Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 6 AUDITORIA INTERNA DE GESTÃO Prof. Hamilton Edson Lopes de Souza 2 TEMA 1 – CONCEITOS E TIPOS DE RISCOS Todo ambiente de negócio apresenta riscos de várias naturezas, tanto no âmbito estratégico, quanto no operacional, decorrentes das diversas vulnerabilidades, inerentes às atividades ou geradas pela falta de controles, o que por si só já pode gerar ameaças de magnitudes e extensões diversas. Reconhecer a existência e a dimensão dos riscos corporativos, e a forma de mitigá-los, é mais importante do que correr riscos por falta de conhecimento das ameaças que podem estar afetando ou que irão impactar o futuro da organização. Mas afinal: o que é um risco? Antes de continuarmos, é preciso ter o pleno entendimento do conceito de risco. Segundo Lima (2015), a palavra risco, em suas origens, vem do latim resecare, que significa “cortar, separar com uma pedra”. O significado original vem da noção de perigo que os marinheiros tinham ao navegar perto de rochas perigosas e pontiagudas. No entendimento mais moderno, Santos (2002), afirma que risco “é o grau de incerteza em relação à possibilidade de ocorrência de um determinado evento, o que, em caso afirmativo, redundará em prejuízos”. Assim, para ter um entendimento com foco organizacional, podemos concluir que risco expressa uma probabilidade de ocorrências de possíveis danos em um período específico de tempo ou em um dado número de ciclos operacionais. Pode ser indicado pela probabilidade de um acidente multiplicada pelo dano monetário, em vidas ou unidades materiais. O risco é, portanto, susceptível a qualquer atividade, podendo ser de qualquer natureza e ter perspectiva e impactos que podem ser negativos ou positivos, mas que normalmente são mais negativos. É bom lembrar que o risco sempre estará presente nas atividades de qualquer organização, variando apenas o seu nível de criticidade de baixo ou alto nível de perigo, dependendo das medidas de controle existentes. Sabendo que o risco é inerente ao negócio e que não existe forma prática de não ter riscos, cabe à alta administração determinar o nível de risco considerado aceitável, e assim poder mantê-lo nesse limite. Todo risco tem uma origem que pode ser interna ou externa. Normalmente, são provenientes de ações diretas voluntárias ou involuntárias de pessoas e técnicas, oriundas de falhas de equipamentos, e/ou materiais, e incontroláveis, 3 originadas pela ação da natureza ou de ações do contexto institucional, tais como o governo, social, econômico, juros, câmbio, entre outros. Outro ponto que gera dúvida está relacionado com a distinção entre risco e ameaça. Embora se pense em semelhança, há uma diferença sutil quanto à potencialidade e probabilidade de danos, a seguir demonstrado: No risco: a probabilidade do dano é real; se ocorrer, necessariamente haverá alguma perda; Na ameaça: o dano é apenas potencial; se ocorrer, poderá haver perda ou não. Com base nessa compreensão, em um processo de gestão de riscos de uma organização, devem ser mapeados os processos e aspectos mais relevantes e as ameaças associadas a eles, em termos de criticidades, vulnerabilidades, probabilidades de ocorrência e impactos gerados. Os riscos identificados são mitigados à medida que são estabelecidos procedimentos, controles e uma proteção adequada a cada circunstância identificada, corrigindo os existentes e reduzindo a probabilidade de ocorrência das futuras ameaças. 