AUDITAR O AMBIENTE DE CONTROLO DAS ORGANIZAÇÕES - Uma introdução II FÓRUM DE AUDITORES INTERNOS DA SAÚDE Coimbra, ISCAC, 30 de Maio de 2012 Apresentação de Francisco Melo Albino, CIA, CCSA, CGAP Vice-Presidente da Direcção do IPAI II Forum AI Saúde - F. Melo Albino - 30.05.12 1
IPAI (I) IPAI - Instituto Português de Auditoria Interna Associação profissional, voluntária, fundada em 1992 860 associados individuais 42 associados colectivos 107 CIAs, 52 CCSAs, 2 CFSAs e 4 CGAPs. Capítulo (chapter) #253 do IIA e membro da ECIIA Principais actividades: promoção da AI formação edição portuguesa das normas profissionais conferência e forum anuais edição de revista Auditoria Interna distribuição em Portugal da revista Internal Auditor II Forum AI Saúde - F. Melo Albino - 30.05.12 2
IPAI (II) dinamização de núcleos especializados de auditoria interna cursos de preparação para os exames de certificação apoio à criação de gabinetes de auditoria interna interlocutor dos reguladores e autoridades públicas, no domínio da auditoria interna. www.ipai.pt ipai@ipai.pt II Forum AI Saúde - F. Melo Albino - 30.05.12 3
IIA (I) IIA The Institute of Internal Auditors Fundado em 1941, com sede em Orlando, Florida, EUA É a organização mundial da Auditoria Interna Segue o lema progress through sharing Tem 170 000 membros, em 165 países Edita as revistas Internal Auditor, Tone at the Top, Auditwire, IT Audit, IIA Insight Edita várias newsletters especializadas: GAP News, FSA Times, CSA Sentinel, Gaming Auditorium, CAE Bulletin Emite as Normas Internacionais para a Prática Profissional de Auditoria Interna - IPPF (traduzidas em 32 línguas) www.theiia.org II Forum AI Saúde - F. Melo Albino - 30.05.12 4
IIA (II) Participa, com outras organizações profissionais, na elaboração de normas e documentos de referência sobre domínios conexos com a Auditoria Interna (COSO, por exemplo). Mantém uma fundação de pesquisa científica sobre riscos, controlos e governação das organizações (IIARF) Tem programas de certificação profissional, sendo o principal o CIA (Certified Internal Auditor) Conta com 100000 CIAs, 4100 CFSAs, 3600 CCSAs e 1600 CGAPs. O seu site na internet é uma fonte de informação notável, indispensável para qualquer AI É um centro de apoio para os AIs em todo o mundo. II Forum AI Saúde - F. Melo Albino - 30.05.12 5
ECIIA (I) ECIIA - European Confederation of Institutes of Internal Auditing Sede em Bruxelas. Membros: 33 institutos nacionais de auditoria interna da região europeia (incluindo Norte de África e Médio Oriente), ente os quais o IPAI Principais actividades: Desenvolve estudos sobre a profissão de Auditoria Interna, ao nível Europeu Promove a profissão de AI perante as instâncias comunitárias Realiza uma conferência anual numa das capitais euroepias (a última em Berlim, a próxima em Roma; foi em Lisboa em 1993) II Forum AI Saúde - F. Melo Albino - 30.05.12 6
ECIIA (II) - Publica importantes documentos sobre a profissão de AI, sob uma perspectiva europeia: The Role of Internal Audit in Corporate Governance in Europe: Current Status, Necessary Improvements, Future Tasks Internal Auditing In Europe Corporate Governance and the Role of Internal Auditing Internal Control and Internal Auditing - Guidance for Directors, Managers and Auditors Banking Internal Auditing in Europe: Overview and Recommendations by the Banking Advisory Group www.eciia.org II Forum AI Saúde - F. Melo Albino - 30.05.12 7
Auditoria Interna A Auditoria Interna é uma actividade independente de garantia e de consultoria, concebida para acrescentar valor e melhorar as operações de uma organização. Assiste a organização na consecução dos seus objectivos, através de uma abordagem sistemática e disciplinada na avaliação e aperfeiçoamento da eficácia dos processos de gestão do risco, de controlo e de governação. (IIA, 1999 - tradução do IPAI) II Forum AI Saúde - F. Melo Albino - 30.05.12 8
Normas de Auditoria São predominantemente emitidas por associações profissionais (e não por organismos governamentais). Para a auditoria de organizações governamentais há normas emitidas por entidades públicas a par das emitidas por associações profissionais. São vinculativas para os profissionais respectivos, no exercício da profissão. II Forum AI Saúde - F. Melo Albino - 30.05.12 9
