IPPF Guia Prático Auditando o Ambiente de Controle. Guia Prático AUDITANDO O AMBIENTE DE CONTROLE

Transcrição

1 Guia Prático AUDITANDO O AMBIENTE DE CONTROLE Março de 2012

2 Índice Sumário Executivo... 3 Introdução... 4 O Ambiente de Controle de uma Organização... 4 Escopo e Abordagem da Auditoria do Ambiente de Controle... 5 Considerações Práticas na Auditoria do Ambiente de Controle... 9 Como Auditar o Ambiente de Controle Avaliando as Deficiências do Ambiente de Controle Comunicação dos Resultados Anexo Autores... 43

3 Sumário Executivo O ambiente de controle 1 é a base de um sistema eficaz de controle interno. A maior parte dos erros promovidos em massa (incluindo não apenas a Enron e a WorldCom, mas também as falhas de governança que levaram à crise financeira de 2008) foi, ao menos em parte, resultado de ambientes fracos de controle. Na ausência de um ambiente de controle demonstravelmente eficaz, nenhum nível de eficácia no desenvolvimento e operação dos controles dentro dos processos de negócio e TI poderia prestar uma avaliação suficiente às partes interessadas quanto à integridade da estrutura de controle interno de uma organização. O Glossário das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) define o ambiente de controle como: Atitudes e ações do conselho e da administração em relação à importância dos controles dentro da organização. O ambiente de controle proporciona a disciplina e a estrutura para se atingir os principais objetivos do sistema de controle interno. O ambiente de controle inclui os seguintes elementos: Integridade e valores éticos. Filosofia e estilo operacional da administração. Estrutura organizacional. Atribuição de autoridade e responsabilidade. Políticas e práticas de recursos humanos. Competência do pessoal. É central a qualquer abordagem à auditoria do ambiente de controle a avaliação dos riscos por conta de falhas em cada um dos seis elementos do ambiente de controle, conforme definidos no glossário das Normas. A partir da determinação dos 1 Como o ambiente de controle inclui a avaliação da cultura de uma organização, incentivamos que o leitor deste Guia Prático leia também a publicação Best Practices: Evaluating the Corporate Culture de James Roth, IIARF, riscos relacionados a cada um dos seis elementos do ambiente de controle, o diretor executivo de auditoria (DEA) pode considerar a inclusão, em seu plano anual de auditoria, de uma ou mais auditorias dos principais riscos do ambiente de controle. O DEA pode escolher abordar esses riscos em (1) uma única auditoria do ambiente de controle da organização, (2) uma série de auditorias focadas nos aspectos do ambiente de controle e (3) auditorias de controles sobre riscos específicos (ex., o escopo inclui a avaliação de controles aplicados dentro do ambiente de controle, assim como dentro de processos de negócio). Já que a auditoria do ambiente de controle de uma organização frequentemente envolverá a discussão de questões delicadas, o DEA deve planejar e executar estas auditorias com diligência. Há muitas considerações práticas a que o DEA deve prestar atenção durante o planejamento e execução de uma auditoria relativa ao ambiente de controle. Em primeiro lugar, deve haver apoio ou adesão por parte da alta administração e/ou do conselho ou comitê de auditoria para tal auditoria. Segundo, a estrutura de reporte da auditoria interna deve ser independente o suficiente para garantir limitações mínimas ou quase nulas no escopo da equipe de auditoria. Terceiro, o DEA deve articular e comunicar claramente os critérios a serem usados, para o benefício do auditado e dos membros da equipe de auditoria, na avaliação do ambiente de controle. Por fim, a atenção devida deve ser dada às diferenças na cultura do negócio, idioma, legislação local, etc., durante a condução de tais auditorias em uma organização global. E porque a auditoria do ambiente de controle inclui auditar controles informais, algumas das abordagens e ferramentas tradicionais de teste podem não permitir a coleta de evidências diretas suficientes para sua operação eficaz. O auditor precisará pensar fora da caixa para coletar materiais de evidência suficientes e competentes em tais auditorias, para garantir que as descobertas de auditoria não sejam contestadas por conta da ausência de procedimentos e evidências rigorosos. / 3

4 Deficiências do ambiente de controle precisam ser avaliadas individualmente e deve-se entender como elas interagem ou impactam outros controles na organização. As ações corretivas, às vezes, podem ser levadas além do ambiente imediato de controle sob avaliação. A comunicação das descobertas da auditoria do ambiente de controle envolve muitas considerações práticas, tais como determinar a pertinência do formato do relatório padrão de auditoria, limitações à distribuição do relatório de auditoria, a natureza confidencial das descobertas, oportunidade e o envolvimento das funções do conselheiro geral e de recursos humanos (RH) como patrocinadores coexecutivos ou em papel de suporte, etc. Auditar o ambiente de controle ou um ou mais de seus elementos isoladamente ou como parte de outras auditorias internas não é apenas consistente com a intenção de diversas normas dentro da Estrutura Internacional de Práticas Profissionais (IPPF), como também agrega valor à organização. Introdução O ambiente de controle é a base sobre a qual um sistema eficaz de controle interno é construído e operado em uma organização que busca (1) atingir seus objetivos estratégicos, (2) fornecer relatórios financeiros confiáveis a partes interessadas internas e externas, (3) operar seu negócio com eficácia e eficiência, (4) estar em conformidade com as leis e regulamentos aplicáveis e (5) salvaguardar seus ativos. Parte da culpa pela crise financeira de 2008 e outros fracassos famosos no século XXI podem ser apropriadamente atribuídos a falhas no ambiente de controle. O propósito deste Guia Prático é fornecer orientações ao auditor interno quanto à importância do ambiente de controle; como determinar quais elementos do ambiente de controle devem ser abordados por trabalhos no plano periódico de auditoria; como definir o escopo, a equipe e o planejamento de tais trabalhos; e quais itens considerar na condução do trabalho de auditoria relacionado, incluindo a avaliação e o reporte de deficiências. Concentrar-se apenas na avaliação e reporte dos controles dentro de processos de negócio e TI, sem avaliar e reportar quanto ao risco relativo a falhas no ambiente de controle, pode ser um desvio dos aspectos fundamentais da base da organização. O ambiente de controle de uma entidade é a base de toda a estrutura de controle interno da organização financeiro, operacional e de conformidade, incluindo a salvaguarda dos ativos. Os auditores internos precisam considerar, no desenvolvimento dos planos de auditoria anuais (e de outras periodicidades) e no planejamento de cada auditoria individual, o risco de falhas no ambiente de controle. As Normas definem o ambiente de controle como atitudes e ações do conselho e da administração em relação à importância dos controles dentro da organização. Especificamente, a Norma 2130: Controle declara que a atividade de auditoria interna deve auxiliar a organização a manter controles efetivos a partir da avaliação da sua eficácia e eficiência e da promoção de melhorias contínuas. Além disso, a Norma 2130.A1: Controle declara que a atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação: ao alcance dos objetivos estratégicos da organização; à confiabilidade e integridade das informações financeiras e operacionais; à eficácia e eficiência das operações e programas; à salvaguarda dos ativos; e à conformidade com leis, regulamentos, políticas e procedimentos e contratos. O Ambiente de Controle de uma Organização O Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicou a Estrutura / 4

