ALEXANDRE MENDES PEREIRA VICTOR MANUEL DUARTE JUNIOR CONTRIBUIÇÃO DA AUDITORIA PARA MELHORIA NOS CONTROLES INTERNOS UNIVERSIDADE NOVE DE JULHO

Transcrição

1 ALEXANDRE MENDES PEREIRA VICTOR MANUEL DUARTE JUNIOR CONTRIBUIÇÃO DA AUDITORIA PARA MELHORIA NOS CONTROLES INTERNOS UNIVERSIDADE NOVE DE JULHO SÃO PAULO - SP 2009

2 2 ALEXANDRE MENDES PEREIRA RA VICTOR MANUEL DUARTE JUNIOR RA CONTRIBUIÇÃO DA AUDITORIA PARA MELHORIA NOS CONTROLES INTERNOS Monografia de Trabalho de Conclusão de Curso apresentado como exigência para a obtenção do titulo de Bacharel em Ciências Contábeis, pela Universidade Nove de Julho UNINOVE, sob orientação do Prof. Vagner Borges Venet. SÃO PAULO SP 2009

3 3 1. INTRODUÇÃO CARACTERIZAÇÃO DO PROBLEMA DELIMITAÇÃO DOS OBJETIVOS Objetivo Geral Objetivos Específicos JUSTIFICATIVA METODOLOGIA REFERENCIAL TEÓRICO Conceito de Auditoria Origem do Termo Auditor Evolução Historia da Auditoria Evolução da Auditoria no Brasil Evolução da Auditoria Interna Órgãos regulamentadores da Auditoria no Brasil Finalidade da Auditoria Responsabilidade da Auditoria O que Leva uma Empresa a Contratar os Serviços de Auditoria Auditoria Interna VS Auditoria Externa Auditoria Externa Auditoria Interna CONTROLES INTERNOS Introdução Definição de Controles Internos Importância do Controle Interno Classificação dos Controles Internos Controles Internos Detectivos Controles Internos Preventivos Estrutura de Controles Internos COSO O Que é Risco Tipos de Risco Resposta a Riscos Controles Internos em Tecnologia da Informação Introdução... 32

4 Sistema ERP Governança da Tecnologia da Informação LEI SARBANES-OXLEY Introdução Impacto nas Empresas Correto Direcionamento das Seções Seções Criticas da Lei Sarbanes-Oxley Comprometer-se e Organizar-se Estrutura de Controles Internos Apropriada PROCEDIMENTOS DE AUDITORIA Introdução Planejamento da Auditoria Introdução Conhecimento Sobre a Organização a ser Auditada Avaliação dos Controles Internos Revisão Analítica Procedimentos de Auditoria Importantes Contagem Física Confirmação com Terceiros Conferência de Cálculos Inspeção de Documentos Papeis de Trabalho Modelos de Papeis de Trabalho Natureza dos Papeis de Trabalho Tipos de Papel de Trabalho Relatórios de Auditoria Tipos de Relatórios Parecer de Auditoria Carta Comentário O TRABALHO DE AUDITORIA O Trabalho de Auditoria, Atividades Iniciais Seleção da Equipe de Trabalho Inicio dos Trabalhos Realização dos Trabalhos na Organização

5 Mapeamento de Processos e Subprocessos Identificação e Classificação dos Riscos Planejamento e Desenho dos Testes de Auditoria Realização dos Testes de Controle Análise dos Resultados dos Testes de Controle Identificação dos pontos de controle Recomendações aos Pontos de Controle CONSIDERAÇÕES FINAIS REFERENCIAS BIBLIOGRÁFICAS... 67

6 6 RESUMO Com o desenvolvimento das novas tecnologias e telecomunicações, o mundo dos negócios tornou-se moderno, globalizado e fácil de ser acessado. As organizações por sua vez, passaram e ainda estão passando por intensos processos de adaptação em todos os níveis, tecnológico, produtivo, organizacional e administrativo. Nesse sentido, as organizações precisam estar sintonizadas com as mudanças, as quais estão ocorrendo nos mercados interno e externo. Para alcançar estes objetivos é necessária a implantação de eficientes sistemas de controles internos, ótimos ambientes tecnológicos os quais permitam que a organização seja competitiva em relação a seus concorrentes. Dentro deste contexto, o presente trabalho consiste em uma pesquisa conceitual sobre auditoria nas organizações e sua relevância, mostrando a sua contribuição para melhoria nos controles internos. Inicialmente faz-se uma abordagem a respeito dos conceitos de auditoria, descrevendo as técnicas usadas na avaliação e levantamento da operacionalidade da organização. Aborda-se a influência e o impacto causado pela Lei Sarbanes- Oxley na estrutura organizacional e em procedimentos internos. Descreve-se os principais procedimentos de auditoria utilizados na realização de um trabalho, e por fim, através de um estudo de caso, informa-se as contribuições da auditoria na melhoria de procedimentos e controles internos. Palavras Chave: Controle Interno, Auditoria, Procedimentos de Auditoria

7 7 ABSTRACT With the development of new technologies and telecommunications, the business world has become globalised, modern and easy to be accessed. Organizations in turn, and are still experiencing intense adjustment at all levels, technological, productive, organizational and administrative. Accordingly, organizations need to be attuned changes, which are occurring in the internal and external markets. To achieve these objectives, requires the deployment of efficient systems of internal control, excellent technologies environments which allow the organization to be competitive in relation to its competitors. Within this context, this work consists of a conceptual search on audit describing the techniques used in assessment and lifting of the operational organization. Discusses the influence and impact caused by Sarbanes - Oxley in organizational structure and internal procedures. Describes the main auditing procedures employed in the conduct of a job, and finally, through a case study, the contributions of audit in improving procedures and internal controls. Keywords: Internal Control, Auditing, Auditing Procedures