Normas de Auditoria Visam regulamentar: As condições exigidas para assegurar a independência dos profissionais A competência profissional A metodologia de planeamento de execução de documentação A elaboração e o conteúdo dos relatórios A tipologia das conclusões. II Forum AI Saúde - F. Melo Albino - 30.05.12 10
Normas de Auditoria Interna IPPF International Professional Practices Framework Mandatory Guidance Strongly Recommended Guidance Enquadramento Internacional de Práticas Profissionais de Auditoria Interna Orientações Obrigatórias Orientações Fortemente Recomendadas (tradução do IPAI) II Forum AI Saúde - F. Melo Albino - 30.05.12 11
Orientações do IIA IPPF - - International Professional Practices Framework (IIA) II Forum AI Saúde - F. Melo Albino - 30.05.12 12
Orientações do IIA Orientações obrigatórias 1. Definição de auditoria interna 2. Código de ética 3. Normas para a prática profissional de auditoria interna (Standards) a. Normas de atributos b. Normas de desempenho c. Normas de implementação a. A-assurance; b. C-consulting d. Glossário II Forum AI Saúde - F. Melo Albino - 30.05.12 13
Orientações do IIA Orientações fortemente recomendadas Tomadas de posição (Position papers) - textos sobre governação, risco e controlo e o papel da AI nas organizações. Recomendações de práticas (Practice advisories) - textos com detalhes de aplicação das normas a diferentes situações e organizações. Guias de práticas (Practice guides) orientações detalhadas para os AI, como ferramentas, técnicas, programas, exemplos. II Forum AI Saúde - F. Melo Albino - 30.05.12 14
Normas do IIA Normas Internacionais para a Prática Profissional de Auditoria Interna Normas de Atributos 1000 Objectivo, Autoridade e Responsabilidade 1100 Independência e Objectividade 1200 Proficiência e Adequado Cuidado Profissional 1300 Programa de Garantia da Qualidade e de Aperfeiçoamento II Forum AI Saúde - F. Melo Albino - 30.05.12 15
Normas do IIA Normas de Desempenho 2000 Gestão da Actividade de Auditoria Interna 2100 Natureza do Trabalho 2200 Planeamento do Trabalho 2300 Realização do Trabalho 2400 Comunicação dos Resultados 2500 Monitorização do Progresso 2600 Resolução da Aceitação dos Riscos pela Gestão Superior II Forum AI Saúde - F. Melo Albino - 30.05.12 16
Normas de desempenho (IIA) 2100 Natureza do Trabalho 2110 Governação ( Governance ) 2120 Gestão do Risco 2130 -- Controlo II Forum AI Saúde - F. Melo Albino - 30.05.12 17
Controlo e auditoria interna Controlo e auditoria (I) A actividade de auditoria interna tem que assistir a organização na manutenção de controlos efectivos, através da avaliação da sua eficácia e eficiência e promovendo uma melhoria contínua. (IIA, N 2130) II Forum AI Saúde - F. Melo Albino - 30.05.12 18
Controlo e auditoria interna Controlo e auditoria (II) A actividade de auditoria interna tem que avaliar a adequação e eficácia dos controlos em resposta aos riscos relativos ao governo da organização, operações e sistemas de informação da organização, quanto a: - Fiabilidade e integridade da informação financeira e operacional; - Eficácia e eficiência das operações; - Salvaguarda dos activos; - Conformidade com as leis, regulamentos e contratos. (IIA, N 2130.A1) II Forum AI Saúde - F. Melo Albino - 30.05.12 19
Sistema de controlo interno O controlo interno é um processo levado a cabo pelo conselho de administração, gestores e outro pessoal de uma organização, concebido para fornecer segurança razoável relativamente à consecução dos seguintes grupos de objectivos: - Eficácia e eficiência das operações. - Fiabilidade do reporte financeiro. - Conformidade com as leis e regulamentos aplicáveis. (Adaptado de Internal Control - Integrated Framework COSO, 1992) II Forum AI Saúde - F. Melo Albino - 30.05.12 20
COSO COSO - Committee of Sponsoring Organizations of the Treadway Commission Constituído por: AAA, AICPA, FEI, IMA, IIA e PWC Principais trabalhos elaborados: Report of the National Commission on Fraudulent Financial Reporting (1985) Internal Control Integrated Framework (1992) ERM Enterprise Risk Management Integrated Framework (2004) Internal Control over Financial Reporting Guidance for Smaller Public Companies (2005) Guidance on Monitoring Internal Control (2009) Improved Board Risk Oversight (2009) www.coso.org II Forum AI Saúde - F. Melo Albino - 30.05.12 21
COSO Componentes do controlo interno 1. Ambiente de controlo 2. Avaliação do risco 3. Actividades de controlo 4. Monitorização 5. Informação e comunicação II Forum AI Saúde - F. Melo Albino - 30.05.12 22
