Aula 00. Controle Interno para Auditor da Transpetro Teoria e Exercícios Aula 00 Professor Marcelo Seco

Transcrição

1 Aula 00 Controle Interno Auditoria Interna 1

2 Aula 00 Auditoria Interna e Controle Interno Bem vindos!!! Alunas e alunos do Ponto, olá! É com muito prazer que passo a acompanhá-los em sua preparação para a obtenção de uma das vagas para cargo de Auditor da Transpetro. Sou Marcelo Gonçalves Seco, e vamos tratar nas próximas aulas do conteúdo programático de Controle Interno previsto para a nossa prova, com base no último edital, publicado em 04 de maio de Antes, algumas palavras sobre mim: sou Paulistano, graduado em Sistemas de Informação e pós-graduado em Engenharia de Software. Minha experiência no mundo dos concursos começou em 1992, ano em que fui aprovado em concursos para a Sabesp (Analista de Sistemas), Cetesb (Analista Administrativo) e Comgás (Analista Financeiro). Na época, embora tivesse passado em primeiro lugar na Comgás, acabei optando pela Sabesp, onde trabalhei por alguns anos. Em determinado momento resolvi sair da Sabesp para a iniciativa privada (sim, isso acontece, meus caros). Em meus anos no setor privado ocupei os cargos de Diretor Administrativo e Diretor Financeiro, o que me proporcionou adquirir um vasto leque de conhecimentos. Em janeiro de 2009 retomei a vida de concurseiro e, tendo sido aprovado no primeiro concurso para APOFP da Sefaz-SP, voltei ao serviço público. Em 2012 fui aprovado no concurso para AFTM do Município de São Paulo, cargo que exerci até há pouco tempo. Atualmente sou Agente Fiscal de Rendas na Sefaz- SP, onde também atuo como instrutor da Escola Fazendária de São Paulo, a Fazesp. Nos últimos sete anos tenho estado imerso nesse mundo e angariei conhecimento sobre as matérias que precisamos estudar e também sobre a forma correta de nos prepararmos para as provas. É esse conhecimento, associado à minha experiência como professor e instrutor em diversos cursos e palestras, que pretendo dividir com vocês. 2

3 Caros, curtam minha página do Facebook para acessar novidades sobre concursos, resoluções de questões e outras dicas. É um trabalho que estou iniciando, conto com a ajuda de vocês. Eis o link: Vamos lá? Você terá que enfrentar essa preparação como uma guerra, na qual seu único objetivo é vencer a batalha final: o dia da prova! As pessoas acham graça de eu colocar as coisas desse modo, mas é isso mesmo! Você tem que encarar esse período como uma fase de guerra em sua vida. Fazendo isso, o caminho se torna mais suave. Não se assustem com a quantidade de páginas de algumas aulas. Para resolver algumas questões de forma didática, às vezes utilizo muito espaço, e isso aumenta o tamanho da aula. Contudo, a teoria é sempre curta, e a leitura da aula é bastante rápida. 3

4 Nosso Curso Muito bem! Vamos preparar nosso curso com foco nas questões da Cesgranrio. Esta aula demonstrativa é padrão, por isso temos questões de várias bancas. Antes de falarmos sobre isso, vamos dar uma olhada no perfil do certame. Temos 7 vagas para Auditor Junior, e teremos mais 140 para cadastro de reserva. A validade do concurso é de dois anos, prorrogável por mais dois ou seja, mais candidatos poderão ser chamados. Portanto, foco nos estudos, e deixemos a questão das vagas para depois! As provas estão previstas para 12 de junho, então, temos algum tempo para a preparação, e nenhum a perder! De qualquer forma teremos que trabalhar arduamente, porque nosso objetivo não será obter o mínimo, mas garantir a maioria dos pontos em contabilidade na prova objetiva, e para isso é que trabalharei com vocês. Temos que trabalhar durante as aulas com uma meta de 90% de acertos para que, na prova, obtenhamos entre 75% e 80%. Então só resolveremos questões da Cesgranrio? Não meus caros!!! Em alguns momentos teremos que trabalhar questões de outras bancas, para fixar o conteúdo. Cada uma de nossas aulas terá uma parte inicial teórica, na qual abordaremos os aspectos essenciais relacionados ao tema. Após isso, apresentarei um bloco de questões resolvidas sobre o assunto. No final de cada aula existirá a lista das questões utilizadas. O texto teórico e a resolução das questões terão sempre tamanho equilibrado, o que lhes permitirá assimilar o conteúdo com tranquilidade. Na última aula eu disponibilizarei um resumo com dicas e observações que julgo importantes sobre os temas mais explorados pela banca, material que deve ser carregado no seu bolso na reta final para a prova, para ser lido várias vezes. 4

5 Meus caros, nas duas últimas semanas que precedem a prova vocês devem ter um material pronto para ser usado na revisão. Durante as aulas anotem os pontos em que sentiram maior dificuldade, isso fará parte do seu caderno de reta final. Quero que façam o seguinte: nas duas últimas semanas antes da prova vocês vão estudar seus resumos duas vezes (uma vez em cada semana) isso será essencial. Para tanto, devem começar a se organizar desde já, em todas as matérias. Ao final do curso eu pretendo que vocês estejam prontos e seguros para DESTRUIR a sabatina de Controle Interno da Cesgranrio. Deixo com vocês, para reflexão, uma frase de André Gide, sobre a importância de não procrastinar. Ao lado dela, uma figura que é a personalização da obstinação: o Fidalgo Dom Quixote, do mestre Cervantes. Se não fizeres isto, quem o fará? Se não o fazes logo, quando será? Meus caros, a obstinação deve estar ao lado de vocês nas próximas semanas, pois a hora é agora!!! 5