8 8 LISTA DE ABREVIATURAS E SIGLAS ABRASCA Associação Brasileira das Companhias Abertas AICPA American Institute of Certified Public Accountants AUDIBRA Instituto dos Auditores Internos do Brasil BOVESPA Bolsa de Valores de São Paulo CFC Conselho Federal de Contabilidade COBIT Control Objectives for Information and Related Technologies COSO Committee of Sponsoring Organizations of the Treadway Comission CPC Comitê de Pronunciamentos Contábeis CRC Conselho Regional de Contabilidade CVM Comissão de Valores Mobiliários FIPECAFI Fundação Instituto de Pesquisas Contábeis, Atuariais Financeiras IBRACON Instituto dos Auditores Independentes do Brasil ITIL IT Infrastructure Lybrary SFN Sistema Financeiro Nacional

9 9 1. INTRODUÇÃO O Cenário atual do ambiente das organizações vem demandando, cada vez mais, a adoção de medidas e técnicas de acompanhamento e controle que visam diminuir a ocorrência de falhas evitando problemas que coloquem em risco a imagem da entidade, diante dos acionistas, clientes e do mercado em geral. Esse novo comportamento tem gerado a aplicação de diversos mecanismos, com intuito de não apenas detectar e mensurar possíveis problemas, como também o oferecimento de alternativas de soluções. Entre esses mecanismos, destacam-se as políticas de gestão de riscos relacionadas à auditoria interna sobre os controles internos. Sabemos da dificuldade encontrada nas organizações para implantação da auditoria interna que tanto pode ser terceirizada ou própria da empresa. Afinal modificar procedimentos requer persuasão e habilidade, portanto convencer os investidores sobre a importância da auditoria interna no resultado final das demonstrações financeiras, na maioria dos casos encontrará resistência pelos clientes. Destacaremos nessa pesquisa quais são os benefícios e ganhos para as empresas que possui auditoria independente e interna em suas demonstrações financeiras e controles internos, esclarecendo as etapas, necessidades e normas que servem para ratificar o ambiente e controles internos de uma companhia.

10 CARACTERIZAÇÃO DO PROBLEMA Em nossa atuação profissional notamos as dificuldades encontradas pelas empresas em manter a confiabilidade da sua marca e conquistar novos parceiros. Dessa forma, a implantação da auditoria Interna, tem o intuito de reforçar a idoneidade da empresa que zela pela constante melhoria dos seus processos. Esta monografia tem como objetivo demonstrar, além da quantificação, mas também a qualificação dos resultados através de uma auditoria independente e interna. A falta deste trabalho e segmento na empresa pode gerar conflitos tanto na geração, manutenção e guarda dos seus documentos e informações. Focaremos na necessidade da Auditoria Interna na área financeira. A importância da transparência fiscal e quanto isso pode se converter, financeiramente, em benefícios para a entidade. Principalmente neste momento de crise, quando observamos a desconfiança de alguns investidores em relação a algumas corporações. Se o trabalho da auditoria não eliminar esta desconfiança, no mínimo conta como um diferencial na escolha dos investidores por uma empresa mais sólida e sustentável. É neste momento que a necessidade do controle e a diminuição de riscos se faz necessária, sendo indispensável à implantação de um departamento de auditoria interna ou a contratação de um auditor independente.

11 DELIMITAÇÃO DOS OBJETIVOS Objetivo Geral A intenção desta monografia é de apresentar o trabalho de auditoria independente e interna realizada nas empresas, bem como mostrar como a auditoria, no âmbito de suas atribuições, pode contribuir para uma melhoria no sistema de controles internos Objetivos Específicos Como suporte ao objetivo geral, esta monografia atende: a) Apresentar o conceito, a finalidade e a responsabilidade da auditoria independente e interna; b) Conceituar controles internos e descrever a sua importância dentro das organizações; c) Relacionar as principais exigências da Lei Sarbanes-Oxley no que tange a melhoria dos controles internos e as obrigações da Alta Administração para com estes controles; d) Demonstrar a importância da utilização de procedimentos específicos de auditoria no sentido de minimizar os riscos nos controles internos e na aceitação da emissão de uma opinião sobre as demonstrações financeiras.

12 JUSTIFICATIVA A auditoria independente e interna com o passar dos anos vem agregando valor no ambiente de controles das organizações. Foi percebido que auditoria é de suma importância devido às exigências e necessidades de mercado atual além de proporcionar confiabilidade nas demonstrações financeiras e transparência aos investidores, acionista e clientes. Dessa forma, visualizamos a oportunidade de realizar um estudo nesta área, para informar o quanto a auditoria pode contribuir para uma melhoria significativa no ambiente de controles das organizações mediante as dificuldades encontradas pelo mercado, decorrente de crises constantes. Acreditamos que este trabalho conceda a oportunidade de aperfeiçoamento e ajude a aprimorar conhecimentos que vão auxiliar e esclarecer questões relacionadas à implantação, manutenção e eficácia dos controles internos nas organizações.

13 METODOLOGIA A execução desta monografia se realizará por meio de pesquisa bibliográfica, utilizando materiais contidos em livros, sites confiáveis, e boletins relacionados ao tema em questão, auxiliando assim o desenvolvimento do estudo.