Componentes do controlo interno 1. Ambiente de controlo (integridade, ética, competência, autoridade, responsabilidade, filosofia de gestão, cultura organizacional, estrutura, politicas e práticas de RH) 2. Avaliação do risco (compatibilidade dos objectivos, identificação dos riscos de não atingir os objectivos, avaliação dos riscos mais críticos, definição de acções para mitigar os riscos, riscos sobre as demonstrações financeiras (riscos de existência, riscos de completude, riscos sobre direitos e obrigações)) II Forum AI Saúde - F. Melo Albino - 30.05.12 23
Componentes do controlo interno 3. Actividades de controlo (aprovações, autorizações, verificações, reconciliações, circularizações, revisões da performance operacional, revisões da salvaguarda dos activos, revisões da segregação de funções) 4. Monitorização (supervisão regular, avaliações separadas) 5. Informação e comunicação (identificação, recolha e comunicação da informação, forma e tempestividade da comunicação, relatórios dos sistemas de informação, informação gerada interna e externamente, mensagens da gestão de topo sobre a importância do controlo). II Forum AI Saúde - F. Melo Albino - 30.05.12 24
Ambiente de controlo O que é o Ambiente de Controlo: A atitude e acções do Conselho e da gestão a respeito da relevância do controlo no seio da organização. O ambiente de controlo proporciona a disciplina e a estrutura necessárias para o alcance dos objectivos primordiais do sistema de controlo interno. O ambiente de controlo inclui os seguintes 6 elementos: 1. Integridade e valores éticos. 2. Filosofia e estilo de liderança. 3. Estrutura orgânica. 4. Delegação de autoridade e responsabilidade. 5. Políticas e práticas de recursos humanos. 6. Competência do pessoal. (IPPF Glossário) II Forum AI Saúde - F. Melo Albino - 30.05.12 25
Ambiente de controlo O ambiente de controlo é a fundação sobre a qual um eficaz sistema de controlo interno é construído e opera numa organização. (IIA) O ambiente de controlo fixa o tom geral da organização, influenciando a consciência de controlo das suas pessoas. É a fundação para todas as outras componentes do controlo interno, fornecendo a respectiva disciplina e a estrutura. (COSO) II Forum AI Saúde - F. Melo Albino - 30.05.12 26
Considerações preliminares Para uma auditoria ao ambiente de controlo (AC) é fundamental conseguir identificar e avaliar os riscos de falha em cada um dos 6 elementos (o COSO considera 7 elementos) do ambiente de controlo. A abordagem a estas auditorias ao AC tem várias alternativas. O CAE deverá decidir qual a abordagem preferível para a sua organização, e incluí-la no plano anual de auditorias a realizar: uma única auditoria ao AC geral da organização; uma série de auditorias focando cada uma em alguns dos elementos do AC; auditorias a controlos sobre riscos específicos, avaliando controlos sobre o AC mas também dentro dos processos de negócio/actividade da organização. II Forum AI Saúde - F. Melo Albino - 30.05.12 27
Considerações preliminares A auditoria ao AC de uma organização envolve a discussão de temas e assuntos de grande sensibilidade, pelo que é exigido ao CAE um planeamento cuidadoso deste tipo de auditorias (acções preparatórias, reunião de abertura do trabalho, maturidade das equipas a envolver, metodologias não usuais). II Forum AI Saúde - F. Melo Albino - 30.05.12 28
Considerações práticas Considerações práticas para a realização deste tipo de auditorias: Tem que haver o apoio (de princípio, ou obtido mediante discussão do assunto com a gestão), quer com a gestão de topo, quer do Conselho quer do comité de auditoria; A estrutura de reporte definida para a AI deve ser suficientemente independente para assegurar que não há limitações de âmbito da equipa de auditoria; O CAE deve identificar e comunicar com clareza os critérios a utilizar na auditoria, para conforto quer dos auditados, quer da equipa de auditoria; Em grandes organizações multinacionais, devem ser consideradas as diferenças na cultura de gestão, na linguagem, na legislação em diferentes ambientes regionais ou nacionais. II Forum AI Saúde - F. Melo Albino - 30.05.12 29
