Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria e Controle para Estatais O Papel da auditoria interna em uma organização2 M ód ul o 2Enap Fundação Escola Nacional de Administração Pública Enap, 2020 Enap Escola Nacional de Administração Pública Diretoria de Educação Continuada SAIS - Área 2-A - 70610-900 — Brasília, DF Fundação Escola Nacional de Administração Pública Presidente Diogo Godinho Ramos Costa Diretor de Educação Continuada Paulo Marques Coordenador-Geral de Educação a Distância Carlos Eduardo dos Santos Conteudistas Fabio Silva Vasconcelos (Conteudista, 2018) / Giane Gomes Nascimento Nakano (Conteudista, 2018) Gustavo de Queiroz Chaves (Conteudista, 2018) Tiago Chaves Oliveira (Conteudista, 2018) Coordenadora Enap Priscilla Campos Pereira (Coordenadora Enap, 2019) Desenvolvimento do curso realizado no âmbito do acordo de Cooperação Técnica FUB / CDT / Laboratório Latitude e Enap. Curso produzido em Brasília 2020. 3Enap Fundação Escola Nacional de Administração Pública 1. O Modelo das Três Linhas de Defesa ............................................. 5 1.1 Estudo de caso ................................................................................. 9 2. Estruturas metodológicas que suportam a atuação da auditoria interna ........................................................................................... 16 2.1 COSO I (ou COSO ICIF) ................................................................... 16 2.2 COSO II (ou COSO ERM) ................................................................. 18 2.3 ISO 31000 ...................................................................................... 20 2.4 COBIT 5 .......................................................................................... 22 3. Serviços prestados pela auditoria interna ................................... 24 3.1 Avaliação ....................................................................................... 24 3.2 Consultoria .................................................................................... 27 3.3 Apuração ....................................................................................... 29 4. Diferença entre auditoria interna e independente ...................... 30 4.1 Princípios e estrutura de normas da atuação dos auditores ......... 31 4.2 Resultados dos trabalhos de avaliação e consultoria .................... 33 4.3 Marcos da auditoria no Brasil ........................................................ 35 4.4 Estudo de caso ............................................................................... 36 5. Referências bibliográficas ........................................................... 38 Sumário 4Enap Fundação Escola Nacional de Administração Pública 5Enap Fundação Escola Nacional de Administração Pública 1. O Modelo das Três Linhas de Defesas Antes de aprendermos sobre o papel que a auditoria interna deve exercer em uma organização, precisamos entender qual a função dos diversos atores que contribuem para o cumprimento da missão institucional de uma entidade. Para garantir a realização de seus objetivos, é necessário implementar controles internos capazes de impedir ou minimizar a ocorrência de riscos que ameaçam tais objetivos. Então, como áreas finalísticas e de conformidade, a auditoria interna e a alta administração devem atuar conjuntamente para alcançar os objetivos de uma organização? As atividades relacionadas ao gerenciamento de riscos e à implantação e funcionamento de controles nos processos estão cada vez mais difundidas dentro das organizações, dada a complexidade do ambiente de negócios. Isso requer uma coordenação desses esforços, para que não haja sobreposição na atuação de diferentes áreas, tampouco restem lacunas sem gerenciamento de riscos e funcionamento de controles eficazes. Diante desse desafio, surgiu, na comunidade europeia, por meio da Federação das Associações Europeias de Gestão de Riscos (Ferma) e da Confederação Europeia do Instituto de Auditoria Interna (ECIIA), o Modelo das Três Linhas de Defesa. Esse modelo passou a ser reconhecido mundialmente por parte das organizações e das entidades que representam as funções de gerenciamento de riscos e de controles. Em 2013, foi objeto da “Declaração de Posicionamento do IIA” (The Institute of Internal Auditors), sendo um marco em sua divulgação. Para acessá-la na íntegra, clique no link: http://www.planejamento.gov.br/assuntos/ empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de- gestao-de-riscos-controles-internos-e-auditoria-interna.pdf A Instrução Normativa Conjunta MP/CGU nº 01/2016, que “dispõe sobre controles internos, gestão de riscos e governança no âmbito do Poder Executivo federal”, utilizou esse modelo como referência. De forma semelhante, o “Referencial Técnico da Atividade de Auditoria Interna Governamental”, elaborado pela CGU e aprovado pela Instrução Normativa nº 03, de 09 de junho de 20171, também considera tal modelo, conforme item 7: A estrutura de controles internos dos órgãos e entidades da Administração Pública Federal deve contemplar as três linhas de defesa da gestão ou camadas, a qual deve comunicar, de maneira clara, as responsabilidades de todos os envolvidos, provendo uma atuação coordenada e eficiente, sem sobreposições ou lacunas. 1 https://repositorio.cgu.gov.br/handle/1/33409 M ód ul o O Papel da auditoria interna em uma organização2 http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf http://www.planejamento.gov.br/assuntos/empresas-estatais/palestras-e-apresentacoes/2-complemento-papeis-das-areas-de-gestao-de-riscos-controles-internos-e-auditoria-interna.pdf 6Enap Fundação Escola Nacional de Administração Pública O Modelo das Três Linhas de Defesa propõe uma abordagem coesa e coordenada, estabelecendo os papeis a serem exercidos pela gerência, pela supervisão, pela auditoria e, inclusive, pela alta administração. Isso demonstra que todos têm participação no gerenciamento de riscos de uma entidade. A figura a seguir ilustra como deve ser estruturada uma organização para que o gerenciamento de riscos e o funcionamento dos controles sejam bem-sucedidos. Modelo das 3 Linhas de Defesa Figura 1: Declaração de Posicionamento do IIA: as três linhas de defesa do gerenciamento eficaz de riscos e controles, 2013 Primeira linha de defesa As estruturas que compõem a primeira linha de defesa identificam, avaliam e dão tratamento aos riscos, garantindo que as atividades estejam de acordo com os objetivos e metas estabelecidos. Consequentemente, os controles internos primários associados aos processos e atividades conduzidas pelas gerências devem ser exercidos pelas estruturas que compõem esse nível da gestão. O controle da gerência é a primeira linha de defesa no gerenciamento de riscos, incluindo não apenas aqueles que ocupam o cargo de gerente, como o conjunto de funcionários que atuam no nível operacional. Isso significa que a responsabilidade primária deve ser desse nível da gestão, pois é o proprietário dos processos e, consequentemente, dos riscos associados a eles. 7Enap Fundação Escola Nacional de Administração Pública Nesse nível estão incluídas as áreas responsáveis pelos processos operacionais e de negócios da organização, tais como áreas de produção e comerciais. Os gerentes que atuam na primeira linha são os detentores dos riscos porque conhecem a fundo suas áreas de negócio, conseguindo identificar e tratar tais riscos de forma mais eficiente, sendo apoiados pelas outras linhas de defesa e pela alta administração. A supervisão do gerenciamento de riscos exercido na primeira linha, bem como o funcionamento dos controles internos, contarão com a atuação da segundalinha de defesa, constituída por áreas corporativas ligadas à gestão de riscos, à qualidade e à conformidade. Segunda linha de defesa A segunda linha de defesa é composta por diversas funções de controle de riscos e supervisão de conformidades. Ela garante um arcabouço importante para que a primeira linha exerça seu papel ao mesmo tempo que a supervisiona, identificando possíveis falhas. Aqui estão incluídas funções típicas de gestão, que possuem interferência sobre o papel exercido pela primeira linha de defesa no tocante a riscos e controles. São exemplos: • Gerenciamento de riscos: exercida por uma área específica ou comitê que promova a facilitação na implementação do gerenciamento de riscos por parte da gerência da primeira linha de defesa, auxiliando em questões como: identificação de riscos, definição do apetite a risco e padronização do reporte de informações sobre o resultado do gerenciamento de riscos para outros atores da organização. Cabe aqui, ainda, a atividade de monitoramento da função desempenhada pela primeira linha de defesa. O grande desafio é evidenciar que a gestão de riscos não pertence exclusivamente a uma área de gerenciamento de riscos, mas, antes de tudo, aos proprietários dos processos que estão na primeira linha de defesa. • Conformidade: quando riscos específicos, tais como a não conformidade com leis e marcos regulatórios, são monitorados. Normalmente existem diversas áreas ou atividades que supervisionam a conformidade, podendo existir áreas específicas por tipos de monitoramento, como saúde e segurança, cadeia de fornecimento, ambiental e monitoramento da qualidade, a depender do setor da entidade. • Controladoria: também pode estar presente em alguns tipos de organização, monitorando os riscos financeiros e questões de reportes financeiros. A segunda linha de defesa desempenha uma função de gestão crucial no modelo das três linhas, posto que atua sobre a primeira linha dando suporte e monitoramento, ao passo que reporta à alta administração e ao conselho o desempenho do processo de gerenciamento de risco e dos controles internos. Também pode incluir a identificação de questões