Baixe o app para aproveitar ainda mais
Prévia do material em texto
Autora: Profa. Valdice Neves Pólvora Colaboradores: Profa. Angela Maria Pizzo Prof. Mauro Kiehn Auditoria e Formação de Auditores Professora conteudista: Valdice Neves Pólvora É mestre em Administração e Valores Humanos pela Unicapital (2001), graduada em Ciências Econômicas pelo Centro Universitário Capital (1994). Especialista em Administração Hospitalar pela UNIP (2018), Especialista em Saúde Pública pela Universidade Paulista (2020) e em Ética (Eticista). Também é coordenadora de cursos e docente universitária de graduação e pós-graduação. Atuou como docente das escolas de governo: Esaf, Enap, Fundap e Fazesp para os cursos de Educação Fiscal, Fundamentos de Licitação e Gestão de Contratos, Pregão Eletrônico, Formação de Preços, Técnicas de Negociação, entre outros. Integrou a equipe de docentes do Ibegesp (Instituto Brasileiro de Educação em Gestão Pública) ministrando vários cursos para servidores públicos e demais interessados em diversos temas, entre eles: Gestão da Qualidade no Serviço Público. Foi auditora interna do Sistema de Gestão da Qualidade – BEC/SP, avaliadora do IPEG (Instituto Paulista de Excelência da Gestão) – Ciclo 2011-2012 e do IPEG – Prêmio MPE – Ciclo 2013, além de membro da Rede de Escritoras Brasileiras (Rebra), com livros de poesia publicados no Brasil e na Itália. © Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem permissão escrita da Universidade Paulista. Dados Internacionais de Catalogação na Publicação (CIP) P779a Pólvora, Valdice Neves. Auditoria e Formação de Auditores / Valdice Neves Pólvora. – São Paulo: Editora Sol, 2022. 148 p., il. Nota: este volume está publicado nos Cadernos de Estudos e Pesquisas da UNIP, Série Didática, ISSN 1517-9230. 1. Auditoria. 2. Normas. 3. Compliance. I. Título. CDU 657.6 U515.22 – 22 Prof. Dr. João Carlos Di Genio Reitor Profa. Sandra Miessa Reitora em Exercício Profa. Dra. Marilia Ancona Lopez Vice-Reitora de Graduação Profa. Dra. Marina Ancona Lopez Soligo Vice-Reitora de Pós-Graduação e Pesquisa Profa. Dra. Claudia Meucci Andreatini Vice-Reitora de Administração Prof. Dr. Paschoal Laercio Armonia Vice-Reitor de Extensão Prof. Fábio Romeu de Carvalho Vice-Reitor de Planejamento e Finanças Profa. Melânia Dalla Torre Vice-Reitora de Unidades do Interior Unip Interativa Profa. Elisabete Brihy Prof. Marcelo Vannini Prof. Dr. Luiz Felipe Scabar Prof. Ivan Daliberto Frugoli Material Didático Comissão editorial: Profa. Dra. Christiane Mazur Doi Profa. Dra. Angélica L. Carlini Profa. Dra. Ronilda Ribeiro Apoio: Profa. Cláudia Regina Baptista Profa. Deise Alcantara Carreiro Projeto gráfico: Prof. Alexandre Ponzetto Revisão: Bruna Orsi Talita Lo Ré Sumário Auditoria e Formação de Auditores APRESENTAÇÃO ......................................................................................................................................................7 INTRODUÇÃO ...........................................................................................................................................................8 Unidade I 1 CONCEITO DE AUDITORIA ...............................................................................................................................9 1.1 Objetivos da auditoria ...........................................................................................................................9 1.2 O processo de certificação ................................................................................................................ 11 1.2.1 Estágios da certificação ...................................................................................................................... 12 1.3 Auditoria baseada em riscos ............................................................................................................ 17 1.4 Tipos de auditoria segundo sua natureza .................................................................................. 19 1.4.1 Auditoria de primeira parte ................................................................................................................ 20 1.4.2 Auditoria de segunda parte ................................................................................................................ 22 1.4.3 Auditoria de terceira parte .................................................................................................................. 25 1.5 Classificação das auditorias ............................................................................................................. 28 1.5.1 Auditoria operacional .......................................................................................................................... 29 1.5.2 Auditoria contábil ................................................................................................................................. 30 1.5.3 Auditoria especial .................................................................................................................................. 31 1.5.4 Auditoria de conformidade ................................................................................................................ 31 1.6 As normas de auditoria interna ...................................................................................................... 32 2 MÉTODOS E PROCEDIMENTOS ................................................................................................................... 33 2.1 Auditoria como terceira linha de defesa .................................................................................... 35 2.2 Entendendo os conceitos de processos, riscos e controles ................................................. 36 2.2.1 Processo operacional ............................................................................................................................. 37 2.2.2 Riscos ........................................................................................................................................................... 38 2.2.3 Controles .................................................................................................................................................... 40 2.3 Metodologia de auditoria ................................................................................................................. 42 2.4 Procedimentos de auditoria, testes e evidências .................................................................... 48 3 NORMAS 19011:2018 ................................................................................................................................... 51 3.1 Protocolos ................................................................................................................................................ 55 3.2 Etapas da auditoria ............................................................................................................................ 59 3.3 Classificação de não conformidades ........................................................................................... 62 3.4 Competências, habilidades e responsabilidades do auditor ............................................... 67 4 NORMAS ISO 37000 E 37301 ..................................................................................................................... 78 4.1 Conceitos e definições........................................................................................................................ 79 4.2 Alinhamento da governança com gestão de riscos, sustentabilidade e responsabilidade social .............................................................................................................................. 79 Unidade II 5 AUDITORIA – ESTRATÉGIA EMPRESARIAL .............................................................................................87 5.1 Exemplos .................................................................................................................................................. 89 6 TIPOS DE AUDITORIA ..................................................................................................................................... 90 6.1 Auditoria de processos ....................................................................................................................... 90 6.2 Auditoria de serviços .......................................................................................................................... 91 6.3 Auditoria fiscal/tributária ou contábil e financeira ................................................................ 92 6.4 Auditoria interna .................................................................................................................................. 95 6.5 Auditoria operacional ......................................................................................................................... 95 6.6 Auditoria de compliance ................................................................................................................... 