ALEXANDRE MENDES PEREIRA
VICTOR MANUEL DUARTE JUNIOR
CONTRIBUIÇÃO DA AUDITORIA PARA MELHORIA NOS CONTROLES
INTERNOS
UNIVERSIDADE NOVE DE JULHO
SÃO PAULO - SP
2009
2
ALEXANDRE MENDES PEREIRA – RA 904102757
VICTOR MANUEL DUARTE JUNIOR – RA 906100012
CONTRIBUIÇÃO DA AUDITORIA PARA MELHORIA NOS CONTROLES
INTERNOS
Monografia de Trabalho de Conclusão de Curso
apresentado como exigência para a obtenção do
titulo de Bacharel em Ciências Contábeis, pela
Universidade Nove de Julho – UNINOVE, sob
orientação do Prof. Vagner Borges Venet.
SÃO PAULO – SP
2009
3
1.
2.
INTRODUÇÃO ..................................................................................................... 9
1.1.
CARACTERIZAÇÃO DO PROBLEMA ........................................................ 10
1.2.
DELIMITAÇÃO DOS OBJETIVOS .............................................................. 11
1.2.1.
Objetivo Geral ...................................................................................... 11
1.2.2.
Objetivos Específicos........................................................................... 11
1.3.
JUSTIFICATIVA .......................................................................................... 12
1.4.
METODOLOGIA ......................................................................................... 13
REFERENCIAL TEÓRICO ................................................................................. 14
2.1.
Conceito de Auditoria .................................................................................. 14
2.2.
Origem do Termo Auditor............................................................................ 14
2.3.
Evolução Historia da Auditoria. ................................................................... 14
2.4.
Evolução da Auditoria no Brasil .................................................................. 15
2.5.
Evolução da Auditoria Interna ..................................................................... 16
2.6.
Órgãos regulamentadores da Auditoria no Brasil. ...................................... 17
2.7.
Finalidade da Auditoria ............................................................................... 19
2.8.
Responsabilidade da Auditoria ................................................................... 19
2.9.
O que Leva uma Empresa a Contratar os Serviços de Auditoria ................ 20
2.10.
Auditoria Interna VS Auditoria Externa .................................................... 20
2.10.1. Auditoria Externa ................................................................................. 20
2.10.2. Auditoria Interna................................................................................... 21
3.
CONTROLES INTERNOS ................................................................................. 24
3.1.
Introdução ................................................................................................... 24
3.2.
Definição de Controles Internos .................................................................. 25
3.3.
Importância do Controle Interno .................................................................. 26
3.4.
Classificação dos Controles Internos .......................................................... 26
3.4.1.
Controles Internos Detectivos .............................................................. 26
3.4.2.
Controles Internos Preventivos ............................................................ 27
3.5.
Estrutura de Controles Internos. ................................................................. 27
3.5.1.
COSO .................................................................................................. 27
O Que é Risco.................................................................................................... 29
Tipos de Risco ................................................................................................... 29
Resposta a Riscos ............................................................................................. 30
3.6.
Controles Internos em Tecnologia da Informação ...................................... 32
3.6.1.
Introdução ............................................................................................ 32
4
4.
5.
3.6.2.
Sistema ERP........................................................................................ 32
3.6.3.
Governança da Tecnologia da Informação .......................................... 33
LEI SARBANES-OXLEY .................................................................................... 35
4.1.
Introdução ................................................................................................... 35
4.2.
Impacto nas Empresas ............................................................................... 36
4.3.
Correto Direcionamento das Seções .......................................................... 36
4.4.
Seções Criticas da Lei Sarbanes-Oxley ...................................................... 36
4.5.
Comprometer-se e Organizar-se ................................................................ 37
4.6.
Estrutura de Controles Internos Apropriada ................................................ 38
PROCEDIMENTOS DE AUDITORIA ................................................................. 39
5.1.
Introdução ................................................................................................... 39
5.2.
Planejamento da Auditoria .......................................................................... 40
5.2.1.
Introdução ............................................................................................ 40
5.2.2.
Conhecimento Sobre a Organização a ser Auditada ........................... 41
5.3.
Avaliação dos Controles Internos ............................................................... 42
5.4.
Revisão Analítica ........................................................................................ 43
5.5.
Procedimentos de Auditoria Importantes .................................................... 44
5.5.1.
Contagem Física .................................................................................. 44
5.5.2.
Confirmação com Terceiros ................................................................. 45
5.5.3.
Conferência de Cálculos ...................................................................... 46
5.6.
Inspeção de Documentos ........................................................................... 46
5.7.
Papeis de Trabalho ..................................................................................... 46
5.7.1.
Modelos de Papeis de Trabalho .......................................................... 47
5.7.2.
Natureza dos Papeis de Trabalho........................................................ 48
5.7.3.
Tipos de Papel de Trabalho ................................................................. 49
5.8.
Relatórios de Auditoria ................................................................................ 50
5.8.1.
6.
Tipos de Relatórios .............................................................................. 51
5.8.1.1.
Parecer de Auditoria......................................................................... 52
5.8.1.2.
Carta Comentário ............................................................................. 52
O TRABALHO DE AUDITORIA.......................................................................... 53
6.1.
O Trabalho de Auditoria, Atividades Iniciais................................................ 53
6.2.
Seleção da Equipe de Trabalho .................................................................. 53
6.3.
Inicio dos Trabalhos .................................................................................... 54
6.4.
Realização dos Trabalhos na Organização. ............................................... 54
5
7.
6.4.1.
Mapeamento de Processos e Subprocessos ....................................... 55
6.4.2.
Identificação e Classificação dos Riscos ............................................. 57
6.4.3.
Planejamento e Desenho dos Testes de Auditoria .............................. 59
6.4.4.
Realização dos Testes de Controle ..................................................... 60
6.4.5.
Análise dos Resultados dos Testes de Controle.................................. 61
6.4.6.
Identificação dos pontos de controle.................................................... 63
6.4.7.
Recomendações aos Pontos de Controle ............................................ 64
CONSIDERAÇÕES FINAIS ............................................................................... 65
REFERENCIAS BIBLIOGRÁFICAS .......................................................................... 67
6
RESUMO
Com o desenvolvimento das novas tecnologias e telecomunicações, o mundo dos
negócios tornou-se moderno, globalizado e fácil de ser acessado. As organizações
por sua vez, passaram e ainda estão passando por intensos processos de
adaptação
em
todos
os
níveis,
tecnológico,
produtivo,
organizacional
e
administrativo. Nesse sentido, as organizações precisam estar sintonizadas com as
mudanças, as quais estão ocorrendo nos mercados interno e externo. Para alcançar
estes objetivos é necessária a implantação de eficientes sistemas de controles
internos, ótimos ambientes tecnológicos os quais permitam que a organização seja
competitiva em relação a seus concorrentes. Dentro deste contexto, o presente
trabalho consiste em uma pesquisa conceitual sobre auditoria nas organizações e
sua relevância, mostrando a sua contribuição para melhoria nos controles internos.
Inicialmente faz-se uma abordagem a respeito dos conceitos de auditoria,
descrevendo as técnicas usadas na avaliação e levantamento da operacionalidade
da organização. Aborda-se a influência e o impacto causado pela Lei SarbanesOxley na estrutura organizacional e em procedimentos internos. Descreve-se os
principais procedimentos de auditoria utilizados na realização de um trabalho, e por
fim, através de um estudo de caso, informa-se as contribuições da auditoria na
melhoria de procedimentos e controles internos.
Palavras Chave: Controle Interno, Auditoria, Procedimentos de Auditoria
7
ABSTRACT
With the development of new technologies and telecommunications, the business
world has become globalised, modern and easy to be accessed. Organizations in
turn, and are still experiencing intense adjustment at all levels, technological,
productive, organizational and administrative. Accordingly, organizations need to be
attuned changes, which are occurring in the internal and external markets. To
achieve these objectives, requires the deployment of efficient systems of internal
control, excellent technologies environments which allow the organization to be
competitive in relation to its competitors. Within this context, this work consists of a
conceptual search on audit describing the techniques used in assessment and lifting
of the operational organization. Discusses the influence and impact caused by
Sarbanes - Oxley in organizational structure and internal procedures. Describes the
main auditing procedures employed in the conduct of a job, and finally, through a
case study, the contributions of audit in improving procedures and internal controls.
Keywords: Internal Control, Auditing, Auditing Procedures
8
LISTA DE ABREVIATURAS E SIGLAS
ABRASCA – Associação Brasileira das Companhias Abertas
AICPA – American Institute of Certified Public Accountants
AUDIBRA – Instituto dos Auditores Internos do Brasil
BOVESPA – Bolsa de Valores de São Paulo
CFC – Conselho Federal de Contabilidade
COBIT – Control Objectives for Information and Related Technologies
COSO – Committee of Sponsoring Organizations of the Treadway Comission
CPC – Comitê de Pronunciamentos Contábeis
CRC – Conselho Regional de Contabilidade
CVM – Comissão de Valores Mobiliários
FIPECAFI – Fundação Instituto de Pesquisas Contábeis, Atuariais Financeiras
IBRACON – Instituto dos Auditores Independentes do Brasil
ITIL – IT Infrastructure Lybrary
SFN – Sistema Financeiro Nacional
9
1. INTRODUÇÃO
O Cenário atual do ambiente das organizações vem demandando, cada vez mais, a
adoção de medidas e técnicas de acompanhamento e controle que visam diminuir a
ocorrência de falhas evitando problemas que coloquem em risco a imagem da
entidade, diante dos acionistas, clientes e do mercado em geral.
Esse novo comportamento tem gerado a aplicação de diversos mecanismos, com
intuito de não apenas detectar e mensurar possíveis problemas, como também o
oferecimento de alternativas de soluções. Entre esses mecanismos, destacam-se as
políticas de gestão de riscos relacionadas à auditoria interna sobre os controles
internos.
Sabemos da dificuldade encontrada nas organizações para implantação da auditoria
interna que tanto pode ser terceirizada ou própria da empresa. Afinal modificar
procedimentos requer persuasão e habilidade, portanto convencer os investidores
sobre a importância da auditoria interna no resultado final das demonstrações
financeiras, na maioria dos casos encontrará resistência pelos clientes.
Destacaremos nessa pesquisa quais são os benefícios e ganhos para as empresas
que possui auditoria independente e interna em suas demonstrações financeiras e
controles internos, esclarecendo as etapas, necessidades e normas que servem
para ratificar o ambiente e controles internos de uma companhia.
10
1.1.
CARACTERIZAÇÃO DO PROBLEMA
Em nossa atuação profissional notamos as dificuldades encontradas pelas empresas
em manter a confiabilidade da sua marca e conquistar novos parceiros. Dessa
forma, a implantação da auditoria Interna, tem o intuito de reforçar a idoneidade da
empresa que zela pela constante melhoria dos seus processos.
Esta monografia tem como objetivo demonstrar, além da quantificação, mas também
a qualificação dos resultados através de uma auditoria independente e interna. A
falta deste trabalho e segmento na empresa pode gerar conflitos tanto na geração,
manutenção e guarda dos seus documentos e informações.
Focaremos na necessidade da Auditoria Interna na área financeira. A importância da
transparência fiscal e quanto isso pode se converter, financeiramente, em benefícios
para a entidade. Principalmente neste momento de crise, quando observamos a
desconfiança de alguns investidores em relação a algumas corporações. Se o
trabalho da auditoria não eliminar esta desconfiança, no mínimo conta como um
diferencial na escolha dos investidores por uma empresa mais sólida e sustentável.
É neste momento que a necessidade do controle e a diminuição de riscos se faz
necessária, sendo indispensável à implantação de um departamento de auditoria
interna ou a contratação de um auditor independente.
11
1.2.
DELIMITAÇÃO DOS OBJETIVOS
1.2.1. Objetivo Geral
A intenção desta monografia é de apresentar o trabalho de auditoria independente e
interna realizada nas empresas, bem como mostrar como a auditoria, no âmbito de
suas atribuições, pode contribuir para uma melhoria no sistema de controles
internos.
1.2.2. Objetivos Específicos
Como suporte ao objetivo geral, esta monografia atende:
a) Apresentar o conceito, a finalidade e a responsabilidade da auditoria
independente e interna;
b) Conceituar controles internos e descrever a sua importância dentro das
organizações;
c) Relacionar as principais exigências da Lei Sarbanes-Oxley no que tange a
melhoria dos controles internos e as obrigações da Alta Administração para
com estes controles;
d) Demonstrar a importância da utilização de procedimentos específicos de
auditoria no sentido de minimizar os riscos nos controles internos e na
aceitação da emissão de uma opinião sobre as demonstrações financeiras.