14 14 2. REFERENCIAL TEÓRICO 2.1. Conceito de Auditoria Segundo Attie (2006, p. 25) A auditoria é uma especialização contábil voltada a testar a eficiência e eficácia do controle patrimonial implantado com o objetivo de expressar uma opinião sobre determinado dado. Sá (2002, p. 24) afirma que [...] a auditoria é o exame de demonstrações financeiras e registros administrativos. O auditor observa a exatidão, integridade e autenticidade de tais demonstrações, registros e documentos. Crepaldi (2007, p. 27) define auditoria como sendo o levantamento, o estudo e a avaliação sistemática das transações, procedimentos, operações, rotinas e demonstrações financeiras de uma entidade. Entende-se, então, que a auditoria é um conjunto de estudos detalhados de todas as operações que fazem parte de uma organização, evitando situações que gerem fraudes ou possam incorrer em erros, através da aplicação de testes periódicos nos controles internos das empresas Origem do Termo Auditor A origem do termo auditor em português, muito embora perfeitamente representado pela origem latina (aquele que ouve, o ouvinte), na realidade provém da palavra inglesa to audit (examinar, ajustar, corrigir, certificar). Segundo se tem noticias, a atividade de auditoria é originada da Inglaterra que, como dominadora dos mares e do comércio em épocas passadas, teria iniciado a disseminação de investimentos em diversos locais e países e, por conseqüência, o exame dos investimentos mantidos naqueles locais. (Attie 2006, p. 27) O termo auditor não é exclusivo do ramo contábil, existindo a mesma nomenclatura em outras diferentes atividades, porém exercidas com objetivos similares Evolução Historia da Auditoria. Podemos afirmar que a evolução da auditoria é decorrente da evolução da contabilidade, síntese do crescimento de grandes empresas e do aumento das

15 15 atividades produtoras, gerando complexidade na administração dos negócios e de praticas financeiras como força para o desenvolvimento da economia. A preocupação com as corretas informações, o eficiente cumprimento de metas, o aumento do capital investido e o retorno do investimento foram alguns dos fatores que contribuíram para a exigência de uma opinião de alguém não ligado aos negócios das empresas, e que de forma independente confirmasse a qualidade e precisão das informações geradas, oferecendo, dessa forma o ensejo ao aparecimento do auditor. Com o crescimento do mercado e a exigência de uma opinião independente aos negócios das empresas, começaram a surgir às empresas de auditoria, que mais tarde tornar-se-iam grandes potencias econômicas e de geração de empregos com para profissionais especializados. Para Attie (2006, p. 27) O surgimento da auditoria esta ancorado na necessidade de confirmação por parte dos investidores e proprietários quanto à realidade econômico-financeira espelhada no patrimônio financeiro das empresas mundialmente distribuídas e simultâneas ao desenvolvimento econômico que propiciou participação acionária na formação do capital de muitas empresas Evolução da Auditoria no Brasil Nas ultimas décadas, instalaram-se no Brasil diversas empresas com associações internacionais de auditoria externa. Esse fato ocorreu em função da necessidade legal, principalmente nos Estados Unidos da America, de os investimentos no exterior serem auditados. Essas empresas praticamente iniciaram a auditoria no Brasil e trouxeram todo um conjunto de técnicas de auditoria, que posteriormente foram aperfeiçoadas. Basicamente, somente em 1965, pela Lei nº (disciplinou o mercado de capitais e estabeleceu medidas para seu desenvolvimento), foi mencionada pela primeira vez na legislação brasileira a expressão auditores independentes. Posteriormente, o Banco Central do Brasil estabeleceu uma série de regulamentos, tornando

16 16 obrigatória a auditoria externa ou independente em quase todas as entidades do Sistema Financeiro Nacional SFN e companhias abertas. Em 1976, a Lei das Sociedades por Ações (Lei nº 6.404/76, art. 177) determinou que as demonstrações financeiras ou contábeis das companhias abertas (ações negociadas em Bolsa de Valores) serão obrigatoriamente auditadas por auditores independentes registrados na Comissão de Valores Mobiliários CVM Evolução da Auditoria Interna O grande salto da auditoria acorreu após a crise econômica americana de No inicio dos anos 30, é criado o famoso Comitê May, um grupo de trabalho instituído com a finalidade de estabelecer regras para as empresas que tivessem suas ações cotas em bolsa, tornando obrigatória a Auditoria Contábil Independente nos demonstrativos financeiros dessas empresas. Esses auditores independentes no desenrolar de suas atividades, necessitavam ter acesso a informações e documentos que levassem ao conhecimento mais profundo e análises das diferentes contas e transações. Para tanto, foram designados funcionários da própria empresa. Estava lançada a semente da Auditoria Interna, pois os mesmos, com o decorrer do tempo, foram aprendendo e dominando as técnicas de Auditoria e utilizando-as em trabalhos solicitados pela própria administração da empresa. As empresas notaram que poderiam reduzir seus gastos com auditoria externa, se utilizassem melhor esses funcionários, criando um serviço de conferencia e revisão interna, continua e permanente, a um custo mais reduzido. Os auditores externos, também ganharam com isso, pois puderam se dedicar exclusivamente ao seu principal objetivo que era o exame da situação econômico-financeira das empresas. Após a fundação do The Institute of Internal Auditors, em New York, a auditoria interna passou a ser vista de maneira diferente. De um corpo de funcionários de linha, quase sempre subordinados a contabilidade, pouco a pouco, passaram a ter um enforque de controle administrativo, cujo objetivo era avaliar a eficácia e a efetividade da aplicação dos controles internos. O seu campo de ação funcional foi