5 Integrada de Controle Interno em Ela usa uma definição muito similar àquela citada anteriormente a partir do Glossário das Normas. O Sumário Executivo declara: O ambiente de controle define o tom de uma organização, influenciando a consciência de controle de suas pessoas. É a base para todos os outros componentes de controle interno, promovendo disciplina e estrutura. Os fatores do ambiente de controle incluem a integridade, os valores éticos e a competência das pessoas envolvidas na entidade; a filosofia e estilo de operação da administração; a forma como a administração delega autoridade e responsabilidade e organiza e desenvolve seu pessoal; e a atenção e direcionamento oferecidos pelo conselho de administração. A obra Guidance on Control Number 1, do Conselho do Canadian Institute of Chartered Accountants Criteria of Control (CoCo), utiliza quatro critérios como base de entendimento e avaliação da eficácia da estrutura de controle interno de uma entidade: propósito, comprometimento, capacidade, e monitoramento e aprendizado. O critério de comprometimento inclui os valores éticos compartilhados, integridade, políticas e procedimentos de RH, autoridade, responsabilidade e prestação de contas, e uma atmosfera de confiança mútua essencialmente, a mesma definição que a da estrutura de 1992 do COSO e das definições das Normas do IIA. Similarmente, a obra de orientação original de Turnbull, Internal Control: Guidance for Directors on the Combined Code, publicada pelo Institute of Chartered Accountants of England and Wales em 1999, declara que o sistema de controle interno de uma empresa refletirá seu ambiente de controle, que engloba sua estrutura organizacional. O sistema incluirá: atividades de controle, processos de informação e comunicação e processos para monitoramento da eficácia contínua do sistema de controle interno. Embora possam existir diferenças na linguagem de controle no mundo, a intenção e os princípios são parecidos e consistentes. Um ambiente de controle eficaz funciona como uma pedra angular em uma ponte, sem a qual, não importa o que aconteça, nem o melhor material e artesanato conseguiriam sustentar a ponte. Auditar o ambiente de controle e avaliar sua eficácia é uma parte importante da responsabilidade de avaliação do auditor. Escopo e Abordagem da Auditoria do Ambiente de Controle Embora o ambiente de controle tenha um efeito difundido sobre o gerenciamento de riscos e os controles internos por toda a entidade, qualquer abordagem à auditoria do ambiente de controle deve incluir a avaliação dos riscos por conta de falhas em cada elemento individual do ambiente de controle e sua interação um com ou outro. Este Guia Prático usa os seis elementos descritos na definição do Glossário das Normas sobre o ambiente de controle: Integridade e valores éticos Filosofia de gestão e estilo de operação Estrutura organizacional Delegação de autoridade e responsabilidade Políticas e procedimentos de RH Competência do pessoal O nível dos riscos pode variar de acordo com a geografia, unidade, processo, etc. Por exemplo, o nível de riscos relativos à integridade e valores éticos pode ser maior em alguns locais do que em outros. Algumas unidades de negócio podem ter uma força de trabalho melhor estabelecida e experiente, levando a uma redução significante dos riscos associados à competência do pessoal em comparação com unidades de negócio nas quais a rotatividade do pessoal é alta. / 5