6 Estamos na aula 00 e, ao final do curso, eu pretendo que vocês estejam prontos e seguros para DESTRUIR a sabatina de Controle Interno da Cesgranrio. Nossas Aulas Aula Conteúdo Auditoria Interna. Controles Internos: Definição; Importância. Principais meios de controles internos; Controles preventivos e detectivos; Monitoramento contínuo; Relação entre processo, risco e objetivo de controle; Responsabilidade pelo controle; A necessidade de parâmetros de avaliação; Limites de alçada; Fraudes: formas de prevenção e detecção. Rumo ao dia da Prova: Resumo com os principais itens do edital. 6

7 Índice Apresentação 1 1 Alguns Conceitos 6 2 Auditoria Interna NBC TI Controle Interno - NBC T Controle Interno no AICPA 22 Exercícios Resolvidos 25 Lista das Questões Apresentadas 66 Gabarito

8 1 Alguns Conceitos Para que tenhamos uma ideia do contexto em que estamos inseridos, vou fazer uma breve introdução a alguns conceitos relativos à atividade de auditoria e à figura do auditor Técnicas Contábeis Técnica contábil é um conceito que diz respeito às ferramentas utilizadas pela Contabilidade, que são quatro: Escrituração; Elaboração de demonstrações; Auditoria; Análise das demonstrações contábeis; Cada uma dessas é uma técnica, e deve ser levada a cabo seguindo as normas brasileiras de contabilidade. Nossa aula será sobre a Auditoria Interna e sobre o Sistema de Controle Interno, que normalmente são estudados na disciplina de auditoria. 1.2 Auditoria e Auditor Turma, já vimos que a auditoria é uma das técnicas contábeis. Como não poderia deixar de ser, também foi afetada pelo processo de convergência das normas brasileiras às internacionais. Para tanto, foram editadas as NBC TAs, normas que regem o trabalho do auditor externo, ou independente. As novas normas de auditoria são obrigatórias a partir 01/01/10. As normas da Auditoria Interna estão na NBC TI 01, aprovada pela Resolução CFC 986/03. É a essa norma que nos reportaremos, pois nosso objetivo é entender o papel do auditor interno. Auditoria é uma técnica contábil. 8

9 Pessoal, tanto o auditor interno, quanto o externo, precisam de registro no CRC, portanto devem ser contadores. Princípios a serem observados pelo auditor integridade objetividade competência e zelo profissional confidencialidade conduta profissional O que faz o Auditor? executa procedimentos; para conseguir evidências; que possibilitem obter conclusões; para fundamentar sua opinião. O auditor executa procedimentos para conseguir evidências que possibilitem obter conclusões para fundamentar sua opinião Governança e administração Governança São as pessoas ou organizações com responsabilidade pela supervisão geral da direção estratégica da entidade e das obrigações relacionadas à responsabilidade da entidade. Isso inclui a supervisão geral do processo de relatórios contábeis. Para algumas entidades em algumas circunstâncias, os responsáveis pela governança podem incluir pessoal da administração. Podemos aqui citar o conselho de administração e os representantes do controlador. 9

10 Administração São as pessoas ou órgãos da entidade que possuem poderes para tomar as decisões necessárias à consecução das atividades empresariais. Temos como exemplo os diretores e supervisores. A administração é responsável pela elaboração e apresentação adequada das demonstrações contábeis, em conformidade com a estrutura de relatório financeiro. Estrutura de relatório financeiro nada mais é do que uma demonstração contábil Auditoria Interna Auditoria interna possui as seguintes características: Agrega valor ao resultado da entidade; Provê subsídios para o aperfeiçoamento dos processos, da gestão e dos controles internos; Recomenda soluções para não conformidades apontadas; O auditor interno normalmente é funcionário da entidade; O objetivo da auditoria interna é examinar a integridade, adequação e eficácia dos controles internos e das informações geradas; O auditor interno deve se preocupar com a detecção de fraudes e erros; O auditor interno pode ser autônomo perante os órgãos da entidade, mas é dependente das orientações da administração; O trabalho é contínuo Controle Interno Processo conduzido por todos integrantes da empresa, para fornecer razoável segurança de que os objetivos da entidade estão sendo alcançados, com relação às seguintes categorias: eficácia e eficiência das operações; confiabilidade dos relatórios financeiros; e conformidade com a legislação e regulamentos aplicáveis. Para obter o resultado esperado as entidades mantêm o sistema de controle interno, que é formado por controles manuais, controles de acesso, segregação de procedimentos de autorização e sistemas informatizados. 10

11 1.6 - Auditoria Externa Confere credibilidade às demonstrações contábeis; É realizada por auditores independentes; Seu objetivo é garantir a conformidade das demonstrações e certificar, com razoável segurança, que estão livres de distorções relevantes; O auditor externo não tem como objetivo final a detecção e prevenção de fraudes e erros; O auditor deve manter independência plena em relação à entidade. 1.7 Perícia Contábil Procedimentos técnico científicos destinados a levar à instância decisória elementos de prova necessários a subsidiar a justa solução do litígio ou constatação de um fato, mediante laudo pericial contábil e ou parecer pericial contábil, em conformidade com as normas. Termo de diligência: documento pelo qual perito solicita documentos, coisas, dados. Laudo pericial contábil ou parecer pericial contábil: documento com a conclusão do perito. Não devem ser confundidos com o fruto do trabalho do Auditor, que é o Relatório de Auditoria. 2 Auditoria Interna NBC TI 01 Passamos agora a estudar a norma de auditoria interna, que provavelmente será a fonte do examinador ao elaborar a prova Objetivos da Auditoria Interna A Auditoria Interna compreende a avaliação dos processos, dos sistemas de informações e de controles internos, e de gerenciamento de riscos, com vistas a assistir à administração da entidade no cumprimento de seus objetivos. 11