Considerações práticas Nas auditorias ao AC temos que auditar os chamados soft controls. Assim, nem sempre é adequado utilizar os tipos tradicionais de testes usuais noutros trabalhos. O auditor tem que pensar fora do quadrado e para obter evidência suficiente e competente pode ter que utilizar outros métodos tais como auto-avaliações, workshops, surveys, entrevistas, A comunicação dos resultados destas auditorias exige um particular cuidado. A estrutura normal de reporte definida no internal audit charter pode não ser apropriada para estes casos, dados os aspectos de confidencialidade, tempestividade, o envolvimento da gestão de topo e da função RH. II Forum AI Saúde - F. Melo Albino - 30.05.12 30
Riscos de falha no AC Situações com impacto sobre os riscos de falha no AC Esquemas de compensação e incentivos podem contribuir para comportamentos não apropriados ou excessos de tomada de riscos. Alta taxa de rotação do pessoal em funções-chave pode conduzir a faltas de experiência e menor fiabilidade na execução dos controlos. Ausência de um código de conduta ou de um processo de avaliação da eficácia desse código, ausência de uma política e mecanismos de reporte obrigatório de irregularidades (mismanagement, waste, abuse and fraud), um elevado número de irregularidades e fraudes reportadas, a ultrapassagem por parte da gestão de controlos estabelecidos, podem conduzir a acções inapropriadas que não sejam detectadas e tratadas tempestivamente. II Forum AI Saúde - F. Melo Albino - 30.05.12 31
Riscos de falha no AC Funções-chave podem ser realizadas por pessoas sem o necessário nível de competência; o risco aumenta se houver a percepção de que a posição que ocupam deriva da sua especial relação com membros do Conselho ou da gestão de topo. O Conselho pode não realizar uma supervisão efectiva sobre as operações da organização e pode não compreender ou não monitorizar o AC geral da organização. Gestores-chave da organização podem tomar decisões sem uma compreensão clara dos riscos relacionados com as suas decisões; a gestão pode não demonstrar uma consciência dos riscos e dos controlos nos seus processos de decisão. O processo de definição das funções e postos de trabalho para posições-chave pode ser fraco, as verificações sobre as referências de experiência e historial de desempenho podem não ser consistentemente realizadas ou a organização tem dificuldade em recrutar e reter pessoal qualificado. II Forum AI Saúde - F. Melo Albino - 30.05.12 32
Uma gestão eficaz dos riscos inclui avaliar e monitorizar não apenas os riscos e controlos associados ao processo de negócio mas também os controlos relacionados com o ambiente de controlo da organização. Assim a avaliação da eficácia dos controlos sobre o ambiente de controlo tem que ser considerada nos compromissos de auditoria; senão, há o risco de que a avaliação dos controlos seja incompleta ou incorrecta, podendo conduzir a conclusões erradas. Por exemplo: ao realizar uma auditoria às contas a pagar, o auditor deve considerar riscos como: O pessoal encarregado da função e o responsável pela aprovação das facturas para pagamento está alinhado com a cultura e ética da organização? As práticas de recrutamento para a função de responsável das contas a pagar é eficaz e dá garantia quanto à experiência e referências exigidas para essa função? II Forum AI Saúde - F. Melo Albino - 30.05.12 33
Obter o apoio da gestão de topo Auditar o ambiente de controlo envolve frequentemente avaliar controlos que directa ou indirectamente são realizados pela gestão de topo ou sob a sua orientação. A equipa de auditoria corre o risco de, no decorrer do trabalho, ser questionada sobre a necessidade de ter acesso a alguns indivíduos e alguma informação que considera importante para o trabalho. As dificuldades e a particular sensibilidade destas auditorias implicam a necessidade de o CAE desenvolver um processo para a obtenção do apoio por parte da gestão de topo. II Forum AI Saúde - F. Melo Albino - 30.05.12 34
Obter o apoio da gestão de topo Acções para mitigar esses riscos: Discutir a necessidade do acesso aos indivíduos e à informação na fase de planeamento; Assegurar que a carta de auditoria prevê o acesso aos indivíduos e à informação necessários; Obter o apoio expresso do Conselho ou do CEO para o trabalho; nalguns casos o apoio do CFO pode ser suficiente; Muito útil será uma comunicação escrita por parte do gestor executivo instruindo a organização para a necessidade do acesso e da informação necessária; Presença de um executivo (o executive sponsor ) na reunião de início do trabalho. Reuniões com os executivos responsáveis pelas áreas em que será necessário o acesso, clarificando a informação necessária; Pode ter que recorrer ao apoio directo do CEO ou mesmo do Conselho, em situações de reiterada negação de acesso. II Forum AI Saúde - F. Melo Albino - 30.05.12 35