atuais e emergentes ou mudanças no apetite ao risco implícito da organização, o fornecimento de orientações e treinamentos sobre processos de gerenciamento de riscos, dentre outras funções que promovam o aumento da maturidade do gerenciamento de riscos na organização. Está presente na função de gerenciamento de riscos a estratégia, a inteligência por trás do 8Enap Fundação Escola Nacional de Administração Pública processo, coordenando os esforços de todas as partes da organização e, inclusive, verificando a inter-relação entre os riscos que possuem proprietários distintos dentro da organização. Nesse sentido, riscos considerados baixos isoladamente, quando interagem com outros eventos e condições, têm o potencial para causar grandes danos, o que confere importância significativa à segunda linha de defesa, pois esta pode alcançar uma visão integrada dos riscos. Terceira linha de defesa A terceira linha de defesa é composta pela auditoria interna. É uma boa prática de governança que ela se reporte tecnicamente ao nível mais alto da organização, podendo ser a alta administração, o Conselho ou o Comitê de Auditoria, estando garantida, dessa forma, maior independência se comparada às estruturas da primeira e da segunda linhas de defesa, associadas normalmente com funções de gestão. O item 19 do “Referencial Técnico da Atividade de Auditoria Interna Governamental” disciplina que: Os trabalhos de avaliação dos processos de gestão de riscos e controles pelas UAIG [Unidades de Auditoria Interna Governamental] devem contemplar, em especial, os seguintes aspectos: adequação e suficiência dos mecanismos de gestão de riscos e de controles estabelecidos; eficácia da gestão dos principais riscos; e conformidade das atividades executadas em relação à política de gestão de riscos da organização. Assim sendo, os trabalhos da auditoria interna incluem avaliações sobre governança, gerenciamento de riscos e controles internos, podendo ser abrangentes e incluir qualquer unidade, estrutura, atividade ou processo da entidade. Nesse sentido, é possível avaliar a eficácia e a eficiência do processo de gerenciamento de riscos e da estrutura de controles internos, avaliando, inclusive, a atuação das estruturas das outras linhas de defesa. Alta administração Em que pese a alta administração e as estruturas de governança, tais como Conselho de Administração, Conselho Deliberativo e Comitês, não componham nenhuma das três linhas de defesa, são os principais interessados nos resultados provenientes desse modelo. A alta administração é responsável pelo monitoramento da gestão de riscos e pelo desenho e funcionamento da estrutura de controles internos, valendo-se do reporte de várias fontes de dentro da organização, tais como área de gerenciamento de riscos e auditoria interna, para cumprir seu papel. Daí a importância de um modelo em que existam linhas ou camadas para garantir a eficiência do gerenciamento de riscos e do funcionamento dos controles internos, contribuindo para o atingimento dos objetivos organizacionais. Agentes externos 9Enap Fundação Escola Nacional de Administração Pública É preciso destacar, ainda, os agentes externos à organização, tais como auditores externos, reguladores e outros órgãos externos. Eles atuam de forma significativa, seja avaliando as três linhas de defesa da organização, seja estabelecendo regras de negócio e requisitos legais que contribuem para fortalecer os controles. Figuram como linhas de defesa adicionais, mas seu enfoque tende a ser limitado, pontual, se comparado à completude do Modelo das Três Linhas de Defesa. 1.1 Estudo de caso A partir de um escândalo conhecido no mercado financeiro, o caso Barings Bank, vamos identificar as falhas ocorridas e que poderiam ter sido evitadas com o uso do Modelo das Três Linhas de Defesa. O que deu errado? Como estruturas e atores do Barings Bank poderiam ter atuado para evitar fatos que culminaram em um prejuízo sem precedentes na história do banco? História do Barings Bank O Barings Bank foi fundado em 1762 por John e Francis Baring. A instituição era o banco mercantil mais antigo de Londres. A princípio, sua atuação tinha como foco o financiamento do comércio externo, mas, após as Guerras Napoleônicas (1807-1815), o crescimento da instituição ocorreu, principalmente, pela redução de restrições comerciais e pela maior facilidade de movimentação de capitais internacionais. Ao longo dos anos, o banco havia se consolidado como uma instituição financeira respeitada, que havia financiado as Guerras Napoleônicas, a aquisição de Louisiana e era o banco pessoal da rainha da Inglaterra. Na história recente, precisamente nos anos 1990, controlava mais de cem companhias sob o nome de Baring Public Limited Company, ampliando suas operações de corretagem internacional e, como consequência, surgiram escritórios em Tóquio, Singapura, Londres e no resto do mundo, com novos funcionários sendo contratados e promovidos rapidamente. Dentre tais funcionários, estava um jovem londrino chamado Nick Leeson, de 22 anos, que já havia trabalhado em diversos bancos e será a figura central na narrativa desse escândalo. A primeira linha de defesa Leeson começou a trabalhar no back office, uma unidade responsável pela liquidação, documentação, suporte e registro contábil de operações com derivativos, primeiramente em Londres e, posteriormente, em Jacarta. Foi promovido a gerente-geral da Barings Future Singapore (BFS) em fevereiro de 1992. Essa subsidiária foi criada para atuar no mercado de derivativos local. Leeson passou a acumular as funções típicas do back office, de chefe dos operadores de pregão (sendo ele próprio também operador) e de gerente. A função de gerente incluía a contratação de operadores e de funcionários do back office, o que resultou na contrataçãode profissionais pouco preparados acerca do mercado de derivativos. 10Enap Fundação Escola Nacional de Administração Pública A partir de então, teve início uma série de acontecimentos que, de 1992 a 1995, levaram o banco à sua maior crise, culminando na venda dele pelo valor simbólico de 1 libra. Apenas com o que foi apresentado, já podemos pensar em algumas questões iniciais que podem ser assim colocadas: 1ª) Foi identificado que o fato de um mesmo funcionário executar operações e ser responsável por registrá-las poderia gerar um risco de fraude? 2ª) Mesmo que o risco tenha sido identificado, o tratamento dado foi adequado? 3ª) Ora, se o proprietário do risco é o responsável pelo processo (no caso, o Sr. Leeson), conforme estudamos anteriormente, mesmo que tenha sido planejado um gerenciamento de riscos, houve a adequada supervisão do cumprimento de tal planejamento pela segunda linha de defesa? O início das fraudes A princípio, as fraudes teriam começado em 17 de julho de 1992, quando Leeson utilizou uma conta, chamada de conta 88888, para encobrir a falha de uma funcionária que havia comprado por engano vinte contratos de títulos futuros do Japan Governmental Bond (JGB), o tesouro japonês, tendo uma perda de quase 20 mil libras. A subsidiária BSF, que só podia realizar operações para seus clientes, utilizou a conta citada para encobrir seus sucessivos erros. A partir de então, essa conta passou a ser utilizada para registro de transações não autorizadas. À luz do Modelo das Três Linhas de Defesa, podemos levantar novas questões: 4ª) Se havia um risco e este foi mapeado, deveria haver um controle para mitigá-lo, passível de ter seu funcionamento monitorado e avaliado pelas outras linhas de defesa e, em última instância, pela alta administração. Algum controle foi implementado? 5ª) Se sim, houve algum tipo de monitoramento ou avaliação? A evolução dos prejuízos É possível acompanhar no gráfico a evolução dos prejuízos financeiros resultantes de diversas operações não autorizadas realizadas pela subsidiária de Singapura, as quais podem ser consideradas eventos de risco que se concretizaram: Data Perdas reais (em libras) Julho/1992 20 mil Janeiro/1993 8 milhões 11Enap Fundação Escola Nacional de Administração Pública Setembro/1993 mais de 1 milhão Janeiro/1994 23 milhões Dezembro/1994 170 milhões Janeiro/1995 200 milhões Fevereiro/1995 600 milhões O ápice do escândalo Nos primeiros seis meses de 1994, do lucro de 50 milhões de libras divulgado oficialmente pelo banco, cerca de 25 milhões eram provenientes das atividades da subsidiária de Singapura. Porém, a realidade era que as perdas acumuladas já chegavam a 50 milhões de libras, ou seja, o equivalente aos lucros totais oficiais do Barings no mesmo período. Ao final de 1994, o prejuízo era de 170 milhões de libras. Entretanto, oficialmente, as demonstrações contábeis apontavam que as atividades da BFS haviam gerado um lucro de 28 milhões de libras, fazendo com que a bonificação de Leeson fosse de 400 mil libras. Outra fonte para o risco de fraude pode ser identificada aqui: o pagamento de bônus indevido por meio de uma política remuneratória em função do desempenho financeiro. 6ª) Será que tal fonte de risco foi identificada? 