1.1 Tipos de riscos Como já mencionamos, os riscos podem ser oriundos de fontes internas e externas. Existem vários tipos de riscos que podem ocorrer em uma organização, podendo ser estratégicos ou operacionais; uma vez tendo ocorrido, as suas ameaças geram reflexos de magnitudes e extensões diversas. A seguir, alguns riscos mais considerados no gerenciamento dos riscos corporativos, tanto do macro quanto do microambiente da organização: Riscos sistêmicos: a organização praticamente não tem controle de ação sobre eles. Nesta categoria estão os riscos relacionados com política, legislação e cenário econômico (inflação, globalização da economia, juros, câmbio, renda per capita, bolsa de valores, greve setorial), além de riscos demográficos e sociais; Riscos contábeis/financeiros: são aqueles relacionados com as atividades e decisões tomadas no Contábil e Financeiro da empresa, tais como: crédito e atividades bancárias, liquidez, capital de giro, inadimplência, captação de recursos, investimentos, empréstimos, política 4 de custos e despesas, aspectos tributários, endividamento de curto e longo prazo; Riscos clientes: são os riscos gerados no relacionamento com os clientes, tais como demanda de vendas, dependência, política de crédito, ciclos econômico e financeiro (prazos), gerenciamento da inadimplência, preço, assistência técnica, qualidade, gerenciamento do relacionamento com os clientes, imagem; Riscos TI e sistemas de informação: consistem nos riscos gerados pelo uso da tecnologia de informação e dos sistemas de informação, tais como inovações em redes, hardware, software, proteção em internet, política de acessos, segurança das informações, plano de segurança, plano de continuidades, níveis de serviços, automação, invasões externas; Riscos fornecedores: tratam-se dos riscos relativos às ameaças geradas pela cadeia de suprimento, tais como origem da matéria prima, qualidade, greve, distribuição, dependência, motivos ecológicos, prazo, entrega, garantia, assistência, estoques; Riscos concorrentes: consiste na avaliação das ações dos concorrentes quanto à entrada de novos concorrentes, existência e lançamento de produtos ou serviços similares ou novos, fusões de concorrentes, parcerias e alianças entre concorrentes, inovações; Riscos operacionais: nesta categoria se encontram os riscos decorrentes de ameaças internas, oriundas das atividades e da própria estrutura da organização, tais como: greves, infraestrutura (falhas), equipamentos (manutenção, falhas, obsolescência), processos, produção, logística, compras, erros, ocorrência de fraudes, gestão, sucessão, estoques, documentação, não conformidades normativas e de legislação; Riscos ambientais: consistem de riscos gerados por ameaças originadas pela gestão ambiental da organização, tais como passivos ambientais, gerenciamento de resíduos, tratamento dos impactos ambientais nos processos, instalações e produtos, poluição, não conformidades com legislação; Riscos humanos: são os riscos gerados pelas ações das pessoas, tanto internamente, quanto à força de trabalho, quanto externamente, com terceiros. São exemplos: passivos trabalhistas, capacitação, rotatividade, motivação, vandalismo, sabotagem, roubos, aspectos jurídicos; 5 Riscos naturais: nesta categoria de riscos, as ameaças existentes são de pouco controle da organização, pois são geradas contingencialmente, tais como descargas atmosféricas, inundações, catástrofes, terremotos. TEMA 2 – GERENCIAMENTO DE RISCOS CORPORATIVOS (GRC) Para que se possa obter uma visão e gestão estruturada e sistematizada do contexto dos riscos, deve-se buscar a implantação de um processo de gestão de riscos, normalmente denominado como Gerenciamento de Riscos Corporativos (GRC). Podemos afirmar que o GRC é um conjunto de atividades estruturadas, sistematizadas e contínuas, que visam o direcionamento e o monitoramento dos eventos e/ou situações de riscos da organização, que de alguma forma possam dificultar ou até comprometer seus objetivos estratégicos e/ou funcionais. O processo de GRC compreende atividades que buscam identificar, analisar, tratar e monitorar os riscos empresariais da organização. A gestão dos riscos corporativos é de responsabilidade de todos os profissionais da organização, desde o planejamento estratégico e alocação de recursos até asáreas de negócios. Normalmente, essas atividades são realizadas por um grupo ou comitê de riscos da administração da empresa, com supervisão da direção da empresa e do Conselho de Administração, quando houver sistema de Governança Corporativa, que é constituída por representantes das áreas da empresa e eventualmente por consultores externos