98 6.7 Auditoria de sistemas e tecnologia da informação..............................................................100 6.8 Auditoria de recursos humanos ...................................................................................................101 6.9 Auditoria de qualidade .....................................................................................................................103 6.10 Auditoria ambiental ........................................................................................................................104 6.11 Auditoria externa .............................................................................................................................105 6.12 Auditoria governamental .............................................................................................................106 7 GOVERNANÇA CORPORATIVA ..................................................................................................................109 7.1 Conceitos ...............................................................................................................................................109 7.2 Existe relação entre qualidade e governança? .......................................................................119 8 COMPLIANCE E GESTÃO INTEGRADA ....................................................................................................119 8.1 Compliance e sua aplicabilidade ..................................................................................................121 8.2 Gestão integrada ................................................................................................................................131 8.3 Código de ética dos auditores .......................................................................................................132 8.3.1 Aplicabilidade e execução do código de ética ......................................................................... 133 7 APRESENTAÇÃO Caro aluno, Este livro-texto tem como objetivo apresentar os conceitos relacionados à auditoria, sua classificação, bem como as funções e as responsabilidades do auditor no planejamento e na execução de auditorias. Na atualidade, as organizações buscam a excelência na sua gestão, e, para tanto, há a necessidade de se adequarem às normas vigentes. Consequentemente, as organizações passam por processos de auditagem para que os seus processos sejam certificados e possam obter o selo de qualidade. Num primeiro momento, destacaremos os conceitos de auditoria, seus procedimentos e normas vigentes. Vamos destacar a importância da auditoria de sistemas de qualidade abordando a ISO 19011 e a ISO 37000, que tratam das diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental. Serão discutidos os procedimentos para a certificação e os organismos certificadores, haja vista a importância da obtenção desses certificados pelas organizações que buscam excelência em seus processos e ampliação da sua participação no mercado globalizado e altamente competitivo. Num segundo momento, vamos analisar a auditoria como uma estratégia empresarial e, para tanto, veremos os tipos de auditoria, ou seja: auditoria de processos, de serviços, de compliance, de recursos humanos e de qualidade, auditoria fiscal ou financeira, ambiental, interna, externa e governamental. Dessa forma, vamos compreender a importância da governança corporativa e sua relação com a qualidade. Discutiremos os conceitos de compliance e gestão integrada, temas fundamentais para que o futuro auditor possa desenvolver as suas atividades na realização de auditorias que agreguem valor à organização. Por fim, abordaremos o código de ética dos auditores independentes. Nesse sentido, esperamos que, ao término desta disciplina, você possa adquirir as seguintes competências para o desenvolvimento de suas atividades no mercado de trabalho: • Compreender a importância das auditorias como estruturas estratégicas empresariais. • Estabelecer relações interpessoais para realizar o trabalho de modo isento, ético e eficaz. • Identificar o perfil dos problemas empresariais que sugerem a necessidade de uma auditoria. • Interpretar informações para obter indicadores que mensuram o nível de exatidão dos processos, dos serviços, dos dados contábeis e/ou financeiros. • Concluir, de forma interdisciplinar, a relação entre conformidade, mercado e governança. Assim, nosso principal objetivo é capacitá-lo para a compreensão do trabalho de auditoria e das vantagens obtidas por uma empresa creditada, bem como ampliar as informações sobre a carreira que 8 escolheu, unindo conceitos de modo interdisciplinar para que você possa atuar como auditor interno ou externo de qualidade de sistemas de gestão. INTRODUÇÃO A busca pela competitividade tem contribuído para que as empresas almejem o aprimoramento de seus processos, visando à conquista de novos espaços no cenário mundial. Nesse contexto, é importante que as empresas realizem auditorias em seus sistemas da qualidade a fim de verificar se as atividades estão sendo desenvolvidas conforme o planejado e também para determinar a eficácia do que está sendo realizado, levantando pontos a serem melhorados. As séries de normas NBR ISO 9000 e NBR ISO 14000 enfatizam a importância das auditorias como uma ferramenta de gestão para monitorar e verificar a eficácia da política da qualidade e/ou ambiental de uma organização. Segundo Marshall Júnior (2012), um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos, as áreas a serem auditadas, bem como os resultados de auditorias anteriores. As auditorias também são uma parte essencial das atividades de avaliação da conformidade, como certificação, registro externo, avaliação e acompanhamento da cadeia de fornecedores. Nesse sentido, os critérios de auditoria, escopo, frequência e métodos devem ser definidos e divulgados para o auditado, de forma a provocar melhorias antecipadas em seu sistema de gestão da qualidade. Outro ponto importante, destacado por Marshall Júnior (2012), refere-se à seleção dos auditores e à execução das auditorias, que devem assegurar objetividade e imparcialidade ao processo. Por sua vez, Lobo e Silva (2015) destacam que uma auditoria independente ou externa é realizada por uma terceira parte neutra, como uma empresa profissional que se especializa no procedimento auditado. Em ambos os casos, todos os registros da empresa serão examinados. Durante a auditoria, esses registros são minuciosamente inspecionados a fim de verificar qualquer discrepância que, se descoberta, deve ser analisada e reparada. Conforme os mesmos autores destacam, uma auditoria pode revelar um erro simples, mas em certos casos pode evidenciarproblemas graves. As empresas que trabalham com deficiências em seus processos podem optar por tomar decisões financeiras inadequadas na tentativa de se salvar, as quais podem ser identificadas e reparadas por uma auditoria. 9 AUDITORIA E FORMAÇÃO DE AUDITORES Unidade I 1 CONCEITO DE AUDITORIA Silva (2020) afirma que as auditorias são utilizadas como uma ferramenta de avaliação. Existem vários tipos de auditorias, sendo as mais comuns: ambiental, da saúde, da segurança e da qualidade. As auditorias podem ocorrer de forma separada ou integrada, que é quando a verificação de todos os sistemas de gestão ocorre ao mesmo tempo. Conforme Silva (2020), existem também outros tipos de auditorias, como financeiras, contábeis e jurídicas. Conceitualmente, pode-se dizer que uma auditoria é: O processo sistemático, documentado e independente para obter evidências e avaliá-las objetivamente para determinar a extensão na qual os critérios da auditoria são atendidos. Trata-se de um processo de avaliação humana para determinar o grau de aderência a um padrão específico, resultando em um julgamento (OLIVEIRA apud SILVA, 2020). Silva (2020) ainda menciona que as auditorias não podem ser vistas como um ato de punição e, ao tirar seu foco punitivo, devem ser tratadas como uma ferramenta de gestão de melhoria de performance. Ou seja, todos ganham, tendo como resultado a satisfação de todas as partes interessadas, especialmente o cliente final que será beneficiado. Os gestores precisam tratar os pontos encontrados durante o processo de auditoria como oportunidades de melhorias, o que resultará em processos cada vez mais robustos. Nesse aspecto, um bom auditor contribui positivamente para identificar e reportar, de forma construtiva, os pontos que devem ser trabalhados. Conforme Silva (2020), o processo de auditoria tem como referência sempre uma norma para confrontar. Os requisitos são verificados e, durante as entrevistas, servem para validar se a empresa vem executando o que se propõe a fazer. 1.1 Objetivos da auditoria Silva (2020) destaca que a eficácia de um sistema de gestão passa por objetivos claros e mensuráveis, e, portanto, o papel da liderança é fundamental e requer o engajamento de todos na melhoria contínua. A validação desse esforço passa pela auditoria para a sua consolidação. Os objetivos principais da auditoria, conforme Silva (2020), são apresentados na figura a seguir. 10 Unidade I Buscar evidência da aplicação correta das normas Verificar a robustez do sistema com base nos resultados dos objetivos traçados Avaliar o sistema de gestão da qualiade e/ou SGI Identificar não conformidades e oportunidades de melhoria Figura 1 – Objetivos da auditoria Adaptada de: Silva (2020, p. 64). Um ponto importante a ser observado é que a auditoria deve ser um processo independente e imparcial, de forma que o auditor não pode agir com parcialidade em relação a qualquer lado durante o processo de auditoria. Em contrapartida, Silva (2020) diz que a auditoria é um processo sistemático e documentado, ou seja, no desenvolvimento da auditoria não se buscam culpados, mas evidências objetivas, que são provas de que o que está documentado está sendo realizado. Assim, a documentação dos processos é fundamental, tanto que muitas empresas criam seus manuais de qualidade, contendo os procedimentos e as instruções de trabalho. Mas a existência de um papel não significa que os procedimentos estão sendo efetivamente executados, razão pela qual a auditoria analisa as evidências. Uma auditoria bem executada, de acordo com Silva (2020), entregará para a alta administração recomendações sobre os processos visitados e análises que podem ajudar na tomada de decisão e na alocação de recursos. No entanto, como citamos anteriormente, para que o processo de auditoria tenha sucesso, é necessário que seja independente, ou seja, os auditores precisam ser empoderados e treinados corretamente para atuar. Nesse sentido, continua Silva (2020), para o correto aconselhamento quanto à forma de ação no processo, recomenda-se a aplicação da norma ISO 19011, que traz diretrizes para auditorias de sistema de gestão. Essa norma será analisada mais adiante em nosso livro-texto. Conforme o resultado das auditorias, a empresa, com base no material recebido dos auditores, poderá criar um plano de ação, com a contribuição de diversas áreas e de forma sistêmica. De acordo com os dados, poderá priorizar e disponibilizar recursos com o objetivo de melhorar os resultados e seus processos. 