7ª) Se sim, houve alguma medida mitigadora relacionada? Uma prática empresarial, como a bonificação, não precisa necessariamente ser banida. Mecanismos de governança que permitam seu bom funcionamento podem ser adotados, figurando como medidas mitigadoras e de controle. Ao que tudo indica, não havia nenhuma medida capaz de atuar sobre essa fonte de risco, pois não verificamos controles adequados que garantissem a fidedignidade dos indicadores utilizados, verificados por áreas ou funções sem conflito de interesse com a questão. O pagamento de bônus por sucesso, embora muito comum, deve ser bem estruturado e comunicado dentro das empresas, a fim de evitar vulnerabilidades. Em diversos casos, os bônus foram tidos como incentivos equivocados que levaram corporações a perdas ou mesmo a falências. No caso em questão, se ele simulasse um desempenho acima do real, seria diretamente beneficiado, e devido à fragilidade dos controles implementados, tinha todos os mecanismos para tanto: executava e registrava as operações, sem haver uma adequada supervisão das suas atividades por outras linhas de defesa. Em janeiro de 1995, um desastre agravou drasticamente a situação da BSF: o Japão foi atingido pelo terremoto de Kobe. Com isso, houve uma queda geral dos mercados asiáticos, aumentando ainda mais as perdas da BFS, que já passavam de 200 milhões de libras. Entretanto, poucos dias após o terremoto, Leeson decidiu adotar uma estratégia ainda mais agressiva: aumentou seu 12Enap Fundação Escola Nacional de Administração Pública volume de negócios nos contratos futuros do índice de ações do Nikkei 225, acreditando em uma rápida superação da instabilidade do mercado e consequente aumento geral dos preços. Nota-se uma clara evolução da fraude, ainda sem qualquer intervenção por parte da alta administração do banco. Posteriormente, no fim de janeiro, Leeson adquiriu cerca de 10.000 contratos futuros do índice Nikkei 225. Isso impulsionou o mercado, subindo de maneira considerável naquela semana, de forma que o valor dos contratos ficara próximo do valor que tinham antes do terremoto. Dessa forma, Leeson conseguiu recuperar as perdas acumuladas e passou a vender títulos do governo japonês a descoberto, aumentando os pedidos de margem à sede do Barings em Londres. Entretanto, no início de fevereiro de 1995, o preço dos contratos despencou novamente, ampliando de maneira rápida os prejuízos acumulados na conta 88888, já que a posição de Leeson no mercado continuava alta. Falhas na gestão Leeson se reportava diretamente a quatro pessoas: o gerente regional de operações do Barings no sul da Ásia, seu supervisor direto lotado em Singapura; o gerente global de futuros e opções, lotado em Tóquio; e, por último, dois executivos do Barings Securities Limited (BSL), lotados em Londres. Os relatos mostram que não havia a devida supervisão sobre suas atividades pelo superior imediato, porém era reconhecido como um operador competente. A combinação dos dois fatores fazia com que seus pedidos de margem fossem concedidos sem questionamentos pela sede em Londres. Esse desenho adotado pela gestão do Barings Bank, com uma definição de alçadas que acabava por fragmentar o reporte do trabalho de Leeson, gerava uma vulnerabilidade, ou seja, uma visão fragmentada dos riscos assumidos por ele, sem que permitissem uma visão completa da atuação da subsidiária BSL pela alta administração, o que, de fato, ocorreu. A segunda linha de defesa O Barings Bank contava com uma Comissão de Riscos, que fixava limites para a atuação das subsidiárias. No caso do BSL, podemos comparar os limites estabelecidos com as operações efetuadas, conforme o quadro a seguir: Contratos Limites estabelecidos Posições reais (set./1994) JGB 100 2.000 Índice Nikkei 225 200 5.000 Euroyen 500 1.000 A falta de supervisão sobre as atividades da BFS é clara quando se analisam os limites fixados pela Comissão de Riscos do Barings sobre sua subsidiária singapuriana e as posições reais. Os limites máximos das posições que a BFS podia assumir eram: 100 contratos de JGB futuros; 200 contratos futuros do índice Nikkei 225 e 500 contratos de Euroyen futuros. Contudo, no início 13Enap Fundação Escola Nacional de Administração Pública do mês de setembro de 1994, a posição mantida por Leeson já era de 2.000 contratos de JGB futuros, 5.000 contratos futuros do índice Nikkei 225 e 1.000 contratos de Euroyen futures. É possível constatar que havia uma segunda linha de defesa responsável por estabelecer parâmetros para a primeira linha. 8ª) Mas será que havia supervisão quanto ao cumprimento de tais regras? A extrapolação dos limites em níveis tão altos, chegando a 25 vezes o valor permitido no casodo Índice Nikkei, demonstra que não havia supervisão nem controles eficazes por parte da segunda linha de defesa sobre o trabalho de Leeson. A terceira linha de defesa Há relatos de que a auditoria interna havia apontado, em algum de seus relatórios preliminares, que seria possível que a BFS efetuasse transações fictícias e cobrasse margens extras. Diante disso, a recomendação sugerida foi uma apresentação diária por parte da BFS de ajustes de margem. Entretanto, Leeson alegou que o ajuste diário seria inviável. O gerente regional de operações do Barings no sul da Ásia concordou com Leeson e os apontamentos supracitados foram retirados do relatório da auditoria. Aqui podemos perceber uma atuação positiva da auditoria enquanto terceira linha de defesa, identificando um risco que, ao que parece, não foi mapeado pela gestão. Contudo, o reporte do que fora apurado não chegou à alta administração do banco. De qualquer forma, como aprendemos com o Modelo das Três Linhas de Defesa, a alta administração e as estruturas de governança, tais como Conselho de Administração, Conselho Deliberativo e Comitês, são os principais interessados nos resultados provenientes desse modelo. Se o resultado do trabalho da auditoria interna tivesse sido levado em consideração, a fraude poderia ter sido descoberta na época. Posteriormente, em julho de 1994, uma auditoria interna foi realizada na BFS. O relatório final apontou a falta de segregação de funções, decorrente do fato de que Leeson exercia tanto a chefia das operações quanto a chefia do back office, podendo, dessa forma, mascarar os registros. A conclusão da auditoria foi correta ao identificar a falta de segregação de funções. É preciso ter em mente que o auditor interno deve estar preparado para observar indícios de qualquer tipo de fraude. Porém, como não é um especialista no assunto, ele não é obrigado a fazer esse tipo de detecção. 14Enap Fundação Escola Nacional de Administração Pública A alta administração Até aqui, percebemos que a alta administração do Barings Bank não havia detectado o que estava ocorrendo. Além disso, adotava medidas que fortaleciam a prática fraudulenta e facilitavam a ocultação das transações irregulares. Leeson pedia frequentemente transferência de margem de Londres para Singapura, o que poderia ter sinalizado para a alta administração que havia algo errado. Alguns fatores combinados contribuíram para que a fraude se desenrolasse sem questionamentos por parte da direção do banco em Londres: • O conhecimento de Leeson sobre a contabilização das operações com derivativos, de forma a ocultar as transações. • A falta de supervisão em relação ao registro dessas operações. • Sua atuação concomitantemente como gerente e operador de pregão. • A existência de clientes com grandes volumes de transações. • Seu desempenho espetacular para os resultados do Barings em períodos anteriores. Quando um gerenciamento de riscos é adequado, a alta administração pode atuar sobre o risco de fraude. Como houve falhas relacionadas às três linhas de defesa, quer por omissão, quer por um reporte inadequado, a alta administração não estava munida de subsídios para intervir no que estava ocorrendo. Curiosamente, em janeiro de 1994, foram divulgados lucros de 200 milhões de libras relativos ao exercício anterior. Metade desse valor foi utilizada para o pagamento de bonificações à diretoria e funcionários. Leeson recebeu uma bonificação de 100 mil libras, equivalente ao dobro dos seus salários recebidos durante o ano de 1993. Devido aos lucros obtidos pelo banco, atribuídos às operações com derivativos, Leeson se destacava e tinha um desempenho considerado espetacular, não gerando questionamentos ou dúvidas sobre os seus resultados e enfraquecendo eventuais avaliações que apontassem fragilidade sobre sua forma de atuar, como foi feito pela auditoria interna. Entretanto, as operações realizadas por ele já acumulavam um prejuízo de 23 milhões de libras. Já ao final do mesmo ano, o volume de perdas não registradas era de 170 milhões de libras. Porém, oficialmente, as demonstrações contábeis apontavam que as atividades da BFS haviam gerado um lucro de 28 milhões de libras, fazendo com que a bonificação de Leeson referente às suas atividades naquele ano fosse de 400 mil libras. O sistema de bonificação era uma fonte de risco de fraude, contudo não foi devidamente considerada, o que gerou consequências financeiras para o banco. 15Enap Fundação Escola Nacional de Administração Pública Auditores externos As firmas de auditoria Coopers & Lybrand (responsável pelas contas anuais da organização Barings e, em 1994, da BFS) e Deloitte & Touche (responsável pela auditoria das contas anuais da BFS em 1992 e 1993), não funcionaram adequadamente como uma linha de defesa adicional. Ademais, o Banco da Inglaterra, que atua como Banco Central do Reino Unido, mesmo tendo conhecimento dos níveis de lucratividade apresentados pelas atividades do Barings na Ásia, também aceitou a explicação de que essa lucratividade era originada da volatilidade dos mercados asiáticos. Em 2 de fevereiro de 1995, a BFS teve uma auditoria independente da empresa Coopers & Lybrand (C&L). Para enganá-la, Leeson falsificou documentos e extratos bancários. Com isso, em 3 de fevereiro, foi apresentado relatório preliminar positivo para a atuação da BFS. O desfecho do escândalo Uma semana após a conclusão da última auditoria independente, os prejuízos chegavam a 200 milhões de libras. Apesar da situação se agravar, a falência ainda poderia ser evitada, já que o capital acionário do banco era próximo de 500 milhões de libras. No entanto, nas duas semanas seguintes, essas perdas triplicaram, ultrapassando 600 milhões de libras. Diante disso, no dia do pagamento das bonificações relativas ao ano anterior, 24 de fevereiro de 1995, Leeson declarou-se culpado pelos crimes de fraude contra os auditores externos do Barings e contra a SIMEX (Bolsa de Singapura), sendo condenado a seis anos e meio de prisão. O total de prejuízos gerados por Leeson foi de 927 milhões de libras. Conclusão Os riscos se materializam quando há falhas de atuação, principalmente, entre a primeira e segunda linhas de defesa. Quando o proprietário do processo não gerencia os riscos adequadamente e a segunda linha falha em não identificá-los nem reportá-los à alta gestão, tem início um efeito cumulativo, dificultando a atuação da terceira linha de defesa. A situação se agrava quando a terceira linha não identifica erros na atuação da segunda linha e passa a carecer de subsídios para auditar a primeira linha. No caso Barings Bank, várias fontes de risco não identificadas geraram vulnerabilidades associadas ao risco de fraude. Além disso, houve ausência de uma supervisão eficaz no gerenciamento de riscos. Assim sendo, podemos relembrar alguns fatos importantes relacionados à fraude: • Ausência de segregação das funções de back office e de operações. • Conflito de interesses entre a atuação de Leeson como gerente-geral e o recebimento de bônus. • Estrutura de alçadas e de reporte descentralizada, impedindo que a administração tivesse uma visão ampla sobre a atuação da subsidiária e do próprio Leeson. 