e auditores internos da empresa. Esse grupo ou comitê será responsável pelo desenvolvimento de um mapa ou matriz de riscos. Podemos considerar como principais benefícios da gestão dos riscos a maior probabilidade de alcance dos objetivos e uma visão sistêmica dos riscos existentes no negócio, além de minimização de crises, identificação dos riscos que podem ser assumidos e melhoria na tomada de decisões. Alinhado ao COSO, segundo o The Institute of Internal Auditors – IIA, o GRC deverá atender as seguintes finalidades: Alinhar os limites de risco da organização com as estratégias definidas, ou seja, determinar o “apetite” de risco; Fortalecer as decisões em resposta aos riscos; Reduzir as contingências e os prejuízos operacionais decorrentes; 6 Identificar e administrar riscos múltiplos e entre diversos empreendimentos; Identificar e aproveitar as oportunidades para o negócio; Aperfeiçoar o capital e os resultados de desempenho. Como base para estabelecer o gerenciamento de riscos, as organizações têm utilizado os parâmetros do Committee of Sponsoring Organization of The Treadway Commission – COSO, organização privada independente criada em 1985, nos Estados Unidos, que tem se dedicado na melhoria da qualidade das informações financeiras, incentivando a ética nos negócios, a eficácia dos controles internos e a governança corporativa. Além disso, se dedica ao estudo dos reportes fraudulentos, com recomendações às organizações, aos auditores, a órgãos de regulação e a instituições de ensino. Seus principais patrocinadores e representantes são oriundos da indústria, e também contadores, empresas, órgãos de classe e a Bolsa de Nova York. Em 1992, o COSO publicou o Internal Control – Integrated Framework, para auxiliar as organizações no processo de avaliar e aperfeiçoar seus sistemas de controles internos. Posteriormente, em 2001, apresentou o Enterprise Risk Management – ERM (Gerenciamento de Riscos Corporativos – GRC), conhecido na prática como COSO II. Em 2013, houve uma pequena revisão e atualização, complementando a versão anterior. Além do framework COSO II, as organizações também usam como referência para gerenciamento de riscos corporativos a NBR ISO 31000 (2009). Para finalizarmos e sintetizarmos este tópico, podemos afirmar que o gerenciamento de riscos, tendo como base o COSO, se resume nos seguintes pontos: Identificação das ameaças existentes: inicia-se a preparação da matriz de risco, identificando primeiramente as áreas a serem consideradas e as suas respectivas ameaças e possíveis riscos; Análise dos riscos identificados: por meio de uma metodologia que determine o grau de criticidade, avaliam-se as ameaças e riscos eminentes, quanto ao grau de criticidade dos impactos causados, à probabilidade de ocorrência e à necessidade de ações de mitigação; Priorização dos riscos avaliados: com base nos resultados da análise, avaliam-se quais riscos merecem ser priorizados, quanto à sua minimização a curto, médio e longo prazos; 7 Tratamento das medidas: uma vez priorizados os riscos críticos, estuda- se as alternativas de solução, preventivamente e corretivamente, para posteriormente estabelecer planos de ação; Resposta a riscos: esta etapa se refere ao alinhamento dos riscos com a tolerância em assumi-los, e com o “apetite” ao risco. Nesse momento, já se conhece todas as ameaças e riscos existentes na organização e as suas dimensões, o que permite a ação de resposta para a tomada de decisões. Nesse momento, será possível definir três respostas aos riscos, que podem ser a “Aceitação plena do risco”, “Recusa total do risco” e o que na maioria ocorre, a “Redução do risco”: Comunicação e monitoramento: nesta etapa realiza-se a comunicação de informações importantes para a condução do processo a todas partes interessadas, bem como o controle e acompanhamento das ações realizadas durante todo o processo de gerenciamento de riscos, com relação à sua eficácia e eficiência. Ainda nesta etapa, com os resultados do monitoramento, é feita uma revisão. TEMA 3 – O PAPEL DA AUDITORIA BASEADA