12 A Auditoria Interna tem por finalidade agregar valor ao resultado da organização, apresentando subsídios para o aperfeiçoamento dos processos, da gestão e dos controles internos, por meio da recomendação de soluções para as não-conformidades apontadas nos relatórios. 2.2 Papéis de Trabalho A Auditoria Interna deve ser documentada por meio de papéis de trabalho. Os papéis de trabalho evidenciam os exames realizados pelo auditor interno e dão suporte à sua opinião, críticas, sugestões e recomendações. Análises, demonstrações ou quaisquer outros documentos devem ter sua integridade verificada sempre que forem anexados aos papéis de trabalho. 2.3 Fraude e Erro A Auditoria Interna deve assessorar a administração na prevenção de fraudes e erros, obrigando-se a informá-la, sempre por escrito, de maneira reservada, sobre quaisquer indícios ou confirmações de irregularidades detectadas no decorrer de seu trabalho. Fraude Ato intencional de omissão e/ou manipulação de transações e operações, adulteração de documentos, registros, relatórios, informações e demonstrações contábeis, tanto em termos físicos quanto monetários. Erro Ato não-intencional de omissão, desatenção, desconhecimento ou má interpretação de fatos na elaboração de registros, informações e demonstrações contábeis, bem como de transações e operações da entidade, tanto em termos físicos quanto monetários. A principal responsabilidade pela prevenção e detecção da fraude é dos responsáveis pela governança e sua administração. 12

13 A responsabilidade de prevenir e detectar fraudes e erros é da administração e da governança. O auditor interno deve auxiliá-los nessa tarefa. 2.4 Planejamento da Auditoria Interna Compreende os exames preliminares das áreas, atividades, produtos e processos, para definir a amplitude e a época do trabalho a ser realizado, de acordo com as diretrizes estabelecidas pela administração da entidade. O planejamento deve considerar: o conhecimento detalhado da política e dos instrumentos de gestão de riscos da entidade; o conhecimento detalhado das atividades operacionais e dos sistemas contábil e de controles internos e seu grau de confiabilidade da entidade; a natureza, a oportunidade e a extensão dos procedimentos de auditoria interna a serem aplicados, alinhados com a política de gestão de riscos; a existência de entidades associadas, filiais e partes relacionadas que estejam no âmbito dos trabalhos da Auditoria Interna; o uso do trabalho de especialistas; os riscos de auditoria; o conhecimento do resultado e das providências tomadas em relação a trabalhos anteriores, semelhantes ou relacionados; as orientações e as expectativas externadas pela administração; e o conhecimento da missão e objetivos estratégicos da entidade. O planejamento deve ser documentado, detalhando-se procedimentos que serão aplicados, em termos de natureza, oportunidade, extensão, equipe técnica e uso de especialistas. Os programas de trabalho devem servir como guia e meio de controle de execução do trabalho, devendo ser revisados e atualizados sempre que as circunstâncias o exigirem. 13

14 2.5 Riscos da Auditoria Interna Controle Interno para Auditor da Transpetro A análise dos riscos da Auditoria Interna deve ser feita na fase de planejamento dos trabalhos. Os riscos estão relacionados à possibilidade de não se atingir, de forma satisfatória, o objetivo dos trabalhos. Devem ser considerados: a verificação e a comunicação de eventuais limitações ao alcance dos procedimentos da Auditoria Interna; a extensão da responsabilidade do auditor interno no uso dos trabalhos de especialistas. O risco de controle é uma função da eficácia do desenho (controles estabelecidos), da implementação e da manutenção do controle interno no tratamento dos riscos identificados que ameaçam o cumprimento dos objetivos da entidade, que são relevantes para a elaboração das demonstrações contábeis da entidade. Contudo, o controle interno, independentemente da qualidade da sua estrutura e operação, pode reduzir, mas não eliminar, os riscos de distorção relevante nas demonstrações contábeis, por causa das limitações inerentes ao controle interno. Portanto, algum risco de controle sempre existe. 2.6 Procedimentos da Auditoria Interna Os procedimentos da Auditoria Interna constituem exames e investigações, incluindo testes de observância e testes substantivos, que permitem ao auditor interno obter subsídios suficientes para fundamentar suas conclusões e recomendações. Testes de observância Obtenção de razoável segurança de que os controles internos estabelecidos pela administração estão em efetivo funcionamento. 14

15 Devem ser considerados os seguintes procedimentos: Controle Interno para Auditor da Transpetro inspeção verificação de registros, documentos e ativos tangíveis; observação acompanhamento de processo ou procedimento quando de sua execução; e investigação e confirmação obtenção de informações perante pessoas físicas ou jurídicas conhecedoras das transações, dentro ou fora da entidade. Testes substantivos Obtenção de evidência quanto à suficiência, exatidão e validade dos dados produzidos pelos sistemas de informação da entidade. As informações que fundamentam os resultados da Auditoria Interna são denominadas de evidências, que devem ser: Suficientes Fidedignas Relevantes Úteis O processo de obtenção e avaliação das informações compreende: a obtenção de informações; a avaliação da efetividade das informações obtidas. Sobre a informação: a informação suficiente é aquela que é factual e convincente, de tal forma que uma pessoa prudente e informada possa entendê-la da mesma forma que o auditor interno; a informação adequada é aquela que, sendo confiável, propicia a melhor evidência alcançável, por meio do uso apropriado das técnicas de Auditoria Interna; a informação relevante é a que dá suporte às conclusões e às recomendações da Auditoria Interna; a informação útil é a que auxilia a entidade a atingir suas metas. 15