16Enap Fundação Escola Nacional de Administração Pública • Falta de supervisão por parte da segunda linha de defesa. • Desconsideração dos apontamentos da auditoria interna. 2. Estruturas metodológicas que suportam a atuação da auditoria interna Existem diversas estruturas metodológicas que dão suporte à atuação da auditoria interna. No tema “controle interno”, presente na maioria dos trabalhos de auditoria, o COSO I destaca-se como um framework que permite avaliar a eficácia de um sistema de controle interno a partir da relação entre objetivos institucionais, componentes próprios do modelo e a entidade. Já o COSO II aborda o processo de gerenciamento de riscos que, quando bem executado pelas estruturas de governança, permite alcançar os objetivosinstitucionais. Ainda no tema riscos, a ISO 31000 fornece diretrizes gerais para gerenciar riscos em quaisquer atividades, incluindo a tomada de decisão em todos os níveis. Vamos conhecer também o COBIT 5, referencial para gestão e governança de tecnologia da informação. 2.1 COSO I (ou COSO ICIF) O Committee of Sponsoring Organizations of the Tradeway Commision (COSO) é uma organização privada, sem fins lucrativos, criada nos Estados Unidos, em 1985, para prevenir e evitar fraudes nas demonstrações contábeis. Em 1992, o COSO publicou a primeira versão da obra Internal Control – Integrated Framework (ICIF), em português Controle Interno – Estrutura Integrada, conhecida como COSO I ou COSO ICIF. Sua finalidade era desenvolvimento, implementação e aplicação de controles internos, servindo, inclusive, como referência para avaliação da sua eficácia. Diante das mudanças ocorridas no mundo e, especialmente, daquelas que afetaram diretamente o ambiente de negócios, como as oriundas da evolução tecnológica ou de regulações, esse framework foi aprimorado, resultando na publicação, em 2003, de sua nova versão. O conceito original de controle interno, de acordo com a publicação de 1992, era: “[...] processo projetado e implementado pelos gestores para mitigar riscos e alcançar objetivos”. Em 2003, o conceito evoluiu para: “[...] é um processo conduzido pela estrutura de governança, pela administração e por outros profissionais da entidade e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade.” Essa estrutura do framework é representada por um cubo, conforme a figura a seguir: 17Enap Fundação Escola Nacional de Administração Pública Fonte: COSO, adaptado A nova versão utilizou a estrutura original como base, mantendo a essência do conceito de controle interno e a estrutura de cinco componentes. Entretanto, algumas novidades foram incorporadas. As principais são: • Formalização de conceitos fundamentais presentes na versão original. Na segunda versão, eles foram transformados em 17 princípios, os quais estão relacionados a cinco componentes. • Ampliação dos formatos de Relatórios Financeiros, no âmbito do Objetivo de Divulgação (Relatórios), com inserção do formato de Divulgação Não Financeira Interna, proporcionando inclusão de informações importantes para a gestão e que variam de uma organização para outra. • Incorporação das mudanças ocorridas no ambiente de negócios entre 1992 e 2003, com um destaque especial para a Lei Sarbanes-Oxley entre outras, tais como: governança, globalização, mudanças legais, avanços tecnológicos. Em suma, o objetivo desse framework é auxiliar a gestão na implementação de uma estrutura de controles internos eficaz, que proporcione segurança razoável do alcance dos objetivos institucionais, tipificados em operacionais, de divulgação e de conformidade. Ao mesmo tempo, auxilia na avaliação da eficácia da estrutura instituída. Embora a avaliação de riscos seja um componente do COSO I, o enfoque recai sobre a estrutura de controles internos. Dessa forma, não são fornecidos todos os subsídios necessários para a organização implementar um processo de gerenciamento de riscos nele. Para suprir essa lacuna, foi publicado outro framework direcionado à gestão de riscos corporativos. 18Enap Fundação Escola Nacional de Administração Pública 2.2 COSO II (ou COSO ERM) Em 2004, o COSO publicou a obra Enterprise Risk Management – Integrated Framework (ERM), em português Gerenciamento de Riscos Corporativos – Estrutura Integrada, conhecido como COSO II ou COSO ERM. Ela estabelece uma estrutura para o gerenciamento de riscos corporativos, auxiliando as organizações a implementarem e a desenvolverem tal processo. Nesse framework, o gerenciamento de riscos corporativos é definido como: [...] um processo, colocado em prática pela estrutura de governança, pela administração e pelos outros funcionários de uma entidade. Ele é aplicado na fixação de estratégias e em toda a entidade, desenhado para identificar eventos que podem afetar a entidade, para gerenciar o risco e para fornecer garantia razoável de que os objetivos de uma entidade serão realizados. O COSO II representa uma evolução do COSO I, mantendo as bases que o constituem e acrescentando instrumento mais focado na temática “risco”, a qual abarca os controles internos, que são o enfoque do COSO I. Além disso, riscos estão fortemente ligados à governança, que representa uma instância maior, conforme pode ser observado na figura: Fonte: COSO I, adaptado Mas, então, quais são as inovaçõestrazidas pelo COSO II? Tipos de objetivos Foram acrescentados os objetivos estratégicos, que estão em um nível mais elevado que os outros, estando associados à missão e à missão da entidade, enquanto os outros objetivos (operacionais, de comunicação e de conformidade) estão alinhados com os objetivos estratégicos. Fonte: COSO II, adaptado 19Enap Fundação Escola Nacional de Administração Pública Componentes O componente avaliação de risco foi expandido e divido em três: identificação de eventos, avaliação de riscos e resposta aos riscos. Além disso, houve a inserção do componente fixação de objetivos. Conceitos de apetite a risco e tolerância ao risco Tais conceitos foram introduzidos no COSO ERM, sendo que apetite a risco significa a quantidade de risco que uma organização está disposta a aceitar para realizar sua missão, enquanto tolerância ao risco significa o nível aceitável de variação no desempenho dos processos organizacionais para atingimento dos objetivos. Visão de conjunto É imprescindível que os riscos compostos sejam considerados de forma conjunta no processo de gerenciamento de riscos. Enquanto o COSO I dá ênfase nos objetivos de forma individual, o novo framework enfatiza a visão de conjunto. Perceba na imagem a seguir como ficou o cubo após essas alterações. Em 2017, foi publicada nova versão desse framework, chamada Enterprise Risk Management – Integrating with Strategy and Performance, em português Gerenciamento dos Riscos Corporativos – Integrado com Estratégia e 20Enap Fundação Escola Nacional de Administração Pública Performance, enfatizando a importância de se considerar os riscos tanto na definição de estratégias quanto na melhoria da performance. A nova versão traz, em sua primeira parte, uma perspectiva dos conceitos atuais e em desenvolvimento e aplicações do gerenciamento de riscos corporativos. A segunda parte apresenta 20 princípios organizados em 5 componentes: governança e cultura; estratégia e definição de objetivos; performance, monitoramento do desempenho e revisão; e informação, comunicação e divulgação. 