11 AUDITORIA E FORMAÇÃO DE AUDITORES Vale destacar que o processo de auditoria não é algo barato para a empresa, e, para sua implementação, é importante ter um planejamento adequado. Por exemplo, se houver mais de um sistema de gestão, vale a pena integrá-los para utilizar os recursos e o tempo dos colaboradores da melhor forma. Nesse contexto, antes de darmos continuidade ao tema auditoria, vamos conhecer um pouco mais sobre o processo de certificação. 1.2 O processo de certificação Como falamos anteriormente, uma empresa precisa ser competitiva para permanecer no cenário global. Assim, muitas organizações investem em obter o selo de certificação, pois sabem que, para concorrer no mercado, precisam atender aos requisitos de qualidade e, sempre que possível, exceder as expectativas dos clientes. Silva (2020) destaca que as certificações como a ISO 9000 estão no mercado desde a década de 1980 e vêm passando por constantes revisões para se adequarem aos anseios tanto das empresas quanto dos gestores de qualidade, criando, assim, um sistema de gestão mais eficiente. Desde sua primeira versão, a norma mantém o requisito de auditoria interna, que é exigido para que as empresas mantenham seu certificado. Marshall Júnior (2012), por sua vez, coloca que a necessidade de as organizações comunicarem aos seus clientes e ao mercado a adequação de seu sistema de gestão da qualidade às normas de referência originou a atividade de certificação de terceira parte. Ele acrescenta, ainda, que a certificação de terceira parte substitui, em grande escala, uma certificação de segunda parte, ainda existente em grandes organizações, que consiste na certificação dos fornecedores, por seus clientes, com base em requisitos especificados, sejam eles nacionais ou internacionais. De acordo com Carpinetti (2016), a certificação de um sistema de gestão da qualidade é um processo de avaliação pelo qual uma empresa certificadora avalia o sistema de gestão de uma empresa interessada em obter um certificado. O processo de avaliação está dividido em: Segunda parte Primeira parte Terceira parte Figura 2 – Divisão do processo de avaliação 12 Unidade I A primeira parte trata da avaliação realizada pela própria empresa; a segunda, consiste na avaliação realizada por um cliente da empresa, enquanto a terceira é realizada por um organismo independente. De acordo com Carpinetti, o processo de certificação: a) Atesta que o sistema de gestão da empresa condiz com o modelo de sistema de gestão da qualidade (ISO 9001), do meio ambiente (ISO 14001) ou ambos. Em outras palavras, avalia se o sistema de gestão da empresa contempla todos os requisitos estabelecidos pelas normas. Esse aspecto do processo de certificação é bem descrito pela expressão “diga o que você faz para garantir a qualidade ou o meio ambiente”. O objetivo, portanto, é atestar a aderência do sistema de gestão projetado pela empresa como modelo de sistema estabelecido pelos requisitos da ISO 9001 ou ISO14001. b) Atesta que foram encontradas evidências de que a empresa implementa as atividades de gestão tidas como necessárias para atender aos requisitos dos clientes e outras partes interessadas. Esse segundo aspecto da certificação é bem definido pelo dizer “demonstre que você faz o que você diz que faz para garantir a qualidade” (CARPINETTI, 2016, p. 68). 1.2.1 Estágios da certificação Segundo Marshall Júnior (2012), com o objetivode avaliar a conformidade, a manutenção, a melhoria contínua e a eficácia do sistema de gestão como um todo e do produto (bens e serviços), as atividades de certificação podem envolver: Análise da documentação Auditorias e inspeções na organização Coleta e ensaios de produtos, no mercado ou na fábrica Figura 3 – Estágios da certificação Adaptada de: Marshall Júnior (2012, p. 112). De acordo com Carpinetti (2016), os certificados ISO 9001 (Qualidade) e ISO 14001 (Ambiental) têm validade de três anos. No entanto, as empresas certificadas devem passar por auditorias de manutenção com periodicidade semestral ou anual. Nas auditorias de manutenção, a empresa certificada, para manter seu certificado, deve prover evidências de que o sistema continua a atender aos requisitos da 13 AUDITORIA E FORMAÇÃO DE AUDITORES norma e que não conformidades identificadas em auditorias anteriores receberam o devido tratamento. Após o período de três anos, a empresa passa por um processo de recertificação para renovação do documento por igual período. Silva (2020) destaca os elementos essenciais para uma certificação e afirma que o processo de certificação passa por várias etapas essenciais, que podem ajudar as empresas a se estruturarem e, assim, garantir uma implementação mais participativa, tanto por parte da liderança quanto por parte dos colaboradores de diversos níveis. Vamos verificar quais são essas etapas, de acordo com Silva (2020): • definição de um time de trabalho; • diagnóstico inicial contra norma (ou verificação de atendimento de itens); • planejamento das atividades e responsáveis; • implantação das melhorias; • preparação dos auditores e auditoria interna; • auditoria de certificação. Um ponto muito importante é a definição do time de trabalho, o que influenciará diretamente no sucesso das atividades de implementação. Nesse sentido, é fundamental o envolvimento de pessoas de diferentes áreas para que as partes se sintam representadas, além da exigência da participação de membros da liderança para dar credibilidade ao processo. No entanto, Silva (2020) aponta que ambicionar uma certificação, tal como a ISO, não significa necessariamente consegui-la. A empresa que decide por essa estratégia precisa ter consciência de que a jornada não é simples, pois requer planejamento e investimento de recursos. O primeiro passo é definir um responsável, para que seja iniciado um projeto que permita estruturar a empresa para uma visão de longo prazo. Silva (2020) diz que cabe também incluir no planejamento a alocação de recursos, tanto humanos quanto financeiros. O segundo passo para o sucesso do projeto, de acordo com Silva (2020), é o envolvimento de todos os níveis da organização, incluindo as lideranças, de modo que as ações saiam do papel e os objetivos sejam atingidos. Entre os passos necessários para que ocorra a certificação, a preparação da empresa é o início de tudo, bem como aceitar o desafio e firmar compromisso com todos. 14 Unidade I Silva destaca algumas etapas necessárias: – Definir claramente a participação da gerência, pois esse é considerado um fator de criticidade para o sucesso. Se isso não ocorrer, as chances de insucessos são enormes. – Identificar quais são os principais requisitos, com foco no cliente, na legislação, entre outros. – É de suma importância a definição do escopo do sistema de gestão. Esse parâmetro é o primeiro a delimitar a área de atuação ou de exclusão, se necessário. – O próximo passo consiste em definir os processos e os procedimentos que vão auxiliar na execução. Alguns procedimentos são mandatórios, por isso precisam ser identificados no início do projeto. – Treinar e capacitar os colaboradores é uma demanda essencial. Os procedimentos podem ser usados para facilitar essa tarefa. – Escolher um órgão que certificará a empresa, o qual pode também ser usado para consultoria se for julgado necessário. – Identificar e capacitar uma equipe de auditores internos para a realização de auditorias. – As oportunidades de melhorias encontradas durante as auditorias internas precisam ser gerenciadas para que as ações corretivas sejam implementadas. – O sistema de gestão precisa ser revisado com frequência para garantir a maturidade do sistema e sua melhoria contínua (SILVA, 2020, p. 19-20). Após todos esses procedimentos, e se a empresa sentir que está preparada, poderá solicitar uma auditoria de certificação, a qual é denominada Etapa 1, em que a verificação é documental. Segundo Silva (2020), essa revisão já é realizada pelo órgão certificador, para verificação inicial do atendimento aos requisitos da norma. Nesse momento, é entregue um relatório com os pontos levantados durante o processo, e a empresa terá, assim, a oportunidade de implementar melhorias. Já a etapa final passa pela certificação chamada Etapa 2, que consiste na auditoria final, com apresentação de evidências e entrevistas com os colaboradores. Conforme Silva (2020), em caso de atendimento aos requisitos da norma, a empresa é recomendada para receber o selo. 15 AUDITORIA E FORMAÇÃO DE AUDITORES Silva (2020) diz que, apesar da norma ISO 9001:2015 não requisitar que a empresa aponte um representante da direção, ter alguém do grupo diretivo é fundamental para demonstrar comprometimento, além de agilizar a implementação de atividades que requerem aporte de recursos. De acordo com Moraes e Pugliessi (2014), no caso da norma ISO 14001:2015, quando se tratar da certificação ambiental, a etapa de certificação deverá ser proposta somente após a implantação do sistema de gestão ambiental (SGA). Para exemplificar, vamos observar o fluxo apresentado por Moraes e Pugliessi (2014) sobre as etapas da certificação ambiental. Contato com a certificadora Pré-auditoria Auditoria – fase 1 Emissão de certificado Auditoria – fase 2 Manutenção de certificação do SGA Auditorias periódicas Auditorias de