6 Há diversos exemplos de situações que poderiam influenciar a avaliação do risco de fracasso em um ou mais elementos do ambiente de controle: As estruturas de compensação e incentivo podem contribuir com comportamentos inapropriados ou a aceitação excessiva de riscos. Uma alta taxa de rotatividade de funcionários em funções chave pode levar a uma falta de experiência e uma execução menos confiável dos controles. Isso pode ser resultado de uma variedade de falhas no ambiente de controle, incluindo a supervisão ineficaz e outros problemas do processo de RH. A ausência de um código de conduta e ética definido e/ou uma política de denúncias anônimas, a falha em estabelecer um canal de denúncias de ética, a ausência de um processo para avaliar a eficácia do código de conduta e da política de ética, um alto número de fraudes relatadas ou a superposição da administração sobre os controles estabelecidos podem levar a atividades inapropriadas não detectadas e abordadas oportunamente. Funções chave podem ser ocupadas por pessoal que não possua o nível necessário de competência. O nível de risco é aumentado se houver uma percepção de que estas pessoas se mantêm no cargo por conta de sua relação com a alta administração, os promotores ou diretores executivos do conselho. O conselho pode não supervisionar eficazmente a condução das operações da organização e pode não entender e monitorar o amplo ambiente de controle organizacional. Os gerentes principais na organização podem estar inclinados a tomar decisões de negócios sem entender claramente os riscos relacionados às suas decisões; a administração pode não mostrar uma consciência de risco e controle em sua tomada de decisões. Os processos relativos à definição das descrições dos cargos para posições chave podem ser fracos, verificações de histórico e/ou referências podem não ser conduzidas consistentemente ou a organização pode ter dificuldade em contratar e reter indivíduos qualificados. Uma vez que o DEA tenha avaliado os riscos relativos a cada um dos seis elementos do ambiente de controle, ele poderá incluir uma ou mais auditorias dos mais altos riscos do ambiente de controle no plano de auditoria anual. O DEA pode determinar a frequência da auditoria do ambiente de controle com base em sua avaliação do risco de falhas de controle associadas a um ou mais elementos do ambiente de controle. O DEA pode decidir abordar os riscos em: Uma única auditoria da organização toda. Uma série de auditorias, cada uma abordando aspectos específicos do ambiente de controle (tais como o canal de denúncias de ética, as operações do conselho e do comitê, etc.). Auditorias do ambiente de controle dentro de divisões específicas de unidades operacionais. 2 Uma variação dos itens acima. Por exemplo, se unidades operacionais individuais tiverem suas próprias políticas de ética e comitês de conformidade autônomos, auditorias separadas do 2 Os riscos relativos ao ambiente de controle em um local ou dentro de uma unidade de negócio também podem ser inclusos como parte do escopo de trabalhos de auditoria individuais e mais amplos daquele local ou unidade de negócio. Por exemplo, uma auditoria de uma fábrica na China poderia incluir avaliações dos elementos do ambiente de controle (tais como código de conduta e consciência ética), assim como os controles sobre o inventário e aquisições. Uma auditoria de uma central de serviços compartilhada na Irlanda poderia incluir avaliações das práticas de RH, até controles de contabilidade e contas a pagar. / 6

7 ambiente de controle em cada unidade podem ser a melhor abordagem. Se cada divisão investigar violações de ética com base nas diretrizes organizacionais e denúncias recebidas por meio de um canal de denúncias centralizado, uma auditoria única de toda a organização, com foco nas investigações, pode ser mais relevante. Se a contratação e a filtragem de novos funcionários forem consideradas atividades importantes do ambiente de controle e este processo for centralizado, uma auditoria de toda a organização pode ser a melhor abordagem. Embora o escopo e abordagem iniciais possam ser alterados ao longo do tempo, conforme melhores avaliações e conhecimentos do ambiente de controle da organização vêm à tona, o DEA deve considerar: Quais são os elementos do ambiente de controle e seus atributos (política de ética, governança do conselho, conformidade, detecção de fraude, etc.) que são fundamentais para o ambiente de controle da entidade? Como esses elementos e atributos relacionados são geridos nas operações diárias? Há uma prestação de contas clara dentro da organização? Esses elementos e atributos podem ser geridos com eficácia e eficiência no escopo de uma grande auditoria ou auditorias separadas e concentradas seriam mais eficazes e eficientes? O equilíbrio das operações centralizadas versus as descentralizadas dentro da organização influencia a forma como o ambiente de controle opera e, portanto, a natureza do trabalho de auditoria? Qual combinação de auditorias do ambiente de controle permitirá ao DEA prestar uma avaliação do sistema de controle interno da organização à alta administração e ao conselho? A auditoria do ambiente de controle deve ser uma auditoria anual, uma auditoria recorrente que ocorre periodicamente a cada tantos anos ou auditorias separadas específicas a cada ano de diferentes princípios, levando a uma revisão de todos os princípios principais do ambiente de controle a cada tantos anos? Se o ambiente de controle não tiver sido examinado anteriormente, qual conhecimento existente guiaria a decisão quanto à abordagem da auditoria? Uma avaliação de riscos de alto nível de todos os princípios do ambiente de controle serviria de base para as decisões? Uma auditoria de primeiro ano pode ser diferente do que auditorias contínuas que tenham sido previstas no plano de auditoria? Algum aspecto da avaliação do ambiente de controle deve ser conduzido com a orientação de conselheiros legais; por exemplo, os aspectos pertinentes a investigações? Os recursos de auditoria adequados estão disponíveis? Há preferências explícitas por parte da alta administração ou do conselho (ex., um desejo declarado de completar uma avaliação até uma determinada data)? Conforme observado anteriormente, o plano de auditoria pode incluir uma auditoria única dos riscos do ambiente de controle. Também pode incluir múltiplas auditorias, cada uma abordando elementos diferentes do ambiente de controle, ou elementos do ambiente de controle em locais ou unidades de negócio diferentes. Quando o plano incluir auditorias múltiplas do ambiente de controle e o DEA estiver planejando prestar uma avaliação geral com base nos resultados dessas auditorias individuais, o DEA deve: Determinar, durante a fase de planejamento inicial, o processo que será usado para agregar os resultados das auditorias / 7