16 Devem ser adotados procedimentos adequados para assegurar que as contingências ativas e passivas relevantes - decorrentes de processos judiciais e extrajudiciais, reivindicações e reclamações, bem como de lançamentos de tributos e de contribuições em disputa, - foram identificadas e são do conhecimento da administração da entidade Amostragem Ao determinar a extensão de um teste de auditoria ou um método de seleção de itens a serem testados, podem ser empregadas técnicas de amostragem. Ao usar método de amostragem, estatística ou não, deve ser projetada e selecionada uma amostra que possa proporcionar evidência de auditoria suficiente e apropriada Processamento Eletrônico de Dados PED A utilização de processamento eletrônico de dados pela entidade requer que exista, na equipe da Auditoria Interna, profissional com conhecimento suficiente sobre a tecnologia da informação e os sistemas de informação utilizados. 2.9 Relatório de Auditoria Interna O relatório é o documento pelo qual a Auditoria Interna apresenta o resultado dos seus trabalhos, devendo ser redigido com objetividade e imparcialidade, de forma a expressar, claramente, suas conclusões, recomendações e providências a serem tomadas pela administração da entidade. O relatório da Auditoria Interna deve ser apresentado a quem tenha solicitado o trabalho ou a quem este autorizar, devendo ser preservada a confidencialidade do seu conteúdo. A Auditoria Interna deve avaliar a necessidade de emissão de relatório parcial, na hipótese de constatar impropriedades, irregularidades, ilegalidades que necessitem providências imediatas da administração da entidade, e que não possam aguardar o final dos exames. 16

17 3 Controle Interno - NBC T 16.8 Controle Interno para Auditor da Transpetro A norma que estudaremos a partir de agora trata do controle interno no setor público. Não existe uma NBC TA (normas de auditoria independente) específica para o controle interno. As bancas, quando inserem o tema, inclusive em provas de auditoria, baseiam-se nos conceitos que veremos a seguir. 3.1 O que é o controle interno? O controle interno deve ser desenhado para ser o suporte do sistema de informação contábil, ajudando a minimizar riscos e dando efetividade às informações da contabilidade, visando contribuir para o alcance dos objetivos da entidade. Sob o enfoque contábil, o controle interno compreende o conjunto de recursos, métodos, procedimentos e processos adotados com a finalidade de: salvaguardar os ativos e assegurar a veracidade dos componentes patrimoniais; dar conformidade ao registro contábil em relação ao ato correspondente; propiciar a obtenção de informação oportuna e adequada; estimular adesão às normas e às diretrizes fixadas; contribuir para a promoção da eficiência operacional da entidade; auxiliar na prevenção de práticas ineficientes e antieconômicas, erros, fraudes, malversação, abusos, desvios e outras inadequações. O controle interno deve compreender: a preservação do patrimônio público; (ou privado conforme o caso) o controle da execução das ações que integram os programas; a observância às leis, aos regulamentos e às diretrizes estabelecidas. 3.2 Classificação O controle interno é classificado nas seguintes categorias: operacional relacionado às ações que propiciam o alcance dos objetivos da entidade; contábil relacionado à veracidade e à fidedignidade dos registros e das demonstrações contábeis; normativo relacionado à observância da regulamentação pertinente. 17

18 3.3 - Estrutura A estrutura de controle interno compreende: ambiente de controle; mapeamento e avaliação de riscos; procedimentos de controle; informação e comunicação; monitoramento. O ambiente de controle deve demonstrar o grau de comprometimento em todos os níveis da administração com a qualidade do controle interno. Mapeamento de riscos é a identificação dos eventos ou das condições que podem afetar a qualidade da informação contábil. Avaliação de riscos corresponde à análise da relevância dos riscos identificados, incluindo: a avaliação da probabilidade de sua ocorrência; a forma como serão gerenciados; a definição das ações para prevenir a sua ocorrência ou minimizar seu potencial; e a resposta ao risco, indicando a decisão gerencial para mitigar os riscos, a partir de uma abordagem geral e estratégica, considerando as hipóteses de eliminação, redução, aceitação ou compartilhamento. Riscos são ocorrências, circunstâncias ou fatos imprevisíveis que podem afetar a qualidade da informação contábil. Procedimentos de controle são medidas e ações estabelecidas para prevenir ou detectar os riscos inerentes ou potenciais à tempestividade, à fidedignidade e à precisão da informação contábil, classificando-se em: procedimentos de prevenção medidas que antecedem o processamento de um ato ou um fato, para prevenir a ocorrência de omissões, inadequações e intempestividade da informação contábil; procedimentos de detecção medidas que visem à identificação, concomitante ou a posteriori, de erros, omissões, inadequações e intempestividade da informação contábil. 18

19 Monitoramento compreende o acompanhamento dos pressupostos do controle interno, visando assegurar a sua adequação aos objetivos, ao ambiente, aos recursos e aos riscos. 3.4 Sistema de Informação O sistema de informação e comunicação deve identificar, armazenar e comunicar toda informação relevante, na forma e no período determinados, a fim de permitir a realização dos procedimentos estabelecidos e outras responsabilidades, orientar a tomada de decisão, permitir o monitoramento de ações e contribuir para a realização de todos os objetivos de controle interno. No que diz respeito ao processamento de dados no controle interno, a norma traz apenas o parágrafo acima. Esse assunto era regido pela NBC T 11.12, que foi revogada pela NBC TA 200. Atualmente, processamento de dados não é tema específico de nenhuma norma. Vamos ver o que há sobre o assunto em diversas NBC TAs, já adiantando que, quando aparece em alguma norma, o processamento de dados é tratado pelo nome de tecnologia da informação ou, simplesmente, TI O que dizia a norma revogada? Turma, temos aqui informações de cunho genérico, que acabaram sendo inseridas em outros pontos das NBC TAs, e que, embora revogada a norma, continuam válidas no que toca às características que se exigem do trabalho de auditoria em um contexto de TI. Um ambiente de processamento eletrônico de dados pode afetar: os procedimentos de entendimento dos controles internos e contábeis; a avaliação do risco inerente e do risco de controle. E, portanto, do risco de auditoria; o planejamento e execução dos testes e procedimentos. O auditor deve ter conhecimento de processamento eletrônico de dados para planejar, executar, supervisionar e revisar o trabalho realizado pela equipe de auditoria. 19