12
1.3.
JUSTIFICATIVA
A auditoria independente e interna com o passar dos anos vem agregando valor no
ambiente de controles das organizações. Foi percebido que auditoria é de suma
importância devido às exigências e necessidades de mercado atual além de
proporcionar confiabilidade nas demonstrações financeiras e transparência aos
investidores, acionista e clientes.
Dessa forma, visualizamos a oportunidade de realizar um estudo nesta área, para
informar o quanto a auditoria pode contribuir para uma melhoria significativa no
ambiente de controles das organizações mediante as dificuldades encontradas pelo
mercado, decorrente de crises constantes.
Acreditamos que este trabalho conceda a oportunidade de aperfeiçoamento e ajude
a aprimorar conhecimentos que vão auxiliar e esclarecer questões relacionadas à
implantação, manutenção e eficácia dos controles internos nas organizações.
13
1.4.
METODOLOGIA
A execução desta monografia se realizará por meio de pesquisa bibliográfica,
utilizando materiais contidos em livros, sites confiáveis, e boletins relacionados ao
tema em questão, auxiliando assim o desenvolvimento do estudo.
14
2. REFERENCIAL TEÓRICO
2.1.
Conceito de Auditoria
Segundo Attie (2006, p. 25) “A auditoria é uma especialização contábil voltada a
testar a eficiência e eficácia do controle patrimonial implantado com o objetivo de
expressar uma opinião sobre determinado dado”.
Sá (2002, p. 24) afirma que “[...] a auditoria é o exame de demonstrações financeiras
e registros administrativos. O auditor observa a exatidão, integridade e autenticidade
de tais demonstrações, registros e documentos”.
Crepaldi (2007, p. 27) define auditoria como sendo “o levantamento, o estudo e a
avaliação sistemática das transações, procedimentos, operações, rotinas e
demonstrações financeiras de uma entidade”. Entende-se, então, que a auditoria é
um conjunto de estudos detalhados de todas as operações que fazem parte de uma
organização, evitando situações que gerem fraudes ou possam incorrer em erros,
através da aplicação de testes periódicos nos controles internos das empresas.
2.2.
Origem do Termo Auditor
A origem do termo auditor em português, muito embora perfeitamente representado
pela origem latina (aquele que ouve, o ouvinte), na realidade provém da palavra
inglesa to audit (examinar, ajustar, corrigir, certificar). Segundo se tem noticias, a
atividade de auditoria é originada da Inglaterra que, como dominadora dos mares e
do comércio em épocas passadas, teria iniciado a disseminação de investimentos
em diversos locais e países e, por conseqüência, o exame dos investimentos
mantidos naqueles locais. (Attie 2006, p. 27)
O termo auditor não é exclusivo do ramo contábil, existindo a mesma nomenclatura
em outras diferentes atividades, porém exercidas com objetivos similares.
2.3.
Evolução Historia da Auditoria.
Podemos afirmar que a evolução da auditoria é decorrente da evolução da
contabilidade, síntese do crescimento de grandes empresas e do aumento das
15
atividades produtoras, gerando complexidade na administração dos negócios e de
praticas financeiras como força para o desenvolvimento da economia.
A preocupação com as corretas informações, o eficiente cumprimento de metas, o
aumento do capital investido e o retorno do investimento foram alguns dos fatores
que contribuíram para a exigência de uma opinião de alguém não ligado aos
negócios das empresas, e que de forma independente confirmasse a qualidade e
precisão das informações geradas, oferecendo, dessa forma o ensejo ao
aparecimento do auditor.
Com o crescimento do mercado e a exigência de uma opinião independente aos
negócios das empresas, começaram a surgir às empresas de auditoria, que mais
tarde tornar-se-iam grandes potencias econômicas e de geração de empregos com
para profissionais especializados.
Para Attie (2006, p. 27) “O surgimento da auditoria esta ancorado na necessidade de
confirmação por parte dos investidores e proprietários quanto à realidade
econômico-financeira
espelhada
no
patrimônio
financeiro
das
empresas
mundialmente distribuídas e simultâneas ao desenvolvimento econômico que
propiciou participação acionária na formação do capital de muitas empresas”.
2.4.
Evolução da Auditoria no Brasil
Nas ultimas décadas, instalaram-se no Brasil diversas empresas com associações
internacionais de auditoria externa. Esse fato ocorreu em função da necessidade
legal, principalmente nos Estados Unidos da America, de os investimentos no
exterior serem auditados. Essas empresas praticamente iniciaram a auditoria no
Brasil e trouxeram todo um conjunto de técnicas de auditoria, que posteriormente
foram aperfeiçoadas.
Basicamente, somente em 1965, pela Lei nº 4.728 (disciplinou o mercado de capitais
e estabeleceu medidas para seu desenvolvimento), foi mencionada pela primeira
vez na legislação brasileira a expressão “auditores independentes”. Posteriormente,
o Banco Central do Brasil estabeleceu uma série de regulamentos, tornando
16
obrigatória a auditoria externa ou independente em quase todas as entidades do
Sistema Financeiro Nacional – SFN – e companhias abertas.
Em 1976, a Lei das Sociedades por Ações (Lei nº 6.404/76, art. 177) determinou que
as demonstrações financeiras ou contábeis das companhias abertas (ações
negociadas em Bolsa de Valores) serão obrigatoriamente auditadas por auditores
independentes registrados na Comissão de Valores Mobiliários – CVM.
2.5.
Evolução da Auditoria Interna
O grande salto da auditoria acorreu após a crise econômica americana de 1929. No
inicio dos anos 30, é criado o famoso Comitê May, um grupo de trabalho instituído
com a finalidade de estabelecer regras para as empresas que tivessem suas ações
cotas em bolsa, tornando obrigatória a Auditoria Contábil Independente nos
demonstrativos financeiros dessas empresas.
Esses auditores independentes no desenrolar de suas atividades, necessitavam ter
acesso a informações e documentos que levassem ao conhecimento mais profundo
e análises das diferentes contas e transações. Para tanto, foram designados
funcionários da própria empresa. Estava lançada a semente da Auditoria Interna,
pois os mesmos, com o decorrer do tempo, foram aprendendo e dominando as
técnicas de Auditoria e utilizando-as em trabalhos solicitados pela própria
administração da empresa.
As empresas notaram que poderiam reduzir seus gastos com auditoria externa, se
utilizassem melhor esses funcionários, criando um serviço de conferencia e revisão
interna, continua e permanente, a um custo mais reduzido. Os auditores externos,
também ganharam com isso, pois puderam se dedicar exclusivamente ao seu
principal objetivo que era o exame da situação econômico-financeira das empresas.
Após a fundação do The Institute of Internal Auditors, em New York, a auditoria
interna passou a ser vista de maneira diferente. De um corpo de funcionários de
linha, quase sempre subordinados a contabilidade, pouco a pouco, passaram a ter
um enforque de controle administrativo, cujo objetivo era avaliar a eficácia e a
efetividade da aplicação dos controles internos. O seu campo de ação funcional foi
17
estendido para todas as áreas da empresa, e para garantir sua total independência,
passou a ter subordinação direta à alta administração da organização.
2.6.
Órgãos regulamentadores da Auditoria no Brasil.
Os principais órgãos regulamentadores da Auditoria no Brasil são:
CVM – Comissão de Valores Imobiliários;
IBRACON – Instituto dos Auditores Independentes do Brasil;
CFC – Conselho Federal de Contabilidade;
CRC – Conselho Regional de Contabilidade;
AUDIBRA – Instituto dos Auditores Internos do Brasil;
CPC – Comitê de Pronunciamentos Contábeis.
CVM – Comissão de Valores Mobiliários
A Comissão de Valores Mobiliários (CVM) é uma autarquia vinculada ao Ministério
da Fazenda do Brasil, instituída pela Lei 6.385, de 7 de dezembro de 1976.
Juntamente com a Lei das Sociedades por Ações (Lei 6.404/76) disciplinaram o
funcionamento do mercado de valores mobiliários e a atuação de seus
protagonistas.
A CVM tem poderes para disciplinar, normalizar e fiscalizar a atuação dos diversos
integrantes do mercado. Seu poder de normalizar abrange todas as matérias
referentes ao mercado de valores mobiliários.
IBRACON – Instituto dos Auditores Independentes do Brasil
O Instituto dos Auditores Independentes do Brasil surgiu com o objetivo de
concentrar em um único órgão a representatividade dos profissionais auditores,
contadores com atuação em todas as áreas e estudantes de Ciências Contábeis.
Criado oficialmente em 13 de dezembro de 1971 o Instituto dos Auditores
Independentes do Brasil, onde anos mais tarde, em 8 de junho de 2001, a Diretoria
Nacional aprovou a idéia de cuidar da classe dos auditores, porém como o nome
IBRACON já estava consolidado, tanto no meio profissional como nos setores
público e empresarial, optou-se por mantê-lo mudando a denominação para Instituto
18
dos Auditores Independentes do Brasil, como está atualmente, com abrangência de
auditores, contadores e estudantes.
CFC – Conselho Federal de Contabilidade;
O Conselho Federal de Contabilidade - CFC foi criado no Brasil pelo Decreto-lei
9.295/46, com o intuito de orientar, normatizar e fiscalizar o exercício da profissão
contábil, por intermédio (nos estados) dos Conselhos Regionais de Contabilidade. É
uma autarquia de caráter corporativo, sem vínculo com a Administração pública do
Brasil.
Atribui-se desde 1983 a função de organização de uma doutrina oficial contábil
brasileira, cujo conjunto denomina de Normas Brasileiras de Contabilidade,
aprovadas periodicamente por Resoluções.
CRC – Conselho Regional de Contabilidade;
O Conselho Regional de Contabilidade (CRC) é um Associação de Classe
profissional brasileira formado por contadores eleitos em cada estado e no Distrito
Federal por Contadores e Técnicos Contábil. É responsável pelo registro e
fiscalização do exercício da profissão contábil no Brasil juntamente com o Conselho
Federal de Contabilidade.
O Conselho em cada estado é constituído por representantes de 2/3 de Contadores
e de 1/3 de Técnicos em Contabilidade. Em cada estado do Brasil e no Distrito
federal possue um Conselho Regional independente formando assim 27 conselhos
que forma o Conselho Federal de Contabilidade.
AUDIBRA – Instituto dos Auditores Internos do Brasil.
O Instituto dos Auditores Internos do Brasil - AUDIBRA, fundado em 20 de novembro
1960, é uma entidade civil, sem fins lucrativos, de pessoas físicas atuando em
atividades de Auditoria Interna em qualquer modalidade. Sua principal missão é
Desenvolver o espírito associativo dos Auditores Internos, e difundir e promover o
reconhecimento e a importância da função do Auditor Interno no âmbito dos setores
privado e público.
19
CPC – Comitê de Pronunciamentos Contábeis
O Comitê de Pronunciamentos Contábeis (CPC) foi idealizado a partir da união de
esforços e comunhão de objetivos das seguintes entidades:
ABRASCA;
APIMEC NACIONAL;
BOVESPA;
CFC;
FIPECAFI;
IBRACON.
Criado pela Resolução CFC nº 1.055/05, o CPC tem como objetivo “o estudo, o
preparo e a emissão de Pronunciamentos Técnicos sobre procedimentos de
Contabilidade e a divulgação de informações dessa natureza, para permitir a
emissão de normas pela entidade reguladora brasileira, visando a centralização e
uniformização do seu processo de produção, levando sempre em conta a
convergência da Contabilidade Brasileira aos padrões internacionais”.
2.7.
Finalidade da Auditoria
Para Attie (1992 p. 42) a finalidade da auditoria interna “visa resguardar e
salvaguardar seus interesses constitui, por política, a área de auditoria que tem por
finalidade fornecer aos administradores, em todos os níveis, informações que os
auxiliem a controlar as operações e atividades pelas quais são responsáveis”.
Tendo em vista fortalecer a base da auditoria e permitir que sua atividade se
desenvolva no mais alto grau de aceitação e profissionalismo, a auditoria atuará em
nível de assessoria, reportando-se diretamente ao presidente do Conselho de
Administração e em sua falta ao diretor-presidente.
2.8.