recertificação Atividades de acompanhamento Recomendado Sim Não Figura 4 – Etapas da certificação ambiental Adaptada de: Moraes e Pugliessi (2014, p. 80). Conforme destaca a ABNT (2022), a certificação é um processo no qual uma entidade de terceira parte avalia se determinado produto atende às normas técnicas com base em auditorias no processo produtivo, na coleta e em ensaios de amostras. Estando tudo em conformidade, a empresa recebe a certificação e passa a usar a Marca de Conformidade ABNT em seus produtos. Desde 1950, a ABNT atua na área de certificação, ganhando respeito e confiança de grandes e pequenas empresas, nacionais ou estrangeiras, que recebem os mais diversos tipos de certificados. A ABNT certificadora realiza auditorias para certificação de produtos em mais de 30 países, tendo atuação marcante nas Américas, na Ásia e na Europa. Ainda segundo a ABNT, diferentemente dos 16 Unidade I laudos e relatórios de ensaios que servem para demonstrar que determinada amostra atende ou não a uma norma técnica, a certificação serve para garantir que a produção é controlada e que os produtos estão atendendo às normas técnicas continuamente. O processo não é complicado e qualquer empresa pode obter a certificação, bastando demonstrar e garantir, através de documentos, que seu processo produtivo é controlado e que seus produtos estão sendo fabricados em conformidade com as normas. Observação Para que uma empresa possa obter a certificação, o primeiro passo é solicitá-la à ABNT através do e-mail: certificacao@abnt.org.br. A instituição informará todos os documentos necessários para a organização que deseja obter o certificado. Na figura a seguir, destacamos as etapas do processo de acreditação de organismos de certificação. Decisão da acreditação Avaliação de desempenho Avaliação do local Análise de documentação Solicitação Figura 5 – Etapas do processo de acreditação de organismos de certificação Adaptada de: Inmetro (2022). Observe que o primeiro passo é a solicitação, seguida da análisede toda a documentação; na sequência, são realizadas a avaliação do local e a avaliação de desempenho e, por último, a decisão de acreditação. Conforme relata a ABNT, não há dúvida de que sua certificação (certificação ABNT) destaca e diferencia a empresa, seus produtos e seus serviços em relação aos demais concorrentes, além de agregar valor à marca e facilitar a introdução de novos produtos no mercado. Também garante tecnicamente a conformidade, a qualidade e a segurança, elevando o nível de produtos e serviços, reduzindo perdas e melhorando a gestão do processo produtivo. Mas quais são os organismos responsáveis por credenciar as empresas certificadoras? No Brasil, o credenciamento é feito pelo Instituto Nacional de Metrologia, Normalização e Qualidade Industrial 17 AUDITORIA E FORMAÇÃO DE AUDITORES (Inmetro), uma autarquia federal que tem entre as suas responsabilidades o credenciamento de laboratórios, organismos certificadores, inspeção de produtos etc. Segundo Carpinetti (2016), o Inmetro, que coordena o sistema nacional de certificação no Brasil, é reconhecido internacionalmente como o organismo de credenciamento brasileiro, seguindo a tendência internacional atual de haver apenas um credenciador por país ou economia. O credenciamento de organismos certificadores é voluntário e não obrigatório. No entanto, o credenciamento pelo Inmetro dá maior credibilidade ao organismo certificador, especialmente os nacionais, que não são credenciados em outros países. Saiba mais Conheça mais sobre o processo de acreditação dos organismos de certificação. INMETRO. Acreditação, 2022. Disponível em: https://bit.ly/3Ex7Rhq. Acesso em: 5 jul. 2021. Muito bem, após essa explanação sobre a certificação, tomemos a questão da auditoria, uma questão de grande importância, diga-se de passagem, uma vez que o resultado de uma auditoria da qualidade ou ambiental, por exemplo, pode levar ao descredenciamento da empresa, o que impactará em seus resultados. Diante de tal fato, é imprescindível que os gestores saibam quais os riscos de não atender aos requisitos exigidos pelas normas e não preparar os seus processos para a auditagem. 1.3 Auditoria baseada em riscos De acordo com Pardini (2019), a auditoria baseada em riscos (ABR) não é outra modalidade de auditoria, tampouco uma nova forma de realizá-la. Em resumo, o auditor leva em consideração, para a definição e identificação dos projetos de auditoria dentro de um determinado período, a leitura dos riscos estratégicos e operacionais da organização. Imoniana (2019) afirma que o risco de auditoria é analisado em pormenor na fase de planejamento, avaliando-se, posteriormente, como o processo de auditoria vai continuar. Assim, ele permeia cada etapa do procedimento executado pelo auditor. Uma visão geral de alto nível resume esses riscos em: Risco de detecção Risco de controle Risco inerente Figura 6 – Classificação de riscos Adaptada de: Imoniana (2019, p. 101). 18 Unidade I De acordo com Imoniana (2019), o risco inerente tem a ver com a estrutura física do negócio, os fatores que afetam o processo de produção e, finalmente, a estrutura de governança. Já o risco de controle interno é o risco de que os procedimentos de controle interno possam não ser efetivos para evitar a ocorrência de erros e desvios materiais. Por último, o risco de detecção é o risco de que o auditor possa não ser capaz de detectar inconformidades no decurso da auditoria. É resultado de diversos fatores, tais como fraudes, abordagens limitadas e metodologias enviesadas, para mencionar apenas alguns exemplos. Segundo Imoniana (2019), na auditoria baseada em riscos, os recursos são alocados com prudência em contas que provavelmente apresentarão risco de desvios materiais. Entretanto, se os auditores não anteciparem essa estratégia e se a alta gestão tiver intenções de fraudar o balanço, conhecendo as estratégias de auditoria, tudo seria feito para frustrar o processo e, assim, aumentar o risco de detecção. Por sua vez, De Cicco (2006) enfatiza que a avaliação de riscos em auditoria identifica, mede e prioriza os riscos para possibilitar a focalização nas áreas auditáveis mais significativas. Em cada ação de auditoria, a avaliação dos riscos é utilizada para identificar as áreas mais importantes dentro da organização. Para De Cicco (2006), a avaliação de riscos permite ao auditor delinear um programa de auditoria capaz de testar os controles mais importantes ou testar os controles mais minuciosamente. Para Imoniana (2019), a premissa primordial da auditoria baseada em riscos é que os auditores devam dedicar mais recursos a contas que sejam suscetíveis a distorções materiais e menos recursos para aquelas que tenham menos probabilidade de serem incorretas. Isso começa desde a compreensão do cliente em seus negócios, dos sistemas de controles internos e do balanço, além dos levantamentos dos primeiros testes analíticos. Carvalho (2020) afirma que saber lidar com gestão de riscos é saber conciliar a ciência do direito e da administração, o que não é fácil e requer conhecimento de especialistas nessas áreas. Os riscos, segundo Carvalho (2020), são decorrentes da inobservância de leis, regulamentos administrativos, código de conduta, assim como políticas de compliance (vamos abordar esse tema mais à frente) de uma organização, que podem ser identificados de várias formas. Uma delas é o estímulo à revelação de informações que não são facilmente detectadas. Pardini (2019) destaca que, uma vez que o objeto da auditoria esteja definido segundo sua magnitude, a aplicação da metodologia da auditoria leva em conta a identificação e a avaliação dos riscos inerentes, tecnologia e fraudes dos objetos base da avaliação, bem como seu processo de mitigação, através ou não do sistema de controles internos. 19 AUDITORIA E FORMAÇÃO DE AUDITORES Carvalho (2020) cita o exemplo dos contratos com fornecedores, prestadores de serviços e clientes como uma rica e importante fonte de levantamento de riscos, principalmente aqueles de natureza operacional, pois, dependendo da política interna de cada organização, a decisão de assinar ou não novos contratos acima de determinados valores pode dar ensejo à instauração de um procedimento interno de revisão de riscos, considerando os limites e as exceções estipulados para cada tipo de situação. Pardini (2019) afirma que o conceito de auditoria baseada em riscos é universal e pode ser aplicado nas auditorias de empresas do setor privado como também nas empresas e/ou organizações do setor público. Não existe diferença alguma na aplicação da metodologia de auditoria em uma entidade pública ou em uma empresa privada; o que muda é a natureza do objeto avaliado, sua gestão e monitoramento. Em ambos os setores, a avaliação deve ser realizada com base em uma clara identificação dos riscos envolvidos. Dessa forma, Pardini (2019) afirma que a aplicação da metodologia de auditoria baseada em visão de riscos não requer que a organização tenha um processo estruturado de gerenciamento de riscos implementado. Conforme De Cicco (2006), a auditoria baseada em riscos estende e melhora o modelo de avaliação dos riscos, alterando a perspectiva da auditoria interna. Em vez de olhar para os processos do negócio como algo que está dentro de um sistema de controle, o auditor os analisa numa envolvente de risco. É o paradigma de “olhar para a frente”: uma auditoria centrada nos riscos acrescenta mais valor a uma organização do que uma auditoria centrada apenas nos controles. Figura 7 – Auditoria baseada em riscos Disponível em: https://bit.ly/3rFO2PD. Acesso em: 31 jan. 2022. 