2.3 ISO 31000 A ISO 31000: gestão de riscos: princípios e diretrizes, publicada originalmente em 2009, criou um padrão internacional para gestão de riscos corporativos. Nela encontramos a afirmação de que o propósito da gestão de riscos é a criação e proteção de valor. Nesta norma, risco é definido como “efeito da incerteza nos objetivos”. Já a gestão de riscos é definida como “atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos”. Em 2018, a norma foi atualizada e, embora seu objetivo permaneça o mesmo, a nova versão trouxe como principais alterações: • Os princípios de gerenciamento de riscos foram revisados, pois são os principais critérios para o gerenciamento bem-sucedido de riscos. • A importância da liderança pela alta administração é destacada, assim como a integração da gestão de riscos, começando pela governança da organização. • Foi dada maior ênfase na natureza iterativa da gestão de riscos, porque novos conhecimentos e análises levam à revisão de processos, ações e controles. • O conteúdo é simplificado com maior foco na manutenção de um modelo de sistemas abertos para atender a múltiplas necessidades e contextos. Entendendo a normaA norma pode ser entendida a partir da seguinte divisão: Princípios →Estrutura →Processo As diretrizes da ISO 31000 fornecem uma declaração dos princípios de gerenciamento de riscos. Os oito princípios da nova versão podem ser observados na figura: 21Enap Fundação Escola Nacional de Administração Pública Fonte: ISO 31000 (2018) A estrutura trata de como integrar a gestão de riscos à governança e às atividades da organização para que ela seja eficaz, sendo imprescindível o apoio da alta administração nesse processo. A figura a seguir demonstra o que é a estrutura conforme a norma: Fonte: ISO 31000 (2018) De acordo com a própria norma, “o processo de gestão de riscos envolve, na aplicação sistemática de políticas, procedimentos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos”. Ele foi ilustrado da seguinte forma: 22Enap Fundação Escola Nacional de Administração Pública Fonte: ISO 31000 (2018), adaptado 2.4 COBIT 5 O COBIT é um framework sobre governança e gestão de TI existente desde 1996 e que, atualmente, está na versão 5. Está estruturado em cinco princípios e seu objetivo é auxiliar as organizações a criarem valor por meio da tecnologia da informação, equilibrando a utilização de recursos, a otimização dos níveis de risco e a realização de benefícios. Clique em cada princípio para ver sua aplicação. Fonte: ISO 31000 (2018) 23Enap Fundação Escola Nacional de Administração Pública Princípio 1: Satisfazer as necessidades das partes interessadas O objetivo do COBIT é auxiliar as organizações a criarem valor a partir do uso da TI. Considerando isso, pode ser personalizado para qualquer entidade por meio da cascata de objetivos, que converte os objetivos institucionais de alto nível em objetivos de TI específicos e gerenciáveis. Princípio 2: Envolver todas as áreas da empresa O COBIT integra a governança de TI à corporativa. Ele abrange todas as funções e processos dentro da organização, tratando informações e tecnologias relacionadas como ativos, não se restringindo à função de TI. Princípio 3: Empregar uma estrutura única e integrada Há muitas normas e boas práticas relacionadas a TI, atendendo a um conjunto específico de atividades. Ao longo do tempo, houve um alinhamento do COBIT com esses frameworks, transformando-o em um modelo unificado para a TI. Princípio 4: Possibilitar uma abordagem holística A implementação eficiente e eficaz da governança de TI requer uma abordagem holística, levando em consideração vários componentes interativos, chamados de habilitadores. O COBIT 5 define sete categorias de habilitadores: • Princípios, políticas e modelos • Processos • Estruturas organizacionais • Cultura, ética e comportamento • Informação • Serviços, infraestrutura e aplicativos • Pessoas, habilidades e competências Princípio 5: Separar governança de gerenciamento Governança e gestão atendem a diferentes propósitos e, portanto, possuem desenhos institucionais distintos. De acordo com o próprio framework, temos as seguintes definições: A governança garante que as necessidades, condições e opções das Partes Interessadas sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados; definindo a direção através de priorizações e tomadas de decisão; e monitorando o desempenho e a conformidade com a direção e os objetivos estabelecidos. [...] A gestão é responsável pelo planejamento, desenvolvimento, execução e monitoramento das atividades em consonância com a direção definida pelo órgão de governança a fim de atingir os objetivos corporativos. 24Enap Fundação Escola Nacional de Administração Pública Embora governança e gestão possuam modelos institucionais, atividades e responsabilidades diferentes, dado que a governança tem o objetivo de avaliar, orientar e monitorar, existem muitas interações entre ela e a gestão, a fim de garantir um processo de governança eficaz. 3. Serviços prestados pela auditoria interna Vamos conhecer quais são os serviços prestados pela auditoria interna. O “Referencial Técnico da Atividade de Auditoria Interna Governamental” do Poder Executivo federal, aprovado por meio da Instrução Normativa nº 03/2017, traz a seguinte definição de auditoria: A auditoria interna governamental é uma atividade independente e objetiva de avaliação e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Deve buscar auxiliar as organizações públicas a realizarem seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de riscos e de controles internos. Segundo esse conceito, já é possível conhecer os dois serviços tipicamente prestados pela auditoria: avaliação e consultoria. Assim sendo, a unidade de auditoria interna, por meio de um plano de auditoria, normalmente de periodicidade anual, prevê, com base em uma abordagem baseada em riscos, uma série de trabalhos individuais de avaliação e de consultoria. Nesse sentido, avaliação e consultoria são duas vertentes da atividade de auditoria que se complementam para atingir o objetivo de agregar valor às organizações. Outro serviço que pode ser executado pela auditoria interna governamental é o de apuração de fraude, o qual, mesmo não sendo um serviço típico e necessariamente prestado pela auditoria, pode estar previsto em normativos, assim como outros serviços também podem ser atribuídos à unidade de auditoria por meio de normas diversas. 3.1 Avaliação Mas o que é uma avaliação? Qual o produto esperado? O serviço de avaliação compreende a obtenção e a análise de evidências com o objetivo de fornecer opiniões ou conclusões sobre um objeto de auditoria frente a um critério, padrão ou mesmo boas práticas, como o COSO I e o COSO II. Para exemplificar o que é um serviço de avaliação, vamos verificar parte do que aconteceu no escândalo financeiro do Barings Bank, por meio da descrição de dois fatos relacionados ao trabalho da terceira linha de defesa, ou seja, a auditoria interna. 1. Há relatos de que a auditoria interna havia apontado, em algum de seus relatórios preliminares, possíveis transações fictícias efetuadas e margens extras cobradas pelo Barings Future Singapore (BFS). Diante disso, a recomendação sugerida foi uma apresentação diária por parte do BFS de 25Enap Fundação Escola Nacional de Administração Pública ajustes de margem. Nesse caso, é possível identificar alguns elementos constantes no conceito de avaliação, tais como: Obtenção de evidências Depreende-se da conclusão obtida pela auditoria interna que foram coletadas evidências relacionadas ao processo de registro de operações efetuadas pela subsidiária de Singapura no dia a dia de suas operações. Análise de evidências A análise das evidências frente a um padrão interno ou mesmo a uma boa prática do setor permitiu concluir sobre a vulnerabilidade existente no processo de registro, possibilitando a ocorrência de fraudes por algum funcionário mal-intencionado. Conclusão Diante da conclusão a que se chegou e da relação de importância do processo auditado com os objetivos da organização, foi recomendada a implementação de um controle interno para reduzir a possibilidade de registro fictício de operações, qual seja, a apresentação diária dos ajustes de margem. 2. Em julho de 1994, uma auditoria interna foi realizada na BFS. O relatório final apontou a falta de segregação de funções, pois Leeson exercia tanto a chefia das operações quanto a chefia do back office, podendo, dessa forma, mascarar os registros. Obtenção de evidências Depreende-se da conclusão obtida pela auditoria interna que foram coletadas evidências relacionadas ao acúmulo de funções de Leeson. Nesse caso, como tratava-se de algo institucionalizado, foram evidências fáceis de se obter. Análise de evidências A análise das evidênciascoletadas de acúmulo de cargos frente ao princípio básico da segregação de funções, que preconiza a separação das atividades de autorização, execução, controle e contabilização das operações de autorização, permitiu concluir sobre a vulnerabilidade existente no processo, ou seja, eventual probabilidade de ocorrência de fraude. Conclusão Diante de um processo com vulnerabilidades, devido à falta de controles internos adequados para mitigar o risco de fraude, a conclusão da auditoria já apontava para a necessidade do que seria um controle interno eficaz: a segregação de funções no processo. 26Enap Fundação Escola Nacional de Administração Pública Tipos de avaliação Existem diferentes tipos de avaliação, que podem ser utilizados separadamente ou de forma combinada em um mesmo trabalho. A classificação mais utilizada, constante do “Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental”, é a seguinte: Demonstrações contábeis ou financeiras Conformidade ou compliance Operacional ou de desempenho Consiste em opinar se os registros contábeis foram efetuados de acordo com os princípios fundamentais de contabilidade e se as demonstrações refletem adequadamente a situação econômico-financeira do patrimônio e os resultados do período examinado. JGB Propõe-se a determinar a adequação dos processos, procedimentos e atividades das unidades auditadas com as normas existentes, bem como a legitimidade dos atos de gestão quanto aos aspectos contábil, financeiro, orçamentário e patrimonial. Objetiva avaliar a adequação de atividades, projetos, programas e ações governamentais, bem como entidades e órgãos públicos, quanto a aspectos de economicidade, eficiência, eficácia e efetividade, com objetivo de contribuir para o melhor desempenho da gestão pública. Governança, gerenciamento de riscos e controle interno A Instrução Normativa Conjunta MP/CGU nº 01/2016 abordou os temas governança, gerenciamento de riscos e controles internos, fortemente relacionados entre si. Atualmente, a auditoria interna atua nesses três temas avaliando a eficácia de cada um e contribuindo para o seu aprimoramento nas unidades auditadas. Clique em cada tema para saber como é feita a sua avaliação. Governança A governança é avaliada