20 O auditor deve ter conhecimentos de TI e entendimento do ambiente de TI da auditada, para poder planejar, avaliar riscos, executar e supervisionar o trabalho O que trazem as novas normas? Entendimento O auditor deve obter entendimento do sistema de informação, inclusive dos processos de negócio relacionados, incluindo: as classes de transações significativas para as demonstrações contábeis; os procedimentos, tanto de tecnologia de informação (TI) quanto de sistemas manuais, pelos quais essas transações são iniciadas, registradas, processadas, corrigidas conforme a necessidade, transferidas para o razão geral e divulgadas nas demonstrações contábeis; uso de TI (um potencial risco de negócio relacionado pode ser, por exemplo, a incompatibilidade de sistemas e processos); como a entidade respondeu aos riscos decorrentes de TI Riscos O auditor pode responder a riscos identificados de distorção relevante designando indivíduos adicionais com habilidade e conhecimento especializado, tais como peritos forenses e de tecnologia da informação (TI), ou designando indivíduos mais experientes para o trabalho. Processos e controles automáticos podem reduzir o risco de erro não intencional, mas não superar o risco de que os indivíduos possam burlar inadequadamente tais processos automáticos. Além disso, no caso que se usa TI para transferir informações de forma automática, pode haver pouca ou nenhuma evidência visível de tal intervenção nos sistemas de informação. 20

21 Pode ser um indício de fraude a recusa de acesso a pessoal e instalações centrais de TI, incluindo pessoal de segurança, operações e desenvolvimento de sistemas controle interno. Recusa da entidade em prover acesso total ao ambiente de TI pode ser indício de existência de fraudes. Condições e eventos de TI que podem indicar risco de distorção relevante Incompatibilidade entre a estratégia de TI da entidade e suas estratégias de negócio. Mudanças no ambiente de TI. Instalação de novos sistemas importantes de TI relacionados com demonstrações contábeis. Controle Os controles nos sistemas de TI são compostos de uma combinação de controles automatizados e controles manuais. Controles manuais podem ser independentes de TI, podem usar informações produzidas por TI, ou podem limitar-se a monitorar o funcionamento eficaz de TI e controles automatizados, e a lidar com exceções. Quando a TI é usada para iniciar, registrar, processar ou reportar transações ou outros dados financeiros para inclusão nas demonstrações contábeis, os sistemas e programas podem incluir controles relacionados às afirmações correspondentes para contas relevantes ou podem ser críticos para o funcionamento eficaz dos controles manuais que dependem de TI. 21

22 TI e o controle interno A TI beneficia o controle interno da entidade ao permitir à entidade: aplicar consistentemente regras de negócio e executar cálculos complexos em grandes volumes de transações ou dados; aprimorar a tempestividade, disponibilidade e exatidão das informações; facilitar a análise adicional das informações; aprimorar a capacidade de monitorar o desempenho das atividades da entidade e suas políticas e procedimentos; reduzir o risco de que os controles sejam transgredidos; e aprimorar a capacidade de conseguir segregação eficaz de funções por meio da implementação de controles de segurança em aplicativos, bases de dados e sistemas operacionais. A TI coloca riscos para o controle interno da entidade, por exemplo: confiança em sistemas que estejam processando dados imprecisamente, ou processando dados incorretos; acesso não autorizado a dados; a possibilidade de que os funcionários de TI consigam acesso privilegiado além dos necessários para executar os deveres a eles atribuídos, rompendo assim a segregação de funções; modificações não autorizadas de dados; modificações não autorizadas de sistemas ou programas; falha na realização de modificações em sistemas ou programas; intervenção manual inadequada; perda de dados ou incapacidade de acessar dados como exigido. A TI beneficia o controle interno, mas também pode trazer riscos a esse controle. 22

23 Elementos manuais no controle interno podem ser mais adequados nos casos em que se exige julgamento e arbítrio: transações grandes, não usuais ou não recorrentes; circunstâncias em que seja difícil definir, antecipar ou prever erros; em circunstâncias de mudança que exijam uma resposta de controle fora do alcance do controle automatizado existente; no monitoramento da efetividade de controles automatizados. Os elementos manuais no controle interno podem ser menos confiáveis do que os elementos automatizados porque podem ser mais facilmente contornados, ignorados ou transgredidos e também mais propensos a erros e enganos simples. Não se pode pressupor consistência na aplicação de controles manuais que podem ser menos adequados nas seguintes circunstâncias: transações de grande volume ou recorrentes; situações em que erros que possam ser previstos ou prognosticados e que possam ser evitados, ou detectados e corrigidos, por parâmetros de controle automatizados; atividades de controle que possam ser projetadas e automatizadas. A entidade responde aos riscos decorrentes do uso da TI ou do uso de elementos manuais no controle interno por meio do estabelecimento de controles efetivos à luz das características de seu sistema de informação. Da perspectiva do auditor, os controles dos sistemas de TI são eficazes quando mantêm a integridade das informações e a segurança dos dados que tais sistemas processam, e incluem controles gerais de TI e controles de aplicativos efetivos. Sistema de Informação em TI Hardware, software, pessoas, procedimentos, dados 23