8 individuais em uma avaliação geral do ambiente de controle. Planejar as auditorias individuais de modo que diferenças em seu timing não impeçam a avaliação geral. Em caso de diferenças de tempo substanciais entre as auditorias individuais, pode ser necessário conduzir procedimentos para atualizar os resultados de auditorias anteriores, para apoiar a avaliação geral. Considerar a estruturação da equipe para as auditorias, de modo a garantir a continuidade da abordagem de auditoria e consistência no processo de avaliação. Programas bem definidos de auditoria também podem ajudar neste quesito. Auditorias do ambiente de controle frequentemente envolvem o debate sobre questões delicadas, incluindo as ações ou inações da alta administração ou do conselho. O auditor interno deve considerar as questões a seguir durante a fase de planejamento: Se habilidades específicas serão exigidas (ex., exigir o uso de especialistas internos ou externos). Estas habilidades podem ser oferecidas por meio de auditores convidados de outras partes da organização ou de um prestador de serviços co-source. Se conversas com a alta administração e o exame de documentos confidenciais exigem a estruturação da equipe com pessoas amadurecidas e experientes. Em algumas situações, o DEA pode decidir por tomar a frente da auditoria e/ou conduzir pessoalmente certos aspectos (ex., o exame da compensação dos executivos ou dos resultados das investigações que envolvem a alta administração). Garantir, por meio de discussões com bastante antecedência da auditoria, que as informações necessárias para conduzir a auditoria (especialmente quaisquer informações consideradas confidenciais) estarão disponíveis quando solicitadas. Além disso, o auditor deve garantir que todas as pessoas a quem se peça para auxiliar na auditoria entendam a necessidade de fornecer à equipe da auditoria as informações solicitadas oportunamente. Isso pode exigir o envolvimento do patrocinador. Consequências do Ambiente de Controle para Trabalhos de Auditoria Interna Individuais A gestão eficaz dos riscos envolve avaliar e monitorar não apenas os controles de processos de negócio, mas também os controles relativos ao ambiente de controle da entidade. Se a eficácia do ambiente de controle não for considerada em um trabalho de auditoria, há um risco de que a avaliação da adequação dos controles fique incompleta e, talvez, até enganosa ou incorreta. Na hora de definir o escopo de qualquer auditoria, o auditor interno deve considerar o nível de confiança dedicado à eficácia das atividades do ambiente de controle e o risco de deficiências no ambiente de controle. Em alguns casos, esses riscos e os controles relacionados serão incluídos dentro do escopo da auditoria. Em outros, a confiança será depositada em auditorias separadas do ambiente de controle ou de um ou mais de seus elementos. Por exemplo, ao desenvolver o escopo de trabalho para uma auditoria de contas a pagar (accounts payable AP), o auditor deve considerar riscos tais como: Equipe de AP e gerentes envolvidos no processo de AP (ex., como aprovadores de faturas) não estão familiarizados com as expectativas da organização quanto ao comportamento ético. Práticas de contratação não são eficazes na estruturação de equipe nos cargos fundamentais de AP com funcionários experientes. Procedimentos de auditoria em torno desses riscos poderiam ser incluídos no escopo da auditoria de AP. No entanto, se auditorias separadas que / 8

9 abordem especificamente esses riscos forem conduzidas - por exemplo, como parte de auditorias do código de conduta e das práticas de contratação -, o auditor pode querer usar como referência aquelas auditorias, e depender dos seus resultados, em vez de duplicar o trabalho. Quando o escopo de trabalho para uma auditoria não inclui a cobertura dos riscos do ambiente de controle, essa limitação deve ser claramente comunicada à administração e ao patrocinador executivo durante a fase de planejamento e no relatório final. Os resultados de auditorias separadas do ambiente de controle devem ser considerados na preparação do relatório de auditoria: Quando a auditoria do ambiente de controle já foi concluída, o auditor deve considerar esses resultados e incluí-los ao avaliar se os sistemas de controle interno incluindo aqueles do ambiente de controle são adequados. Quando a auditoria do ambiente de controle ainda não foi concluída, o auditor deve considerar aceitar esse fato e deixar claro que a avaliação dos controles internos é baseada na suposição de que as atividades do ambiente de controle são eficazes. O auditor deve considerar revisitar sua avaliação da adequação dos controles internos, caso a auditoria do ambiente de controle resulte na identificação de deficiências. Considerações Práticas na Auditoria do Ambiente de Controle Abaixo, discutimos algumas considerações práticas que devem ser levadas em conta durante o planejamento, a execução e o reporte das auditorias nesta área. Apoio ou Adesão da Alta Administração e do Conselho Uma auditoria do ambiente de controle envolve avaliar controles que, em muitos casos, direta ou indiretamente, são executados ou orientados pela alta administração ou pelo conselho. Na fase de planejamento de uma auditoria de todos ou de um elemento do ambiente de controle, avalie se a equipe de auditoria interna será desafiada em sua necessidade de acesso a indivíduos pertinentes e documentação necessária. Podem ser necessárias ações para mitigar e gerenciar tais desafios antes de dar início à auditoria. Essas ações podem incluir: Discutir a necessidade de acesso durante o desenvolvimento do plano de auditoria. Garantir que o estatuto de auditoria forneça acesso apropriado. Obter o apoio e patrocínio do conselho e/ou do diretor executivo da auditoria. Em alguns casos, o apoio do diretor financeiro (CFO) ou conselheiro geral pode ser suficiente. Comunicações por escrito por parte de um membro apropriado da gerência executiva, instruindo a organização a fornecer o acesso e as informações necessárias. Comparecimento do patrocinador executivo 3 na reunião de abertura da auditoria. Reunião com principais membros da gerência executiva que estejam em posição de conceder acesso logo no início da fase de planejamento da auditoria. O auditor interno deve garantir que os executivos entendam quais informações e acessos são necessários e por quê. Suas preocupações devem ser ouvidas, entendidas e abordadas sempre que possível. Levar a questão à gerência 3 Para os propósitos deste Guia Prático, patrocinador executivo é um membro da equipe executiva ou do conselho, que apoiará ativamente a conclusão da auditoria. / 9