Responsabilidade da Auditoria
Já a responsabilidade da auditoria para Attie (1992 p. 43) é de “desenvolver suas
tarefas em todas as empresas associadas, de caráter permanente, e em todos os
locais aplicáveis, analisando as políticas, procedimentos, usos e costumes, o
aprimoramento e a padronização dos controles aplicáveis as operações e atividades
pertinentes as empresas”.
20
Cabe ao auditor determinar que todas as organizações, através sejam revisadas a
intervalos regulares de tempo, assegurando-se que estas cumpram suas funções de
planejamento, contabilização, custodia e controle, conforme instruções recebidas e
segundo as políticas e procedimentos instituídos, de acordo com os altos padrões de
práticas administrativas.
2.9.
O que Leva uma Empresa a Contratar os Serviços de Auditoria
Para Almeida (2003 p. 33), os principais motivos que levam uma empresa a
contratar os serviços de auditoria independente ou externa para realização de um
trabalho, são os seguintes:
a) Obrigação Legal (companhias abertas, e quase todas as entidades
integrantes do Sistema Financeiro Nacional);
b) Imposição de instituições financeiras para captação de recursos;
c) Atendimento às exigências do próprio estatuto ou contrato social da empresa;
d) Atendimento a estratégias de investimentos de relevância em determinados
projetos;
e) Compra de empresas (o futuro comprador necessita de uma auditoria a fim de
determinar o valor contábil correto do patrimônio liquido da empresa a ser
comprada);
f) Tratamento de incorporação, fusão, cisão de empresas;
g) Para fins de consolidação das demonstrações contábeis (a consolidação é
obrigatória para a companhia aberta que tiver mais de 30% do valor de seu
patrimônio
liquido
representado
por
investimentos
em
sociedades
controladas).
2.10. Auditoria Interna VS Auditoria Externa
Podemos classificar a auditoria como Auditoria Externa ou Independente e Auditoria
Interna.
2.10.1.
Auditoria Externa
Segundo Attie (2006, p. 31) “Auditoria Externa ou Independente tem como objetivo o
exame das demonstrações financeiras e expressar uma opinião sobre a propriedade
das mesmas, e assegurar que elas representem adequadamente a posição
patrimonial e financeira”.
21
Para Almeida (2003, p. 45) “O objetivo do auditor externo ou independente é emitir
sua opinião sobre as demonstrações financeiras examinadas”.
Segundo o CRC. SP (2003, p 186), segundo resolução 820/97 do Conselho Federal
de Contabilidade, auditoria das demonstrações contábeis “constitui o conjunto de
procedimentos técnicos que tem por objetivo a emissão do parecer sobre sua
adequação, consoante os Princípios Fundamentais de Contabilidade e as Normas
Brasileiras de Contabilidade e, no que for pertinente, a legislação especifica”.
Em outras palavras, o objetivo principal da Auditoria Externa ou Independente é o
processo pelo qual o auditor se certifica da veracidade das demonstrações
financeiras preparadas pela companhia auditada. Em seu exame, o auditor, por um
lado, utiliza os critérios e procedimentos que lhe traduzem provas que assegurem a
efetividade dos valores apostos nas demonstrações financeiras e, por outro lado,
cerca-se dos procedimentos que lhe permitem assegurar a inexistência de valores
ou fatos não constantes das demonstrações financeiras que sejam necessários para
seu bom entendimento.
2.10.2.
Auditoria Interna
A administração da empresa, com a expansão dos negócios, sentiu a necessidade
de dar maior ênfase as normas ou aos procedimentos internos, devido ao fato de
que o administrador, ou em alguns casos o proprietário da empresa, não poderia
supervisionar pessoalmente todas as suas atividades. Entretanto, de nada valia a
implantação
desses
procedimentos
internos
sem
que
houvesse
um
acompanhamento, no sentido de verificar se estes estavam sendo seguidos pelos
empregados da empresa.
Adicionalmente, o auditor externo ou independente, além de sua opinião ou parecer
sobre as demonstrações contábeis, passou a emitir um relatório comentário, no qual
apresentava sugestões para solucionar os problemas da empresa, que chegaram a
seu conhecimento no curso normal de seu trabalho de auditoria.
Entretanto, o auditor externo passava um período de tempo muito curto na empresa
e seu trabalho estava totalmente direcionado para o exame das demonstrações
22
contábeis. Para atender a administração da empresa, seria necessária uma auditoria
mais periódica, com maior grau de profundidade e visando também as outras áreas
não relacionadas com a contabilidade (sistema de controle de qualidade,
administração de pessoal, etc). Portanto, surgiu o auditor interno como uma
ramificação da profissão de auditor externo e, conseqüentemente, do contador.
Para Attie (1992, p. 28) “Auditoria Interna é uma função independente de avaliação,
criada dentro da empresa para examinar e avaliar suas atividades, como um serviço
a essa mesma organização. A proposta da auditoria interna é auxiliar os membros
da administração a desincumbirem-se eficazmente de suas responsabilidades”.
O Conselho Federal de Contabilidade posiciona a auditoria interna, quando a
conceitua como o conjunto de procedimentos técnicos que tem por objetivo
examinar a integridade, adequação e eficácia dos controles internos e das
informações físicas, contábeis, financeiras e operacionais da Entidade (CRC-SP,
2001, p. 262).
Segundo Almeida (2003, p. 29), [...] “O auditor interno é um empregado da empresa,
e dentro de uma organização ele não deve estar subordinado aqueles cujo trabalho
examina. Além disso, o auditor interno não deve desenvolver atividades que ele
possa vir um dia a examinar (como, por exemplo, elaborar lançamentos contábeis),
para que não interfira em sua independência”.
Para Franco e Marra (2007, p. 219) “a auditoria interna é aquela exercida por
funcionário da própria empresa, em caráter permanente. Apesar de seu vinculo à
organização, o auditor interno deve exercer sua função com absoluta independência
profissional, preenchendo todas as condições necessárias ao auditor externo, mas
também exigindo da organização o cumprimento daquelas que lhe cabem”.
A título de exemplo, em uma estrutura organizacional, o Departamento de Auditoria
ficaria situado da seguinte forma:
23
Figura 1: Alocação do Departamento de Auditoria Interna dentro de uma Organização
Fonte: Almeida (2003, p. 30)
24
3. CONTROLES INTERNOS
3.1.
Introdução
Em países como o Brasil, em que somente agora se começa a dar a devida
importância aos métodos científicos de administração, governança corporativa, que
o conceito de controle interno esta sendo mais bem entendido. Às vezes imagina-se
ser o controle interno sinônimo da auditoria interna. É uma idéia totalmente
equivocada, pois a auditoria interna equivale a um trabalho organizado de revisão e
apreciação dos controles internos, normalmente executados por um departamento
especializado, ao passo que o controle interno se refere a procedimentos de
organização adotados como planos permanentes da empresa.
As normas de auditoria geralmente aceitas, referentes ao trabalho no campo
estabelecem que o auditor deva avaliar o sistema de controle interno da empresa
auditada, a fim de determinar a natureza, época e extensão dos procedimentos de
auditoria.
Figura 2: Avaliação do Sistema de Controle Interno e Volume de Testes.
Fonte: Almeida (2003, p. 63)
25
3.2.
Definição de Controles Internos
Segundo o conceito de Fayol, “o controle consiste em verificar se tudo ocorre em
conformidade com o plano adotado, com as instruções emitidas e com os princípios
estabelecidos; tem por objetivo apontar as falhas e erros; para ratificá-los e evitar
sua reincidência; aplica-se a tudo: coisas, pessoas, processos, etc.
O COSO define controle interno como um processo conduzido pelo conselho de
administração, pela administração e pelo corpo de empregados de uma
organização, com a finalidade de possibilitar uma garantia razoável quanto à
realização dos objetivos nas seguintes categorias:
Eficácia e Eficiência das Operações;
Confiabilidade das Demonstrações Financeiras;
Conformidade com Leis e Regulamentos Cabíveis.
Segundo Almeida (2003, p. 63), “Controle interno representa em uma organização o
conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os
ativos, produzir dados contábeis e ajudar a administração na condução ordenada
dos negócios da empresa”.
A AICPA, afirma: “O controle interno compreende o plano de organização e o
conjunto coordenado dos métodos e medidas, adotados pela empresa, para
proteger seu patrimônio, verificar a exatidão e a fidedignidade de seus dados
contábeis, promover a eficiência operacional e encorajar a adesão s política traçada
pela administração”.
Para AUDIBRA: “Controles internos devem ser entendidos como qualquer ação
tomada pela administração (...) para aumentar a probabilidade de que os objetivos e
metas estabelecida sejam atingidas”.
Dessa forma, entende-se como controle interno, o conjunto de políticas e
procedimentos que são desenvolvidos e operacionalizados para garantir razoável
certeza acerca da confiança que pode ser depositada nas demonstrações
financeiras e nos seus processos correlatos, bem como na correta apresentação
daquelas demonstrações financeiras, garantindo que foram preparadas de acordo
26
com os princípios de contabilidade geralmente aceitos e que incluem políticas e
procedimentos de manutenção dos registros contábeis, aprovações em níveis
adequados e salvaguarda de ativos.
3.3.
Importância do Controle Interno
Para Attie (1992, p. 200) “A importância do controle interno fica patente a partir do
momento em que se torna impossível conceber uma empresa que não disponha de
controles que possam garantir a continuidade do fluxo de operações e informações
proposto”.
A confiabilidade dos resultados gerados por esse fluxo que transforma simples
dados em informações a partir das quais os empresários, utilizando-se de sua
experiência administrativa, tomam decisões com vistas no objetivo comum da
organização.
Nos dias atuais, onde podemos afirmar que as informações são muito importantes
na tomada de decisões, a existência de um sistema de controles internos eficiente é
muito importante para uma correta geração de informações. Como parte de um
eficiente sistema de controles internos vale salientar a importância, da Tecnologia da
Informação.
A Tecnologia da Informação (TI) pode ser definida como um conjunto de todas as
atividades e soluções providas por recursos de computação. Também é comumente
utilizada para designar o conjunto de recursos não humanos dedicados ao
armazenamento, processamento e comunicação da informação, bem como o modo
como esses recursos estão organizados em um sistema capaz de executar um
conjunto de tarefas. Dentro deste contexto a Tecnologia da Informação proporciona
a pequenas e grandes empresas alcançar maior produtividade e competitividade.
3.4.
Classificação dos Controles Internos
3.4.1. Controles Internos Detectivos
A finalidade dos controles detectivos é a detecção de erros que podem ter ocorrido
durante o processamento (isto é, erros que podem ocorrer, apesar dos controles de
27
prevenções existentes) Freqüentemente as organizações implementam controles
detectivos para supervisionar o funcionamento confiável de seus sistemas contábeis
e dos respectivos controles preventivos e, em muitos casos, os controles detectivos
são procedimentos realizados pela administração da empresa. Os controles
detectivos podem ser executados pelos usuários ou por aplicativos informatizados.
3.4.2. Controles Internos Preventivos
O controle interno preventivo tem como finalidade principal evitar que o erro ou a
fraude ocorra, ou que o patrimônio seja colocado em risco. Visam também, garantir
a tempestividade dos registros, operações e informações pertinentes e medidas a
serem tomadas como: autorização previa de lançamento, de qualquer documento
nos sistemas oficiais de registro da empresa, segregação entre a função registrar e
a de custodiar ou de autorizar; rodízio de funcionários ou obrigatoriedade de férias
aos titulares das funções; e o treinamento dos funcionários, supervisores e corpo
gerencial.
3.5.
Estrutura de Controles Internos.
Conseqüentemente, muitas companhias constroem sua estrutura de controles
internos em torno do COSO (The Committee of Sponsoring Organizations of the
Treadway Comission) Contudo, o COSO representa apenas uma, embora a mais
amplamente reconhecida, das muitas estruturas de controles internos existentes.
3.5.1. COSO
Em 1975, foi criada nos Estados Unidos, a Nacional Commission on Fraudulent
Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros),
uma iniciativa independente, para estudar as causas da ocorrência de fraudes nos
relatórios financeiro-contábeis.
Esta comissão era composta por representantes das principais associações de
classes profissionais ligados a área financeira. Seu primeiro objeto de estudo foram
os controles internos.
28
Em 1992, publicou o trabalho Internal Control – Integrated Framework (Controles
Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial para
o estudo e aplicação dos controles internos.
Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido
como COSO (The Committee of Sponsoring Organizations of the Treadway
Comission).
O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios
financeiros através da ética, efetividade dos controles internos e governança
corporativa.
Segundo o COSO, para obter a efetividade dos controles internos, é importante
adotar um sistema de gerenciamento de riscos corporativos. Com a adoção deste
gerenciamento, e seu correto funcionamento, a organização poderá estabelecer
estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de
crescimento e de retorno de investimento, identificando os riscos a elas associado.
Para o COSO, o gerenciamento de riscos corporativos é constituído de cinco
componentes inter relacionados, que se originam com base na maneira como a
administração gerencia a organização, e que se integram ao processo de gestão. Os
componentes são apresentados abaixo:
Ambiente de Controle
Avaliação e Gerenciamento de Riscos
Atividade de Controle
Informação e Comunicação
Monitoramento
Ambiente de Controle
O ambiente de Controle abrange a cultura de uma organização, a influência sobre a
consciência de risco de seu pessoal, sendo a base para todos os outros
componentes do gerenciamento de riscos corporativos, possibilita a disciplina e a
estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de
uma organização no que diz respeito aos riscos; seu apetite a riscos; a supervisão
29
do conselho de administração; a integridade, os valores éticos e a competência do
pessoal da organização; e a forma pela qual a administração atribui alçadas e
responsabilidades, bem como organiza e desenvolve o seu pessoal.
Avaliação e Gerenciamento de Riscos
O Que é Risco
Pode-se definir risco como o impacto provocado por uma incerteza ao conjunto de
fatos significativos decorrentes de ameaças internas ou externas que resultem na
impossibilidade de execução de objetivos anteriormente estabelecidos.
Para Dias (2006, p. 29) “Risco representa uma possibilidade, ou seja, trata-se de
algo que existe e pode ocorrer, mas não quer dizer com isso, que sua ocorrência
seja liquida e certa”.
Já a Deloitte Touche Tohmatsu (2008, Deloitte Audit Approach) classifica riscos
como ”incertezas inerentes a um conjunto de possíveis conseqüências (ganhos e
perdas) que resultam de decisões tomadas diariamente pela organização”.
A avaliação e Gerenciamento de Riscos permitem que uma organização considere
até que ponto eventos em potencial pode impactar a realização dos objetivos. A
administração avalia os eventos com base em duas perspectivas – probabilidade e
impacto – e, geralmente, utiliza uma combinação de métodos qualitativos e
quantitativos. Os impactos positivos e negativos dos eventos em potencial devem
ser analisados isoladamente ou por categoria em toda a organização. Os riscos são
avaliados com base em suas características inerentes e residuais.
Tipos de Risco
Conforme o pronunciamento SAS 55 – Consideration of the Internal Control Structure
in a Financial Statement Audit o risco de auditoria esta composto por três
componentes, sendo:
Risco Inerente;
Risco de Controle;
Risco de Detecção.
30
Risco Inerente
Risco inerente traduz a suscetibilidade em que os componentes das demonstrações
financeiras estão expostas a erros ou irregularidades considerados significativos,
antes de considerar a eficácia dos sistemas de controle.
Risco de Controle
Risco de controle é o risco de que um erro, ou execução de procedimentos
inadequados ou classificações contábeis indevidas não sejam evitados ou
identificados tempestivamente pelos controles internos da organização.
Risco de Detecção
Risco de detecção é o risco de que o auditor não detecte um erro, ou execução de
procedimentos inadequados ou classificações contábeis indevidas durante seu
trabalho de auditoria.
Resposta a Riscos
Após ter conduzido uma avaliação dos riscos pertinentes, a administração determina
como responderá aos riscos. As respostas incluem evitar, reduzir, compartilhar ou
aceitar os riscos. Ao considerar a própria resposta, a administração avalia o efeito
sobre a probabilidade de ocorrência e o impacto do risco, assim como os custos e
benefícios, selecionando, dessa forma, uma resposta que mantenha os riscos
residuais dentro das tolerâncias a risco desejadas. A administração identifica as
oportunidades que possam existir e obtêm, assim, uma visão dos riscos em toda
organização ou de portfólio, determinando se os riscos residuais gerais são
compatíveis com o apetite a riscos da organização.
Atividades de Controle
As atividades de controle são as políticas e os procedimentos que contribuem para
assegurar que as respostas aos riscos sejam executadas. Essas atividades ocorrem
em toda a organização, em todos os níveis e em todas as funções, pois
compreendem uma série de atividades – tão diversas, como alçadas, autorizações,
reconciliação e revisão do desempenho operacional, da segurança dos bens e da
segregação de responsabilidades.
31
Informações e Comunicações
As informações pertinentes são identificadas, coletadas e comunicadas de forma
coerente e no prazo, a fim de permitir que as pessoas cumpram as suas
responsabilidades. Os sistemas de informática geralmente empregam dados
gerados internamente e informações de fontes externas, possibilitando, dessa forma,
esclarecimentos para o gerenciamento de riscos e tomada de decisão baseadas em
dados relacionados aos objetivos.
A comunicação eficaz também ocorre ao fluir em todos os níveis da organização.
Todo o pessoal recebe uma mensagem clara da alta administração, alertando que
as responsabilidades do gerenciamento de riscos corporativos devem ser levadas a
sério. Cada um entende a sua própria função no gerenciamento de riscos
corporativos, assim como as atividades individuais que se relacionam com o trabalho
dos demais.
As pessoas deverão ter uma forma de comunicar informações significativas dos
escalões inferiores aos superiores. Deve haver, também, uma comunicação eficaz
com terceiros, como clientes, fornecedores, órgãos reguladores e acionistas.
Monitoramento
O gerenciamento de riscos corporativos é monitorado, avaliando-se a presença e o
funcionamento de seus componentes ao longo do tempo. Essa tarefa é realizada
mediante atividades contínuas de monitoramento, avaliações independentes ou uma
combinação de ambas. O monitoramento contínuo ocorre no decurso normal das
atividades de administração.
O alcance e a freqüência das avaliações independentes dependerão basicamente
de uma avaliação dos riscos e da eficácia dos procedimentos contínuos de
monitoramento. As deficiências no gerenciamento de riscos corporativos são
relatadas aos superiores, sendo as questões mais graves relatadas ao Conselho de
administração e à diretoria executiva.
32
3.6.
Controles Internos em Tecnologia da Informação
3.6.1. Introdução
A utilização da Tecnologia da Informação dentro das organizações sofreu
consideráveis mudanças nos últimos anos por conta da globalização. Onde a
Tecnologia da Informação era vista como um centro de custo usado primariamente
para automatizar tarefas de escritório, hoje veio a se tornar a chave estratégica de
desempenho, competitividades e inovação nos negócios das organizações,
necessária para agregar novos valores aos clientes. A expansão desta utilização e
dependência requer uma abordagem integrada e padronizada das práticas de
Tecnologia da Informação e um mecanismo de controle e aferição dos resultados
alcançados, alinhados com a estratégia das organizações.
Dentro do contexto acima, podemos citar o sistema ERP (Enterprise Resource
Planning) como principal aliado na integração de dados e processos dentro de uma
organização.
3.6.2. Sistema ERP
Um sistema ERP (Enterprise Resource Planning) em termos gerais é uma
plataforma de software desenvolvida para integrar os diversos departamentos de
uma empresa, possibilitando a automação e armazenamento de todas as
informações de negócios, proporcionando maior confiabilidade na geração de
informações, que pode ser obtida em tempo real, graças o auxilio e o
comprometimento de colaboradores, os quais são responsáveis pela atualização
sistemática dos dados que alimentam todo o sistema ERP.
Atualmente existem diversos modelos de software ERP, mas o mais conhecido e o
que oferece maior integração nas aplicações de negócios, é o sistema SAP.
A SAP é uma empresa alemã criadora do Software de Gestão SAP R/3. O sistema
SAP R/3 inclui um conjunto de normas-padrão, de softwares de negócios,
oferecendo, assim, soluções padronizadas para as necessidades internas de
informação de uma empresa. O sistema consiste de funções integradas nas
seguintes áreas: Vendas e Distribuição (SD), Finanças (FI), Controladoria (CO),
33
Logística, Materiais e Serviços (MM), Gestão da Produção (PP); Recursos Humanos
(HR); Gestão da Qualidade (QM), Ativo Fixo (AM), Gestão de Projetos (PS), Gestão
de Manutenção (PM); Soluções para Indústria (IS) e Workflow.
Figura 3: Estrutura do SAP/R3
Fonte: SAP
Dentro da organização, o sistema ERP possui papel importante na melhoria dos
controles internos, mas é importante ressaltar que somente a implantação de um
sistema ERP não resolve todos os problemas é preciso readequar os controles já
existentes, implantar novos controles, para que os mesmos possam interagir com as
novas funcionalidades oferecidas pelo sistema, e assim obter um eficiente sistema
de controles internos.
3.6.3. Governança da Tecnologia da Informação
Atualmente, os sistemas e os serviços de TI desempenham papel vital na coleta,
análise, produção e distribuição da informação indispensável à execução do negócio
das organizações. Tornou-se essencial o reconhecimento de que a TI é crucial,
estratégica e importante recurso, que precisa de investimento e gerenciamento
apropriados.
O cenário motivou o surgimento do conceito de Governança de TI, por meio da qual
se procura o alinhamento da TI com os objetivos da organização. Governança de TI
34
define que a TI é fator essencial para a gestão financeira e estratégica de uma
organização, e não apenas um suporte aos mesmos.
Governança de TI pode ser definida como: “Estrutura de relacionamentos entre
processos para direcionar e controlar uma empresa de modo a atingir seus objetivos
corporativos, por meio da agregação de valor e controle dos riscos pelo uso da TI e
seus processos (ITGI – IT Governance Institute, 2001).
Para alcançar a Governança de TI, as organizações utilizam modelos que possuem
as melhores práticas para a gestão de TI. Entre esses modelos, os de maiores
aceitação são o COBIT e o ITIL.
COBIT (Control Objectives for Information and Related Technologies)
É um trabalho desenvolvido desde 1996 pela Information Systems Audit and Control
Foundation (ISACA), tendo como objetivo fornecer boas práticas para a gestão de
processo de tecnologia da informação, eliminando divergências entre riscos de
negócios, questões técnicas, controles e medidas de desempenho.
O COBIT foi desenvolvido com base no consenso de especialistas de todo o mundo
no que diz respeito às melhores práticas e metodologias, tais como: códigos de
conduta, critérios de qualificação para os sistemas e processos de TI e Práticas de
mercado e requerimentos legais, governamentais e específicos dos mercados que
dependem fortemente de tecnologia.
ITIL (IT Infrastructure Lybrary)
A ITIL foi desenvolvida inicialmente pela CCTA (Central Computing and
Telecommunications Agency) atual OGC (Office of Government Commerce). O OGC
é órgão do Governo Britânico que tem como objetivo desenvolver metodologias e
criar padrões dentro dos departamentos do governo, buscando aperfeiçoar os
processos internos.
Desde o seu surgimento em 1980, as empresas e outras entidades do governo
perceberam que as práticas sugeridas poderiam ser aplicadas em seus processos
de TI também. Em 1990 a ITIL acabou se tornando um padrão de fato em todo o
mundo.
35
4. LEI SARBANES-OXLEY
4.1.
Introdução
Em julho de 2002, o Ex Presidente dos Estados Unidos, George W. Bush assinou a
Lei Sarbanes-Oxley. Repleta de reformas, a nova Lei reescreveu as regras para
governança corporativa, relativas à divulgação e à emissão de relatórios financeiros.
No passado recente, os escândalos no mundo dos negócios trouxeram à tona
declarações de executivos que afirmavam “não ter conhecimento” das atividades
duvidosas praticadas por suas companhias – participações não registradas nos
livros, reconhecimentos de receitas impróprios, etc. A Lei Sarbanes-Oxley foi criada
para desencorajar essas alegações através de várias medidas que intensificam as
conferências internas e aumentam a responsabilidade dos executivos.
A Lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros
explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos
controles internos sobre relatórios financeiros e divulgações.
Foi percebido que a maior parte das organizações não tinha – e antes da Lei
Sarbanes-Oxley não eram obrigadas a ter – um vinculo diretos das atividades de
controle com a Alta Administração da organização. Mas para cumprimento de
regras, foi importante o estabelecimento deste vinculo afim de que os Altos
Executivos demonstrem, o quanto é eficaz e eficiente sua estrutura de controles
internos.
