho de Administração efectuámos acção sobre a “facturação e a gestão de contas a receber”. Âmbito A acção efectuada incidiu sobre a facturação de serviços aos sub-sistemas e de taxas moderadoras bem como as contas a receber à data de <…dia…> de <…mês…> de <…ano…>. . Limitações ao âmbito Por questões técnicas, não nos foram disponibilizados os ficheiros de produção (internamento, consulta externa, urgência, etc.) para o exercício de <…ano…> pelo que não nos foi possível concluir sobre a totalidade da facturação. Principais recomendações O volume da facturação aos sub-sistemas deverá ser reconciliado mensalmente com a informação de produção de modo a assegurar a totalidade da mesma. Deverá ser estabelecido que as taxas moderadoras deverão ser cobradas no momento da emissão da respectiva factura de modo a reduzir o volume de casos não cobrados ou mesmo em contencioso por morada ou outros dados incorrectos do utente. Página: 42 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Relatório Detalhado Objectivos De acordo com o plano de actividades aprovado pelo Conselho de Administração efectuámos acção sobre a facturação e a gestão de contas a receber. Âmbito A acção efectuada incidiu sobre a facturação de serviços aos sub-sistemas e de taxas moderadoras bem como as contas a receber à data de <…dia…> de <…mês…> de <…ano…>. Limitações ao âmbito Por questões técnicas, não nos foram disponibilizados os ficheiros de produção (internamento, consulta externa, urgência, etc.) para o exercício de <…ano...> pelo que não nos foi possível concluir sobre a totalidade da facturação. Metodologia Como parte desta auditoria foram efectuados os seguintes procedimentos: Revisão da avaliação de risco efectuada em relação à facturação e gestão de contas a receber; Análise da documentação, considerada como relevante em face do âmbito do nosso trabalho nomeadamente Manual de Procedimentos e Manual de Utilizador e legislação existente sobre a facturação; Entrevistas com responsáveis e intervenientes da área, de forma a obtermos conhecimento quanto aos processos instituídos e controlos incorporados; Avaliação se os procedimentos e controlos instituídos são adequados para gerir os riscos identificados; Execução de testes sobre o desenho dos processos de modo a assegurar a sua adequação; Execução de testes sobre os controlos instituídos para assegurar que estes estão a ser efectuados de forma contínua; Discussão das deficiências detectadas com o responsável pela Direcção de área de modo a: o Confirmá-las; o Concordar melhorias a implementar e datas previstas de correcção; Página: 43 de 44 Versão: 1.0 Manual de Auditoria Interna ACSS Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Classificação das deficiências detectadas em face do significado dos riscos associados e da prioridade que, em nossa opinião deve ser atribuída à sua correcção a saber: o Prioridade Alta – deficiências que apresentam riscos significativos e que deveriam ser solucionadas o mais breve possível. o Prioridade Média - deficiências que apresentam riscos significativos mas não requerem acção imediata (i.e. dentro de três meses). o Prioridade Baixa - deficiências que apresentam alguns riscos e que permitiriam melhorar o sistema de controlo interno ou a eficiência em geral, mas não requerem acção imediata (i.e. três a seis meses). Equipa de auditoria A equipa de trabalho que efectuou esta auditoria foi composta por: <…nome do auditor…> Plano de trabalhos A auditoria foi iniciada em <…dia…> de <…mês…> de <…ano…> tendo o trabalho de campo sido concluído em <…dia…> de <…mês…> de <…ano…>. ACSS Página: 44 de 44 Versão: 1.0 Manual de Auditoria Interna Parte II Data efectiva: 19/1/2007 N.º Identificador: 03.02 Resultados da auditoria Facturação de taxas moderadoras Observações Aquando da apresentação do utente para consulta externa, … é confirmada a marcação e gerada a factura da taxa moderadora. Contudo, estas facturas nem sempre são pagas por várias razões que, de acordo com informações do Serviço, se relacionam com indisponibilidade financeira, falta de trocos e outras razões. Conclusões Esta prática origina que estes valores tenham de ser cobrados à posteriori implicando, para além do dispêndio de tempo, em custos de envio postal e, no caso de a morada ou outros dados do utente não estarem correctos, valores não cobráveis. Criticidade Alta Recomendações Deverá ser cumprido o estabelecido na ordem de serviço 29/2003 nomeadamente que as taxas moderadoras deverão ser cobradas no momento da emissão da respectiva factura de modo a reduzir o volume de casos não cobrados. Deverá ser colocado um terminal de pagamento automático (POS) e uma máquina de recepção de notas e moedas. Comentários do responsável Concordo com a recomendação e vamos realizar acção de sensibilização dos funcionários de modo a que este normativo seja cumprido. Adicionalmente, vamos controlar semanalmente os valores não cobrados e exigir explicações dos funcionários para o facto. Concordo a com colocação do POS e da máquina de notas e moedas. Vamos consultar fornecedores de imediato e analisar custos e benefícios para eventual proposta de aquisição. Plano de acções Sujeito à aprovação deste relatório pelo Conselho, propomo-nos realizar: • Acção de sensibilização – <…dia…> de <…mês…> de <…ano…> • Controlo sobre valores por cobrar – imediatamente.