Critérios para avaliar o AC Critérios para avaliar o ambiente de controlo Utilização do sistema de rating em uso na organização, para avaliação dos controlos; Recurso a um modelo de maturidade, com diferentes níveis; Recurso a objectivos especificamente fixados; Recurso a benchmarking entre organizações do mesmo sector ou unidades da mesma organização O CAE deve discutir com o Conselho e/ou gestão de topo e, se possível, obter o seu acordo sobre os critérios a usar para medir a eficácia do ambiente de controlo. II Forum AI Saúde - F. Melo Albino - 30.05.12 36
Os soft controls A auditoria de certos elementos do ambiente de controlo incluirá uma revisão dos soft controls, tais como os que se relacionam com a ética, integridade, competências, comportamentos e percepções. São considerados soft controls porque pode ser difícil obter evidência directa da sua efectiva operação através de testes tradicionais de auditoria. Em alternativa aos métodos usuais de obtenção de evidência em auditoria, utilizam-se workshops, questionários de auto-avaliação, surveys e técnicas similares. II Forum AI Saúde - F. Melo Albino - 30.05.12 37
O processo de reporte O processo de reporte neste tipo de auditorias As normas de reporte constantes do manual de auditoria podem não ser aplicáveis a algumas destas auditorias Em muitas situações há que limitar a distribuição do relatório Em outras há ainda que manter a sua confidencialidade A tempestividade da emissão do relatório depende de: Significância dos findings identificados Momento da atestação trimestral sobre o controlo interno relativo ao reporte financeiro Sensibilidade dos assuntos identificados e tratados. Por razões de elevada sensibilidade dos findings, pode o follow-up ter que ser assegurado pelo comité de auditoria ou mesmo pelo Conselho. II Forum AI Saúde - F. Melo Albino - 30.05.12 38
Elementos e atributos a testar nas auditorias ao AC 1. Integridade e valores éticos 2. Importância do Conselho 3. Filosofia de gestão e estilo operacional 4. Estrutura organizacional 5. Compromisso com a competência 6. Autoridade e responsabilidade 7. Recursos humanos II Forum AI Saúde - F. Melo Albino - 30.05.12 39
Integridade e valores éticos 1. Integridade e valores éticos, particularmente da gestão de topo, estão desenvolvidos e constituem o standard na condução dos negócios / actividades. A gestão de topo desenvolveu uma declaração clara e articulada sobre os valores e comportamentos que é compreendida pelos gestores e pelo Conselho. A gestão de topo comunicou o seu compromisso com os valores éticos através de palavras e acções. A importância da integridade e valores éticos é comunicada e reforçada a todo o pessoal, de forma adequada para a organização. Estão definidos processos para monitorizar a conformidade da organização com os princípios de integridade e valores éticos. Os desvios à integridade e valores éticos são prontamente identificados e tratados e corrigidos aos níveis adequados da organização. II Forum AI Saúde - F. Melo Albino - 30.05.12 40
Importância do Conselho 2. O Conselho compreende e exerce a sua responsabilidade de supervisão relativamente ao reporte financeiro, às leis e regulamentos aplicáveis, à eficácia e eficiência das operações e ao controlo interno. O Conselho avalia e monitoriza activamente O risco de fraude da gestão, pela ultrapassagem de controlos estabelecidos e os riscos que afectam o cumprimento dos objectivos do controlo interno O Conselho fornece supervisão sobre a eficácia do sistema de controlo interno. O Conselho supervisiona o trabalho de todas as funções de auditoria, incluindo a auditoria interna e a externa, e interage com os auditores dos reguladores, se necessário. O Conselho tem a autoridade exclusiva para recrutar, despedir e determinar a compensação da firma de auditoria externa e do CAE. II Forum AI Saúde - F. Melo Albino - 30.05.12 41
Importância do Conselho O Conselho dispõe de um número significativo de membros que são independentes da gestão. O Conselho dispõe de um ou mais membros competentes em matérias financeiras. O Conselho reúne regularmente, várias vezes em sessão executiva, e dedica o tempo e recursos suficientes para cumprir adequadamente as suas funções. II Forum AI Saúde - F. Melo Albino - 30.05.12 42