EM RISCOS - ABR A Auditoria Baseada em Riscos (ABR) é uma atividade independente, normalmente executada por auditores da auditoria interna, que tem como objetivo principal a avaliação e consultoria interna, quando for o caso, da eficácia do processo de Gerenciamento de Riscos Corporativos (GRC) da organização. Provavelmente haverá uma dúvida quanto a diferença entre a auditoria baseada em riscos e a auditoria tradicional. Devemos lembrar que a auditoria baseada em riscos proporciona uma determinada visão. A Auditoria Baseada em Riscos, em comparação com a auditoria tradicional, demanda que a organização implante um processo adequado de gestão de riscos, em todas as suas etapas, para que assim ela possa atuar, enquanto que o escopo da auditoria tradicional não exige esse requisito. 3.1 Diferenças da ABR e a auditoria tradicional Para compreendermos melhor, podemos afirmar que a ABR proporciona uma visão mais ampla e flexível, pois aplica testes em processos cujos riscos foram identificados na matriz de riscos, sendo esses testes focados nos controles 8 que reduzem esses riscos relevantes, prevenindo e antecipando os riscos de negócios na sua origem, sempre os relacionando com o planejamento estratégico da organização. Já a auditoria tradicional se baseia na avaliação da organização e seus controles, normalmente verificando o ocorrido. Seus testes são focados em todos os controles e nem sempre há um alinhamento direto com os objetivos estratégicos da organização. Segundo Pinho e Bezerra (2015), os auditores que atuam na ABR têm necessidade de adotar algumas mudanças em sua forma de trabalhar, para se adequar a esse tipo de atividade. A primeira mudança está na forma de olhar a organização, que deve ser mais abrangente, integrada, sistêmica e não fragmentada. No Quadro 1, para melhor entendimento, apresentamos as diferenças entre a auditoria interna tradicional e a ABR. Quadro 1 – Diferenças da Auditoria Tradicional e da Auditoria Baseada em Riscos – ABR Auditoria tradicional Auditoria Baseada em Riscos - ABR Enfatiza os controles internos. Enfatiza a relevância dos riscos Programa de testes abrange todos os controles. Programa de testes avalia os riscos do negócio, identificados na matriz de riscos, alinhando-os com os objetivos e estratégias da organização. Verifica, detecta e reage aos riscos do negócio de forma não integrada. Antecipa e previne riscos de negócios na origem, de forma integrada Atua na maior parte do tempo com testes, validação e consolidação das informações. Atua na maior parte do tempo em levantamento e análise de informações, propiciadas pelo processo de Gerenciamento de Riscos Corporativos – GRC. Fonte: Elaborado com base em Vedode, 2009. 3.2 Abrangência de atuação da Auditoria Baseada em Riscos – ABR De acordo com o The Institute of Internal Auditors (IIA), a Auditoria Baseada em Riscos pode assumir vários papeis, variando de acordo com a circunstância de maturidade e a necessidade da organização e da própria auditoria interna. Também elenca que os principais fatores a serem considerados ao se determinar o papel da auditoria interna são: Se a atividade oferece quaisquer riscos à independência e objetividade da atividade da auditoria interna; Se é possível aperfeiçoar os processos de gerenciamento de riscos, controle e governança corporativa da organização.9 É bom lembrar que não é papel da auditoria interna gerir os riscos, pois essa é uma atividade operacional, cuja responsabilidade é da gestão da organização. As atividades da auditoria interna envolvendo a gestão de riscos constam na Normativa n. 2110 do The Institute of Internal Auditors. A seguir apresentaremos as principais atividades de atuação da Auditoria Baseada em Riscos: a. Consultoria interna: Por ocasião da implantação do processo de Gerenciamento de Riscos Corporativo (GRC), a auditoria participa como membro de grupo de trabalho ou comitê, nos primeiros estágios, visando apoio e orientação nos trabalhos, no que se refere à definição de objetivos estratégicos, conformidade, limites de aceitação de riscos