Figura 4: Demonstração do Vinculo das Atividades de Controle com a Alta Administração
Fonte: Lei Sarbanes-Oxley (2003)
36
4.2.
Impacto nas Empresas
A aprovação da Lei Sarbanes-Oxley em julho de 2002 veio como uma grande
oportunidade para as empresas melhorarem os controles internos e usá-los como
instrumento de vantagem competitiva. As empresas foram obrigadas a se adaptarem
por força da Lei (empresas com ações negociadas nas bolsas dos Estados Unidos
ou subsidiárias de empresas americanas). Estas empresas aproveitaram esta
exigência e a transformaram em uma grande oportunidade para implantar modelos
integrados de gestão de riscos com benefícios reais, tanto no ponto de vista de
redução de perdas (tangíveis e intangíveis) como de prevenção de erros ou
irregularidades.
4.3.
Correto Direcionamento das Seções
Para melhorar o desempenho, muitos atletas profissionais visualizam o arremesso
ou o movimento perfeito. Essa técnica aplica-se aqui.
Para visualizar como será a companhia depois que o programa de controles internos
estiver operando normalmente, sem problemas: É importante projetar...
Uma forte estrutura de controles internos que ajude a manter a companhia na
direção do crescimento e da lucratividade;
Procedimentos que permitam cumprir as exigências para a emissão de
relatórios e para a divulgação decretada pela Lei Sarbanes-Oxley.
Algumas companhias adotaram estratégias que priorizam o cumprimento da Seção
302 em detrimento da Seção 404. O direcionamento individual dessas duas seções
da Lei constitui um processo ineficiente, o raciocínio é muito simples: As
determinações de ambas as seções podem ser direcionadas através de uma única
metodologia.
4.4.
Seções Criticas da Lei Sarbanes-Oxley
Grande parte da discussão em torno da Lei Sarbanes-Oxley esta concentrada nas
seções 302, 404 e 906.
A Seção 302 determina que Diretores Executivos e Diretores Financeiros devam
declarar
pessoalmente
que
são
responsáveis
pelos
controles
internos
e
procedimentos de divulgação. Cada arquivo trimestral deve conter a certificação de
37
que eles executaram a avaliação do desenho e da eficácia desses controles. Os
executivos certificados também devem declarar que divulgaram todas e quaisquer
deficiências significativas de controles internos, insuficiências materiais e atos de
fraude ao seu Comitê de Auditoria.
A Seção 404 determina uma avaliação anual dos controles e procedimentos
internos para a emissão de relatórios financeiros. Além disso, o auditor
independente da companhia deve emitir um relatório distinto que ateste a asserção
da administração sobre a eficácia dos controles internos e dos procedimentos
executados para a emissão dos relatórios financeiros.
A Seção 906 determina que Diretores Executivos e Diretores Financeiros assinem e
certifiquem o relatório periódico contendo as demonstrações financeiras. A
certificação executiva declara que o relatório cumpre as exigências de emissão de
relatórios determinadas pela SEC e que representam adequadamente a condição
financeira da companhia, bem como os resultados de suas operações. (Guia
Sarbanes-Oxley Deloitte 2003)
4.5.
Comprometer-se e Organizar-se
A compreensão de como a Lei Sarbanes-Oxley se aplica às companhias – de
acordo com as características de negócio – foi útil para o desenvolvimento do
programa de controles internos. Muitos fatores foram considerados. Por exemplo,
companhias de maior porte encontraram desafios diferentes das de menor porte.
Além disso, a proporção da estrutura de controles internos em prática teve influência
significativa sobre as atividades.
Três grupos desempenharam e desempenham um papel importante: o Conselho de
Administração, que supervisiona o compromisso com a tarefa; o Diretor Executivo e
o Diretor Financeiro, que reconhecem a responsabilidade de assegurar o
cumprimento das regras e transmitir as informações à Alta Administração e aos
funcionários; e o Comitê Diretor de Trabalho, que supervisiona e coordena as
atividades relativas à Lei Sarbanes-Oxley em toda a organização.
38
4.6.
Estrutura de Controles Internos Apropriada
Sem uma estrutura apropriada de controles internos (COSO ou similar),
provavelmente não é possível atender as exigências determinadas pela Secção 404
da Lei Sarbanes-Oxley. Segundo essa secção, o auditor independente deve
preencher um relatório que atende sua garantia sobre a eficácia de seus controles e
procedimentos internos para emissão de relatórios financeiros. Vale ressaltar que se
a organização não adotar uma estrutura eficiente de controles internos, não há
critérios com os quais a organização ou o auditor independente possa comparar a
eficácia.
39
5. PROCEDIMENTOS DE AUDITORIA
5.1.
Introdução
Para Almeida (2003, p. 55) “Os procedimentos de auditoria representam um
conjunto de técnicas que o auditor utiliza para colher as evidências sobre as
informações das demonstrações financeiras”.
Já Attie (2006, p. 131) define Procedimentos de auditoria como “investigações
técnicas que, tomadas em conjunto, permitem a formação fundamentada da opinião
do autor sobre as demonstrações financeiras ou sobre o trabalho realizado”.
Destro deste contexto é sabido que o objetivo da auditoria externa ou independente
é de emitir uma opinião sobre as demonstrações financeiras examinadas, com
intuito de ter a certeza de que os dados submetidos a exame são, ou não, exatos.
Para atingir esse objetivo, o auditor necessita planejar adequadamente seu trabalho,
avaliar o sistema de controle interno relacionado com a parte contábil, avaliar o
sistema de controles internos automatizados (ambiente de Tecnologia da
Informação), proceder à revisão analítica das contas do ativo, passivo e resultado
(despesas e receitas), a fim de estabelecer a natureza, época e extensão dos
procedimentos de auditoria, colher as evidencias comprobatórias e avaliar essas
evidencias. No quadro abaixo, são apresentados estes procedimentos de auditoria:
40
Figura 5: Procedimentos de Auditoria
Fonte: Almeida (2003)
A figura acima mostra os procedimentos principais, realizados pelo auditor, durante
um trabalho que visa emitir uma opinião sobre as demonstrações financeiras ou
levantamento dos controles internos da organização.
5.2.
Planejamento da Auditoria
5.2.1. Introdução
Segundo Almeida (2003, p. 154), “planejar significa estabelecer metas para que o
serviço de auditoria seja de excelente qualidade e ao menor custo possível”.
Attie (1992, p. 81) trata o planejamento de auditoria como planejamento global e
define o mesmo como: “Planejamento global tem por objetivo a identificação dos
possíveis trabalhos de auditoria a serem executados em cada uma das empresas
auditáveis. A definição dos trabalhos necessários de auditoria precisa considerar as
41
características de cada empresa, suas operações, relevância e os riscos
envolvidos”.
O trabalho de auditoria geralmente é iniciado pelo planejamento, o que faz entender
que este é o principal passo do trabalho a ser cumprido, pois é durante este trabalho
que o auditor vai adquirir o conhecimento necessário sobre o negocio da
organização, determinar as estratégias que vai utilizar durante o trabalho, sua
abordagem, as horas necessárias para realização dos trabalhos, a necessidade de
realização de trabalhos especiais, bem como a extensão dos testes de auditoria.
5.2.2. Conhecimento Sobre a Organização a ser Auditada
Na execução de um serviço de auditoria, o auditor deve obter um conhecimento dos
negócios da organização a ser auditada, de maneira que seja o suficiente para
permitir a identificação e a compreensão de eventos, transações e praticas que no
julgamento do auditor, possa exercer um efeito significativo sobre o trabalho de
auditoria e as demonstrações financeiras. Para obter esse conhecimento, o auditor
deve estudar, principalmente, as seguintes áreas da organização:
Financeira
Contábil
Orçamentária
Recursos Humanos
Fiscal
Operacional
Vendas
Suprimentos
O conhecimento sobre a organização a ser auditada permite ao auditor:
1. Avaliar o Risco: O entendimento dos riscos e a capacidade do auditor de
responder e a estes riscos aumentam de forma considerável com o
entendimento do ramo de atividade e dos negócios da organização.
2. Desenvolver um Plano de Auditoria Eficaz e Eficiente: Uma compreensão dos
negócios da organização e do processo pelo qual a administração controle
estes negócios, auxilia o auditor a desenhar uma estratégia eficiente de
42
confiança nos controles internos e a identificar riscos específicos em nível de
conta contábil, de modo a aplicar procedimentos de testes mais rigorosos
somente onde necessário.
3. Implementar Padrões de Trabalho na Organização: A Alta Administração da
organização esta intensamente interessada na opinião do auditor referentes a
questões mais abrangentes que afetam seus negócios. Com o resultado
desta opinião, a Alta Administração pode promover as mudanças necessárias
para a adequação de controles internos e por conseqüência diminuir a
ocorrência da materialização de riscos.
5.3.
Avaliação dos Controles Internos
Durante o trabalho de avaliação dos controles internos, os controles que são
relevantes para uma auditoria são aqueles que se referem ao objetivo da
organização de preparar as demonstrações financeiras para fins externos que sejam
adequadamente apresentadas em conformidade com os Princípios de Contabilidade
geralmente aceitos.
Para que o auditor realize uma correta avaliação dos controles é necessário o
entendimento de cada um dos componentes do controle interno, que são:
Ambiente de Controle;
Avaliação de Riscos;
Informação;
Atividades de Controle;
Monitoramento.
Para obter um entendimento de cada um dos cinco componentes do controle interno
da organização e identificar os fatores de risco de fraude que estiverem presentes, o
auditor utiliza a técnica de indagação a Alta Administração da organização, com
intuito de obter um entendimento global do sistema de controle interno e identificar
os fatores de riscos atrelados a este sistema.
Com base no entendimento referente ao negocio da organização, o auditor pode
identificar outros fatores de risco os quais devem ser considerados e documentados.
43
Na ocorrência da identificação de outro fator de risco presente, a documentação de
sua presença, por si só, não será suficiente para proporcionar ao auditor um
entendimento suficiente de seus possíveis efeitos, dessa forma é necessária a
obtenção de maiores informações a fim de identificar os efeitos na eficácia ou
ineficácia do controle interno e o risco de materialização de erros materiais
decorrentes de fraudes.
Após o auditor obter um entendimento dos cinco componentes do controle interno e
de identificar os fatores de riscos de fraude presentes, é necessário realizar a
avaliação dos controles internos a fim de estabelecer o nível adequado de ceticismo
profissional e fazer a avaliação combinada de riscos (riscos inerentes e riscos de
controle) e a determinar a natureza, época e extensão dos procedimentos de
auditoria.
Por fim, após a execução dos procedimentos descritos nos parágrafos anteriores, é
necessário realizar os testes de observância do sistema de controles internos.
Para Almeida (2003, p.73) “os testes de observância consistem em o auditor se
certificar de que o sistema de controle interno levantado é o que realmente esta
sendo utilizado. Acontece com freqüência que uma organização tem um excelente
sistema de controle interno descrito em seu manual de procedimentos; entretanto,
na pratica, a situação é totalmente diferente”.
5.4.
Revisão Analítica
Para Almeida (2003, p. 448) “O objetivo da revisão analítica é detectar e analisar
situações anormais e significativas constatadas nas demonstrações financeiras,
mais precisamente nas contas do balanço patrimonial e das da demonstração do
resultado do exercício. Essa revisão auxilia a identificar áreas prioritárias ou áreas
com problemas, onde, portanto, o auditor deverá concentrar mais sua atenção.
Concluindo a revisão analítica, em conexão com a avaliação do controle interno,
alem de ajudar o auditor na determinação da natureza, época e extensão dos
procedimentos de auditoria”.
44
O procedimento de revisão analítica é executado com intuito de obter uma
compreensão geral do conteúdo das demonstrações financeiras e das mudanças
contábeis ou operacionais significativas que possam ter ocorrido desde o trabalho
de auditoria anterior, ou seja, a revisão analítica trata da comparação dos saldos
contábeis das contas do balanço patrimonial e demonstração do resultado do
exercício do período anterior (já auditados) com os saldos do período atual.
Durante o trabalho de auditoria, o auditor cria uma expectativa de variação dos
saldos contábeis, de tal forma que na ocorrência de uma diferença significativa entre
a expectativa do auditor e o valor contabilizado, identificada na revisão analítica, faz
com que o auditor execute procedimentos adicionais com intuito de obter uma
segurança maior sobre o saldo contabilizado.