por meio do funcionamento de processos, tais como: definição de alçadas de decisão; accountability; comunicação e relacionamento entre alta administração, conselho, comitês existentes e auditorias interna e independente. Gerenciamento de riscos O gerenciamento de riscos é avaliado a partir de diversos elementos do macroprocesso que Fonte: 27Enap Fundação Escola Nacional de Administração Pública permeia a organização, basicamente buscando verificar se tais elementos estão operando efetivamente, por meio do seu alinhamento com os objetivos organizacionais, da qualidade de como se procedem os processos de identificação e avaliação dos riscos-chave (riscos com maior impacto sobre a organização), da qualidade de como se dá a identificação e implementação de respostas, se os desdobramentos do apetite a risco estabelecidos pelo Conselho de Administração ou alta administração encontram-se adequados, da qualidade do registro e do reporte dos resultados à área de gerenciamento de riscos e à alta administração, do nível de maturidade atingido pelo macroprocesso na organização ou se os princípios estabelecidos em sua política estão presentes e em funcionamento. Controle interno Os controles internos são avaliados quanto à efetividade e à eficácia para mitigar os riscos a eles associados, complementando a avaliação sobre o gerenciamento de riscos. Não é apenas uma resposta a um determinado risco, conforme abordado e contemplado na avaliação do gerenciamento de riscos, é necessário que os controles sejam analisados a partir dos componentes ambiente de controle, tais como avaliação de riscos, atividades de controle, informação e comunicação e atividades de monitoramento. É comum confundir os conceitos de auditoria e de avaliação, utilizando o primeiro como sinônimo do segundo. Portanto, é importante esclarecer que a atividade de auditoria é mais abrangente, contando também com o serviço de consultoria, que será descrito a seguir. 3.2 Consultoria O serviço de consultoria compreende assessoramento, aconselhamento, treinamento e facilitação em temas estratégicos para a gestão da unidade auditada, nos quais a auditoria interna possui um conhecimento mais aprofundado. Ela busca potencializar o conhecimento acumulado pela Unidade de Auditoria Interna Governamental (UAIG) em proveito da organização para o atingimento de seus objetivos. Em geral, este serviço é solicitado pela unidade auditada, sendo pactuados com a unidade de auditoria interna os termos da consultoria e, por tratar de temas estratégicos, é demandado pela alta administração ou por gestores de nível estratégico. Isso corrobora o fato de que a consultoria não é um serviço de análise de contratos ou de situações pontuais destinado a autorizar ou desautorizar que a administração tome determinadas decisões, pois tal papel não se coaduna com a missão e a independência da auditoria interna. De forma similar à avaliação, a consultoria tem como objetivo agregar valor à organização e melhorar os seus processos de governança, de gerenciamento de riscos e de controles internos, respeitando os valores, as estratégias e os objetivos dela. É importante ressaltar que o auditor 28Enap Fundação Escola Nacional de Administração Pública interno não assume qualquer responsabilidade que seja da administração, nem compromete sua independência e sua objetividade. Tipos de Consultoria Os três diferentes tipos de consultoria existentes podem ser executados individualmente ou combinados entre si. Assessoramento e aconselhamento De acordo com o “Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental”, este tipo de consultoria visa fornecer orientações sobre questões formuladas pela gestão, tais como: • Quais padrões de controle podem ser desenvolvidos para tratamento dos riscos de determinado processo de trabalho? • Quais os riscos e as implicações para o controle das operações que a implementação de um novo sistema informatizado pode trazer? • Quais são as opções para aumentar a eficiência e a segurança de um determinado processo de trabalho? • Quais alternativas no desenho de determinada política pública devem ser avaliadas pela gestão antes de sua implementação? • Quais são as medidas para aprimorar o processo de governança organizacional? Treinamento São atividades de capacitação que têm como objetivo o aperfeiçoamento dos processos de trabalho da unidade auditada. Para ser considerado consultoria, deve perpassar os temas governança, gerenciamento de riscos e controles internos. Facilitação Assim como no treinamento, para ser considerado consultoria este tipo deve perpassar os temas governança, gerenciamento de riscos e controles internos, de forma ampla ou aplicada em determinado macroprocesso relevante para a organização. A atividade consiste em facilitar discussões abarcando esses temas, por meio da utilização dos conhecimentos e habilidades interpessoais normalmente desenvolvidas pelos auditores internos na condução de técnicas como brainstorming, análise SWOT, grupo focal, análise de modos de falhas e efeitos, dentre outras técnicas. Por exemplo: facilitar as etapas de identificação e de avaliação de riscos, que compõem o gerenciamento de riscos da unidade auditada. Nesse caso, os auditores não fazem o papel da 29Enap Fundação Escola Nacional de Administração Pública administração, definindo uma lista de riscos ou realizando a avaliação quantitativa dos riscos, mas nortearão os responsáveis sobre como promover as discussões com o público interno, quais técnicas utilizar, quais ferramentas ou sistemas estão disponíveis para realizar o gerenciamento de riscos, quais metodologias existem.Em geral, os trabalhos de consultoria estão relacionados à estruturação ou à revisão de processos, de políticas ou de procedimentos, partindo, dessa forma, de um problema ou de uma demanda já identificado pela unidade auditada. A atuação da auditoria interna pode ser de forma preventiva, auxiliando no desenho (ou redesenho) de processos eficientes e eficazes, sem que assuma qualquer responsabilidade da administração nas suas tomadas de decisão, de forma a preservar a objetividade para a realização de serviços de avaliação. 3.3 Apuração A apuração compreende a execução de procedimentos para averiguar atos e fatos inquinados de ilegais ou de irregulares, praticados por agentes públicos ou privados, na utilização de recursos públicos. Ainda que não seja um serviço típico de auditoria, pode ser executado pelas unidades de auditoria interna governamental por força de normativo ou por decisão da alta administração. Utilizando como exemplo o escândalo financeiro do Barings Bank, temos a seguinte explicação da atuação da auditoria: Destaque h, h, h, h, A conclusão da auditoria foi correta ao identificar a falta de segregação de funções. É preciso ter em mente que o auditor interno deve estar preparado para observar indícios de qualquer tipo de fraude. Porém, como não é um especialista no assunto, ele não é obrigado a fazer esse tipo de detecção. Conforme o “Manual de Orientações Técnicas da Atividade de Auditoria Interna Governamental”, os auditores internos governamentais devem: 1. Estar alertas a situações ou transações que possam caracterizar indícios de fraude ou de ilegalidades, ainda que não possuam estrutura específica de apuração. 2. Possuir conhecimentos suficientes sobre os principais riscos de fraudes, bem como a predisposição para identificá-los adequadamente, verificando se a organização possui controles para o seu devido tratamento. 3. Quando houver indícios suficientes, realizar o adequado e tempestivo encaminhamento das informações às instâncias competentes. Entretanto, quando incumbidos apenas da prestação de serviços de avaliação e de consultoria, não se espera que eles tenham a especialização de apurar fraudes. 30Enap Fundação Escola Nacional de Administração Pública Já no caso de verificação de fraude, os auditores internos utilizarão meios que extrapolam o conhecimento comum. Precisam obter conhecimentos e habilidades sobre esquemas de fraude, técnicas de investigação e legislação aplicável. Nesses casos, a unidade de auditoria interna governamental estruturará tal atividade, desenvolvendo controles que garantam o sigilo, a obtenção e a guarda de evidências suficientes e adequadas sobre os fatos e definirá como será feita e a quem se destinará a comunicação dos resultados. 4. Diferença entre auditoria interna e independente A auditoria independente é uma atividade que utiliza procedimentos técnicos específicos com a finalidade de atestar a adequação de um ato ou fato, imprimindo-lhe características de confiabilidade. O serviço mais comum prestado pelo auditor independente é a auditoria das demonstrações contábeis, a qual constitui o conjunto de procedimentos técnicos que tem por objetivo a emissão de parecer sobre a adequação dos registros que demonstram a posição patrimonial e financeira, o resultado das operações, as mutações do patrimônio líquido e demais demonstrações financeiras da entidade auditada, consoante as Normas Brasileiras de Contabilidade e a legislação específica, no que for pertinente. Ainda que a origem da auditoria interna tenha relação com os serviços prestados pela auditoria independente, a evolução das organizações, a ampliação da complexidade das operações e as expansões geradas pela globalização foram diferenciando seus papéis, objetivos perseguidos, bem como os principais destinatários das informações. A auditoria interna, por sua natureza e função dentro das organizações modernas, tem sinergia e envolvimento com muitas áreas da organização inclusive com a auditoria independente, o que lhe proporciona capacidades únicas para que suas entregas realizadas por meio de serviços de avaliação e consultoria exerçam maior impacto e influência positiva junto aos níveis executivos. Segundo as boas práticas internacionais, a função de auditoria interna deve: • Ajudar a organização a alcançar os seus objetivos estratégicos, operacionais, de comunicação e de conformidade. • Avaliar e melhorar a eficácia do gerenciamento de riscos, controle e governança. • Realizar os serviços de avaliação e consultoria para adicionar valor e melhorar as operações por meio de uma abordagem sistemática e disciplinada com base em risco. Assim, dentre outros focos de trabalho pela auditoria interna, cita-se o enfoque na eficácia operacional e na eficiência dos processos de negócios, a confiabilidade das informações de sistemas corporativos e a qualidade proporcionada para as tomadas de decisões, a salvaguarda de ativos contra perdas, incluídas as decorrentes de fraudes, a conformidade de processos com políticas, contratos, leis, dentre outros. 