e metodologias a serem adotadas para a análise de riscos. A auditoria interna disponibilizará para o grupo de trabalho as metodologias e técnicas utilizadas para a análise de riscos e controles. Outro ponto importante o suporte ao trabalho do grupo na identificação da melhor forma de se mitigar o risco. b. Avaliação do Processo GRC: essa atividade ocorrerá após implantação do processo de GRC. A auditoria interna assume o seu principal papel de auditor, avaliando se o processo está sendo implementado adequadamente. De acordo com o The Institute of internal Auditors – IIA, nesta fase os principais papeis da auditoria interna são: i. Dar garantia que o processo de GRC está ocorrendo, de forma eficaz; ii. Assegurar que os riscos estabelecidos foram corretamente estimados; iii. Avaliar todas as etapas do processo de GRC; iv. Avaliar se o processo de comunicação está ocorrendo de forma adequada para todas as partes interessadas; v. Propiciar subsídios para revisão do processo de GRC c. Plano anual da auditoria interna: independentemente do fato de a organização ter ou não um Processo de Gerenciamento de Riscos Corporativos, a auditoria interna precisa ter à sua disposição estudos sobre os riscos da organização nos seus diversos níveis, visando a elaboração do seu Planejamento Anual de atividades de auditoria, no que se refere a priorização dos trabalhos de auditoria que irá realizar no próximo período. Quando a organização não possui uma gestão de riscos, os auditores elaboram os seus próprios instrumentos para identificação dos riscos, que são 10 baseados em resultados de trabalhos realizados anteriormente e em metodologias específicas. É bom lembrar que essa verificação se restringe apenas à identificação das principais ameaças e riscos organizacionais. É pontual, não havendo a aplicação das outras etapas de um efetivo Gerenciamento de Riscos Corporativo, como por exemplo a mitigação dos riscos, pela administração da organização. Considerando que a auditoria interna não terá recursos para cobrir todas as atividades, em um período de um ano, é necessário priorizar áreas e processos, tendo como base os riscos corporativos da organização, conforme previsto na Norma 2010 do IIA. TEMA 4 – AUDITORIA INTERNA E GOVERNANÇA CORPORATIVA Antes de comentarmos sobre o papel e a relação da auditoria interna e da governança corporativa, é preciso entender exatamente o que é governança corporativa. O conceito e implantação de estruturas de Governança Corporativa ganharam mais visibilidade nos últimos anos, principalmente em decorrência de fraudes financeiras ocorridas nos Estados Unidos, em 2001, com a crise de 2008 e posteriormente no Brasil, em virtude da corrupção e da crise política. Governança Corporativa é um conjunto de mecanismos e procedimentos que garantem a sustentabilidade corporativa das organizações. Segundo o Instituto Brasileiro de Governança Corporativa (IBGC), a Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo relacionamentos entre acionistas, Conselho de Administração, Conselho Fiscal, Diretoria e Órgãos de Controle, como a Auditoria Interna e Externa. Esse sistema é composto por um conjunto de normas e práticas que definem as obrigações e responsabilidades dos acionistas controladores, de diretores e administradores da organização, servindo de guia para a maximização do valor das organizações e para a proteção de todas as partes interessadas, facilitando o acesso aos recursos e contribuindo para a sustentabilidade. Como exemplo de procedimentos de governança, podemos citar a adoção de código de ética, práticas de integridade empresarial, compliance, auditorias, estatutos de procedimentos, responsabilidade corporativa nas ações dos executivos, incluindo criminal por fraude, entre outros. 