24 3.5 Formas de Controle Controle preventivo ou a priori Antecede a conclusão ou a realização, como requisito para sua eficácia, exercido a partir da projeção dos dados reais e da comparação dos resultados prováveis com aqueles que se pretende alcançar. Age orientando para que sejam evitadas as ocorrências de falhas, desperdícios, irregularidades e ilegalidades. Controle detectivo ou simultâneo Acompanha a realização do ato para verificar a sua regularidade evitando falhas, desvios ou fraudes. Age detectando falhas, desperdícios, irregularidades e ilegalidades sanáveis, que ocorrem durante a realização dos atos, permitindo a adoção de medidas tempestivas de correção. Controle corretivo ou a posteriori É feito após a conclusão do ato, visando a corrigir eventuais defeitos. Age constatando falhas, desperdícios, irregularidades e ilegalidades sanáveis ou insanáveis, após os atos terem sido realizados, permitindo a adoção posterior de medidas corretivas ou punitivas. 4 Controle Interno no AICPA O AICPA - American Institute of Certified Public Accountant, define controle interno da seguinte maneira: O Controle Interno compreende o plano de organização e todos os sistemas, métodos e processos, adotados em uma empresa para proteger seu ativo, verificar a exatidão e a fidelidade de seus dados contábeis, incrementar a eficiência operacional e promover a obediência às diretrizes administrativas estabelecidas. 24

25 O comitê do AICPA emitiu o SAS (Statement on Auditing Produceres) número 29, dividindo o controle interno em contábil e administrativo. Controles contábeis Compreendem o plano de organização e os procedimentos relativos a: salvaguarda do ativo; fidedignidade dos registros financeiros. Exemplo sistema de autorização e aprovação de transações segregação de tarefas manutenção e elaboração de relatórios operação e custódia do ativo controle físico do ativo auditoria interna Notem que, segundo a AICPA, a auditoria interna é um controle interno do tipo contábil. Controles administrativos Compreendem o plano de organização e os procedimentos relativos a: eficiência operacional; obediência às diretrizes administrativas que normalmente se relacionam apenas indiretamente com os registros contábeis e financeiros Exemplo programas de treinamento de pessoal; métodos de programação e controle de atividades sistemas de avaliação e desempenho estudos de tempos e movimentos análises estatísticas controle de qualidade. 25

26 Objetivos Ainda segundo a AICPA, os objetivos do controle interno são: proteção dos ativos; obtenção de informação adequada; promoção da eficiência operacional; e estimulação da obediência e do respeito às políticas da administração. Basta de novos conceitos por hoje! Vamos exercitar? 26

27 Exercícios Resolvidos 1 Cesgranrio 2011 Petrobrás - O gerenciamento de riscos dentro da empresa é uma atividade fundamental que servirá de apoio para diversas outras atividades, como planejamento estratégico, auditoria interna, etc. Nesse contexto, durante uma auditoria, o auditor interno deve a) preparar toda a estrutura da gestão de riscos, realizando o mapeamento de todas as atividades chaves relacionadas ao processo auditado. b) justificar à alta administração da empresa os pontos levantados em consequência de falhas na gestão de riscos dos processos auditados. c) identificar o tipo de risco associado aos processos auditados, verificando se estão classificados adequadamente quanto à sua natureza, evitando a ocorrência de duplicidade nos testes de auditoria. d) avaliar a aplicação de ferramentas de alta tecnologia que são eficazes para a realização da gestão dos riscos associados aos processos auditados. e) avaliar e monitorar os riscos dos processos auditados, verificando as consequências quando os objetivos não são atingidos e se os controles associados mitigam os riscos existentes. Turma, toda entidade deve levar a cabo o processo de gestão de riscos, que, em poucas palavras, implica identificar, classificar e tratar todos os riscos existentes na atividade. Esse trabalho é feito pela equipe responsável pela gestão de riscos, e não pela auditoria interna. Pois bem, as letras A, B e D, são atividades de gestão de risco. Na letra C o examinador misturou atividades do auditor e do pessoal da gestão de riscos. Nossa resposta é a letra E. O auditor deve avaliar e monitorar os riscos, verificando se os controles existentes são suficientes e efetivos. Gaba: E 27

28 2 Cesgranrio 2014 Cefet - Para se resguardar dos diversos riscos inerentes aos processos internos, a empresa utiliza controles internos contábeis ou técnicos e administrativos. Um exemplo de controle interno administrativo é o(a): a) sistema de conferência b) controle físico de ativos c) segregação de funções d) auditoria interna e) análise estatística Controles contábeis Compreendem o plano de organização e os procedimentos relativos a: salvaguarda do ativo; fidedignidade dos registros financeiros. Exemplo sistema de autorização e aprovação de transações segregação de tarefas manutenção e elaboração de relatórios operação e custódia do ativo controle físico do ativo auditoria interna Controles administrativos Compreendem o plano de organização e os procedimentos relativos a: eficiência operacional; obediência às diretrizes administrativas que normalmente se relacionam apenas indiretamente com os registros contábeis e financeiros Exemplo programas de treinamento de pessoal; métodos de programação e controle de atividades sistemas de avaliação e desempenho estudos de tempos e movimentos análises estatísticas controle de qualidade. 28

29 Entre as alternativas, o único controle interno administrativo é o descrito na letra E, análise estatística. Gaba: E 3 Cesgranrio 2014 Cefet - O sistema de controles internos de uma empresa é composto por controles preventivos e detectivos. Os controles preventivos possuem o objetivo de: a) revisar o desempenho das atividades operacionais. b) estabelecer níveis de governança corporativa na empresa. c) evitar a ocorrência de um problema relacionado ao processo. d) verificar onde ocorreram os problemas de um determinado processo e) gerenciar todos os riscos relacionados aos processos internos da empresa. Controle preventivo ou a priori Antecede a conclusão ou a realização, como requisito para sua eficácia, exercido a partir da projeção dos dados reais e da comparação dos resultados prováveis com aqueles que se pretende alcançar. Age orientando para que sejam evitadas as ocorrências de falhas, desperdícios, irregularidades e ilegalidades. Controle detectivo ou simultâneo Acompanha a realização do ato para verificar a sua regularidade evitando falhas, desvios ou fraudes. Age detectando falhas, desperdícios, irregularidades e ilegalidades sanáveis, que ocorrem durante a realização dos atos, permitindo a adoção de medidas tempestivas de correção. Controle corretivo ou a posteriori É feito após a conclusão do ato, visando a corrigir eventuais defeitos. Age constatando falhas, desperdícios, irregularidades e ilegalidades sanáveis ou insanáveis, após os atos terem sido realizados, permitindo a adoção posterior de medidas corretivas ou punitivas. Gaba: C 29