1.4 Tipos de auditoria segundo sua natureza Conforme Silva (2020), existem vários tipos de auditorias, como as financeiras, as contábeis e as jurídicas. No entanto, para o sistema de gestão, as auditorias são categorizadas em: 20 Unidade I Primeira parte Segunda parte Terceira parte Também conhecida como interna:os membros de uma organização auditam sua própria organização Um cliente audita um fornecedor em algum ponto na cadeia de suprimentos (isto é, seu cliente auditando você ou você auditando seu fornecedor) Essa auditoria é feita geralmente com a finalidade de certificação por representantes de organizações independentes Figura 8 – Tipos de auditoria Adaptada de: Silva (2020, p. 64). Vamos analisar esses três tipos de auditoria e identificar qual a diferença entre auditoria interna e auditoria externa. 1.4.1 Auditoria de primeira parte Vieira (2020) coloca que a auditoria de primeira parte, também conhecida como auditoria interna, é realizada pelas próprias empresas para auditar seus próprios sistemas, procedimentos e processos, assegurando que os parâmetros do sistema de gestão da qualidade estão sendo seguidos e os resultados sendo alcançados. Segundo Ramos (apud SILVA, 2020), as auditorias de primeira parte se classificam em: Examina a eficácia do sistema da qualidade Avalia a proximidade entre métodos e procedimentos estabelecidos e a prática real Determina a conformidade de produtos e/ou serviços com as especificações técnicas Auditoria de itens (produtos ou serviços) Auditoria de processos Auditoria de sistemas Figura 9 – Classificação da auditoria de primeira parte Adaptada de: Vieira (2020, p. 85). Por meio da auditoria, segundo Vieira (2020), podemos obter informações importantes para colocar em prática uma melhoria contínua do sistema de gestão da qualidade, processo esse que se dá por meio de não conformidades, observações ou oportunidades de melhoria. 21 AUDITORIA E FORMAÇÃO DE AUDITORES Figura 10 – Auditoria de documentação Disponível em: https://bit.ly/3MkHZYI. Acesso em: 31 jan. 2022. Ratificando essa visão, Silva (2020) assinala que as auditorias internas servem para avaliar os processos e procedimentos desenvolvidos pela empresa em comparação com a norma que certifica a empresa – pode se tratar de uma norma de qualidade, ambiental, saúde e segurança do trabalho, entre outras. Já para Lobo e Silva (2015), a auditoria de primeira parte ou interna analisa as atividades, os processos e os procedimentos de uma empresa. O objetivo dessa auditoria, muitas vezes, é aumentar a produtividade, diminuir custos e melhorar a qualidade dos produtos e dos processos. Lobo e Silva (2015) dizem que, ao contrário de uma auditoria tradicional, conduzida por uma equipe de auditores externos que procuram apenas descobrir possíveis falhas nos processos, uma auditoria interna é realizada para fornecer à empresa uma melhoria da eficiência e garantir a conformidade com os procedimentos internos e externos estabelecidos. Moraes e Pugliesi (2014) também afirmam que as auditorias de primeira parte são realizadas pela própria empresa e visam determinar se o sistema e os procedimentos estão possibilitando (e melhorando progressivamente) o desempenho ambiental da organização de acordo com seus objetivos. Assim, a auditoria de qualidade é um procedimento em que um auditor analisa e verifica vários registros e processos relativos ao programa de qualidade de uma empresa. Em geral, o propósito de um exame de qualidade é determinar se a empresa está́ cumprindo com o seu programa de qualidade ou se precisa fazer alterações em suas práticas de negócios. A empresa também pode realizar uma auditoria de qualidade a fim de verificar se está em conformidade com os padrões de qualidade determinados, como os estabelecidos pela Organização Internacional de Normalização (ISO). Silva (2020) ressalta que essas auditorias são realizadas por colaboradores voluntários, os quais são preparados para a tarefa. Quando ocorre a seleção de participantes para desempenhar a função 22 Unidade I de auditor, vale a pena considerar uma equipe com indivíduos de vários departamentos, de modo a contar com competências diferenciadas. Os colaboradores que serão treinados para a função de auditor interno são os responsáveis por vários processos, por exemplo: treinamento e desenvolvimento, fornecedores e clientes, infraestrutura, comunicação etc. Geralmente, todos os donos de processos são capacitados para exercer a função de auditor interno, no entanto, vale destacar que esse profissional não pode auditar o processo em que atua para não comprometer o resultado e a credibilidade do sistema. Por exemplo: um auditor interno responsável pelo processo de recursos humanos não pode auditar esse processo. 1.4.2 Auditoria de segunda parte Vieira (2020) menciona que a auditoria de segunda parte também é conhecida como auditoria no fornecedor. Nesse tipo de auditoria, um cliente audita um fornecedor em algum ponto da cadeia de suprimento, ou seja, trata-se do seu cliente auditando você ou de você auditando seu fornecedor. Desse modo, Vieira (2020) destaca que a auditoria de segunda parte pode ser realizada pela empresa, ou por outras pessoas em seu nome, com o objetivo de avaliar a conformidade do sistema, além dos requisitos legais e/ou contratuais. Vejamos na figura a seguir o esquema da auditoria de segunda parte, com base em Vieira (2020, p. 87). Fornecedor ClienteAuditoria Figura 11 – Auditoria de segunda parte Disponível em: https://bit.ly/3CQp9oN. Acesso em: 31 jan. 2022. Silva (2020) coloca que as auditorias de segunda parte, por sua vez, são auditorias que a empresa realiza em seus fornecedores e/ou terceirizados. A auditoria de segunda parte é uma auditoria externa, que tem como principal objetivo verificar questões que foram definidas em contratos, principalmente no que se refere à qualidade e a questões legais. 23 AUDITORIA E FORMAÇÃO DE AUDITORES Contribuindo com o tema, Lobo e Silva (2015) destacam que as auditorias externas são auditorias dos registros realizados por uma empresa externa e completamente independente do cliente. Essa modalidade é realizada com todos os registros, sejam da empresa, de organização sem fins lucrativos, do governo ou qualquer outro tipo de pessoa jurídica. Já Moraes e Pugliese (2014) apontam que a auditoria de segunda parte é realizada nos fornecedores potenciais ou atuais, ou mesmo nos prestadores de serviços, como forma de pressão para melhorar o desempenho ambiental da cadeia produtiva, além de proporcionar a identificação e a estimativa dos efeitos de uma organização no ciclo de vida do produto. De acordo com as autoras, esse tipo de auditoria contribui com a padronização de produtos e processos de empresa contratada em relação aos requisitos ambientais da empresa contratante, no caso de uma auditoria do Sistema de Gestão Ambiental. Auditorias de segunda parte podem ser encomendadas por uma agência reguladora ou conduzidas a pedido do envolvido, como um meio de garantir que as práticas-padrão estejam sendo seguidas. Assim, o valor de uma auditoria externa existe porque a realização da avaliação dos registros é executada sem que haja qualquer suspeição do executante. Em teoria, isso ajuda a garantir que a auditoria progrida sem qualquer chance de impropriedades e que seu resultado seja completo e totalmente preciso. Conforme Lobo e Silva (2015), uma auditoria externa é realizada pelo menos anualmente ou na periodicidade sugerida pelo Organismo de Certificação Credenciado (OCC), após os profissionais, que são funcionários da empresa ou da organização, terem realizado uma auditoria interna. Não é incomum que as empresas solicitem à auditoria externa documentos que ajudem na melhoria de sua organização. Observação Os OCCs são as entidades que conduzem e concedem a certificação de conformidade. Assim, Vieira (2020) menciona que, com a realização de auditorias de segunda parte, pode-se desenvolver uma relação de maior confiança entre cliente e fornecedor, além de potencializar os produtos com maior qualidade, reduzindo as não conformidades e diminuindo os riscos. Vieira (2020) ainda aponta também que, quando as empresas brasileiras iniciaram as negociações com empresas da China paracomprar matérias-primas e componentes, foram enviados representantes para validar os processos de fabricação e verificar a qualidade dos produtos que seriam fornecidos, de modo a obter uma certa garantia no fornecimento. Dessa forma, continua Vieira (2020), as auditorias de segunda parte são integrantes de qualquer sistema de gestão da qualidade e uma ferramenta essencial para o processo de qualificação de fornecedores. 24 Unidade I Acerca do que pode ser avaliado nesse tipo de auditoria, Vieira (2020) destaca os seguintes itens: • gestão e controle da qualidade; • condições dos ambientes de trabalho; • tratamento de reclamações; • concepção e desenvolvimento de produtos; • localização e acesso às instalações; • política ambiental; • processo de produção e embalagem; • processo de compras e recebimento de matérias-primas. Você pode observar que, pelos itens anteriormente citados, há necessidade do envolvimento de diferentes áreas; portanto, os gestores dos processos precisam conhecer os seus processos e os de seus fornecedores, objetivando atingir os resultados esperados. De acordo com Silva (2020), as auditorias de segunda parte podem ser realizadas por funcionários da empresa previamente capacitados para essa finalidade ou por empresas especializadas nomeadas, para tal função, pela empresa contratante. Ainda de acordo com Silva (2020), trata-se de uma auditoria muito aplicada, principalmente como parte do desenvolvimento de novos fornecedores, visando garantir os níveis de qualidade que a empresa contratante deseja receber. Por essa razão, a auditoria de segunda parte, conforme Vieira (2020), contribui para a empresa conhecer melhor seus fornecedores, uma vez que, em algumas situações, o fornecedor pode declarar na documentação de homologação algumas informações que na prática não acontecem, cabendo à auditoria complementar a prática com a documentação apresentada. Por outro lado, Vieira (2020) afirma que as empresas devem buscar uma relação de ganha-ganha com seus fornecedores, devendo-se, assim, fomentar a contribuição mútua entre as partes, criando uma rede de parcerias que trazem apenas benefícios para os dois lados, principalmente para o cliente. 