17 17 estendido para todas as áreas da empresa, e para garantir sua total independência, passou a ter subordinação direta à alta administração da organização Órgãos regulamentadores da Auditoria no Brasil. Os principais órgãos regulamentadores da Auditoria no Brasil são: CVM Comissão de Valores Imobiliários; IBRACON Instituto dos Auditores Independentes do Brasil; CFC Conselho Federal de Contabilidade; CRC Conselho Regional de Contabilidade; AUDIBRA Instituto dos Auditores Internos do Brasil; CPC Comitê de Pronunciamentos Contábeis. CVM Comissão de Valores Mobiliários A Comissão de Valores Mobiliários (CVM) é uma autarquia vinculada ao Ministério da Fazenda do Brasil, instituída pela Lei 6.385, de 7 de dezembro de Juntamente com a Lei das Sociedades por Ações (Lei 6.404/76) disciplinaram o funcionamento do mercado de valores mobiliários e a atuação de seus protagonistas. A CVM tem poderes para disciplinar, normalizar e fiscalizar a atuação dos diversos integrantes do mercado. Seu poder de normalizar abrange todas as matérias referentes ao mercado de valores mobiliários. IBRACON Instituto dos Auditores Independentes do Brasil O Instituto dos Auditores Independentes do Brasil surgiu com o objetivo de concentrar em um único órgão a representatividade dos profissionais auditores, contadores com atuação em todas as áreas e estudantes de Ciências Contábeis. Criado oficialmente em 13 de dezembro de 1971 o Instituto dos Auditores Independentes do Brasil, onde anos mais tarde, em 8 de junho de 2001, a Diretoria Nacional aprovou a idéia de cuidar da classe dos auditores, porém como o nome IBRACON já estava consolidado, tanto no meio profissional como nos setores público e empresarial, optou-se por mantê-lo mudando a denominação para Instituto

18 18 dos Auditores Independentes do Brasil, como está atualmente, com abrangência de auditores, contadores e estudantes. CFC Conselho Federal de Contabilidade; O Conselho Federal de Contabilidade - CFC foi criado no Brasil pelo Decreto-lei 9.295/46, com o intuito de orientar, normatizar e fiscalizar o exercício da profissão contábil, por intermédio (nos estados) dos Conselhos Regionais de Contabilidade. É uma autarquia de caráter corporativo, sem vínculo com a Administração pública do Brasil. Atribui-se desde 1983 a função de organização de uma doutrina oficial contábil brasileira, cujo conjunto denomina de Normas Brasileiras de Contabilidade, aprovadas periodicamente por Resoluções. CRC Conselho Regional de Contabilidade; O Conselho Regional de Contabilidade (CRC) é um Associação de Classe profissional brasileira formado por contadores eleitos em cada estado e no Distrito Federal por Contadores e Técnicos Contábil. É responsável pelo registro e fiscalização do exercício da profissão contábil no Brasil juntamente com o Conselho Federal de Contabilidade. O Conselho em cada estado é constituído por representantes de 2/3 de Contadores e de 1/3 de Técnicos em Contabilidade. Em cada estado do Brasil e no Distrito federal possue um Conselho Regional independente formando assim 27 conselhos que forma o Conselho Federal de Contabilidade. AUDIBRA Instituto dos Auditores Internos do Brasil. O Instituto dos Auditores Internos do Brasil - AUDIBRA, fundado em 20 de novembro 1960, é uma entidade civil, sem fins lucrativos, de pessoas físicas atuando em atividades de Auditoria Interna em qualquer modalidade. Sua principal missão é Desenvolver o espírito associativo dos Auditores Internos, e difundir e promover o reconhecimento e a importância da função do Auditor Interno no âmbito dos setores privado e público.

19 19 CPC Comitê de Pronunciamentos Contábeis O Comitê de Pronunciamentos Contábeis (CPC) foi idealizado a partir da união de esforços e comunhão de objetivos das seguintes entidades: ABRASCA; APIMEC NACIONAL; BOVESPA; CFC; FIPECAFI; IBRACON. Criado pela Resolução CFC nº 1.055/05, o CPC tem como objetivo o estudo, o preparo e a emissão de Pronunciamentos Técnicos sobre procedimentos de Contabilidade e a divulgação de informações dessa natureza, para permitir a emissão de normas pela entidade reguladora brasileira, visando a centralização e uniformização do seu processo de produção, levando sempre em conta a convergência da Contabilidade Brasileira aos padrões internacionais Finalidade da Auditoria Para Attie (1992 p. 42) a finalidade da auditoria interna visa resguardar e salvaguardar seus interesses constitui, por política, a área de auditoria que tem por finalidade fornecer aos administradores, em todos os níveis, informações que os auxiliem a controlar as operações e atividades pelas quais são responsáveis. Tendo em vista fortalecer a base da auditoria e permitir que sua atividade se desenvolva no mais alto grau de aceitação e profissionalismo, a auditoria atuará em nível de assessoria, reportando-se diretamente ao presidente do Conselho de Administração e em sua falta ao diretor-presidente Responsabilidade da Auditoria Já a responsabilidade da auditoria para Attie (1992 p. 43) é de desenvolver suas tarefas em todas as empresas associadas, de caráter permanente, e em todos os locais aplicáveis, analisando as políticas, procedimentos, usos e costumes, o aprimoramento e a padronização dos controles aplicáveis as operações e atividades pertinentes as empresas.

20 20 Cabe ao auditor determinar que todas as organizações, através sejam revisadas a intervalos regulares de tempo, assegurando-se que estas cumpram suas funções de planejamento, contabilização, custodia e controle, conforme instruções recebidas e segundo as políticas e procedimentos instituídos, de acordo com os altos padrões de práticas administrativas O que Leva uma Empresa a Contratar os Serviços de Auditoria Para Almeida (2003 p. 33), os principais motivos que levam uma empresa a contratar os serviços de auditoria independente ou externa para realização de um trabalho, são os seguintes: a) Obrigação Legal (companhias abertas, e quase todas as entidades integrantes do Sistema Financeiro Nacional); b) Imposição de instituições financeiras para captação de recursos; c) Atendimento às exigências do próprio estatuto ou contrato social da empresa; d) Atendimento a estratégias de investimentos de relevância em determinados projetos; e) Compra de empresas (o futuro comprador necessita de uma auditoria a fim de determinar o valor contábil correto do patrimônio liquido da empresa a ser comprada); f) Tratamento de incorporação, fusão, cisão de empresas; g) Para fins de consolidação das demonstrações contábeis (a consolidação é obrigatória para a companhia aberta que tiver mais de 30% do valor de seu patrimônio liquido representado por investimentos em sociedades controladas) Auditoria Interna VS Auditoria Externa Podemos classificar a auditoria como Auditoria Externa ou Independente e Auditoria Interna Auditoria Externa Segundo Attie (2006, p. 31) Auditoria Externa ou Independente tem como objetivo o exame das demonstrações financeiras e expressar uma opinião sobre a propriedade das mesmas, e assegurar que elas representem adequadamente a posição patrimonial e financeira.