10 executiva ou ao conselho pode ser necessário para resolver a recusa contínua do acesso. Posição da Auditoria Interna Dentro da Organização A estrutura de reporte para a auditoria interna também pode ser um problema. A Norma 1110: Independência Organizacional declara que o diretor executivo de auditoria deve reportar-se a um nível dentro da organização que permita à atividade de auditoria interna cumprir suas responsabilidades. Quando o DEA não reporta a um nível apropriado, sua habilidade de conduzir uma auditoria do ambiente de controle da organização ou de seus elementos pode ser prejudicada. Por exemplo, o DEA pode ser orientado a não avaliar certos elementos do ambiente de controle (ex., a competência do pessoal em cargos financeiros) ou ter apenas acesso limitado a informações confidenciais (tais como minutas de reuniões do conselho ou registros que contenham discussões sobre alegações contra a alta administração). Isso pode ser mitigado se o DEA for capaz de obter forte apoio do conselho ou da gerência executiva, com um mandato claro de que a equipe de auditoria tenha acesso irrestrito às informações necessárias para condução da auditoria. Se o DEA não for capaz de garantir que a equipe de auditoria tenha acesso irrestrito às informações necessárias para concluir uma auditoria eficaz do ambiente de controle, ou estiver impossibilitado em fato ou aparentemente de ser objetivo e independente o suficiente em sua avaliação do ambiente de controle, tais restrições de escopo e outras limitações devem ser reportadas prontamente ao conselho. O DEA deverá considerar se deve seguir em frente com a auditoria, com as restrições de escopo apropriadas comunicadas em relatório de acordo com as Normas. Tais restrições não liberam o DEA de suas obrigações de reportar ao conselho de governança quanto à importância e a necessidade de avaliar o ambiente de controle. Critérios de Avaliação do Ambiente de Controle O processo de planejamento de auditoria inclui considerar o produto final da auditoria, em especial quais critérios serão usados para a avaliação. Assim como em outros trabalhos, as opções incluem: Uma avaliação dos controles incluída no escopo, usando o sistema de classificação da organização, em conjunto com oportunidades de melhoria. A avaliação dos controles usando um modelo definido de maturidade do controle, além da classificação padrão e oportunidades de melhoria. Avaliação dos controles conforme orientada pelo conselheiro geral com um objetivo específico em mente. Benchmarking (comparação com referências entre companhias e/ou entre unidades/departamentos da mesma companhia). O DEA deve usar seu julgamento quando necessário, em consulta com o conselho ou o patrocinador executivo ou o conselheiro geral, para determinar quais critérios serão usados para mensurar a eficácia do ambiente de controle. O DEA deve garantir que o conselho, a alta administração e a gerência responsável pela área sob auditoria entendam claramente como os resultados serão comunicados se forem diferentes do processo padrão de reporte da auditoria interna. Seja avaliação sobre a eficácia do desenvolvimento e operação de controles específicos ou sobre a qualidade geral de quais controles usando um modelo particular de maturidade do controle, os critérios para a avaliação deverão ser definidos durante o processo de planejamento e claramente explicados ao cliente do trabalho, incluindo os membros apropriados da alta administração. O DEA deve considerar discutir os critérios aplicáveis com a administração e obter sua concordância, se possível. Pode-se obter valor significante para a organização / 10

11 por meio de tal discussão e adesão anterior ao início da auditoria. Consideração da Cultura Local e Valores A cultura local e valores devem ser considerados na determinação dos critérios para avaliar a condução do negócio e outros elementos do ambiente de controle. A condução do negócio e outros padrões e expectativas não são uniformes ao redor do mundo, em grande parte devido a diferenças em tradições legais, valores culturais e sociais e na estrutura dos mercados capitais. Por exemplo, embora haja tradições, em alguns mercados emergentes, de que o comércio seja permitido por meio de pagamentos aos indivíduos envolvidos e para que compras sejam feitas entre as partes relacionadas, esta prática é considerada ilegal pela lei U.S. Foreign Corrupt Practices Act (FCPA) e pela lei UK Bribery Act. As nações diferem em suas leis e regulamentos de governança (ex., quanto à exigência de membros independentes no conselho e outros órgãos governantes) ou em outros aspectos do ambiente de controle (ex., algumas restringem a habilidade dos empregadores de realizar verificações de histórico sobre seus funcionários; em alguns locais, são aceitas práticas relativas à contratação e ao tratamento de minorias que seriam ilegais em outros países). A maioria das organizações multinacionais desenvolveu e publicou um código de conduta organizacional que se aplica a todas as suas operações globalmente. Em tais casos, as auditorias do ambiente de controle já possuem um conjunto de normas no qual os auditores internos podem basear seu escopo de auditoria, programa, avaliação e reporte. No entanto, nem todas as organizações adotaram normas globais, ou as normas globais podem precisar de ajustes para a unidade sob auditoria, para alcançar a conformidade com as leis locais. Nesses casos, a equipe de auditoria interna deve, em consulta com a gerência apropriada, buscar uma concordância sobre quais critérios ou normas a equipe de auditoria deve seguir. Isso deve ser comunicado claramente à gerência operacional antes de iniciar a auditoria. Se as normas forem diferentes, de alguma forma, das normas publicadas organizacionalmente, os motivos para essas diferenças devem ser claramente explicados. O DEA deve considerar variações na cultura, valores e práticas, assim como na necessidade de habilidades idiomáticas 4 para a avaliação dos riscos relativos ao ambiente de controle e para a estruturação da equipe de cada auditoria. A equipe deve incluir indivíduos que sejam capazes de entender o contexto, assim como as práticas de cada região, e capazes de prestar uma avaliação objetiva, equilibrada e justa da adequação das práticas do ambiente de controle. Coordenação com Auditores Externos Embora seja claro que a avaliação da auditoria interna quanto ao ambiente de controle da entidade, ou de um ou mais de seus elementos, fornece uma avaliação muito necessária à alta administração e ao conselho de administração, o auditor interno deve estar ciente de que os auditores externos podem não ser capazes de confiar completamente em seu trabalho na avaliação do ambiente de controle com relação às auditorias das demonstrações financeiras e do sistema de controle interno sobre o reporte financeiro. Dependendo da avaliação do auditor externo, os auditores externos podem se sentir obrigados a validar certos controles por si mesmos para aumentar sua independência. A auditoria interna deve trabalhar com os auditores internos durante as sessões de planejamento anual para minimizar a duplicação e garantir que o conselho e as partes interessadas entendam: (a) que os auditores externos podem examinar apenas os aspectos do ambiente de controle relativos a um risco ou uma declaração errônea material de demonstrações financeiras, (b) os auditores externos podem precisar conduzir alguns níveis de avaliação 4 Falta de familiaridade com a cultura comercial e o idioma local podem ser barreiras no desenvolvimento de um entendimento eficaz das diferenças nas normas culturais e comportamentais em relação ao país anfitrião da auditoria. A experiência e o entendimento do idioma e da cultura local trazem a probabilidade de melhorar a habilidade de entender e avaliar a conformidade ou sua falta com políticas, normas e expectativas organizacionais. / 11