11 De acordo com o IBGC (2015), em seu Código de Melhores Práticas de Governança Corporativa, os princípios básicos de Governança Corporativa são: Transparência: trata-se da intenção de disponibilizar informações às partes interessas que sejam de seu interesse e não apenas àquelas impostas por disposições de leis ou regulamentos. A transparência nas ações da organização cria um ambiente de confiança e credibilidade entre as partes interessadas, interna e externamente. Essa transparência não se limita somente aos aspectos econômico-financeiros, mas às demais informações das diversas perspectivas da organização; Equidade: esse princípio consiste no tratamento justo e isonômico entre os diversos acionistas da organização (minoritários e majoritários) e as demais partes interessadas; Prestação de Contas (Accountability): trata-se da necessidade de os agentes da governança prestarem contas de sua atuação, de forma clara, concisa, acessível e no tempo oportuno, assumindo as responsabilidades dos atos e omissões praticados, com zelo profissional. Responsabilidade Corporativa: esse princípio está relacionado com o zelo pela viabilidade econômico-financeira da organização, com vistas à redução dos impactos negativos externos aos negócios e suas operações e simultaneamente visando a maximização dos fatores positivos, levando em consideração o modelo de negócios, os capitais financeiros, intelectual, humano, social, ambiental, imagem, entre outros, no curto, médio e longo prazo. Esse princípio também pressupõe a conduta ética dos agentes da governança na condução dos negócios. 4.1 Composição da governança corporativa A estrutura de uma governança corporativa normalmente é composta de sócios proprietários da organização e de Conselho de Administração, Conselho Fiscal, Auditorias, Comitês, Gestão Executiva da organização e Conduta e Conflito de Interesses. Vejamos uma descrição mais detalhada de cada uma das partes que compõem a governança corporativa: Sócios-proprietários: acionistas proprietários da organização, tanto minoritários, quanto majoritários, que por meio de estatutos participam de 12 assembleias para deliberações diversas, avaliando as decisões do conselho de administração e da gestão executiva; Conselho de administração: é o órgão colegiado encarregado do processo de decisão de uma organização em relação ao seu direcionamento estratégico, zelando pelos princípios, valores, objeto social e sistema de governança da organização (o seu principal componente). Além de decidir os rumos estratégicos do negócio, compete ao conselho de administração, conforme o melhor interesse da organização, monitorar a diretoria, atuando como elo entre ela e os sócios. Os membros do conselho de administração são eleitos pelos sócios. Na qualidade de administradores, os conselheiros possuem deveres fiduciários para com a organização e prestam contas aos sócios nas assembleias. De forma mais ampla e periódica, também prestam contas aos sócios e às demais partes interessadas por meio de relatórios periódicos. Conselho fiscal: é composto por integrantes do conselho de administração e tem a finalidade de fiscalizar os atos administrativos e verificar o cumprimento dos deveres legaise estatutários. Também opinam no relatório anual da administração, nas propostas dos órgãos de administração a serem submetidas à assembleia de acionistas, referentes a mudanças de capital social, na emissão de debentures ou bônus de subscrição, nos planos de investimentos, ou em orçamentos de capital, distribuição de dividendos, transformação, incorporação, fusão ou cisão. Além disso, podem denunciar atos, erros, fraudes ou crimes de não providência dos membros da gestão executiva na proteção dos interesses da organização. Outro papel do conselho fiscal é o de analisar periodicamente os relatórios de demonstrações contábeis financeiros da organização; Gestão executiva (diretoria): cabe ao diretor presidente da organização a responsabilidade pela gestão da empresa e pela coordenação da diretoria. Cada diretor deverá prestar conta ao diretor presidente e ao conselho de administração. O conselho de administração aprova a indicação de diretores e homologa os seus salários. O diretor presidente da organização e demais diretores devem assegurar a transparência nas informações para todos que tenham alguma relação com risco direto ou