21 21 Para Almeida (2003, p. 45) O objetivo do auditor externo ou independente é emitir sua opinião sobre as demonstrações financeiras examinadas. Segundo o CRC. SP (2003, p 186), segundo resolução 820/97 do Conselho Federal de Contabilidade, auditoria das demonstrações contábeis constitui o conjunto de procedimentos técnicos que tem por objetivo a emissão do parecer sobre sua adequação, consoante os Princípios Fundamentais de Contabilidade e as Normas Brasileiras de Contabilidade e, no que for pertinente, a legislação especifica. Em outras palavras, o objetivo principal da Auditoria Externa ou Independente é o processo pelo qual o auditor se certifica da veracidade das demonstrações financeiras preparadas pela companhia auditada. Em seu exame, o auditor, por um lado, utiliza os critérios e procedimentos que lhe traduzem provas que assegurem a efetividade dos valores apostos nas demonstrações financeiras e, por outro lado, cerca-se dos procedimentos que lhe permitem assegurar a inexistência de valores ou fatos não constantes das demonstrações financeiras que sejam necessários para seu bom entendimento Auditoria Interna A administração da empresa, com a expansão dos negócios, sentiu a necessidade de dar maior ênfase as normas ou aos procedimentos internos, devido ao fato de que o administrador, ou em alguns casos o proprietário da empresa, não poderia supervisionar pessoalmente todas as suas atividades. Entretanto, de nada valia a implantação desses procedimentos internos sem que houvesse um acompanhamento, no sentido de verificar se estes estavam sendo seguidos pelos empregados da empresa. Adicionalmente, o auditor externo ou independente, além de sua opinião ou parecer sobre as demonstrações contábeis, passou a emitir um relatório comentário, no qual apresentava sugestões para solucionar os problemas da empresa, que chegaram a seu conhecimento no curso normal de seu trabalho de auditoria. Entretanto, o auditor externo passava um período de tempo muito curto na empresa e seu trabalho estava totalmente direcionado para o exame das demonstrações

22 22 contábeis. Para atender a administração da empresa, seria necessária uma auditoria mais periódica, com maior grau de profundidade e visando também as outras áreas não relacionadas com a contabilidade (sistema de controle de qualidade, administração de pessoal, etc). Portanto, surgiu o auditor interno como uma ramificação da profissão de auditor externo e, conseqüentemente, do contador. Para Attie (1992, p. 28) Auditoria Interna é uma função independente de avaliação, criada dentro da empresa para examinar e avaliar suas atividades, como um serviço a essa mesma organização. A proposta da auditoria interna é auxiliar os membros da administração a desincumbirem-se eficazmente de suas responsabilidades. O Conselho Federal de Contabilidade posiciona a auditoria interna, quando a conceitua como o conjunto de procedimentos técnicos que tem por objetivo examinar a integridade, adequação e eficácia dos controles internos e das informações físicas, contábeis, financeiras e operacionais da Entidade (CRC-SP, 2001, p. 262). Segundo Almeida (2003, p. 29), [...] O auditor interno é um empregado da empresa, e dentro de uma organização ele não deve estar subordinado aqueles cujo trabalho examina. Além disso, o auditor interno não deve desenvolver atividades que ele possa vir um dia a examinar (como, por exemplo, elaborar lançamentos contábeis), para que não interfira em sua independência. Para Franco e Marra (2007, p. 219) a auditoria interna é aquela exercida por funcionário da própria empresa, em caráter permanente. Apesar de seu vinculo à organização, o auditor interno deve exercer sua função com absoluta independência profissional, preenchendo todas as condições necessárias ao auditor externo, mas também exigindo da organização o cumprimento daquelas que lhe cabem. A título de exemplo, em uma estrutura organizacional, o Departamento de Auditoria ficaria situado da seguinte forma:

23 23 Figura 1: Alocação do Departamento de Auditoria Interna dentro de uma Organização Fonte: Almeida (2003, p. 30)

24 24 3. CONTROLES INTERNOS 3.1. Introdução Em países como o Brasil, em que somente agora se começa a dar a devida importância aos métodos científicos de administração, governança corporativa, que o conceito de controle interno esta sendo mais bem entendido. Às vezes imagina-se ser o controle interno sinônimo da auditoria interna. É uma idéia totalmente equivocada, pois a auditoria interna equivale a um trabalho organizado de revisão e apreciação dos controles internos, normalmente executados por um departamento especializado, ao passo que o controle interno se refere a procedimentos de organização adotados como planos permanentes da empresa. As normas de auditoria geralmente aceitas, referentes ao trabalho no campo estabelecem que o auditor deva avaliar o sistema de controle interno da empresa auditada, a fim de determinar a natureza, época e extensão dos procedimentos de auditoria. Figura 2: Avaliação do Sistema de Controle Interno e Volume de Testes. Fonte: Almeida (2003, p. 63)