12 independente, (c) uma revisão por parte da auditoria interna normalmente abordará uma maior variedade de riscos (riscos operacionais e de conformidade, além dos riscos de reporte financeiro) e (d) há uma oportunidade para a auditoria interna contribuir com melhorias nos processos relacionados, por meio de seu melhor entendimento da organização como um todo. Como Auditar o Ambiente de Controle Esta seção trata de ferramentas e técnicas genéricas para auditar o ambiente de controle. O Anexo lista os procedimentos potenciais de auditoria que podem ser considerados no desenvolvimento de uma auditoria do ambiente de controle de uma entidade, ou de um ou mais de seus elementos. Os sete elementos e atributos são retirados do componente de ambiente de controle da obra Controle Interno Estrutura Integrada do COSO. 5 Os elementos e atributos incluem objetivos de controle quanto à eficácia financeira, de conformidade e operacional. O Anexo é apresentado apenas com propósitos ilustrativos e não tem como intenção ser completo ou abrangente. Uma auditoria de alguns elementos do ambiente de controle incluirá uma revisão dos controles informais, tais como os relacionados à ética, integridade, competências, comportamentos e percepções. Eles são considerados controles informais, porque pode ser difícil obter evidências diretas de sua operação eficaz por meio de testes tradicionais. Em vez disso, autoavaliações, pesquisas, workshops ou técnicas similares podem ser mais adequadas do que métodos tradicionais. Especificamente: Pesquisas com os funcionários são usadas frequentemente na avaliação do sucesso dos 5 Os sete elementos de controle incluem os seis das Normas e um elemento adicional A Importância do Conselho conforme definido pelo COSO. esforços da gestão em estabelecer um ambiente de controle eficaz. Essas pesquisas fornecem métricas úteis da eficácia de um ou mais elementos do ambiente de controle. Formulários anuais de conformidade ética dos funcionários são outro exemplo. O DEA deve usar sua rede de contatos dentro da empresa. A rede de contatos é fundamental para discernir se a comunicação, o tom no topo, a prática da teoria por parte da gestão e uma supervisão eficaz estão em prática no dia a dia. O conhecimento do auditor interno sobre o funcionamento interno da organização é útil para corroborar ainda mais a eficácia dos controles informais. O valor da auditoria by walking around não pode ser subestimado. Ao estarem presentes, visíveis e observando toda a organização, os auditores internos podem identificar as pistas intangíveis que podem levar a avaliações mais profundas. Associados que acreditam poder contribuir com a auditoria compartilhando suas preocupações com um nível apropriado de anonimato também são valiosos. Resultados de auditorias passadas de atividades de controle e a reação e ações corretivas da gestão também são bons indicadores. A participação dos auditores internos em comitês, forças-tarefa, grupos de trabalho e seu envolvimento na implementação e avaliações do programa de ética e conformidade fornecem insights valiosos ao longo de períodos extensos de tempo. Como os itens acima podem servir para a obtenção de evidências primariamente indiretas, o auditor deve sempre garantir que evidências suficientes sejam obtidas para apoiar as conclusões e avaliação da auditoria. Sempre que possível, o auditor não deve hesitar em empregar análise de dados para / 12

