Download PDF
ads:
UNIVERSIDADE FEDERAL DO CEARÁ UFC
FACULDADE DE ECONOMIA, ADMINISTRAÇÃO, ATUÁRIA E
CONTABILIDADE - FEAAC
MESTRADO PROFISSIONAL EM ADMINISTRAÇÃO E
CONTROLADORIA MPAC
JOSÉ EDILBRAN MAGALHÃES MADEIRA
A IMPLANTAÇÃO DAS METODOLOGIAS DE AUDITORIA
BASEADAS EM PROCESSO E EM RISCOS: UM ESTUDO DE
CASO NO BANCO DO NORDESTE DO BRASIL
FORTALEZA
2010
ads:
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
JOSÉ EDILBRAN MAGALHÃES MADEIRA
A IMPLANTAÇÃO DAS METODOLOGIAS DE AUDITORIA
BASEADAS EM PROCESSO E EM RISCOS: UM ESTUDO DE
CASO NO BANCO DO NORDESTE DO BRASIL
Dissertação submetida à Coordenação do
Curso de Pós-Graduação em Administração e
Controladoria Mestrado Profissional - da
Universidade Federal do Ceará, como requisito
parcial para a obtenção do grau de Mestre em
Administração e Controladoria.
Orientadora: Profª. Drª. Márcia Martins Mendes
De Luca
FORTALEZA
2010
ads:
M153i Madeira, José Edilbran Magalhães.
A implantação das metodologias de auditoria
interna baseadas em processo e em riscos: um
estudo de caso no Banco do Nordeste do Brasil /
José Edilbran Magalhães Madeira. Fortaleza, 2010.
150f.; 30 cm
Dissertação (Mestrado em Administração e
Controladoria) Universidade Federal do Ceará,
Faculdade de Economia, Administração, Atuária,
Contabilidade e Secretariado. Fortaleza-CE, 2010.
1. Auditoria Interna 2. Processo 3. Controle 4.
Risco. I. Título.
CDD: 657.458
JOSÉ EDILBRAN MAGALHÃES MADEIRA
A IMPLANTAÇÃO DAS METODOLOGIAS DE AUDITORIA
BASEADAS EM PROCESSO E EM RISCOS: UM ESTUDO DE
CASO NO BANCO DO NORDESTE DO BRASIL
Dissertação apresentada ao Programa de Pós-
Graduação em Administração e Controladoria
da Universidade Federal do Ceará como
requisito parcial para obtenção do grau de
Mestre em Administração e Controladoria.
Aprovada em ____/____/____
BANCA EXAMINADORA
_______________________________________________
Profª. Drª. Márcia Martins Mendes De Luca (Orientadora)
Universidade Federal do Ceará-UFC
_______________________________________________
Prof.ª Dr.ª Ana Vládia Cabral Sobral
Faculdade Christus
_______________________________________________
Prof. Marcus Vinícius Veras Machado, Ph.D
Universidade Federal do Ceará - UFC
Aos meus filhos Guilherme e Stefanie,
para que sintam motivados pela busca do
conhecimento.
AGRADECIMENTOS
A Deus, por ter me concedido a dádiva de aperfeiçoar os meus
conhecimentos.
À Prof.ª Dr.ª Márcia Martins Mendes De Luca, por seu profissionalismo,
paciência e sabedoria na orientação deste trabalho.
Aos Professores Doutores Marcus Vinícius Veras Machado e Ana Vládia
Cabral Sobral, integrantes da banca examinadora, que por meio de suas pertinentes
e valiosas sugestões contribuíram para um melhor direcionamento da pesquisa e
consequente melhoria do trabalho.
Aos amigos Klevelando Brito e Luís Alberto, pelo aconselhamento e ajuda no
enfrentamento desta jornada acadêmica.
Ao Banco do Nordeste, pelas oportunidades de capacitação profissional e
desenvolvimento pessoal, e, em especial, ao colega Dimas Tadeu, pelo apoio
incondicional nos momentos decisivos deste trabalho.
Aos colegas auditores e gestores da auditoria interna do Banco do Nordeste
que participaram do estudo, pela cooperação no trabalho de pesquisa.
À minha família, pelo suporte e compreensão durante todo o período de
desenvolvimento deste trabalho.
À minha irmã Enedite, pelo incentivo constante nos estudos.
Aos meus colegas de mestrado, que compartilharam experiências e
discussões em sala de aula durante dois anos.
"Knowledge has to be improved,
challenged, and increased constantly
or it vanishes."