30 4 Cesgranrio 2014 EPE - Nos procedimentos de auditoria interna, são feitos os testes de observância para se obter uma razoável margem de segurança de que os controles internos estão sendo adotados e funcionando de acordo com as normas estabelecidas pela Administração. Nesse contexto, numa auditoria interna, a verificação de registros, documentos e ativos tangíveis indica a aplicação do procedimento da: a) confirmação b) exatidão c) inspeção d) investigação e) observação Testes de observância Obtenção de razoável segurança de que os controles internos estabelecidos pela administração estão em efetivo funcionamento. Devem ser considerados os seguintes procedimentos: inspeção verificação de registros, documentos e ativos tangíveis; observação acompanhamento de processo ou procedimento quando de sua execução; e investigação e confirmação obtenção de informações perante pessoas físicas ou jurídicas conhecedoras das transações, dentro ou fora da entidade. Gaba: C 5 Cesgranrio 2012 Liquigás - A atividade da Auditoria Interna está estruturada em procedimentos com enfoque técnico, objetivo, sistemático e disciplinado. (NBC TI 01). Segundo a legislação em vigor, afirma-se que a finalidade da auditoria interna é a) agregar valor ao resultado da organização, apresentando subsídios para o aperfeiçoamento dos processos, da gestão e dos controles internos, por meio da recomendação de soluções para as não conformidades apontadas nos relatórios. b) apontar as dificuldades de gerenciamento encontradas, propondo metodologias de trabalho que favoreçam o atendimento às normas tributárias, trabalhistas e previdenciárias. 30

31 c) analisar formas de desvio referentes ao cumprimento das normas legais, sem que os órgãos pertinentes identifiquem possíveis fraudes ou erros. d) apresentar técnicas de aperfeiçoamento do processo que envolvam o gerenciamento da empresa, visando ao aumento do lucro, independente das normas legais exigidas. e) organizar a documentação que envolve o sistema de controle dos processos, aplicando a metodologia de trabalho conforme o auditor julgar pertinente, visando à maximização dos resultados. Objetivos da Auditoria Interna A Auditoria Interna compreende a avaliação dos processos, dos sistemas de informações e de controles internos, e de gerenciamento de riscos, com vistas a assistir à administração da entidade no cumprimento de seus objetivos. A Auditoria Interna tem por finalidade agregar valor ao resultado da organização, apresentando subsídios para o aperfeiçoamento dos processos, da gestão e dos controles internos, por meio da recomendação de soluções para as não-conformidades apontadas nos relatórios. Percebam que outras alternativas trazem textos coerentes, mas a banca queria que você soubesse a definição literal da finalidade do controle interno. Gaba: A 6 Cesgranrio 2012 Liquigás - Os exames e as investigações constituem os procedimentos de Auditoria Interna, incluindo os testes de observância que facilitam o trabalho de auditor. A verificação de registros, de documentos e de ativos intangíveis, na realização dos testes de observância, é conhecida por procedimento de a) observação b) investigação c) confirmação d) inspeção e) execução 31

32 Testes de observância Obtenção de razoável segurança de que os controles internos estabelecidos pela administração estão em efetivo funcionamento. Devem ser considerados os seguintes procedimentos: inspeção verificação de registros, documentos e ativos tangíveis; observação acompanhamento de processo ou procedimento quando de sua execução; e investigação e confirmação obtenção de informações perante pessoas físicas ou jurídicas conhecedoras das transações, dentro ou fora da entidade. Gaba: D 7 Cesgranrio 2012 Liquigás - No caso de identificar inconsistências que necessitem de providências imediatas, o auditor interno de uma empresa deve avaliar a necessidade de emissão de relatório parcial. Quanto ao sigilo das informações, o relatório da auditoria interna deve ser a) arquivado, ficando disponível para consulta dos usuários, sejam eles internos ou externos. b) apresentado a quem tenha solicitado o trabalho ou a quem o solicitante autorizar, devendo ser preservada a confidencialidade do conteúdo. c) apresentado a todos os profissionais envolvidos na gestão e na operação das atividades da empresa, sem autorização do solicitante. d) entregue a quem solicitou, não podendo o auditor manter cópia do documento emitido, mas devendo entregar cópia ao fisco. e) eliminado logo após sua apresentação ao solicitante. Relatório de Auditoria Interna O relatório é o documento pelo qual a Auditoria Interna apresenta o resultado dos seus trabalhos, devendo ser redigido com objetividade e imparcialidade, de forma a expressar, claramente, suas conclusões, recomendações e providências a serem tomadas pela administração da entidade. 32

33 O relatório da Auditoria Interna deve ser apresentado a quem tenha solicitado o trabalho ou a quem este autorizar, devendo ser preservada a confidencialidade do seu conteúdo. A Auditoria Interna deve avaliar a necessidade de emissão de relatório parcial, na hipótese de constatar impropriedades, irregularidades, ilegalidades que necessitem providências imediatas da administração da entidade, e que não possam aguardar o final dos exames. Gaba: B 8 Cesgranrio 2011 Petrobrás - Para que o processo de auditoria interna atinja seus objetivos, é preciso, antes de tudo, ocorrer o planejamento da auditoria. No início de cada ano, geralmente, as empresas realizam o planejamento anual de auditoria, também chamado de planejamento global. A esse respeito, observe os procedimentos a seguir. I - Definir os processos que serão auditados durante o ano, levando-se em consideração os riscos envolvi- dos frente ao planejamento estratégico da empresa para aquele ano. II - Realizar uma pesquisa global com os funcionários, solicitando-se a opinião de todos sobre os processos a serem auditados. III - Definir um prazo para realização do trabalho, estabelecendo-se as prioridades de acordo com a criticidade de cada processo. IV - Obter a aprovação da alta administração da empresa em relação à escolha dos processos que serão auditados. V - Realizar ata de reunião do planejamento e divulgar, internamente, no mural da empresa. Durante a etapa do planejamento anual, são deveres do auditor APENAS os procedimentos apresentados em a) I, II e III. b) I, III e IV. c) II, IV e V d) I, II, III e V. e) II, III, IV e V. 33