13 filtrar padrões e anomalias, para gerar evidências sólidas. Os controles relacionados aos elementos do ambiente de controle (ex., publicar um código de conduta atualizado e apropriado e obter referências e verificações de histórico dos novos funcionários) podem servir para técnicas tradicionais de auditoria. No planejamento da auditoria, o auditor deve entender a natureza diferente dos controles informais e demais, e selecionar as técnicas mais apropriadas. Avaliando as Deficiências do Ambiente de Controle As deficiências do ambiente de controle geralmente impactam áreas ou processos múltiplos e são essencialmente dominantes em sua natureza. As deficiências do ambiente de controle podem ser identificadas durante auditorias com foco (1) no ambiente de controle da organização, de um ou mais de seus elementos; (2) em um ou mais elementos do ambiente de controle de uma unidade de negócio, local ou equivalente; e (3) em um ou mais elementos do ambiente de controle como parte de outras auditorias internas. 1. Avaliando as deficiências descobertas durante uma auditoria que é focada no ambiente de controle de uma organização, ou em um ou mais de seus elementos específicos. O auditor interno pode escolher avaliar as deficiências dentro do contexto da auditoria do ambiente de controle. Em outras palavras, o relatório de auditoria pode limitar a discussão a questionar se os elementos individuais do ambiente de controle são eficazes. No entanto, limitar a avaliação dessa forma provavelmente resultará na impossibilidade de entender ou atuar sobre o efeito dominante da deficiência. A prática preferencial é que o auditor interno trabalhe com a gerência e entenda toda e qualquer consequência, sobre a gerência, dos riscos críticos e da eficácia dos controles interno relativos. Por exemplo, deficiências no processo de contratação podem levar à incapacidade de contratar pessoal suficiente e competente para o cargo de contabilidade. Como resultado direto, análises contábeis fundamentais, reconciliações bancárias e a resolução de recibos de caixa divergentes podem não ser totalmente oportunas. Ao avaliar as deficiências dos elementos do ambiente de controle, o auditor deve estar alerta aos indicadores de que outros controles afetados podem estar falhando também. Esses controles podem ser controles do processo de negócio, de processos de TI ou até outros controles do ambiente de controle. Por exemplo, a incapacidade de contratar uma equipe suficiente pode levar a atalhos nos processos. Esses indicadores podem apontar para um nível maior de risco para a organização por conta da deficiência do ambiente de controle. O auditor também deve considerar as consequências de deficiências múltiplas e relacionadas nos elementos do ambiente de controle. Algumas deficiências podem ter um efeito maior quando estão todas presentes do que a simples agregação de seus riscos individuais pode sugerir. Por exemplo, quando a ausência de um treinamento para novos funcionários quanto ao código de conduta ética de uma organização é combinada à incapacidade de obter referências e verificações do histórico dos novos funcionários, o risco de contratar pessoas potencialmente incompetentes e até indivíduos com histórico criminal é exacerbado. Até mesmo se o relatório de auditoria for limitado a divulgar as deficiências sem considerar seu efeito dominante, o DEA deve discutir as consequências e ações de gestão relativas com o conselho e o comitê de auditoria. As ações corretivas necessárias para abordar as deficiências do ambiente de controle podem ser estendidas além do elemento imediato do ambiente de controle; por exemplo, para incluir um / 13

14 monitoramento mais amplo dos controles afetados nos processos de negócio. 2. Avaliando as deficiências encontradas durante uma auditoria que é focada no ambiente de controle dentro de uma unidade de negócio, local ou equivalente. Além da análise discutida anteriormente, o auditor deve determinar se as questões do ambiente de controle identificadas em uma auditoria localizada são indicadores de mais questões dominantes em unidades de negócio, áreas ou processos dentro da organização. Por exemplo, se práticas de contratação em divisões estão deficientes, os procedimentos, processos e sistemas relacionados poderiam estar deficientes em outras divisões? Se há uma falta de consciência do código de conduta da organização, teria sido devido ao fato de que a versão atual do código não foi publicada no portal corporativo, portanto afetando todas as partes da organização? O código foi traduzido para os idiomas locais, para apoiar todas as partes da organização? O auditor interno e o DEA devem discutir as possíveis consequências das deficiências do ambiente de controle local sobre a organização como um todo e ajustar o plano de auditoria apropriadamente. Em alguns casos, trabalhos adicionais de auditoria podem ser necessários para avaliar se as deficiências foram difundidas, em vez de confinadas à unidade, país, etc., coberto pela auditoria. 3. Avaliando as deficiências descobertas durante uma auditoria focada no ambiente de controle ou em um ou mais de seus elementos como parte de outra auditoria (ex., uma auditoria de AP que inclui avaliar a competência da gestão e da equipe e sua consciência do código de conduta e expectativas éticas). Muitas das questões discutidas acima também se aplicam aqui. O auditor interno deve se reunir com o DEA e considerar se as questões do ambiente de controle que foram identificadas podem ter se estendido para outras partes da organização. O plano de auditoria deve ser ajustado apropriadamente. A avaliação do sistema geral de controles internos para os riscos de negócio cobertos pela auditoria deve considerar se as deficiências do ambiente de controle são compensadas ou mitigadas por outros controles que estejam em operação eficaz dentro ou fora da unidade de negócio/função/área sob auditoria. Comunicação dos Resultados Na comunicação dos resultados de uma auditoria de ambiente de controle, o auditor deve considerar: Se o formato padrão do relatório de auditoria, incluindo a escala padrão de avaliação, deve ser usado. Em alguns casos, a alta administração ou o conselho pode preferir uma apresentação, em vez de um relatório padrão de auditoria. Em muitas situações, limitar a distribuição do relatório. Isso pode ser feito em algumas organizações por meio da marcação clara do relatório como confidencial, limitando, portanto, sua distribuição. No entanto, o DEA deve entender claramente como e quando devem ser comunicadas aos auditores externos as descobertas sobre as deficiências do ambiente de controle relativas ao sistema de controle interno sobre o reporte financeiro. Salvaguardas adicionais, se a auditoria for conduzida sob a direção de um conselheiro geral, especialmente quando puder haver a necessidade de proteger a confidencialidade do relatório sob sigilo advocatício ou medidas similares de proteção. / 14