25 Definição de Controles Internos Segundo o conceito de Fayol, o controle consiste em verificar se tudo ocorre em conformidade com o plano adotado, com as instruções emitidas e com os princípios estabelecidos; tem por objetivo apontar as falhas e erros; para ratificá-los e evitar sua reincidência; aplica-se a tudo: coisas, pessoas, processos, etc. O COSO define controle interno como um processo conduzido pelo conselho de administração, pela administração e pelo corpo de empregados de uma organização, com a finalidade de possibilitar uma garantia razoável quanto à realização dos objetivos nas seguintes categorias: Eficácia e Eficiência das Operações; Confiabilidade das Demonstrações Financeiras; Conformidade com Leis e Regulamentos Cabíveis. Segundo Almeida (2003, p. 63), Controle interno representa em uma organização o conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, produzir dados contábeis e ajudar a administração na condução ordenada dos negócios da empresa. A AICPA, afirma: O controle interno compreende o plano de organização e o conjunto coordenado dos métodos e medidas, adotados pela empresa, para proteger seu patrimônio, verificar a exatidão e a fidedignidade de seus dados contábeis, promover a eficiência operacional e encorajar a adesão s política traçada pela administração. Para AUDIBRA: Controles internos devem ser entendidos como qualquer ação tomada pela administração (...) para aumentar a probabilidade de que os objetivos e metas estabelecida sejam atingidas. Dessa forma, entende-se como controle interno, o conjunto de políticas e procedimentos que são desenvolvidos e operacionalizados para garantir razoável certeza acerca da confiança que pode ser depositada nas demonstrações financeiras e nos seus processos correlatos, bem como na correta apresentação daquelas demonstrações financeiras, garantindo que foram preparadas de acordo

26 26 com os princípios de contabilidade geralmente aceitos e que incluem políticas e procedimentos de manutenção dos registros contábeis, aprovações em níveis adequados e salvaguarda de ativos Importância do Controle Interno Para Attie (1992, p. 200) A importância do controle interno fica patente a partir do momento em que se torna impossível conceber uma empresa que não disponha de controles que possam garantir a continuidade do fluxo de operações e informações proposto. A confiabilidade dos resultados gerados por esse fluxo que transforma simples dados em informações a partir das quais os empresários, utilizando-se de sua experiência administrativa, tomam decisões com vistas no objetivo comum da organização. Nos dias atuais, onde podemos afirmar que as informações são muito importantes na tomada de decisões, a existência de um sistema de controles internos eficiente é muito importante para uma correta geração de informações. Como parte de um eficiente sistema de controles internos vale salientar a importância, da Tecnologia da Informação. A Tecnologia da Informação (TI) pode ser definida como um conjunto de todas as atividades e soluções providas por recursos de computação. Também é comumente utilizada para designar o conjunto de recursos não humanos dedicados ao armazenamento, processamento e comunicação da informação, bem como o modo como esses recursos estão organizados em um sistema capaz de executar um conjunto de tarefas. Dentro deste contexto a Tecnologia da Informação proporciona a pequenas e grandes empresas alcançar maior produtividade e competitividade Classificação dos Controles Internos Controles Internos Detectivos A finalidade dos controles detectivos é a detecção de erros que podem ter ocorrido durante o processamento (isto é, erros que podem ocorrer, apesar dos controles de

27 27 prevenções existentes) Freqüentemente as organizações implementam controles detectivos para supervisionar o funcionamento confiável de seus sistemas contábeis e dos respectivos controles preventivos e, em muitos casos, os controles detectivos são procedimentos realizados pela administração da empresa. Os controles detectivos podem ser executados pelos usuários ou por aplicativos informatizados Controles Internos Preventivos O controle interno preventivo tem como finalidade principal evitar que o erro ou a fraude ocorra, ou que o patrimônio seja colocado em risco. Visam também, garantir a tempestividade dos registros, operações e informações pertinentes e medidas a serem tomadas como: autorização previa de lançamento, de qualquer documento nos sistemas oficiais de registro da empresa, segregação entre a função registrar e a de custodiar ou de autorizar; rodízio de funcionários ou obrigatoriedade de férias aos titulares das funções; e o treinamento dos funcionários, supervisores e corpo gerencial Estrutura de Controles Internos. Conseqüentemente, muitas companhias constroem sua estrutura de controles internos em torno do COSO (The Committee of Sponsoring Organizations of the Treadway Comission) Contudo, o COSO representa apenas uma, embora a mais amplamente reconhecida, das muitas estruturas de controles internos existentes COSO Em 1975, foi criada nos Estados Unidos, a Nacional Commission on Fraudulent Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros), uma iniciativa independente, para estudar as causas da ocorrência de fraudes nos relatórios financeiro-contábeis. Esta comissão era composta por representantes das principais associações de classes profissionais ligados a área financeira. Seu primeiro objeto de estudo foram os controles internos.

28 28 Em 1992, publicou o trabalho Internal Control Integrated Framework (Controles Internos Um Modelo Integrado). Esta publicação tornou-se referência mundial para o estudo e aplicação dos controles internos. Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido como COSO (The Committee of Sponsoring Organizations of the Treadway Comission). O COSO é uma entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa. Segundo o COSO, para obter a efetividade dos controles internos, é importante adotar um sistema de gerenciamento de riscos corporativos. Com a adoção deste gerenciamento, e seu correto funcionamento, a organização poderá estabelecer estratégias e objetivos para alcançar o equilíbrio ideal entre as metas de crescimento e de retorno de investimento, identificando os riscos a elas associado. Para o COSO, o gerenciamento de riscos corporativos é constituído de cinco componentes inter relacionados, que se originam com base na maneira como a administração gerencia a organização, e que se integram ao processo de gestão. Os componentes são apresentados abaixo: Ambiente de Controle Avaliação e Gerenciamento de Riscos Atividade de Controle Informação e Comunicação Monitoramento Ambiente de Controle O ambiente de Controle abrange a cultura de uma organização, a influência sobre a consciência de risco de seu pessoal, sendo a base para todos os outros componentes do gerenciamento de riscos corporativos, possibilita a disciplina e a estrutura. Os fatores do ambiente interno compreendem a filosofia administrativa de uma organização no que diz respeito aos riscos; seu apetite a riscos; a supervisão