Peter Drucker, 1999.
RESUMO
O reconhecimento global da necessidade de mensuração e avaliação dos controles
dos riscos nas instituições financeiras promoveu diversas recomendações e práticas
que culminaram com a convergência mundial de regulamentação, a exemplo da lei
Sarbanes Oxley e do Acordo de Basiléia, ganhando destaque o papel das auditorias
internas com a intenção de garantir a solidez e a segurança dos investimentos das
partes interessadas. Para cumprir esse desafio, as auditorias internas se
modernizaram nos seus formatos de atuação para se adequar a essa realidade. A
pesquisa analisa os impactos nas atividades desenvolvidas pela unidade de
auditoria interna do Banco do Nordeste do Brasil S/A com a utilização das
metodologias de auditoria baseadas em processo e em riscos. O estudo foi
conduzido por meio de pesquisa exploratória no formato de estudo de caso único,
utilizando os instrumentos da entrevista e de questionário para coleta de dados,
focando aspectos relacionados com a implantação da metodologia; o processo de
trabalho da auditoria interna no novo formato de atuação; o processo de
comunicação dos resultados da auditoria e aos aspectos referentes ao
conhecimento do novo modelo e a formação técnica dos seus profissionais. Os
dados foram analisados e apresentados com a utilização de gráficos e quadros
demonstrativos para descrever os impactos levantados pelos instrumentos de coleta,
nas atividades da auditoria do banco. A nova atuação da auditoria passa a adotar
novas ferramentas e instrumentos de trabalho e a focar as fragilidades e as causas
dos processos de negócio. A área de controles internos e a área de auditoria interna
do BNB trabalham com focos diferentes e suas ações são complementares. A
pesquisa revelou ainda que a auditoria interna do BNB está parcialmente aderente
aos padrões internacionais de auditoria e o seu trabalho é mais eficiente com a
implantação da nova metodologia.
Palavras-chave: Auditoria interna. Controle. Risco. Processo.
ABSTRACT
The global recognition of the needs for valuation and measurement on the risk
controls in financial institutions promoted a great deal of recommendations and
management practices which culminated at a world regulation convergence, as in the
case of the Sarbanes Oxley Law and the Basel Accord, strengthening the role of
internal auditing aiming at securing the resilience and security of investments of
interested parties. To face this challenge, the internal auditing has been updating its
practice frameworks in order to fit this reality. This research analyzes the impacts on
the practices which have been developed by the internal auditing department of the
Banco do Nordeste do Brasil S/A with the utilization of the auditing methodologies
based upon the processes and on the risks. The study is conducted through the
exploratory research of a format of a single-case study, using the interview and
questionnaire tools aimed at data assessment, focusing on the aspects related to the
implantation of the methodology; the work process of the internal auditing in the new
practice format; the communication process of the auditing results and the aspects
related to the knowledge of the new framework and technical background of the
professionals involved. The data are analyzed and presented with the help of info
charts and demonstrative schemes in order to describe the impacts, raised by the
data assessment tools, on the bank auditing practices. These new auditing practices
now utilize updated work tools and implements and focus on the weaknesses and
causes of the business processes. The internal control and the internal auditing
departments of BNB both work using different focuses, and the practices are
complementary. The research also demonstrates that the internal auditing
department of the BNB is partially following the international auditing standards, and
its practice is far more effective now with the implementation of the new
methodology.
Keywords: Internal audit. Control. Risk. Process.
LISTA DE SIGLAS
ABR
-
AI
-
AICPA
-
AUDIBRA
-
BNB
-
CCSA
-
CFC
-
CFA
-
CFE
-
CFSA
-
CGAP
-
CGU
-
CIA
-
CICA
-
CMN
-
COBIT
-
CoCo
-
COSO
-
CPA
-
CVM
-
ERM
-
IBGC
-
NBC
-
IEC
-
IIA
-
ITGI
-
ITIL
-
ISACA
-
ISO
-
OGC
-
PPF
-
SEC
-
SEST
-
SOX
-
TCU
-
TI
-
LISTA DE QUADROS
Quadro 1
-
Evolução dos conceitos de auditoria...........................................
26
Quadro 2
-
Resumo dos Tipos de Auditoria..................................................
46
Quadro 3
-
A evolução da auditoria interna - 2008 em diante.......................
66
Quadro 4
-
Normativos legais relacionados aos Controles Internos dos
Bancos........................................................................................
69
Quadro 5
-
Normativos legais relacionados ao Gerenciamento de riscos
dos Bancos..................................................................................