15 Se a auditoria não incluiu procedimentos relativos a um elemento do ambiente de controle que é relevante para a avaliação. Tal limitação de escopo deve ser claramente reportada no relatório final de auditoria, mesmo se a exclusão for baseada na avaliação de riscos, conforme discutido anteriormente. Se a revisão do ambiente de controle foi conduzida como parte de uma auditoria de negócio com base em riscos, em linha com o plano de auditoria, seja para incluir uma discussão de questões relativas ao ambiente de controle como parte da auditoria, ou como parte de um relatório separado sobre o ambiente de controle em geral. Variar os cronogramas para emissão do relatório com base: o Na importância das questões identificadas. o o No timing da certificação bimestral dos controles internos sobre o reporte financeiro e a conformidade. No escopo e objetivo da auditoria. o Na natureza e sensibilidade das questões identificadas. o No público-alvo do relatório de auditoria. Além disso, o DEA deve considerar os seguintes fatores específicos ao determinar como comunicar os resultados das auditorias de ambiente de controle. Informações Delicadas Em algumas situações, a comunicação de riscos dentro do ambiente de controle devido à natureza das deficiências de controle pode ser considerada delicada ou confidencial. Por exemplo, se houver um problema no nível da alta administração que poderia ter uma consequência adversa potencial para a percepção de sua integridade e representar um comprometimento potencial dos valores organizacionais, o DEA deve consultar os membros apropriados da alta administração, principalmente o conselheiro geral, e o conselho para determinar a estratégia e o processo de comunicação apropriados incluindo como as ações corretivas serão documentadas e monitoradas. Identificação de Questões Significantes Se uma auditoria de ambiente de controle identificar questões importantes, o DEA deve revisar os resultados de auditorias internas anteriores para determinar se avaliações anteriores devem ser revisadas. Os resultados dessa revisão devem ser comunicados à alta administração e ao conselho. Isso pode resultar em mudanças no plano de auditoria em andamento, por conta de uma possível mudança no perfil de risco da organização. Natureza e Tom das Recomendações As recomendações no relatório devem ser práticas com intenção positiva e devem abordar a causa-raiz do risco identificado no ambiente de controle. Acompanhamento das Recomendações Assim como em outras auditorias internas, as recomendações apresentadas nessas auditorias também devem ser acompanhadas. Dada a natureza delicada das descobertas, o acompanhamento pode ser realizado pela auditoria interna ou por outros na organização, como o comitê de auditoria e/ou o conselho de administração. / 15

16 ANEXO A seguir, temos um exemplo de procedimentos de auditoria que utilizam sete princípios básicos para uma auditoria ampla que avalie o ambiente de controle. Os princípios, assim como seus elementos e atributos, são adaptados a partir do componente de ambiente de controle da Controle Interno-Estrutura Integrada do COSO. 6 Os elementos e atributos incluem a eficácia dos objetivos de controle financeiro, de conformidade e operacional. 1. Integridade e Valores Éticos: Princípio Básico - A integridade sadia e os valores éticos, particularmente os da alta administração, são desenvolvidos e estabelecem o padrão de conduta para fazer negócios. Desenvolvido - a alta administração desenvolve uma declaração clara e articulada dos valores ou comportamentos éticos que são compreendidos pelos principais executivos e pelo conselho. A alta administração transmite a mensagem de que a integridade e os valores éticos não podem ser comprometidos, tanto em palavras quanto em ações. A alta administração desenvolveu um código de ética que enfatiza a expectativa da organização de que os funcionários irão agir com integridade em todas as ações relacionadas ao seu escopo de emprego. A alta administração desenvolveu um código de conduta de negócios que Conduzir, periodicamente, pesquisas anônimas "de pulso" de funcionários no que diz respeito à comunicação da atitude ética por parte da alta administração. Revisar a existência e o conteúdo do código de conduta da organização e garantir que exista um processo para a atualização periódica do código. Revisar a existência e o conteúdo do código de conduta de negócios da organização e garantir que exista um processo para a atualização periódica do 6 Adaptado de "Internal Control over Financial Reporting-Guidance for Smaller Public Companies Volume III, Ferramentas de Avaliação", COSO, 2006, páginas de Princípios do Ambiente de Controle, Atributos e sumário relacionado de Documentação de Controles e Gerência para Entidades. Os auditores devem considerar a obtenção e a revisão da literatura COSO encontrada em para uma orientação mais profunda e ferramentas de metodologia. 7 O teste de controle sugerido requer, em muitas instâncias, que o auditor interno obtenha certa documentação. Na prática, o auditor pode encontrar situações onde a documentação esteja perdida ou não exista. É importante que essa falta de comunicação seja listada, quando apropriado, como uma descoberta significante de auditoria feita pelo auditor. / 16

17 enfatiza o comprometimento da organização em negociar de forma justa e honesta com os seus clientes, fornecedores e outras partes externas. As expectativas e os incentivos de desempenho são desenvolvidos de modo a não criar tentações indevidas de violar leis, regras, regulamentos, políticas e procedimentos da organização. código. Revisar a mistura entre elementos fixos e variáveis nos planos de compensação de funcionários e o peso relativo de um desempenho financeiro de curto prazo nos planos de compensação. Comunicado - a alta administração comunica o seu comprometimento com os valores éticos através de palavras e ações. Novos funcionários recebem uma cópia do código de ética e do código de conduta de negócios e são treinados sobre como essas diretrizes se aplicam a situações factuais específicas comuns ao ambiente de negócios da organização. Funcionários existentes recebem cópias atualizadas do código de ética e do código de conduta de negócios da organização anualmente, no mínimo, e recebem uma reeducação periódica sobre a aplicação dessas diretrizes para o ambiente de negócios da organização. Clientes, fornecedores e outras partes externas recebem uma cópia do código de conduta de negócios da organização no Revisar a declaração assinada pelos funcionários de que leram e compreenderam os códigos de ética e de conduta de negócios e, para funcionários existentes, a certificação de que eles não violaram os códigos durante o ano passado e não estão cientes de nenhuma violação do tipo ou, se estão cientes de tais violações, eles 1) comunicaram essas violações, conforme orientados pelo setor de compliance ou ética durante seu treinamento e 2) se, com base em suas perspectivas, as violações não tiverem sido resolvidas, comunicaram as violações em potencial através do canal de denúncias de ética de sua companhia. Revisar cursos de treinamento da organização, incluindo o / 17