25 AUDITORIA E FORMAÇÃO DE AUDITORES Figura 12 – Processos de auditoria Disponível em: https://bit.ly/3rDWgYC. Acesso em: 31 jan. 2022. 1.4.3 Auditoria de terceira parte A auditoria de terceira parte, segundo Vieira (2020), é realizada por um auditor independente para fins de certificação do sistema de gestão desejado pela empresa. Por exemplo, uma empresa deseja certificar seus sistemas de gestão da qualidade na norma ISO 9001-2015; para isso, deve buscar alguma certificadora que possua credenciamento no Inmetro. Esse credenciamento, ainda de acordo com Vieira (2020), é uma acreditação, isto é, uma ferramenta estabelecida em escala internacional para gerar confiança na atuação de organizações que executam atividades de avaliação da conformidade – falaremos sobre o processo de certificação posteriormente. Conforme Vieira (2020), o objetivo da auditoria de terceira parte é a verificação do sistema de gestão de uma organização, auditando se foi estabelecido, documentado, implementando e mantido de acordo com uma norma específica, sendo a última fase do processo de certificação em alguma norma. Vejamos como é o fluxo de uma auditoria de terceira parte, segundo o autor. Cliente Aud itor ia Empresa de auditoria acreditada Figura 13 – Auditoria de terceira parte Adaptada de: https://bit.ly/3xIEjvU. Acesso em: 31 jan. 2022. 26 Unidade I Finalizado o processo de auditoria de terceira parte, o auditor responsável pode recomendar a empresa ou não para a certificação na norma desejada. Vieira (2020) destaca que não é o auditor que certifica a empresa, podendo apenas recomendá-la para obter a certificação. Essa recomendação contém o uso de um certificado da norma auditada, como o modelo de certificado ISO 9001:2015 da empresa Mar-Girius, citado por Vieira (2020). Figura 14 – Modelo de certificado ISO 9001:2015 Adaptada de: Vieira (2020, p. 89). Assim, a auditoria de terceira parte, que também é uma auditoria externa, é realizada por uma organização de auditoria independente, como institutos e/ou empresas certificadoras, conforme citamos anteriormente. Moraes e Pugliesi (2014) corroboram a afirmação de que a auditoria de terceira parte é realizada por organizações independentes em relação à empresa auditada, como uma empresa de auditoria ou um auditor especialista, por exemplo, na avaliação de uma organização acerca de uma norma de gestão ambiental, como a NBR ISO 14001. Nesse caso, a unidade auditada contrata os serviços de uma certificadora para que essa realize o processo em suas instalações e recomende sua certificação pelo órgão responsável. Outro exemplo de certificado de sistema de gestão da qualidade, na área pública, é o da Bolsa Eletrônica de Compras do Governo do Estado de São Paulo (BECSP), que pode ser acessado online. 27 AUDITORIA E FORMAÇÃO DE AUDITORES Figura 15 – Certificado BECSP Disponível em: https://bit.ly/3jV3kvF. Acesso em: 23 ago. 2021. Saiba mais A Bolsa Eletrônica de Compras (BEC) estabelece e melhora continuamente o seu sistema de gestão da qualidade visando prover os meios adequados à otimização do gasto público e à garantia do cumprimento da legislação vigente. Por meio do endereço a seguir, você pode observar um exemplo disso. SÃO PAULO (Estado). Secretaria da Fazenda e Planejamento. Certificado de sistema de gestão da qualidade. São Paulo, [s.d.]. Disponível em: https://bit.ly/3jVdsob. Acesso em: 23 ago. 2021. 28 Unidade I Vieira (2020) menciona que, após a recomendação do auditor externo, a empresa recebe o certificado da norma ISO 9001:2015. Notem que a empresa foi certificada no escopo em que desenvolveu seu sistema de gestão da qualidade. Portanto, independentemente do tipo de auditoria realizada, nota-se que todas são fundamentadas para o processo de melhoria contínua do sistema de qualidade das organizações. Lembrete As empresas certificadoras precisam ser habilitadas; no caso do Brasil, o órgão responsável é o Inmetro. Como exemplo, podemos citar a Fundação Vanzolini, que é um organismo certificador e tem se aprimorado constantemente para contribuir com o desenvolvimento socioeconômico do país formando profissionais, promovendo palestras, treinamentos e cursos na área de gestão da qualidade. Também concede certificados no âmbito das normas ISO 9001 para sistemas de gestão da qualidade; Sassmaq, Transqualit e ISO/TS 16949 para certificação de sistemas de gestão da qualidade para a indústria automotiva; ISO 14001 para sistemas de gestão ambiental; OHSAS 18001 (substituída pela ISO 45001) para sistemas de saúde e segurança ocupacional; e normas ONA para acreditação de organizações de saúde. Saiba mais Acesse o site a seguir e conheça a Fundação Vanzolini. Disponível em: https://vanzolini.org.br/. Acesso em: 5 jul. 2021. Esse tipo de auditoria é solicitado por empresas que estão pleiteando a certificação ou recertificação. Vimos anteriormente como funciona o processo de certificação, e o gestor precisa ficar atento, pois, após a empresa conseguir a certificação, um dos grandes desafios é manter o sistema de gestão em constante melhoria para que os níveis atingidos não regridam. Segundo Silva (2020), é nesse contexto que as auditorias são de grande auxílio. 1.5 Classificação das auditorias De acordo com Santos e Ribeiro Filho (2014), a auditoria de gestão tem como objetivo emitir opinião com vistas a certificar a regularidade das contas, verificar a execução de contratos, convênios, acordos (ou ajustes), governança de tecnologia da informação (TI), riscos, resultados, bem como a probidade na aplicação dos recursos públicos e na guarda ou administração de valores e outros bens do Conselho ou a ele confiado, compreendendo os seguintes aspectos a serem observados: 29 AUDITORIA E FORMAÇÃODE AUDITORES • Documentação comprobatória dos atos e fatos administrativos. • Existência física de bens e outros valores. • Eficiência dos sistemas de controles internos administrativo e contábil. • Cumprimento da legislação e das normas. Já segundo Pardini (2019), as auditorias se classificam em: Auditoria Conformidade Resultado Operacional Contábil Gestão Especial Figura 16 – Classificação das auditorias quanto a sua natureza Vejamos o que significam essas classificações. 1.5.1 Auditoria operacional Pardini (2019) destaca que a auditoria operacional corresponde à avaliação dos processos operacionais, do gerenciamento de riscos e do sistema de controles internos quanto a desempenho, eficiência, eficácia, economia e efetividade. Já Santos e Ribeiro Filho (2014) apontam que o objetivo dessa auditoria é avaliar as ações gerenciais e os procedimentos relacionados ao processo operacional ou parte dele, com a finalidade de certificar a efetividade e a oportunidade dos controles internos, além de apontar soluções alternativas para a melhoria do desempenho operacional. Sua abordagem é de apoio e procura auxiliar a administração na gerência e nos resultados por meio de recomendações que visem aprimorar procedimentos e controles. Para Pardini (2019), essa auditoria será melhor executada quando aplicada aos ciclos de negócios segmentados por processos operacionais, o que permitirá à auditoria contribuir com a gestão em sua responsabilidade na aplicação das melhores práticas de gerenciamento, aumentando a possibilidade de a organização alcançar seus objetivos, sejam eles operacionais ou estratégicos. 30 Unidade I Uma auditoria operacional atua no staff da administração, assessorando o desempenho das funções e as responsabilidades dela na gestão, de maneira que o planejamento e o programa de trabalho sejam seguidos. Além disso, avalia as metas e os objetivos que são atingidos, seus diferentes departamentos, atividades, sistemas de ERP, controles, funções e operações, com o intuito de obter os chamados três Es: eficiência, economicidade e eficácia. No entanto, para isso, as metas são desmembradas com o objetivo de verificar: • Falhas e irregularidades existentes no ciclo operacional. • Compatibilidade entre as ações operacionais administrativas, de políticas internas, de planos e diretrizes. • Motivos das ineficiências ou de desperdícios. • Desempenho do setor auditado e de seu ciclo operacional. • Adequação e eficácia dos controles gerenciais internos. Logo, a auditoria operacional proporcionará aos membros da administração subsídios para a melhoria da gestão, com eficiência, atuando com economicidade para obter a eficácia. 1.5.2 Auditoria contábil Para Santos e Ribeiro Filho (2014), o objetivo da auditoria contábil é garantir que os registros contábeis tenham sido efetuados de acordo com os princípios fundamentais de contabilidade, com a legislação, conferindo ainda se as demonstrações originárias refletem adequadamente a situação econômico-financeira do patrimônio, os resultados do período administrativo examinado e as demais situações apresentadas. Figura 17 – Auditoria contábil Disponível em: https://bit.ly/3Euu4wy. Acesso em: 31 jan. 2022. 31 AUDITORIA E FORMAÇÃO DE AUDITORES 1.5.3 Auditoria especial O objetivo da auditoria especial é examinar fatos ou situações consideradas relevantes, de natureza incomum ou extraordinária, sendo realizada para atender a uma solicitação expressa de autoridade competente. Vamos citar o exemplo na área de governo quando as auditorias especiais abrangem a fiscalização de fatos ou situações relevantes ou extraordinárias, sendo realizada por solicitação do chefe do Poder Executivo, de secretário de Estado, do auditor-geral do Estado ou de outros agentes políticos com idênticas prerrogativas. Saiba mais Conheça alguns tipos de auditorias especiais disponíveis no endereço eletrônico da auditoria-geral do Estado do Rio de Janeiro. RIO DE JANEIRO (Estado). Secretaria de Estado de Fazenda. Auditoria-geral do Estado do Rio de Janeiro. Rio de Janeiro, 2021. Disponível em: https://bit.ly/37Bc33z. Acesso em: 31 ago. 2021. 