indireto; 13 Auditoria independente: o conselho de administração, com o auxílio do comitê de auditoria, tem a responsabilidade de estabelecer, junto com os auditores independentes (externos), o escopo de trabalho e os honorários. A auditoria independente se reportará diretamente ao conselho de administração; Comitês: visando obter maior consistência nas informações que consolidam as decisões dos membros do conselho de administração, podem ser criados comitês relacionados a diversas áreas, conforme a necessidade, tais como: comitê de auditoria, de riscos e capital, de estratégia, de recursos humanos, internacional, entre outros que sejam necessários; Conduta e conflito de interesses: é a elaboração, pela diretoria, de um código de conduta, que contenha os princípios e políticas que norteiam a organização, com a aprovação do conselho de administração, que contemple o respeito às leis do país, o compromisso de administradores e colaboradores, relacionamentos éticos de todas as partes interessadas, responsabilidades sociais e ambientais, procedimentos anticorrupção, bem como canais de denúncias. 4.3 O papel da auditoria interna na governança corporativa Geralmente, as áreas de auditoria interna das organizações que possuem estrutura formal de governança corporativa estão subordinadas ao comitê de auditoria do conselho de administração, se posicionando acima da gestão executiva (diretoria) da organização, gerando maior autonomia e independência de atuação. O conselho de administração da governança corporativa tem a responsabilidade de avaliar todos os resultados apresentados nos relatórios dos trabalhos de auditoria interna, verificando o grau de criticidade e recomendações e utilizando informações para dar apoio ao escopo da auditoria externa. Entretanto, é prioridade garantir que os processos de gerenciamento de riscos estejam funcionando corretamente. Para isso, apoia-se nos trabalhos realizados pela auditoria interna em três pontos chaves: 1. Processos de Gerenciamento de Riscos, nos seus desenhos, e quão bem estão funcionando; 14 2. Gerenciamento de Riscos, classificados como críticos e significativos, incluindo a eficácia dos controles e as respostas a eles; 3. Análise confiável e apropriada dos riscos, bem como dos relatórios sobre a posição dos riscos e controles. A normativa internacional 2130 do IIA estabelece que a auditoria interna deve avaliar e efetuar recomendações apropriadas para a melhoria do processo de governança corporativa, cumprindo os seguintes objetivos: Promover a ética e os valores apropriados dentro da organização; Garantir a gestão do desempenho eficaz da organização e a responsabilidade por prestação de contas; Comunicar de maneira eficaz, às áreas apropriadas da organização, as informações relacionadas ao risco e ao controle; Coordenar de forma eficaz as atividades e comunicar as informações entre o conselho de administração, os auditores independentes (externos), auditores internos e a administração (diretoria). Assim, finalizando este tema e citando o Instituto Brasileiro de Governança Corporativa (IBCG) (2015), a função de auditor interno evoluiu muito ao longo dos anos, deixando de ser o profissional responsável somente pela garantia de conformidade e respeito as regras internas, para um profissional comprometido com o futuro da organização, verdadeiro consultor interno, em busca da geração de valor para o negócio. TEMA 5 – AUDITORIA INTERNA E O COMITÊ DE AUDITORIA Conforme afirmamos anteriormente, nas organizações que possuem estrutura de Governança Corporativa, a auditoria interna se reportará ao conselho de administração com o apoio do comitê de auditoria. O comitê de auditoria é criado pelo conselho de administração da Governança Corporativa da organização, sendo composto, preferivelmente, por conselheiros. É um órgão de assessoramento ao conselho de administração, que auxilia no controle sobre a qualidade de demonstrações financeiras e em controles internos, visando a confiabilidade e integridade das informações, para proteger a organização e todas