5.5.
Procedimentos de Auditoria Importantes
Attie (2006, p.131) explica que “o desempenho da atividade de auditoria requer,
como em qualquer outra função, a utilização de ferramentas de trabalho que
possibilitem formar uma opinião. Geralmente, o objetivo da auditoria é fundamentar
seu ponto de vista com fatos, evidências e informações possíveis, necessárias e
materiais”.
Dessa forma, além de serem executados os procedimentos descritos em tópicos
anteriores, é necessária, para complemento dos trabalhos, a realização de outros
procedimentos, os quais serão de suma importância para a conclusão dos trabalhos
e na opinião do auditor sobre as demonstrações financeiras. A seguir, vamos
exemplificar estes procedimentos.
5.5.1. Contagem Física
Almeida (2003, p. 56) explica que “este procedimento é utilizado para as contas de
ativo e consiste e identificar fisicamente o bem declarado nas demonstrações
financeiras”.
Já Attie (2006, p. 133) entende que “o exame físico é a verificação in loco; deverá
proporcionar ao auditor a formação de opinião quanto à existência física do objeto
ou item examinado”.
45
Dentro deste contesto podemos entender que a contagem física é a comparação
dos saldos/quantidades descritas nas demonstrações financeiras com material físico
existente na organização. Este procedimento faz o auditor se certificar de que os
registros contábeis estão corretos e seus valores adequados, em função da
qualidade do item examinado.
Exemplos de procedimentos de auditoria de Contagem Física:
Contagem de Caixa;
Contagem de Estoques;
Contagem de Ativo Imobilizado.
5.5.2. Confirmação com Terceiros
Almeida (2003, p. 56) entende que “este procedimento é utilizado pelo auditor para
confirmar, por meio de carta, bens de propriedade da empresa em poder de
terceiros, direitos a receber e obrigações”.
A confirmação com terceiros é apropriada, pois se tratam de informações enviadas
por profissionais e/ou entidades independentes a organização auditada. Vale
ressaltar que se as informações enviadas forem razoavelmente eficientes, o auditor
poderá adotar como evidência de sua revisão esta confirmação em vez de examinar
a documentação suporte disponível na localidade da organização.
As confirmações geralmente fornecem uma boa evidência quanto à validade e
registro dos saldos contábeis referentes à:
Contas a Receber;
Contas a Pagar
Saldo de Caixa e Bancos
Aplicações Financeiras
Empréstimos
Estoque em Poder de Terceiros
Contingências
46
Caso o auditor não receba a confirmação de terceiros, este deverá adotar a
realização de procedimentos alternativos para testar os valores existentes nas
demonstrações financeiras em nível de conta contábil.
5.5.3. Conferência de Cálculos
Almeida (2003, p. 56) afirma que “o contador efetua diversos cálculos em todo o
processo de elaboração das demonstrações financeiras. Evidentemente, um erro de
calculo ocasiona uma informação errônea nestas demonstrações. Portanto o auditor
deve conferir, na base de teste, esses cálculos”.
O Auditor deve efetuar o recálculo de todos os cálculos efetuados pelo contador
durante a elaboração das demonstrações financeiras, com intuito de validar os
mesmos e evitar a contabilização de valores errôneos.
Abaixo alguns exemplos de cálculos efetuados pelo auditor durante os trabalhos de
auditoria.
Cálculos de Valorização de Estoque;
Cálculos de Amortização de Despesas Antecipadas e Diferidas;
Cálculos de Depreciações dos Bens do Ativo Imobilizado;
Cálculos de Variação Monetária e Cambial de Empréstimos a Pagar;
Cálculos de Juros Provisionados.
5.6.
Inspeção de Documentos
Segundo Almeida (2003, p.57) ”existem dois tipos de documentos: os internos e os
externos. Os documentos internos são produzidos pela própria organização, já os
externos são fornecidos por terceiros a organização, normalmente comprovando
algum tipo de transação”.
O exame destes documentos, tanto os externos quanto os internos tem o objetivo de
trazer ao auditor a veracidade dos valores registrados.
5.7.
Papeis de Trabalho
Para Almeida (2003, p.88) “uma das normas de auditoria geralmente aceitas
estabelece que o auditor deva colher elementos comprobatórios suficientes a fim de
47
apoiar seu parecer sobre as demonstrações financeiras examinadas. Com a
finalidade de atender a essa norma, os auditores elaboram papéis de trabalhos, que
representam o registro de todas as evidências (por meio da observação, inspeção,
indagação, investigação, etc.) obtidas ao longo da execução do serviço de auditoria”.
Já Attie (2006, p 154) informa que “os papeis de trabalho formam o conjunto de
formulários e documentos que contém as informações e apontamentos obtidos pelo
auditor durante seu exame, bem como as provas e descrições dessas realizações;
constituem a evidencia do trabalho e o fundamento de sua opinião”.
Os Papeis de Trabalho, tem como principais objetivos:
Atender as normas de auditoria geralmente aceitas;
Auxiliar o auditor durante a execução de seu trabalho;
Facilitar a revisão do auditor responsável;
Ajudar no trabalho da próxima auditoria;
Representar na justiça as evidências do trabalho executado.
5.7.1. Modelos de Papeis de Trabalho
Geralmente, os papeis de trabalho são padronizados com intuito de facilitar o uso e
entendimento.
A título de exemplo, quando o auditor executa um trabalho de contagem física de
estoques (inventário físico) o mesmo realiza a documentação dos procedimentos
executados e adotados pela empresa, em um papel de trabalho chamado
memorando. O memorando tem por característica descrever procedimentos
executados com mais detalhes, ou seja, informa com abrangência as tarefas
realizadas.
Ainda a título de exemplo, em outras circunstancias, quando o auditor realiza um
exame mais apurado, com seqüência de cálculos, confrontos os mesmos também
são documentados em um papel de trabalho, mas este com características
diferentes, o qual deverá ser elaborado em folhas de sete e catorze colunas.
48
Vale ressaltar que com o advento dos computadores e a introdução dos mesmos
nos trabalhos de auditoria, os papeis de trabalho passaram a ser documentados, em
sua maioria, de forma eletrônica, e com a ajuda de sistemas desenvolvidos
especialmente para auditoria, podem ser armazenados e organizados de forma
padronizada.
Por outro lado, a utilização de sistemas computadorizados para armazenamento e
organização dos papeis de trabalho, não tirou a obrigatoriedade dos mesmos serem
elaborados de forma padronizada, obedecendo às normas de auditoria e padrões de
codificação.
5.7.2. Natureza dos Papeis de Trabalho
Segundo Almeida (2003, p. 90) “Os papeis de trabalho podem ser de natureza
corrente ou permanente.
Correntes
Os papeis de trabalho de natureza corrente, são utilizados em apenas um exercício
social. São exemplos de papeis de trabalho correntes:
Caixa e Bancos
Contas a Receber
Estoques
Imobilizado
Contas a Pagar
Patrimônio Liquido
Receitas e Despesas
Permanentes
Os papeis de trabalho de natureza permanente são utilizados em mais de um
exercício social. São exemplos de papeis de trabalho permanentes:
Estatuto Social ou Contrato Social
Copias de Contratos Bancários de Financiamentos de Longo Prazo
Manuais de Procedimentos Internos
Copias de Atas de Reuniões
49
5.7.3. Tipos de Papel de Trabalho
Os tipos de papeis de trabalho utilizados pelo auditor são:
Programa de Auditoria
O programa de trabalho descreve, em detalhes, os procedimentos a serem
executados pelo auditor, durante os trabalhos.
Segundo Attie (2006, p. 167) “O programa de trabalho é o plano de ação voltado
para orientar e controlar a execução dos exames de auditoria”.
Segundo Almeida (2003, p. 89) “O programa de auditoria é dividido basicamente em
três partes que são as seguintes”.
Listagem dos procedimentos de auditoria;
Espaço para a assinatura e rubrica do auditor;
Referencia a outros papeis de trabalho;
Espaço para comentários, observações, etc.
Levantamento dos Controles Internos
Após a definição dos procedimentos a serem executados, descritos no programa de
trabalho, o auditor inicia seu trabalho avaliando o sistema de controles internos da
organização. Esta verificação é efetuada através de indagação aos responsáveis
dos departamentos (uso de questionários), verificação de documentos, análise do
ambiente de tecnologia da informação. Os resultados destes procedimentos
(questionários/entrevistas realizadas com a Alta Administração, Fluxogramas de
Processos, Memorando Descritivo) são documentados em papeis de trabalho com
intuito de manter um histórico do trabalho executado, bem como ser analisado, em
momento oportuno, durante os trabalhos de auditoria.
Balancete de Trabalho
O balancete de trabalho é um resumo do balancete contábil analítico/detalhado
entregue pela organização. Este papel de trabalho auxilia na divisão das áreas a
serem auditadas, bem como, mostra de uma forma sintético-resumida o saldo dos
grupos contábeis.
50
Franco e Marra (2007, p. 335) explica que o balancete de trabalho ”é o pivô dos
trabalhos de auditoria”.
Para Attie (2006, p. 166) “O balancete de trabalho, também denominado como
balancete de razão, é a base fundamental para o trabalho de auditoria. Todos os
demais papeis de trabalho de alguma forma com ele se relacionam, apenas
diferenciando por este ser mais sintético, enquanto os demais são mais analíticos”.
Lançamentos de Ajuste e/ou Reclassificação
Attie (2006, p. 165) explica que ”durante o transcorrer do trabalho, o auditor pode vir
a descobrir quaisquer erros ou irregularidades nos dados contábeis sob exame, que
requererão correções por parte da companhia auditada. No momento desta
descoberta, o auditor prepara os lançamentos contábeis em um papel de trabalho,
de forma resumida, evidenciando com um breve histórico quais contas e o valor
envolvido”.
Pontos para Recomendação
Durante os trabalhos de auditoria, são verificados os controles internos, relacionados
com a contabilidade, existentes na organização. Na ocorrência da descoberta de
alguma irregularidade no funcionamento destes controles, o auditor deverá registrar
a ocorrência em seus papeis de trabalho, bem como elaborar um memorando
descritivo, denominado carta de recomendação, o qual deverá ser discutido com a
Alta Administração da organização.
Este documento deverá ser analisado e comentado pela Alta Administração da
organização com intuito de explicar o porquê da ocorrência da falha de controle,
quais procedimentos serão executados para a regularização desta falha, bem como
o prazo para regularização.
5.8.
Relatórios de Auditoria
Para Franco e Marra (2007, p. 517) “O relatório de é o coroamento do trabalho de
auditoria”, pois é por meio dele que o auditor informa as pessoas a quem se dirige o
seguinte:
51
O trabalho que Realizou;
O Alcance Abrangido pelo Trabalho;
A Forma como o Realizou;
Os Fatos Relevantes Observados, os quais Deveram ser Divulgados;
A Opinião sobre as Demonstrações Financeiras.
Conforme já abordado, o objetivo principal do auditor externo ou independente é
emitir uma opinião sobre as demonstrações financeiras. Mas segundo Almeida
(2003, p. 492) “o empresário normalmente supõe que o auditor, depois de passar
algumas semanas ou meses examinando sua organização, lhe ofereça alguma coisa
mais do que um simples parecer. Ele espera que o auditor, com base na experiência
adquirida ao longo dos anos na auditoria de varias empresas de diversos ramos de
negócios, de recomendações construtivas visando o aprimoramento dos controles
internos, redução de custos, melhoramento das praticas contábeis e administrativas
e ate mesmo uma forma mais adequada de conduzir sua companhia”.
Dessa forma, os auditores passaram a emitir relatórios comentando as deficiências
de controles identificadas ao logo do trabalho de auditoria, oferecendo assim
recomendações construtivas para solucionar estas deficiências, este relatório é
chamado de “Carta Comentário”.
5.8.1. Tipos de Relatórios
Os relatórios emitidos por auditores, externos ou internos, variam de amplitude,
forma e, contudo, de acordo com a natureza do exame executado, do alcance dos
procedimentos efetuados, dos fins a que se destinam os relatórios e, principalmente,
de acordo com as conclusões a que chegou.
Entre os relatórios formais, podemos distinguir os seguintes tipos principais, a saber:
Parecer sobre as Demonstrações Contábeis;
Carta Comentário, contendo os resultados dos testes de Controle Interno,
ressaltando suas deficiências e oferecendo sugestões e recomendações
construtivas, para melhoria desses controles.