31Enap Fundação Escola Nacional de Administração Pública São muitos e diversos os objetivos atualmente perseguidos pelas auditorias internas, diferentes daqueles antigamente realizados em apoio aos trabalhos realizados pelas auditorias independentes, mais voltados para asseguração, com razoável certeza, da fidedignidade das informações das demonstrações financeiras e contábeis. Porém, o que distingue os resultados de uma avaliação realizada pela área de auditoria interna, de uma autoavaliação realizada pela própria equipe? Por exemplo, a eficácia do controle interno sobre um macroprocesso da área de vendas ou do setor financeiro. Quais as principais variáveis associadas a esse empoderamento sobre suas opiniões junto ao Conselho de Administração e à alta administração? Para compreendermos melhor os fundamentos que proporcionam maior grau de confiança depositada sobre suas opiniões produzidas nas avaliações ou mesmo nos insights entregues por meio dos serviços de consultoria junto aos demais gestores, precisaremos conhecer um pouco dos princípios e da estrutura de normas que guiam e suportam a atuação de seus profissionais. 4.1 Princípios e estrutura de normas da atuação dos auditores Segundo o Instituto de Auditores Internos (IIA), a eficácia das auditorias internas, bem como de atuação de seus auditores, é alcançada quando exercida com base na Estrutura Internacional de Práticas Profissionais (IPPF), que se desdobra em Orientações Mandatórias e Orientações Recomendadas. As Orientações Mandatórias especificam a essência da estrutura organizacional esperada para as auditorias internas, os seus relacionamentos, as características essenciais dos serviços de auditoria prestados, os atributos, as competências, as normas de comportamento dos auditores internos e os processos adotados para isso. As Orientações Mandatórias desdobram-se nos Princípios Fundamentais, no Código de Ética, em Normas e na Definição da Atividade de Auditoria Interna. No recente alinhamento às normas internacionais de auditoria interna promovido pela Secretaria Federal de Controle Interno, estrutura da CGU, como Órgão Central do Sistema de Controle Interno do Poder Executivo federal, esses principais elementos foram incorporados para guiar a atuação das Unidades de Auditoria Interna Governamentais (UAIG) do Poder Executivo federal por meio das Instruções Normativas nº 03/20172 e nº 08/20173. As auditorias internas de estatais configuram-se como UAIG, devendo, portanto, buscar o alinhamento com os princípios e diretrizes contemplados nos normativos no exercício de suas atividades de auditoria interna. O IIA-Brasil, em sua página4, preconiza que: 2 https://repositorio.cgu.gov.br/handle/1/33409 3 https://repositorio.cgu.gov.br/handle/1/33405 4 https://iiabrasil.org.br//ippf/principios-fundamentais 32Enap Fundação Escola Nacional de Administração Pública Os Princípios Fundamentais, vistoscomo um todo, articulam a eficácia da auditoria interna. Para que uma função de Auditoria Interna seja considerada eficaz, todos os Princípios devem estar presentes e operar com eficiência. A maneira como um auditor interno, bem como uma atividade de auditoria interna demonstra a realização dos Princípios Fundamentais pode ser bem diferente de uma organização para outra, mas o fracasso em alcançar qualquer um dos Princípios implicaria em uma atividade de auditoria interna não tão eficaz quanto poderia ser no alcance da missão de Auditoria Interna. Ao todo são 10 princípios fundamentais que servem como propósitos fundamentais e base para o Código de Ética, Normas e outras Orientações da IPPF. Devido a sua relevância e, por ser a base que consolida o prestígio dos trabalhos de avaliação e consultoria junto às partes interessadas, em especial junto às instâncias de governança corporativa e da alta administração da organização, conforme apresentado na imagem abaixo. Figura: Princípios fundamentais, adaptado 33Enap Fundação Escola Nacional de Administração Pública Os princípios fundamentais buscam orientar a atuação das auditorias internas no sentido da agregação de valor, com foco nos objetivos organizacionais, entre outros fins. Essa atuação deve ser por abordagem baseada em riscos, com o mais alto grau de qualificação, comportamento ético, zelo profissional e sempre guiado pela objetividade. As opiniões emitidas devem ser resultado de um processo sistematizado e suportadas em evidências coletadas com a utilização de técnicas adequadas. Todo esse rigor profissional e metodológico foi sendo construído ao longo das décadas como forma de assegurar o maior atributo que uma auditoria interna possa ter dentro de uma organização: sua credibilidade junto aos gestores, à alta administração e às estruturas de governança corporativa. É com base nesses pilares presentes que uma parte interessada poderá valorizar mais uma determinada opinião gerada pela função de auditoria interna frente a tantas outras que possam ser produzidas por outras estruturas organizacionais internas. Esses fundamentos permitem que as auditorias internas possuam o empoderamento necessário para cumprir o papel esperado dentro das organizações e ter impactos diferentes no resultado de seus trabalhos aos gerados por outras estruturas organizacionais. Para isso, especialmente em organizações que contam com estruturas mais complexas de áreas responsáveis pela governança corporativa separadas da alta administração, faz-se necessário que a auditoria interna possua um estatuto aprovado pelo Conselho de Administração. O estatuto de auditoria interna é um documento formal que define o propósito, a autoridade e a responsabilidade da atividade de auditoria interna. Além disso, esse documento estabelece a posição da atividade de auditoria interna dentro da organização, incluindo a natureza da relação funcional do executivo chefe de auditoria com o conselho; autoriza o acesso aos registros, aos funcionários e às propriedades físicas relevantes ao desempenho do trabalho da auditoria; define o escopo das atividades de auditoria interna; e determina a natureza dos trabalhos que serão prestados, se avaliação, consultoria ou apuração. 4.2 Resultados dos trabalhos de avaliação e consultoria Os principais destinatários dos resultados dos trabalhos de avaliação e consultoria realizados pela auditoria interna são as estruturas de governança corporativa, a alta administração e os gestores (primeira e segunda linhas de defesa). Nota-se que todos são internos da organização, entretanto, caso não haja impedimento no estatuto, a auditoria interna pode prestar também serviços de avaliações para partes externas da organização como reguladores ou para a auditoria independente. No caso da Administração Pública Federal, incluem-se dentre os destinatários a sociedade, conforme descrito no item 15 da Instrução Normativa nº 03/20175. 5 https://repositorio.cgu.gov.br/handle/1/33409 34Enap Fundação Escola Nacional de Administração Pública Os produtos dos trabalhos de uma auditoria interna são geralmente apresentados por meio de relatório composto dos achados de auditoria, opinião da equipe de auditoria suportada por evidências e critérios adequados e recomendações para melhoria dos processos auditados ou pela consultoria prestada. Posteriormente à adequada comunicação feita pela UAIG aos envolvidos sobre os resultados do trabalho de auditoria, é feito, de forma periódica pela auditoria interna, um processo de monitoramento acerca da implementação das recomendações pelos gestores, de forma a garantir a efetividade de seu trabalho por meio de agregação de valor à organização. Quanto aos trabalhos típicos de auditoria prestados pelas auditorias independentes, cujo parecer e relatório são normalmente endereçados aos acionistas e à administração da entidade, os destinatários são agentes de mercado, tais como acionistas, investidores, reguladores, fundos de investimentos, instituições financeiras e empresas que tenham negócios com a entidade, entre outros, ainda que usuários internos possam e devam fazer uso das informações geradas para melhoria dos processos organizacionais. Em geral, exceto quando as auditorias independentes são contratadas para prestação de serviços de consultoria, semelhante aos prestados pelas auditorias internas, o seu papel é de dar credibilidade às informações financeiras e aos demonstrativos contábeis informados pela administração por meio de emissão de opinião, bem como de demandar ajustes da administração, para que os números divulgados expressem com razoável certeza a fidedignidade dos resultados das operações da organização. Em geral, as opiniões prestadas pela auditoria independente sobre as demonstrações contábeis seguem o padrão do Banco do Brasil: Em nossa opinião, as demonstrações contábeis acima referidas apresentam, em todos os aspectos relevantes, a posição patrimonial e financeira, consolidada do Banco do Brasil S.A. em 30 de junho de 2017, o desempenho consolidado de suas operações e os seus respectivos fluxos