as partes interessadas. As principais ações previstas para o Comitê de Auditoria, segundo o IBGC (2015), são as seguintes: 15 Monitorar a efetividade e a qualidade dos controles internos da organização; Monitorar a conformidade da aplicação das leis, regulamentos, diretrizes, políticas e outros sistemas de compliance pela organização; Supervisionar a estrutura e as atividades de gerenciamento de riscos pela direção da organização, nos níveis operacionais, financeiros e estratégicos; Monitorar os aspectos de ética e conduta, incluindo a efetividade do Código de Conduta e do canal de denúncias, abrangendo o tratamento das denúncias recebidas e eventual existência de fraude; Monitorar a qualidade do processo contábil e respectivas práticas contábeis selecionadas, da preparação das demonstrações financeiras e outras informações divulgadas a terceiros; Supervisionar as atividades da auditoria interna, incluindo qualidade dos seus trabalhos, estrutura existente, planejamento anual de trabalho e resultados dos trabalhos realizados. A auditoria interna irá estabelecer o seu planejamento anual de trabalhos (ver Aula 5) e irá submetê-lo para aprovação ao comitê de auditoria; Dar suporte ao conselho de administração na contratação ou substituição do auditor independente (externo), supervisionando a sua atuação, garantindo estrutura, independência perante a organização e a qualidade dos trabalhos; Avaliar e monitorar os controles existentes para as transações da organização com partes relacionadas, bem como para a sua divulgação. O relacionamento entre a auditoria interna e o comitê de auditoria ocorrerá diretamente e sua comunicação se dará por meio de reuniões formais periódicas e por meio da apresentação dos planos de trabalho e dos relatórios de auditoria interna, aprovados pelo comitê de auditoria. 16 REFERÊNCIAS ABNT – Associação Brasileira De Normas Técnicas. Gestão de Riscos: princípios e diretrizes. NBR ISO 31000. Rio de Janeiro, 2009. AVALOS, J. M. A. Auditoria e gestão de riscos. São Paulo: Saraiva, 2009. BRASILIANO, A. C. R. Manual de análise de risco: para a segurança empresarial. São Paulo: Sicurezza, 2003. CFC – Conselho Federal de Contabilidade. Normas brasileiras de contabilidade: auditoria independente NBC TA estrutura conceitual, NBC TA 200 a 810. Brasília: CFC, 2012a. _____. Normas brasileiras de contabilidade: auditoria interna NBC TI 01 e NBC PI 01. Brasília: CFC, 2012b. CICCO, F. de. Auditoria baseada em riscos: como implementar a ABR nas organizações. São Paulo:Risk Tecnologia, 2007. DAVID M.; GEORGES M. Risk Management: chancing the internal auditors paradigm. Florida, USA: The Institute of Internal Auditors Research Foundation, 1998. GIROTRA, K.; NETESINE, S. Gestão de riscos: nos modelos de negócio. Rio de Janeiro: Elsevier/Campus, 2015. IBGC – Instituto Brasileiro De Governança Corporativa. Certificação de conselheiros de administração: material de estudo. São Paulo: IBGC, 2009. _____. Código de melhores práticas de governança corporativa. 5. ed. São Paulo: IBGC, 2015. LIMA, A. et. al. Análise de riscos envolvendo TI. Campina Grande: UFCG, 2003. LIMA, F. G. Análise de riscos. São Paulo: Atlas, 2015. MAFFEI, J. L. Curso de auditoria. São Paulo: Saraiva, 2015. MELHEM, M. G.; COSTA, R. N. da. Auditoria contábil e tributária. Curitiba: IBPEX, 2011. NASCIMENTO, A. M.; REGINATO, L. Controladoria. 2. ed. São Paulo: Atlas, 2015. 17 PINHO, R. C. S.; BEZERRA, L. B. Implantação da auditoria baseada em risco em uma entidade do “sistema S”: o caso do SEBRAE/CE. Revista Ambiente Contábil, v. 7, n. 2, p.32-52, jul./dez. 2015 RIBEIRO, O. M.; COELHO, J. M. R. Auditoria. 3. ed. São Paulo: Saraiva, 2018. SANTOS, P. S. M. dos. Gestão de riscos empresariais. Osasco, SP: Novo Século Editora, 2002. SOUZA, H. E. L. In: CAIÇARA JUNIOR, C. Sistemas Integrados de Gestão – EPR. 4. ed. Curitiba: Intersaberes, 2011. VEDODE, G. Auditoria de riscos x ISO 31000. Revista Gestão de Riscos, n. 44, p. 17-20, 2009. WANDERLEY, C. A. N. Auditoria: teoria e questões. Rio de Janeiro: Ferreira, 2011.
Compartilhar