52
5.8.1.1.
Parecer de Auditoria
Segundo Almeida (2003, p. 473) “O parecer de auditoria representa o produto final
do trabalho do auditor”.
Para Attie (2006, p. 67) “o parecer de auditoria é o instrumento pelo qual o auditor
expressa sua opinião, em obediência as normas de auditoria; após a realização de
todo trabalho de campo, reunindo provas e evidências sobre as demonstrações
financeiras, é que o auditor determina seu entendimento sobre a representatividade
e o conjunto dos mesmos”.
5.8.1.2.
Carta Comentário
Tão importante quanto o Parecer de Auditoria é a Carta Comentário, pois é neste
relatório que o auditor vai expor as fraquezas de procedimentos ou mesmo de
aprimoramento referentes aos controles internos.
Este relatório tem por objetivo descrever com detalhes as deficiências encontradas
nos controles internos durante os trabalhos de auditoria, bem como oferecer as
recomendações, baseadas nas melhores práticas de mercado, para solucionar as
deficiências de controle e minimizar a materialização de possíveis riscos. Ao final do
trabalho e após a confecção da “Carta Comentário” o auditor deverá levar ao
conhecimento do auditado os pontos identificados, para que o mesmo possa explicar
o porquê da ocorrência das deficiências.
53
6. O TRABALHO DE AUDITORIA
Neste capitulo, serão apresentadas com detalhes as atividades que o auditor realiza
durante o trabalho de auditoria, seja ela para avaliação dos controles internos ou
emissão de uma opinião sobre as demonstrações financeiras.
6.1.
O Trabalho de Auditoria, Atividades Iniciais.
O trabalho de um auditor inicia-se muito antes de sua visita a organização. Como
atividade inicial, antes de aceitar um trabalho de auditoria em uma organização, o
auditor realiza indagações e executa procedimentos adequados visando efetuar uma
avaliação preliminar do risco do trabalho e determinar a aceitabilidade da
organização.
Estas indagações e procedimentos preliminares referem-se a uma analise previa
das demonstrações financeiras mais recentes, obter informações sobre os
proprietários e alta administração da organização, bem como a sua reputação
comercial e situação financeira.
O levantamento destas informações, certamente será importante para a aceitação
ou não do trabalho de auditoria.
6.2.
Seleção da Equipe de Trabalho
Após a avaliação do risco e a aceitação na execução dos trabalhos, o auditor
responsável deve selecionar uma equipe apropriada, baseando-se na experiência,
conhecimento do ramo de atividade, e em exigências especificas. Dessa forma o
auditor responsável precisa estar familiarizado tanto com as exigências do serviço
de auditoria quanto com as qualificações do staff disponível.
A equipe de trabalho normalmente é composta pelo auditor responsável (sócio de
auditoria), gerente de auditoria, auditor sênior (responsável pelos trabalhos na
organização) e dois ou três assistentes. Vale ressaltar que a quantidade de
membros da equipe de auditoria varia com o porte da organização auditada e
complexidade do trabalho de auditoria que será realizado.
54
6.3.
Inicio dos Trabalhos
A equipe de trabalho selecionada pelo auditor responsável devera comparecer a
organização para dar inicio aos trabalhos. Primeiramente deve-se entrar em contato
com
o
representante
da
organização,
responsável
pela
contratação
e
acompanhamento dos trabalhos de auditoria, para que seja efetuada uma reunião
inicial.
A reunião inicial tem como objetivo, levar ao conhecimento do representante da
organização, qual a natureza dos trabalhos que serão executados, apresentar a
equipe responsável pela execução dos testes e analises, bem como o período em
que o trabalho deverá ser realizado.
Após as apresentações e esclarecimentos iniciais referentes ao trabalho, o auditor
responsável entrega ao representante da organização, uma relação, contendo todos
os documentos, os quais serão necessários para a realização dos trabalhos.
Esta reunião deverá ser documentada, assinada pelos responsáveis e arquivada nos
papeis de trabalho do auditor, como documento inicial dos trabalhos.
6.4.
Realização dos Trabalhos na Organização.
Passado o prazo acordado na reunião de apresentação dos trabalhos, a equipe de
auditoria se desloca a organização para iniciar os trabalhos. O primeiro passo do
trabalho é contatar o representante da organização, para o recebimento da
documentação solicitada.
Como descrito ao longo deste trabalho, o primeiro trabalho (análise) que o auditor
deverá realizar na organização é o planejamento da auditoria. Segundo Almeida
(2003, p. 154), “planejar significa estabelecer metas para que o serviço de auditoria
seja de excelente qualidade e ao menor custo possível”.
Como primeira atividade do planejamento da auditoria, e equipe de trabalho deverá
contatar os representantes dos principais ciclos operacionais de negócio da
organização e agendar uma entrevista para o levantamento dos processos,
subprocessos e as principais áreas e departamentos envolvidos. A intenção deste
55
levantamento é em realizar um mapeamento das atividades realizadas nestes
processos, subprocessos com intuito de identificar falhas e os riscos atrelados a
estas falhas.
6.4.1. Mapeamento de Processos e Subprocessos
O mapeamento dos processos e subprocessos é também uma etapa importante de
um trabalho de auditoria, pois permite ao auditor conhecer ás áreas da organização,
entender como funciona o fluxo de atividades e identificar os possíveis riscos
atrelados ao processo e as atividades executadas.
Os principais processos mapeados em um trabalho de auditoria são:
Recursos Humanos / Folha de Pagamento
Controladoria (Relatórios Financeiros / Contábeis e Gerenciais)
Tesouraria (Captações, Fluxo de Caixa e Aplicações)
Tecnologia da Informação
Jurídico, Fiscal e Tributário
Meio Ambiente, Sustentabilidade, Saúde e Segurança
Ativo Fixo e Investimentos
O mapeamento das atividades é realizado por meio de entrevista ao representante
do ciclo operacional de negocio. Esta entrevista é baseada em um questionário
padrão que o auditor utiliza e que contém questões básicas referentes à área
auditada e aos possíveis riscos e falhas que podem ser identificados. Vale ressaltar
que o questionário utilizado pelo auditor para o mapeamento das atividades, varia de
acordo com o ramo de atividade da empresa, podendo ser alterado pelo auditor caso
o mesmo veja necessidade.
Após o mapeamento dos processos e subprocessos, o auditor classifica os mesmos
de acordo com os departamentos envolvidos e ciclo de atividades realizadas,
montando uma matriz de processos, subprocessos que vai facilitar seu trabalho.
Com intuito de apresentarmos o trabalho realizado pelo auditor no decorrer de uma
auditoria, vamos tomar como exemplo o “Processo de Receitas”, sempre destacando
que o trabalho do auditor para os outros processos é extremamente semelhante,
56
havendo pouquíssimas diferenças relacionadas ao segmento e ramo de atividade da
organização, segue o exemplo.
Figura 6 - Macrofluxo de Receitas
Fonte – Desenvolvida pelo Autor
Vale ressaltar que as organizações constantemente estão preocupadas com a
gestão adequada de suas vendas, faturamento e administração de recebimentos,
pois estes fatores afetam diretamente o desempenho das organizações. Pequenas
distorções nestes processos e subprocessos podem ocasionar perdas significativas
57
às organizações. Baseando-se nestas pequenas distorções o auditor identifica os
riscos relacionados às atividades mapeadas.
6.4.2. Identificação e Classificação dos Riscos
A identificação e avaliação dos riscos é uma etapa principal no trabalho de auditoria,
pois possibilita ao auditor analisar onde estão os principais problemas de uma
organização, bem como direcionar suas analises, com intuito de verificar a
ocorrência ou não do risco identificado.
Tomando por base o “Processo de Receitas” podemos identificar quais os principais
riscos relacionados a este processo, que são:
R1 Atividades executadas em desacordo com políticas e/ou procedimentos e
expectativas da organização;
R2 Determinação de condições comerciais (preço, prazo, desconto, etc.)
desfavoráveis para a Companhia;
R3 Atraso ou não cumprimento da especificação das ordens de venda e/ou
contratos de fornecimento, ocasionando perda de venda e insatisfação do
cliente;
R4 Vendas para clientes com restrição de crédito, inadimplentes, validade de
limite de crédito vencida ou limite de crédito excedido;
R5 Não aderência à legislação fiscal, ocasionando multas e/ou sanções
fiscais;
R6 Liquidação de títulos (a vencer ou vencidos) no Contas a Receber sem o
efetivo recebimento dos recursos;
R7 Receita de vendas contabilizada incorretamente ou em desacordo com
princípios contábeis.
Após a identificação dos riscos relacionados às atividades do processo, o auditor
realiza a classificação dos riscos. A classificação dos riscos auxilia a priorizar os
trabalhos de auditoria possibilitando a determinação do enfoque nos problemas mais
relevantes, além de permitir a medição do nível de exposição da empresa como um
todo e identificar ações estruturais a serem implementadas.
58
Para se classificar o risco, o primeiro passo que o auditor deve considerar é
determinar seu efeito potencial, ou seja, qual o grau de exposição da organização
àquele risco. Esse grau leva em consideração pelo menos dois aspectos: a
probabilidade de ocorrência e o seu impacto (em geral medido pelo impacto no
desempenho econômico-financeiro), conforme figura abaixo:
Figura 7 – Gráfico de Classificação dos Riscos
Fonte – Desenvolvida pelo Autor
O gráfico, Classificação dos Riscos representa o espaço no qual são expostos os
eventos de riscos identificados em função do nível da probabilidade de ocorrência
(eixo horizontal) e do valor do impacto do evento (eixo vertical). Os tons (verde,
amarelo e vermelho) denotam o grau de importância que se deve dar a cada um dos
eventos em função da região que ocupam no gráfico (um risco de alta probabilidade
e alto impacto se dispõe no tom vermelho, devendo ser analisado com muito
cuidado).
59
A elaboração de um Gráfico de Classificação de Riscos é uma etapa fundamental de
um trabalho de auditoria, pois possibilita ao auditor visualizar os riscos mais
relevantes e com maior probabilidade de materialização, possibilitando direcionar
seu trabalho na analise detalhada destes.
Como procedimento adicional, analisando a classificação dos riscos, o auditor tem a
possibilidade de adotar ou não uma confiança preliminar no ambiente de controles
da organização; preliminar, porque serão executados testes para verificação da
veracidade das informações, onde somente depois da compilação dos resultados
será possível classificar como eficaz ou ineficaz o ambiente de controle.
6.4.3. Planejamento e Desenho dos Testes de Auditoria
Para obter um nível máximo de segurança preliminar nos controles internos para um
erro potencial pertinente (risco especifico), o auditor deve planejar os testes de
controle daqueles processos e subprocessos os quais acredita que irão fornecer
segurança razoável de que os controles internos funcionam e minimizam a
possibilidade de materialização de um risco especifico.
Antes de o auditor planejar os testes de controle, ele precisa estabelecer que seja
eficaz e eficiente adotar uma estratégia de confiança nos controles internos. Esta
decisão é baseada no conhecimento adquirido durante a fase de planejamento
preliminar que consiste no mapeamento dos processos e subprocessos e
identificação e classificação dos riscos.
O planejamento dos testes de auditoria, em sua essência, é a determinação de
como o auditor vai executar seu trabalho, quais serão os documentos a serem
analisados, quais serão as contas a serem validadas e quais os riscos devem ser
minimizados. Os testes de auditoria geralmente envolvem indagação corroborativa,
mas, dependendo da natureza do processo ou subprocessos, podem ser realizadas
observações, exame de evidência documental, reexecução ou uma combinação
desses procedimentos.
60
Os planejamentos dos testes de auditoria direcionam os trabalhos que serão
executados na organização. Geralmente são descritos de forma detalhada,
mostrando passo a passo cada atividade que será realizada.
Os procedimentos que serão executados (passo a passo) são documentados em um
papel de trabalho denominado “Matriz de Teste de Controle”, a qual possui a
finalidade de reunir todos os procedimentos que serão executados, resultados
obtidos bem como as evidências comprobatórias destes resultados.
6.4.4. Realização dos Testes de Controle
Os testes de controle, como todos os outros procedimentos, é uma etapa muito
importante do trabalho de auditoria, pois é nesta etapa que o auditor vai verificar se
os processos e subprocessos descritos pela organização estão em pleno
funcionamento e de acordo com o especificado, obedecendo às melhores práticas
de mercado.