29 29 do conselho de administração; a integridade, os valores éticos e a competência do pessoal da organização; e a forma pela qual a administração atribui alçadas e responsabilidades, bem como organiza e desenvolve o seu pessoal. Avaliação e Gerenciamento de Riscos O Que é Risco Pode-se definir risco como o impacto provocado por uma incerteza ao conjunto de fatos significativos decorrentes de ameaças internas ou externas que resultem na impossibilidade de execução de objetivos anteriormente estabelecidos. Para Dias (2006, p. 29) Risco representa uma possibilidade, ou seja, trata-se de algo que existe e pode ocorrer, mas não quer dizer com isso, que sua ocorrência seja liquida e certa. Já a Deloitte Touche Tohmatsu (2008, Deloitte Audit Approach) classifica riscos como incertezas inerentes a um conjunto de possíveis conseqüências (ganhos e perdas) que resultam de decisões tomadas diariamente pela organização. A avaliação e Gerenciamento de Riscos permitem que uma organização considere até que ponto eventos em potencial pode impactar a realização dos objetivos. A administração avalia os eventos com base em duas perspectivas probabilidade e impacto e, geralmente, utiliza uma combinação de métodos qualitativos e quantitativos. Os impactos positivos e negativos dos eventos em potencial devem ser analisados isoladamente ou por categoria em toda a organização. Os riscos são avaliados com base em suas características inerentes e residuais. Tipos de Risco Conforme o pronunciamento SAS 55 Consideration of the Internal Control Structure in a Financial Statement Audit o risco de auditoria esta composto por três componentes, sendo: Risco Inerente; Risco de Controle; Risco de Detecção.

30 30 Risco Inerente Risco inerente traduz a suscetibilidade em que os componentes das demonstrações financeiras estão expostas a erros ou irregularidades considerados significativos, antes de considerar a eficácia dos sistemas de controle. Risco de Controle Risco de controle é o risco de que um erro, ou execução de procedimentos inadequados ou classificações contábeis indevidas não sejam evitados ou identificados tempestivamente pelos controles internos da organização. Risco de Detecção Risco de detecção é o risco de que o auditor não detecte um erro, ou execução de procedimentos inadequados ou classificações contábeis indevidas durante seu trabalho de auditoria. Resposta a Riscos Após ter conduzido uma avaliação dos riscos pertinentes, a administração determina como responderá aos riscos. As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos. Ao considerar a própria resposta, a administração avalia o efeito sobre a probabilidade de ocorrência e o impacto do risco, assim como os custos e benefícios, selecionando, dessa forma, uma resposta que mantenha os riscos residuais dentro das tolerâncias a risco desejadas. A administração identifica as oportunidades que possam existir e obtêm, assim, uma visão dos riscos em toda organização ou de portfólio, determinando se os riscos residuais gerais são compatíveis com o apetite a riscos da organização. Atividades de Controle As atividades de controle são as políticas e os procedimentos que contribuem para assegurar que as respostas aos riscos sejam executadas. Essas atividades ocorrem em toda a organização, em todos os níveis e em todas as funções, pois compreendem uma série de atividades tão diversas, como alçadas, autorizações, reconciliação e revisão do desempenho operacional, da segurança dos bens e da segregação de responsabilidades.

31 31 Informações e Comunicações As informações pertinentes são identificadas, coletadas e comunicadas de forma coerente e no prazo, a fim de permitir que as pessoas cumpram as suas responsabilidades. Os sistemas de informática geralmente empregam dados gerados internamente e informações de fontes externas, possibilitando, dessa forma, esclarecimentos para o gerenciamento de riscos e tomada de decisão baseadas em dados relacionados aos objetivos. A comunicação eficaz também ocorre ao fluir em todos os níveis da organização. Todo o pessoal recebe uma mensagem clara da alta administração, alertando que as responsabilidades do gerenciamento de riscos corporativos devem ser levadas a sério. Cada um entende a sua própria função no gerenciamento de riscos corporativos, assim como as atividades individuais que se relacionam com o trabalho dos demais. As pessoas deverão ter uma forma de comunicar informações significativas dos escalões inferiores aos superiores. Deve haver, também, uma comunicação eficaz com terceiros, como clientes, fornecedores, órgãos reguladores e acionistas. Monitoramento O gerenciamento de riscos corporativos é monitorado, avaliando-se a presença e o funcionamento de seus componentes ao longo do tempo. Essa tarefa é realizada mediante atividades contínuas de monitoramento, avaliações independentes ou uma combinação de ambas. O monitoramento contínuo ocorre no decurso normal das atividades de administração. O alcance e a freqüência das avaliações independentes dependerão basicamente de uma avaliação dos riscos e da eficácia dos procedimentos contínuos de monitoramento. As deficiências no gerenciamento de riscos corporativos são relatadas aos superiores, sendo as questões mais graves relatadas ao Conselho de administração e à diretoria executiva.