de caixa consolidados para o semestre findo nessa data, de acordo com as práticas contábeis adotadas no Brasil aplicáveis às instituições autorizadas a funcionar pelo Banco Central do Brasil.6 Como resultado da falta de confiança decorrente da crise de 1929, nos EUA houve a obrigação legal para que as companhias abertas contratassem auditoria independente para emissão de parecer sobre a adequação de que as demonstrações contábeis representam a posição patrimonial e financeira, o resultado das operações, as mutações do patrimônio líquido e demais demonstrações financeiras da entidade. A partir da Lei Sarbanes-Oxley, em 2002, com impactos similares em muitos países, inclusive no Brasil, as companhias com ações na Bolsa de Valores passaram a ter a exigência de que os auditores independentes emitissem também uma avaliação sobre a eficácia do controle interno corporativo relacionado com os relatórios financeiros e 6 https://www.bb.com.br/docs/pub/siteEsp/ri/pt/dce/dwn/2T17DemoContMP.pdf 35Enap Fundação Escola Nacional de Administração Pública demonstrativos contábeis. Para exemplificar, acompanhe a opinião emitida pela auditoria independente sobre os demonstrativos contábeis consolidados da Petróleo Brasileiro S.A. – Petrobras e controladas, em 31 de dezembro 2017, contemplando a opinião acerca dos controles internos relacionados ao objetivo de comunicação. Em nossa opinião, a demonstração contábil consolidada referida anteriormente apresenta adequadamente, em todos os aspectos relevantes, a posição patrimonial e financeira da Companhia em 31 de dezembro de 2017, o resultado de suas operações e seu fluxo de caixa para o exercício findo em 31 de dezembro de 2017, de acordo com as normas internacionais de relatório financeiro (IFRS) emitidas pelo International Accounting Standards Board - IASB. Adicionalmente, em nossa opinião, a Companhiamanteve, em todos os aspectos relevantes, controles internos efetivos sobre as Demonstrações Contábeis consolidadas em 31 de dezembro de 2017, com base no critério estabelecido no Controle Interno - Estrutura Integrada (2013) emitido pelo Conselho da Organização Patrocinadora da Comissão de Treadway7 4.3 Marcos da auditoria no Brasil No Brasil, a auditoria independente foi regulamentada em 1965, tendo sido constituído, em 1971, o Instituto dos Auditores Independentes do Brasil (IBRACON) pela união de dois institutos com contadores que atuavam como auditores independentes. Esse Instituto é o paralelo do IIA Brasil para as auditorias independentes. De forma similar, a atividade de auditoria interna vem sendo promovida no Brasil desde 1960, por meio da fundação do Instituto dos Auditores Internos do Brasil. Atualmente, o IIA Brasil está entre os cinco maiores institutos de auditoria interna em atuação no mundo dentre os afiliados do The Institute of Internal Auditors. Pesquisa realizada pela Deloitte 8com o IIA Brasil, em 2016, junto a 201 líderes de auditoria interna de empresas que atuam no país, constatou que [...] o desejo por mudanças na auditoria interna identificado no Brasil segue uma tendência mundial por transformações em tecnologia, modelos de reporte a maior equilíbrio entre as funções consultivas e de assurance (avaliação), como forma de viabilizar uma atuação relevante e estratégica, pautada na geração de valor. Esses resultados demonstram que as auditorias internas no Brasil vêm atuando em sintonia com estruturas similares de outros países. Ambos os institutos, IBRACOM e IIA Brasil, assumem papel primordial na busca da estruturação, 7 Consulte o arquivo Demonstrações Contábeis - Petrobrás na biblioteca do curso. 8 https://cgead.enap.gov.br/attachments/download/47337/ODA%206%20-%20Deloitte_auditoria_interna_2016.pdf 36Enap Fundação Escola Nacional de Administração Pública desenvolvimento e promoção da atividade de auditoria que, sob certa perspectiva, guardam grandes semelhanças sobre a sistemática e os princípios norteadores, porém com destinatários e objetivos diferenciados. Ainda que os trabalhos realizados pela auditoria interna possam ser utilizados pela auditoria independente, para reduzir custos de contratação e busca de eficiência na alocação de recursos, seu campo de atuação não se restringe ao objetivo de comunicação associados aos resultados financeiros e de demonstrações contábeis, geralmente pontos de maior interesse pela auditoria independente. É comum confundir os conceitos de auditoria e de avaliação, utilizando o primeiro como sinônimo do segundo. Portanto, é importante esclarecer que a atividade de auditoria é mais abrangente, contando também com o serviço de consultoria, que será descrito a seguir Desde 2010, o Brasil adota as normas internacionais de auditoria independente e de contabilidade: as International Standards on Auditing (ISA), denominadas no país de Normas Internacionais de Auditoria, e as International Financial Reporting Standards (IFRS), aqui conhecidas como Normas Internacionais de Contabilidade. As normas são emitidas, respectivamente, pela International Accounting Standards Board (IASB) e pela International Federation of Accountants (IFAC). A adoção das normas internacionais, que se iniciou em 2005 com a criação do Comitê de Pronunciamento de Contábeis (CPC), ocorre com a participação de diversos atores interessados. De forma similar, as normas internacionais são traduzidas e encaminhadas para o CPC revisar eventuais conceitos e emitir pronunciamento técnico a respeito. Em seguida, os órgãos responsáveis pela regulação da profissão (Conselho Federal de Contabilidade) e do mercado (Comissão de Valores Mobiliários) determinam sua aplicação pelos profissionais, incorporando ao arcabouço nacional por meio das Normas Brasileiras de Contabilidade Técnica de Auditoria (NBC TA). Mais informações sobre a auditoria independente podem ser obtidas no sítio eletrônico do IBRACON. 4.4 Estudo de caso Após discorrermos sobre a teoria, os papéis esperados de cada estrutura, auditoria interna e auditoria independente, suas especificidades e complementariedade em algumas organizações devem ter ficado mais compreensíveis. E o que poderíamos esperar em relação ao caso do Barings Bank9 sobre a atuação de ambas? 9 http://www.anpad.org.br/admin/pdf/2013_EnANPAD_EPQ1900.pdf 37Enap Fundação Escola Nacional de Administração Pública Certamente, pelas consequências decorrentes das operações realizadas no banco que levaram à sua falência, é possível afirmar que as duas falharam na realização de suas atividades, frustrando as expectativas e levando descrédito ao papel dessas estruturas. Há relatos de que a auditoria interna havia apontado, em algum de seus relatórios preliminares, que seria possível que o Barings Future Singapore (BFS), subsidiária do Barings Bank criada em Singapura para atuar no mercado de derivativos local, efetuasse transações fictícias e cobrasse margens extras. Diante disso, a recomendação sugerida foi uma apresentação diária por parte do BFS de ajustes de margem. Entretanto, promovido a gerente-geral em fevereiro de 1992 e principal responsável pelas fraudes, Leeson alegou que o ajuste diário seria inviável. O gerente regional de operações do Barings no sul da Ásia concordou e os apontamentos supracitados foram retirados do relatório da auditoria. Acrescente-se que esse supervisor direto não se interessava pela parte de futuros e opções, não exercendo nenhuma supervisão sobre suas atividades e facilitando seu convencimento quando do apontamento pela auditoria interna. Temos uma atuação acertada da auditoria, enquanto terceira linha de defesa, identificando um risco que não foi mapeado pela gestão. Por outro lado, o reporte do que fora apurado não chegou à alta administração do banco, que estava localizada em Londres, talvez por não mensurar adequadamente as potenciais consequências desse risco e que poderiam extrapolar o apetite de risco e até mesmo a capacidade de risco da organização. De qualquer forma, a alta administração e as estruturas de governança, tais como Conselho de Administração, Conselho Deliberativo e Comitês, são os principais interessados nos resultados provenientes do Modelo das Três Linhas de Defesa, devendo ser comunicados acerca do gerenciamento dos riscos-chave associados aos objetivos organizacionais. Também poderia ter sido de interesse da auditoria independente verificar e mesmo ampliar os testes acerca de eventuais riscos identificados em trabalhos realizados pela auditoria interna que possam estar associados a controles internos relacionados ao objetivo de comunicação. A certeza é que, se o resultado do trabalho da auditoria interna tivesse sido levado em consideração pela magnitude das consequências que os riscos identificados traziam para a organização, a fraude poderia ter sido descoberta, seus prejuízos reduzidos e eventuais responsabilidades apuradas. Posteriormente, em julho de 1994, uma auditoria interna foi realizada na BFS. O relatório final apontou a falta de segregação de funções, decorrente do fato de que Leeson exercia tanto a chefia das operações quanto a chefia do back office, podendo mascarar os registros. A conclusão da auditoria foi correta ao identificar a falta de segregação de funções, porém foi incapaz de mensurar adequadamente o nível de risco envolvido para aprofundar as análises. Quanto à não identificação das fraudes pela auditoria interna, mas apenas de fragilidades nos controles internos, é preciso ter em mente que o auditor interno deve estar preparado para observar indícios qualquer tipo de fraude. Porém, como não é um especialista no assunto, ele não é a obrigado a fazer esse tipo de detecção. A essa época as perdas acumuladas por Leeson já chegavam a 50 milhões de libras, ainda que os balanços apontassem uma geração de lucro pelo BFS na ordem de 25 milhões de libras. Ao final de 1994, o volume
Compartilhar