34 Planejamento da Auditoria Interna Controle Interno para Auditor da Transpetro Compreende os exames preliminares das áreas, atividades, produtos e processos, para definir a amplitude e a época do trabalho a ser realizado, de acordo com as diretrizes estabelecidas pela administração da entidade. O planejamento deve considerar: o conhecimento detalhado da política e dos instrumentos de gestão de riscos da entidade; o conhecimento detalhado das atividades operacionais e dos sistemas contábil e de controles internos e seu grau de confiabilidade da entidade; a natureza, a oportunidade e a extensão dos procedimentos de auditoria interna a serem aplicados, alinhados com a política de gestão de riscos; a existência de entidades associadas, filiais e partes relacionadas que estejam no âmbito dos trabalhos da Auditoria Interna; o uso do trabalho de especialistas; os riscos de auditoria; o conhecimento do resultado e das providências tomadas em relação a trabalhos anteriores, semelhantes ou relacionados; as orientações e as expectativas externadas pela administração; e o conhecimento da missão e objetivos estratégicos da entidade. O planejamento deve ser documentado, detalhando-se procedimentos que serão aplicados, em termos de natureza, oportunidade, extensão, equipe técnica e uso de especialistas. Os programas de trabalho devem servir como guia e meio de controle de execução do trabalho, devendo ser revisados e atualizados sempre que as circunstâncias o exigirem. Itens I, III e IV possuem estreita relação com o processo de planejamento. Não podemos esquecer que o auditor interno é autônomo, porém, não é independente. Portanto, deve obter a aprovação da empresa quanto ao plano de auditoria. Item II Errado. Os processos a serem auditados serão decididos por governança, administração, ouvida a auditoria interna. Item V Não existe divulgação de ata de reunião em mural da empresa. Gaba: B 34

35 9 Cesgranrio 2011 Petrobrás - O processo de auditoria interna em uma empresa privada requer do auditor uma série de características relacionadas à conduta ética do profissional, principalmente por conta da convivência constante com os auditados. Em relação a essa conduta, considere os deveres a seguir. I - Estabelecer um relacionamento pessoal e íntimo com os demais colegas de trabalho, principalmente em atividades após a jornada de trabalho, o que facilitaria a execução da auditoria. II - Manter um determinado grau de independência em relação aos auditados e à alta administração da empresa, gerando maior conforto e transparência na execução dos testes. III - Cuidar do marketing pessoal vestindo-se de acordo com as normas da empresa, cuidando da higiene pessoal, da postura e do linguajar, evitando gírias e piadas excessivas. IV - Estar sempre atualizado em relação aos negócios da empresa e aos processos auditados, passando maior credibilidade aos envolvidos na auditoria. V - Concluir sobre os testes efetuados, mesmo sem evidências suficientes, desde que a informação tenha sido passada por um funcionário de confiança dentro da empresa. São corretos APENAS os deveres apresentados em a) I, IV e V. b) II, III e IV. c) II, III e V. d) I, II, III e IV. e) I, III, IV e V. Princípios a serem observados pelo auditor integridade objetividade competência e zelo profissional confidencialidade conduta profissional Requisitos do auditor Requisitos éticos, independência de opinião. Ceticismo profissional. Julgamento profissional, ao planejar e executar a auditoria. 35

36 I Errado. O auditor deve manter a conduta profissional, evitando misturar relações pessoais e profissionais. II Correto. O auditor interno não é independente (característica exclusiva do auditor externo), mas deve manter certo grau de independência (autonomia) em relação à administração. III Correto. O auditor deve manter a conduta e o zelo profissional. IV Correto. V Errado. O auditor só pode concluir com base em evidências: Suficientes Fidedignas Relevantes Úteis Gaba: B 10 Cesgranrio 2011 Petrobrás - O sistema de controles internos de uma empresa abrange as áreas contábeis e administrativas ou gerenciais. Um exemplo de controle interno contábil é o(a) a) controle de qualidade. b) treinamento de pessoal. c) análise da lucratividade. d) conciliação bancária. e) análise de tempos e movimentos. Controles contábeis Compreendem o plano de organização e os procedimentos relativos a: salvaguarda do ativo; fidedignidade dos registros financeiros. Exemplo sistema de autorização e aprovação de transações segregação de tarefas manutenção e elaboração de relatórios operação e custódia do ativo 36

37 controle físico do ativo auditoria interna Controles administrativos Compreendem o plano de organização e os procedimentos relativos a: eficiência operacional; obediência às diretrizes administrativas que normalmente se relacionam apenas indiretamente com os registros contábeis e financeiros Exemplo programas de treinamento de pessoal; métodos de programação e controle de atividades sistemas de avaliação e desempenho estudos de tempos e movimentos análises estatísticas controle de qualidade. O único controle contábil, entre os citados, é o de conciliação bancária, o qual visa a preservar a fidedignidade dos registros financeiros. Gaba: D 11 Cesgranrio 2011 Petrobrás - Os controles internos podem ser classificados como preventivos ou detectivos, dependendo do objetivo e do momento em que são aplicados. Observe os controles apresentados a seguir. I - Segregação de funções II - Limites e alçadas III - Autorizações IV - Conciliações V - Revisões de desempenho São exemplos de controles preventivos APENAS os apresentados em a) I, II e III. b) II, III e IV. c) III, IV e V. d) I, II, III e V. e) I, II, IV e V. 37