32 Controles Internos em Tecnologia da Informação Introdução A utilização da Tecnologia da Informação dentro das organizações sofreu consideráveis mudanças nos últimos anos por conta da globalização. Onde a Tecnologia da Informação era vista como um centro de custo usado primariamente para automatizar tarefas de escritório, hoje veio a se tornar a chave estratégica de desempenho, competitividades e inovação nos negócios das organizações, necessária para agregar novos valores aos clientes. A expansão desta utilização e dependência requer uma abordagem integrada e padronizada das práticas de Tecnologia da Informação e um mecanismo de controle e aferição dos resultados alcançados, alinhados com a estratégia das organizações. Dentro do contexto acima, podemos citar o sistema ERP (Enterprise Resource Planning) como principal aliado na integração de dados e processos dentro de uma organização Sistema ERP Um sistema ERP (Enterprise Resource Planning) em termos gerais é uma plataforma de software desenvolvida para integrar os diversos departamentos de uma empresa, possibilitando a automação e armazenamento de todas as informações de negócios, proporcionando maior confiabilidade na geração de informações, que pode ser obtida em tempo real, graças o auxilio e o comprometimento de colaboradores, os quais são responsáveis pela atualização sistemática dos dados que alimentam todo o sistema ERP. Atualmente existem diversos modelos de software ERP, mas o mais conhecido e o que oferece maior integração nas aplicações de negócios, é o sistema SAP. A SAP é uma empresa alemã criadora do Software de Gestão SAP R/3. O sistema SAP R/3 inclui um conjunto de normas-padrão, de softwares de negócios, oferecendo, assim, soluções padronizadas para as necessidades internas de informação de uma empresa. O sistema consiste de funções integradas nas seguintes áreas: Vendas e Distribuição (SD), Finanças (FI), Controladoria (CO),

33 33 Logística, Materiais e Serviços (MM), Gestão da Produção (PP); Recursos Humanos (HR); Gestão da Qualidade (QM), Ativo Fixo (AM), Gestão de Projetos (PS), Gestão de Manutenção (PM); Soluções para Indústria (IS) e Workflow. Figura 3: Estrutura do SAP/R3 Fonte: SAP Dentro da organização, o sistema ERP possui papel importante na melhoria dos controles internos, mas é importante ressaltar que somente a implantação de um sistema ERP não resolve todos os problemas é preciso readequar os controles já existentes, implantar novos controles, para que os mesmos possam interagir com as novas funcionalidades oferecidas pelo sistema, e assim obter um eficiente sistema de controles internos Governança da Tecnologia da Informação Atualmente, os sistemas e os serviços de TI desempenham papel vital na coleta, análise, produção e distribuição da informação indispensável à execução do negócio das organizações. Tornou-se essencial o reconhecimento de que a TI é crucial, estratégica e importante recurso, que precisa de investimento e gerenciamento apropriados. O cenário motivou o surgimento do conceito de Governança de TI, por meio da qual se procura o alinhamento da TI com os objetivos da organização. Governança de TI

34 34 define que a TI é fator essencial para a gestão financeira e estratégica de uma organização, e não apenas um suporte aos mesmos. Governança de TI pode ser definida como: Estrutura de relacionamentos entre processos para direcionar e controlar uma empresa de modo a atingir seus objetivos corporativos, por meio da agregação de valor e controle dos riscos pelo uso da TI e seus processos (ITGI IT Governance Institute, 2001). Para alcançar a Governança de TI, as organizações utilizam modelos que possuem as melhores práticas para a gestão de TI. Entre esses modelos, os de maiores aceitação são o COBIT e o ITIL. COBIT (Control Objectives for Information and Related Technologies) É um trabalho desenvolvido desde 1996 pela Information Systems Audit and Control Foundation (ISACA), tendo como objetivo fornecer boas práticas para a gestão de processo de tecnologia da informação, eliminando divergências entre riscos de negócios, questões técnicas, controles e medidas de desempenho. O COBIT foi desenvolvido com base no consenso de especialistas de todo o mundo no que diz respeito às melhores práticas e metodologias, tais como: códigos de conduta, critérios de qualificação para os sistemas e processos de TI e Práticas de mercado e requerimentos legais, governamentais e específicos dos mercados que dependem fortemente de tecnologia. ITIL (IT Infrastructure Lybrary) A ITIL foi desenvolvida inicialmente pela CCTA (Central Computing and Telecommunications Agency) atual OGC (Office of Government Commerce). O OGC é órgão do Governo Britânico que tem como objetivo desenvolver metodologias e criar padrões dentro dos departamentos do governo, buscando aperfeiçoar os processos internos. Desde o seu surgimento em 1980, as empresas e outras entidades do governo perceberam que as práticas sugeridas poderiam ser aplicadas em seus processos de TI também. Em 1990 a ITIL acabou se tornando um padrão de fato em todo o mundo.

35 35 4. LEI SARBANES-OXLEY 4.1. Introdução Em julho de 2002, o Ex Presidente dos Estados Unidos, George W. Bush assinou a Lei Sarbanes-Oxley. Repleta de reformas, a nova Lei reescreveu as regras para governança corporativa, relativas à divulgação e à emissão de relatórios financeiros. No passado recente, os escândalos no mundo dos negócios trouxeram à tona declarações de executivos que afirmavam não ter conhecimento das atividades duvidosas praticadas por suas companhias participações não registradas nos livros, reconhecimentos de receitas impróprios, etc. A Lei Sarbanes-Oxley foi criada para desencorajar essas alegações através de várias medidas que intensificam as conferências internas e aumentam a responsabilidade dos executivos. A Lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles internos sobre relatórios financeiros e divulgações. Foi percebido que a maior parte das organizações não tinha e antes da Lei Sarbanes-Oxley não eram obrigadas a ter um vinculo diretos das atividades de controle com a Alta Administração da organização. Mas para cumprimento de regras, foi importante o estabelecimento deste vinculo afim de que os Altos Executivos demonstrem, o quanto é eficaz e eficiente sua estrutura de controles internos. Figura 4: Demonstração do Vinculo das Atividades de Controle com a Alta Administração Fonte: Lei Sarbanes-Oxley (2003)