1.5.4 Auditoria de conformidade O objetivo da auditoria de conformidade, para Santos e Ribeiro Filho (2014), está relacionado ao exame dos atos e fatos da gestão com vistas a certificar, exclusivamente, a observância às normas em vigor. Para Pardini (2019), a auditoria de conformidade tem como objetivo avaliar se as transações estão sendo realizadas em conformidade com as políticas e os procedimentos da organização, bem como em conformidade com as leis, as normas e os regulamentos de União, Estado, Município e/ou do órgão regulador. O objetivo é verificar os resultados da ação governamental com ênfase: • na visão dos programas enquanto fator básico de organização da função e da gestão pública como mobilização organizacional para alcance dos resultados; • no planejamento estratégico. É importante mencionar que, em setores altamente regulamentados, a auditoria de conformidade e/ou regularidade se faz mais presente, tendo padrões fixos para os objetivos de auditoria e para os resultados da avaliação. Pardini (2019) afirma que, em uma organização que atua em um setor regulamentado – seja uma instituição financeira, de seguros, farmacêutica ou de outros tipos, incluindo as instituições governamentais, seja da administração direta ou indireta –, devido ao alto grau de leis, normas e regulamentos existentes 32 Unidade I (os quais devem ser observados para a correta condução de sua operacionalidade), existe uma tendência de concentração dos trabalhos de auditoria na avaliação de regularidade e/ou conformidade. Segundo Pardini (2019), nesse tipo de auditoria o objetivo do auditor é verificar se a transação foi realizada em conformidade com a norma, com o regulamento e com as leis. Por exemplo: em uma auditoria de contratos, o auditor verificará se o documento foi elaborado em consonância com os requisitos legais e com os procedimentos definidos pela empresa. Qualquer discrepância será anotada e será solicitada sua remediação. Figura 18 – Análises da auditoria Disponível em: https://bit.ly/3L5sFzc. Acesso em: 31 jan. 2022. 1.6 As normas de auditoria interna Segundo Pardini (2019), a auditoria interna desempenha um importante papel no processo de governança, e, para iniciarmos o estudo sobre ela, precisamos inicialmente compreender sua exata dimensão. O autor destaca que existem diversos conjuntos de normas para a atividade de auditoria interna. Há as normas de auditoria do Conselho Federal de Contabilidade, da Organização Internacional de Entidades Fiscalizadoras Superiores (Intosai), da Controladoria Geral da União (CGU), do Government Accountability Office (GAO-US), entre outros. Apesar de diversas fontes, todas acabam tratando e falando de temas semelhantes, não havendo grandes diferenças entre elas, a não ser na semântica. Segundo Pardini (2019), as normas de auditoria fornecem um direcionamento para a execução do trabalho de forma disciplinada, independentemente da natureza e da complexidade da avaliação. São um conjunto de princípios e diretrizes básicas que devem ser observados para a realização de trabalhos de alto desempenho. O conjunto de regras que norteia as atividades da profissão é estabelecido pelos órgãos reguladores das diferentes atividades que compõem as auditorias, funcionando como um guia de orientação geral para o desenvolvimento das atividades requeridas. 33 AUDITORIA E FORMAÇÃO DE AUDITORES Temos o exemplo da norma brasileira de contabilidade (NBC), que, no seu subitem 12.1.1.1, afirma que a auditoria interna constitui o conjunto de procedimentos técnicos que têm por objetivo examinar a integridade, a adequação e a eficácia dos controles internos e das informações físicas, contábeis, financeiras e operacionais da entidade. 2 MÉTODOS E PROCEDIMENTOS Uma auditoria pode ser realizada usando uma variedade de métodos.A seguir, o anexo da norma NBR 19011:2018 especifica os mais comumente usados. O Anexo A.1 – Aplicando os métodos de auditoria, por exemplo, destaca que: [...] Os métodos escolhidos para uma auditoria dependem dos objetivos, escopo e critérios de auditoria estabelecidos, assim como da duração e localização. [...] Convém que a disponibilidade do auditor com competência e qualquer incerteza que surja da aplicação dos métodos de auditoria sejam também consideradas. Aplicar uma variedade e combinação de diferentes métodos de auditoria pode otimizar a eficiência e a eficácia do processo de auditoria e do seu resultado. O desempenho de uma auditoria envolve uma interação entre pessoas no sistema de gestão que está sendo auditado e a tecnologia usada para concluir conduzir a auditoria (ABNT, 2018, p. 41). Conforme a ABNT (2018), a responsabilidade pela aplicação eficaz dos métodos de auditoria para qualquer estágio de planejamento permanece com a(s) pessoa(s) que gerencia(m) o programa ou com o líder da equipe, que tem a responsabilidade de conduzir as atividades do grupo. A norma contempla que a viabilidade das atividades de auditoria remota, por exemplo, pode depender de diversos fatores, como o nível de risco em alcançar os objetivos de auditoria, o nível de confiança entre o auditor e o pessoal do auditado e os requisitos regulamentares. No quadro a seguir, é possível observar exemplos de métodos de auditoria que podem ser usados individualmente ou em combinação para alcançar os objetivos do processo. Se uma auditoria envolver o uso de uma equipe com múltiplos membros, métodos presenciais ou remotos podem ser usados simultaneamente. 34 Unidade I Quadro 1 – Métodos de auditoria Extensão do envolvimento entre o auditor e o auditado Localização do auditor No local Remoto Com interação humana Conduzir entrevistas Preencher listas de verificação e questionários com a participação do auditado Amostrar Por meios de comunicação interativa: Conduzir entrevistas Observar trabalho realizado com guia remoto Preencher listas de verificação e questionários Conduzir análise crítica documentada com a participação do auditado Sem interação humana Conduzir análise crítica documental (por exemplo, registros e análise de dados) Observar trabalho realizado Conduzir visita no local Preencher listas de verificação Amostrar (por exemplo, produtos) Conduzir análise crítica documental (por exemplo, registros, análise de dados) Observar o trabalho realizado por meio de monitoramento, considerando requisitos sociais estatutários e regulamentares Analisar dados Adaptado de: ABNT (2018, p. 41). Ainda segundo ABNT (2018, p. 41), a auditoria também apresenta as seguintes características: • Atividades presenciais de auditoria são realizadas no local do auditado. • Atividades de auditoria remota são realizadas em qualquer local que não o local do auditado, independentemente da distância. • Atividades de auditoria interativa envolvem a interação entre o pessoal do auditado e a equipe de auditoria. • Atividades de auditoria não interativa não envolvem interação humana com pessoas que representam o auditado, mas interação com equipamento, facilities e documentação. Observação Facilities: em tradução literal, o termo significa “facilidades” e diz respeito aos serviços de infraestrutura, como limpeza, segurança e manutenção predial, por exemplo. Segundo a ABNT (2018), convém que seja assegurado o uso adequado e equilibrado de aplicação remota ou presencial de métodos de auditoria, visando garantir um alcance satisfatório dos objetivos do programa. 35 AUDITORIA E FORMAÇÃO DE AUDITORES 2.1 Auditoria como terceira linha de defesa De acordo com Pardini (2019), o modelo das três linhas de defesa surgiu com a publicação do Guidance on the 8th EU Company Law Directive, em setembro de 2010, como recomendação da implementação dos requisitos da lei para o monitoramento da efetividade do sistema de controles internos, auditoria interna e gerenciamento de riscos. Como salienta a declaração de posicionamento do Instituto dos Auditores Internos (IIA) sobre o tema: “O modelo de Três Linhas de Defesa é uma forma simples e eficaz de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos papéis e responsabilidades essenciais” (PARDINI, 2019, p. 13). Para Vieira e Barreto (2019), esse modelo das três linhas de defesa foi difundido a partir da obra Declaração de posicionamento do IIA (2013), publicada pelo IIA, sobre a qual o autor discorre no excerto a seguir: Não se trata de um modelo referencial de gestão de riscos, como o Coso (ERM-GRC) e o ISO (31000:2009), mas uma forma de estabelecer os papéis e responsabilidades essenciais de cada gestor dentro da organização para protegê-la dos riscos por meio de uma estrutura adequada de governança. De acordo com esse modelo, a primeira linha de defesa é a execução, a segunda linha de defesa é a supervisão e o monitoramento e a terceira é a avaliação (VIEIRA; BARRETO, 2019, p. 125). Conforme Pardini (2019), o ponto significativo nesse modelo é a transparência sobre quais são as responsabilidades de cada uma das partes interessadas na condução dos negócios e na operação da organização, de forma a estruturar o processo para que não existam lacunas devido à incompreensão das reais responsabilidades de cada um nesse processo de governança. Órgão de governança/conselho/comitê de auditoria Alta administração 1ª linha de defesa 2ª linha de defesa 3ª linha de defesa Regulador Auditoria externa Controles da gerência Medidas de controle interno Controle financeiro Segurança Gerenciamento de riscos Qualidade Inspeção Conformidade Auditoria interna Figura 19 – Modelo de três linhas de defesa Adaptada de: Pardini (2019, p. 13). 