A realização dos testes de controle, nada mais é do que a execução, na prática, dos
procedimentos descritos durante a etapa de planejamento e desenho dos testes de
auditoria, ou seja, é a execução de indagação corroborativa, observação e/ou exame
documental.
Indagação Corroborativa
A indagação corroborativa consiste em entrevistas detalhadas para obter evidência
sobre a eficácia dos controles e é acompanhada por outros procedimentos, como
observação, exame da documentação ou reexecução, que são necessários para
corroborar as informações derivadas da indagação.
Por exemplo, o auditor pode efetuar uma verificação nos documentos para obter
datas ou assinaturas ou solicitar para verificar documentos em que exceções foram
observadas para obter evidência suporte para as declarações que nos foram dadas.
Observação
A observação de uma atividade de controles sendo efetuada normalmente não
fornece,
isoladamente,
evidência
suficiente
da
eficácia
dos
processos
e
61
subprocessos. Sendo assim, é necessário efetuar procedimentos complementares,
para concluir quanto à consistência e eficácia operacional dos processos e
subprocessos.
Por exemplo, o auditor pode obter segurança sobre a eficácia dos processos e
subprocessos relacionados às contagens de estoques observando se os
empregados estão efetuando e registrando as contagens de acordo com as
instruções formais da administração.
Exame Documental
Se um determinado processo ou subprocesso for documentado, o auditor pode obter
a evidência de sua execução examinando essa documentação. A evidência
documental pode existir eletronicamente bem como na forma escrita.
Por exemplo, a administração pode aprovar as transações utilizando recursos online de um sistema aplicativo.
O sistema aplicativo pode armazenar evidência
documental da aprovação dessas transações.
Os procedimentos descritos acima são os principais procedimentos executados pelo
auditor na realização dos testes de controle, pois é justamente no final desta fase do
trabalho que o auditor terá uma visão global de como estão os departamentos,
processos e subprocessos da empresa em termos de organização, adequação as
melhores práticas e exposição aos riscos.
O trabalho de realização dos controles internos, necessita de uma dedicação um
pouco maior por parte da organização e por parte do auditor, pois é neste momento
que dúvidas serão esclarecidas, simulações em ambientes informatizados, poderão
ser executadas, bem como, reuniões com os representantes da organização, para
realinhamento estratégias e procedimentos.
6.4.5. Análise dos Resultados dos Testes de Controle
A análise dos resultados dos testes de controle é a compilação dos resultados
obtidos
nas
documentais.
analises,
indagações
corroborativas,
observações
e
exames
62
Durante a análise dos resultados dos testes de controle, o auditor deve levar em
consideração os fatores quantitativos e qualitativos de todas as falhas de
procedimento e atividades que tenham sido detectadas nos procedimentos de
auditoria. Baseados na natureza, no valor material das falhas identificadas e na
probabilidade de sua ocorrência o auditor deve concluir se todos os aspectos
materiais e quantitativos relacionados aos processos e subprocessos foram
analisados para certificá-lo que o ambiente de controle interno da organização, esta
operando de forma efetiva ou inefetiva.
No processo de análise dos resultados dos testes de controle, se o auditor decidir
que um processo ou subprocesso testado não é suficientemente efetivo para
fornecer uma segurança sobre um risco identificado relacionado, o auditor dever
identificar e
testar processos
e
subprocessos
alternativos
ou
alterar os
procedimentos realizados conforme necessário.
A avaliação dos controles internos pode ser classificada de duas maneiras: Eficaz e
Ineficaz.
Eficaz
Ocorre quando os resultados obtidos durante o procedimento de realização dos
testes de controle fornecem subsídios suficientes para o auditor confiar nos
controles analisados, minimizar a ocorrência de riscos identificados e certificar que
os processos e subprocessos operaram de forma consistente durante o período
analisado pelo auditor
Ineficaz
Ocorre quando os resultados obtidos durante o procedimento de realização dos
testes de controle fornecem subsídios suficientes para o auditor confiar nos
controles analisados, aumenta a probabilidade de materialização de um risco
identificado e mostra que os processos e subprocessos operaram de forma
insatisfatória, com a ocorrência de inúmeras falhas durante o período analisado pelo
auditor.
63
Vale ressaltar que os processos e subprocessos classificados pelo auditor como
“Ineficaz” podem ser considerados como falhas graves de controle interno, gerando
assim um ponto de controle, o qual devera ser discutido com a administração da
organização e devidamente materializado.
6.4.6. Identificação dos pontos de controle
A identificação dos pontos de controle é baseada nos resultados obtidos durante a
análise dos resultados dos testes de controle. Controles com classificação “Ineficaz”
tendem com mais probabilidade a tornarem-se pontos de controle. Para que um
controle “Ineficaz” se torne um ponto de controle, é necessária a ocorrência de sua
materialização.
Por exemplo, durante análise dos resultados dos testes de controle, o auditor
identificou uma falha no procedimento de concessão de crédito a clientes; a falha
somente não caracteriza um ponto de controle, mas durante uma análise mais
profunda neste processo, foi identificado que ocorreu um grande numero de
concessões de credito indevidas, provocando inadimplência no recebimento de
valores e por conseqüência problemas de caixa na organização, dessa forma a
materialização de uma falha de controle, caracteriza um ponto de controle.
Durante um trabalho de auditoria, podem ser identificados inúmeros pontos de
controle, vale ressaltar que o auditor deve obter subsídios e evidências suficientes
para suportar o ponto de controle em um eventual questionamento da administração
da organização e/ou na apresentação destes em um processo judicial ou
governamental.
A identificação de um ponto de controle é peça fundamental para o auditor, deste
modo o mesmo deverá ser documentado no relatório denominado Carta Comentário.
Na Carta Comentário são descritos os detalhes do ponto de controle identificado,
como: qual sua gravidade para os trabalhos de autoria, qual o volume de
ocorrências identificadas, qual o valor monetário provocado pelo ponto de controle
bem como os processos, subprocessos e departamentos envolvidos. É também na
Carta Comentário que o auditor recomenda algumas soluções para correção do
ponto de controle encontrado.
64
6.4.7. Recomendações aos Pontos de Controle
Como parte final dos trabalhos de auditoria dos controles internos, após a
identificação dos pontos de controle, oriundos de falhas nos processos e
subprocessos, o auditor tem a oportunidade de contribuir para melhoria dos
controles internos da organização, recomendando soluções, para os pontos
identificados, baseadas nas melhores praticas de mercado.
O auditor não deve incluir em sua Carta Comentário, deficiências de controle
insignificantes, vale ressaltar que o auditor pode querer comunicar as falhas
encontradas, sendo assim, o mesmo pode comunicar a organização de forma oral
ou em um memorando informal.
O auditor pode emitir cartas comentários em várias etapas do trabalho de auditoria
(por exemplo, depois do planejamento e testes de controles) estas cartas
comentários possuem a função de fornecer a administração da empresa soluções,
para os pontos de controle identificados, os quais o auditor julgue significativos o
suficiente para garantir a atenção imediata da administração (por exemplo, detecção
de uma fraude), pode ser necessário emitir cartas oportunas ou, no mínimo,
comunicar imediatamente tais questões oralmente.
Para clientes maiores, particularmente clientes multinacionais e em múltiplas
localidades, é sempre desejável preparar um sumário executivo para a alta
administração, o conselho de administração, ou comitê de auditoria. Normalmente,
o sumário executivo incluirá os comentários e recomendações mais significativos
contidos em cartas separadas que o auditor possa ter enviado à administração de
localidades operacionais e das subsidiárias.
65
7. CONSIDERAÇÕES FINAIS
O Objetivo deste trabalho visa fornecer a profissionais e estudantes de áreas
administrativas, financeiras, auditoria, uma contribuição para a aplicação da autoria
nas organizações, baseando-se, principalmente, na união da auditoria interna e
externa como figuras importantes na contribuição dos controles internos.
O conteúdo deste trabalho vem fornecer uma gama de conceitos, aplicações e
casos práticos, os quais poderão ser utilizados como fonte de consulta para a
execução dos trabalhos de auditoria, ou mesmo por estudantes e profissionais que
queiram ingressar na carreira de auditor.
Para um dos integrantes do grupo, a execução desta monografia contribui
significativamente para aperfeiçoamentos de seus conhecimentos de auditoria,
contribuindo ate para novas conquistas de novas oportunidades de trabalho em
ramos diferenciados de auditoria.
O conteúdo deste trabalho ajudou para elaboração de um treinamento destinado a
profissionais recém contratados em auditoria ajudando em elaboração de apostilas
exercícios.
Com relação a outro integrante do grupo, o mesmo obteve um grande conhecimento
nas técnicas e procedimentos de auditoria fazendo-o entender qual a importância
dos trabalhos do auditor despertando-o interesse em recomendar a execução dos
trabalhos de auditoria na empresa onde trabalha, pois acredita que o trabalho
contribuirá significativamente para as melhorias dos controles internos.
Uns dos aspectos positivos deste estudo foram às pesquisas realizadas em obras de
grandes e conceituados autores no âmbito acadêmico, os quais abordam o tema
auditoria de forma clara, objetiva e de fácil entendimento. Outro aspecto que
podemos abordar como ponto positivo neste trabalho foi a experiência profissional
de um do integrantes deste trabalho, o qual contribui para o desenvolvimento de
algum assuntos abordados nesta pesquisa.
66
Acreditamos que o conteúdo desta monografia pode despertar o interesse de
estudantes acadêmicos e profissionais de auditoria na pesquisa mais aprofundada
de assuntos abordados no conteúdo desta pesquisas realizadas.
67
REFERENCIAS BIBLIOGRÁFICAS
AICPA, American Institute of Certified Public Accountants. http://www.aicpa.org
Acesso em 15/05/2009.
ALMEIDA, Marcelo Cavalcante. Auditoria: um curso moderno e completo. 6. ed.
São Paulo: Atlas, 2003.
AUDIBRA, Instituto dos Auditores Internos do Brasil. http://www.audibra.org.br
Acesso em 15/05/2009.
ATTIE, William. Auditoria Interna. 1 .ed. São Paulo: Atlas, 1992.
ATTIE, William. Auditoria Interna: conceitos e aplicações. 3 .ed. São Paulo: Atlas,
2006.
CFC, Conselho Federal de Contabilidade. http://www.cfc.org.br Acesso em
15/05/2009.
COSO (Committee of Sponsoring Organizations of the Treadway Commission).
Internal Control Integrated Framework.
CPC, Comitê de Pronunciamentos Contábeis. http://www.cpc.org.br Acesso em
15/05/2009.
CRC, Conselho Regional de Contabilidade. http://www.crcsp.org.b> Acesso em
15/05/2009.
CREPALDI, Silvio Aparecido. Auditoria Contábil: teoria e pratica. 4. ed. São Paulo:
Atlas, 2007.
CVM, Comissão de Valores Mobiliários. http://www.cvm.gov.br Acesso em
15/05/2009
68
DELOITTE, Touche Tohmatsu. Revista Mundo Corporativo. Ano 1, Nº 3, Julho de
2003.
DELOITTE, Touche Tohmatsu. Lei Sarbanes-Oxley: Guia para melhorar a
governança corporativa através de eficazes controles internos.
DELOITTE, Touche Tohmatsu. Deloitte Audit Approach, 2008.
DIAS, Sergio Vidal dos Santos. Auditoria de Processos Organizacionais. 1 .ed.
São Paulo: Atlas, 2006.
ERNST, Young. Audit Process, 1998.
FRANCO, Hilário; MARRA Ernesto. Auditoria Contábil: normas de auditoria,
procedimentos e papeis de trabalho, programas de auditoria e relatório de auditoria.
4. ed. São Paulo: Atlas, 2007.
IBRACON, Instituto dos Auditores Internos do Brasil. http://www.ibracon.com.br
Acesso em 15/05/2009.
IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. 2 .ed. São
Paulo: Atlas, 2008.
ISACA, Information Systems Audit and Control Foundation. http://www.isaca.org.br
Acesso em 18/04/2009.
MARTINELLI, Auditores. Como Elaborar Papeis de Trabalho. Módulo 2, 2002.
MARTINELLI, Auditores. Elaboração de Relatórios. Módulo 2, 2002.
SÁ, Antonio Lopes. Curso de Auditoria. 10 .ed. São Paulo: Atlas, 2002.
SAP. http://www.sap.com/brazil. Acesso 18/04/2009.