Filosofia de gestão e estilo operacional 3. A filosofia de gestão e o estilo operacional suportam a existência de um efectivo controlo interno A filosofia de gestão e estilo operacional enfatizam um reporte interno e externo de alta qualidade e transparente, e a importância de um efectivo controlo interno e gestão do risco. A gestão estabelece e articula com clareza os objectivos do controlo interno. A gestão segue um processo disciplinado e objectivo de desenvolver os objectivos do controlo interno. II Forum AI Saúde - F. Melo Albino - 30.05.12 43
Estrutura organizacional 4. A estrutura organizacional suporta um efectivo controlo interno. A gestão estabelece as responsabilidades de reporte interno para cada área funcional e unidade de negócios da organização. A gestão mantem uma estrutura organizacional que facilita o reporte efectivo e outras comunicações sobre o controlo interno entre várias funções e posições de gestão. As linhas de reporte da gestão reconhecem a importância de manter processos para verificação objectiva da informação gerada pelos sistemas de informação da organização. II Forum AI Saúde - F. Melo Albino - 30.05.12 44
Compromisso com a competência 5. A organização retém indivíduos competentes em reporte financeiro, controlo interno, gestão de risco e respectiva supervisão. As competências que suportam um efectivo reporte financeiro, controlo interno e gestão de risco são identificadas. A organização emprega ou recorre a indivíduos que possuem as necessárias competências em reporte financeiro, controlo interno, conformidade e gestão de risco. As competências necessárias são regularmente avaliadas e mantidas. II Forum AI Saúde - F. Melo Albino - 30.05.12 45
Autoridade e responsabilidade 6. São atribuídos os necessário níveis de autoridade e responsabilidade à gestão e aos empregados para facilitar um efectivo controlo interno. O Conselho supervisiona os processos de gestão para a definição de responsabilidades pelo controlo interno e gestão de risco. A atribuição de responsabilidade e delegação de autoridade estão claramente definidas para todos os empregados envolvidos nos processo de controlo interno, gestão do risco, conformidade e reporte financeiro. A atribuição de autoridade e responsabilidade inclui a definição de limites apropriados. II Forum AI Saúde - F. Melo Albino - 30.05.12 46
Recursos humanos 7. Políticas e práticas de RH estão definidas e implementadas para facilitar um efectivo controlo interno. A gestão estabelece politicas e procedimentos de RH que demonstram o seu compromisso com a integridade, comportamento ético e competência. O recrutamento e a retenção de pessoal para posições-chave são orientados por princípios de integridade e pelas competências associadas às respectivas posições. A gestão apoia os empregados fornecendo-lhes acesso às ferramentas e à formação necessária para realizarem as suas funções. As avaliações da performance dos empregados e as práticas de compensação da organização, incluindo as relativas à gestão de topo, suportam a consecução dos objectivos do controlo interno. II Forum AI Saúde - F. Melo Albino - 30.05.12 47
Exemplo de teste de auditoria para um atributo do AC Para cada um dos elementos e atributos, a organização deve ter definido os controlos adequados para obter segurança razoável de que os princípios, elementos e atributos do ambiente de controlo serão atingidos. O auditor testará esses controlos. Exemplo: As avaliações da performance dos empregados e as práticas de compensação da organização, incluindo as relativas à gestão de topo, suportam a consecução dos objectivos do controlo interno. Um controlo: está definido por escrito um processo fixando os objectivos, as formas de avaliação e os montantes de compensação para diversos níveis de desempenho; Um teste: Obter e rever o documento que fixa essas regras; verificar a sua consistência; verificar que as regras mais importantes estão definidas; testar a sua aplicação em X casos. II Forum AI Saúde - F. Melo Albino - 30.05.12 48
Documentação relevante IPPF International Professional Practices Framework (IIA, 2011). Practice Guide Auditing the Control Environment (IIA, Abril 2011). Best Practices in Evaluating the Corporate Culture - James Roth (IIARF, 2010). Internal Control An Integrated Framework (COSO, 1992). Contactos: www.ipai.pt ipai@ipai.pt f.melo.albino@gmail.com II Forum AI Saúde - F. Melo Albino - 30.05.12 49