36 Unidade I De acordo com Pardini (2019), a primeira linha de defesa são os gestores, que têm como responsabilidade o gerenciamento de riscos de seus processos, a supervisão e o alinhamento do sistema de controle interno com os riscos inerentes relacionados a tecnologia e fraude. Como segunda linha de defesa, Pardini (2019) aponta as áreas de apoio ou staff, que auxiliam os gestores na execução de suas responsabilidades. São as áreas de controle interno, compliance, gestão de riscos, entre outras. Na segunda linha, de acordo com Vieira e Barreto (2019), ocorre a supervisão dos riscos pela alta administração, observando as tradicionais funções de gestão de riscos, conformidade e controladoria. As funções específicas variam muito entre agências e setores, mas, basicamente, seu papel é coordenar as atividades de gestão de riscos, orientar e monitorar a implementação de suas práticas por parte da gestão operacional, apoiar a definição de metas de exposição a risco e monitorar riscos específicos, bem como ajudar a definir e monitorar riscos e controles da primeira linha de defesa. Já como terceira linha de defesa, Pardini (2019) destaca que temos a auditoria interna, a qual tem a responsabilidade de realizar um monitoramento periódico através de uma avaliação independente do processo de governança, bem como a gestão de riscos e o sistema de controles internos, pelos quais os gestores da primeira linha de defesa são responsáveis. Segundo Vieira e Barreto (2019), na terceira linha ocorre a avaliação (assurance) por meio do processo de auditoria independente vinculada ao órgão superior de governança. O papel fundamental da auditoria interna na gestão de riscos é fornecer uma garantia aos órgãos de governança e à alta administração de que os processos de gestão de riscos operam de maneira eficaz e os maiores riscos do negócio são gerenciados adequadamente em todos os níveis. Para Vieira e Barreto (2019), o modelo de três linhas de defesa é relevante porque comunica claramente os papéis e as responsabilidades na estruturação da governança. As responsabilidades devem ser claramente definidas para que cada unidade compreendaos limites de suas responsabilidades e como seus cargos se encaixam na estrutura geral de gestão de riscos. Conforme Vieira e Barreto(2019), a fim de habilitar a auditoria interna a identificar os riscos mais significativos para o alcance dos objetivos da organização, os seus trabalhos devem utilizar uma abordagem de auditoria baseada em riscos, permitindo que planos de ação para o tratamento dos riscos identificados sejam efetivamente formulados e monitorados. 2.2 Entendendo os conceitos de processos, riscos e controles De acordo com Pardini (2019), um dos requisitos para uma auditoria interna de alta performance é contar com profissionais proficientes na aplicação da metodologia, dos procedimentos e das técnicas de auditoria. Ele também deve conhecer os paradigmas considerados boas práticas de gestão, em sua concepção e em sua aplicabilidade. 37 AUDITORIA E FORMAÇÃO DE AUDITORES Assim, vamos abordar alguns conceitos de gestão que estão presentes na dinâmica operacional, compondo o contexto corporativo da organização e baseando a avaliação da auditoria. O seu entendimento é imprescindível para uma correta avaliação; observe-os na figura a seguir. Riscos e gestão de riscos Sistema de controle interno Processo operacional Figura 20 – Conceitos de gestão 2.2.1 Processo operacional Segundo Pardini (2019), um processo operacional apenas tem razão de existir se for relevante para que a organização atinja seus objetivos estratégicos. Todo processo operacional tem como entrega: documentos, informações e dados. Suas tarefas são organizadas, planejadas e alinhadas aos seus objetivos e em conformidade com suas entregas. Um processo tem o início, o processamento das transações e seu ponto final, como demonstrado na figura seguinte. Início (input) Processamento Final (output) Figura 21 – Fluxo do processo operacional Adaptada de: Pardini (2019, p. 15). Em um trabalho de auditoria, Pardini (2019) entende como necessário que os auditores conheçam os limites do processo, ou seja, identifiquem seu início e seu final, reconheçam o produto que ele entrega e como é monitorado seu desempenho. Essas informações serão a base para a definição clara dos objetivos e do escopo de auditoria. Mas como obtê-las? Pardini (2019) menciona que, durante a fase de mapeamento, realizado através de entrevistas, o auditor terá a oportunidade de conhecer em detalhes os insumos do processo, suas tarefas ou transações existentes e necessárias para que o processo possa, ao alcançar seus objetivos, entregar seus produtos com a qualidade requerida pelo cliente interno ou externo. Lembrete O mapeamento de processos é essencial para o resultado esperado. 38 Unidade I 2.2.2 Riscos Em relação aos riscos, vejamos o que diz Pardini (2019, p. 16): “risco é todo evento que pode impactar negativamente a capacidade de alcançar os objetivos”. O conceito usado pela Fundação Nacional da Qualidade (FNQ) para risco é: “Risco é o efeito (positivo ou negativo) da incerteza nos processos, sistemas e decisões, causando variações (esperadas ou inesperadas) em seu desempenho frente aos objetivos das partes interessadas em relação àquela organização” (FNQ, 2014, p. 4). De acordo com os padrões internacionais sobre o tema, determinados pela NBR 31000 – Gestão de Riscos (ABNT, 2007) e pelo Enterprise Risks Management – Integrated Framework (IIA, 2004), risco é o efeito da incerteza sobre os objetivos de uma organização. Sendo assim, a essência da gestão de risco é apoiar a organização a conviver com a incerteza, e não necessariamente eliminá-la, até porque o efeito, como dito anteriormente, pode ser positivo (FNQ, 2014) Dessa forma, a classificação correta facilita a integração e a consolidação da gestão de riscos, além de auxiliar na comunicação com auditores, reguladores, agências de risco e outras partes interessadas. Vejamos alguns tipos de riscos na figura seguinte: Risco Reputacional Operacional De mercado De compliance Estratégico Figura 22 – Tipos de riscos Os riscos estratégicos são aqueles que estão estreitamente relacionados aos objetivos estratégicos de uma organização. A possibilidade de ocorrerem perdas devido à flutuação nos valores de mercado, como variação cambial e taxas de juros, é entendida como risco de mercado. O risco de compliance é o risco das sanções legais ou regulatórias que a organização pode sofrer devido ao não cumprimento de leis, normas e procedimentos. O risco operacional é a possibilidade de ocorrência de perdas provenientes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas ou de eventos externos. 39 AUDITORIA E FORMAÇÃO DE AUDITORES Os riscos reputacionais estão relacionados à associação da imagem da organização com atividades de terceiros. Porém, as instituições consideram danos à reputação consequência, e não risco. No quadro a seguir, podemos observar exemplos de tipos de riscos. Quadro 2 – Tipologia de riscos Tipos de riscos Exemplos Estratégicos Aceitação de produto Comportamento do mercado Estrutura de preço e margens na indústria Entrada de novos players Retenção de know how Absorção de tecnologia De mercado Juros Câmbio Crédito Volatilidade de ativos Mudanças macroeconômicas Mudanças políticas Mudanças sociais Preço de commodities De compliance Legais Regulatórios Éticos Contratuais Demonstrações financeiras Confiabilidade das informações Operacionais Estrutura de custo Continuidade do negócio Liquidez e capital de giro Segurança e informação Qualidade do produto Segurança do produto Variabilidade do projeto Segurança e saúde no trabalho Impacto ambiental Qualidade dos fornecedores Qualificação do pessoal Sucessão de líderes Infraestrutura logística Reputacionais Marca Responsabilidade social Parcerias Compromissos voluntários Comunicação com as mídias Adaptado de: FNQ (2014). 40 Unidade I Dessa forma, Pardini (2019) aponta que a organização, para que haja uma efetiva governança, precisa gerenciar os riscos de forma consistente, integrada e estruturada a fim de mantê-los alinhados. A auditoria interna, por sua vez, avalia se a organização está gerenciando os seus riscos dentro dos padrões predefinidos, mesmo quando a organização não conta com um processo de gerenciamento de riscos estabelecido. 2.2.3 Controles Segundo a instituição Coso, citada por Pardini (2019), o sistema de controle interno pode ser definido da seguinte forma: Controle interno é um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, desenvolvidos para proporcionar segurança razoável com respeito à realização dos objetivos relacionados à operação, divulgação e conformidade (COSO apud PARDINI, 2019, p. 18). Ainda de acordo com o autor: [...] o sistema de controle interno é o conjunto de políticas, procedimentos, diretrizes, plano de organização e toda a ação executada pela gestão para garantir a eficácia dos processos, a salvaguarda dos ativos, a consistência e integridade dos dados e informações e a conformidade legal. O controle tem como objetivo minimizar a probabilidade de ocorrência do risco (PARDINI, 2019, p. 18). O controle interno é um sistema com três níveis hierárquicos: ambiente de controle, controle de processo e controle de transação. Ambiente de controle Controle de processo Controle de transação Figura 23 – Níveis hierárquicos de controle Adaptada de: Pardini (2019, p. 18). 41 AUDITORIA E FORMAÇÃO DE AUDITORES De acordo com Pardini (2019), o ambiente de controle é composto por políticas, alçadas de responsabilidade, segregação de responsabilidade, padrões de desempenho, processo de prestação de contas, programa de integridade etc. A responsabilidade por esse nível é da alta gestão e dos colaboradores diretos. Por sua vez, no controle de processo, como mencionado por Pardini (2019), são definidos os procedimentos para o atendimento das políticas e os padrões de desempenho do processo
Compartilhar