70
Quadro 6
-
Critério para Classificação de riscos...........................................
83
Quadro 7
-
Características das metodologias de auditoria...........................
87
Quadro 8
-
O trabalho da auditoria interna frente à maturidade de risco
empresarial..................................................................................
89
Quadro 9
-
Principais critérios para a escolha das metodologias.................
110
Quadro 10
-
Resumo do Projeto Técnico da Auditoria para Suporte da
Metodologia...............................................................................
111
Quadro 11
-
Antigas e Novas Atividades da Auditoria Interna........................
112
Quadro 12
-
Ferramentas e Instrumentos utilizados pela “nova” auditoria do
BNB.............................................................................................
113
Quadro 13
-
Melhorias na comunicação da auditoria interna..........................
114
Quadro 14
-
Atribuições básicas dos Controles Internos................................
115
Quadro 15
-
Funções da Auditoria Interna......................................................
116
Quadro 16
-
Verificação dos resultados com os pressupostos da pesquisa...
127
Quadro 17
-
Verificação dos resultados com os objetivos específicos da
pesquisa
128
LISTA DE GRÁFICOS
Gráfico 1
-
Faixa etária dos profissionais da auditoria do BNB................
104
Gráfico 2
-
Escolaridade dos profissionais da auditoria interna do BNB...
105
Gráfico 3
-
Profissionais da auditoria interna do BNB com certificação....
105
Gráfico 4
-
Profissionais da auditoria com conhecimento em língua
estrangeira..............................................................................
106
Gráfico 5
-
Aderência da metodologia implantada no BNB às práticas
de mercado e aos padrões internacionais..............................
114
Gráfico 6
-
Dificuldades enfrentadas pela auditoria na implantação da
metodologia.............................................................................
117
Gráfico 7
-
Melhorias do processo de auditoria com a implantação da
metodologia.............................................................................
118
Gráfico 8
-
Possíveis limitações no trabalho da auditoria com o uso da
metodologia.............................................................................
120
Gráfico 9
-
Conhecimento dos profissionais da auditoria sobre a
metodologia.............................................................................
122
Gráfico 10
-
Resultados Atingidos x Objetivos propostos pela auditoria
interna.....................................................................................
123
LISTA DE FIGURAS
Figura 1
-
Arcabouço conceitual de práticas profissionais do IIA..............
30
Figura 2
-
O framework do modelo CobiT..................................................
34
Figura 3
-
Etapas do processo da auditoria interna...................................
49
Figura 4
-
Framework do COSO................................................................
55
Figura 5
-
Riscos e Controles Internos impulsionando a auditoria............
62
Figura 6
-
Vinculação da auditoria interna na companhia..........................
72
Figura 7
-
Requisitos para constituição do Comitê de Auditoria................
73
Figura 8
-
Evolução Histórica das Metodologias de Auditoria...................
78
Figura 9
-
Estágios da Metodologia baseada em Processo......................
81
SUMÁRIO
1
INTRODUÇÃO.............................................................................................
15
2
AUDITORIA INTERNA................................................................................
23
2.1
Conceito e funções da auditoria interna.............................................
23
2.2
Normas e padrões de auditoria interna..............................................
32
2.3
Normas internacionais de auditoria interna do IIA..............................
35
2.4
Auditoria interna no Brasil...................................................................
39
2.5
Tipos de auditoria interna...................................................................
44
2.6
Processo da auditoria interna.............................................................
48
2.7
Auditoria interna e a governança corporativa.....................................
51
2.7.1
Sarbanes Oxley e os controles internos.........................................
51
2.7.2
Controles internos e os riscos.........................................................
52
2.7.2.1
Controles Internos........................................................................
54
2.7.2.2
Gerenciamento de Riscos............................................................
56
2.7.2.3
Gerenciamento de controles internos e de riscos pela auditoria
interna...........................................................................................
60
2.8
Novas tendências da auditoria interna...............................................
62
2.9
Auditoria Interna das Instituições Financeiras....................................
66
2.9.1
Arcabouço regulatório.....................................................................
66
2.9.2
Comitê de Auditoria.........................................................................
72
3
METODOLOGIAS DE AUDITORIA BASEADAS EM PROCESSO E EM
RISCOS.................................................................................................
78
3.1
Auditoria Baseada em Processo........................................................
79
3.1.1
Aplicabilidade de uma auditoria de processo..................................
81
3.1.2
Os riscos e os controles associados...............................................
84
3.1.3
As vantagens e desvantagens........................................................
85
3.2
Auditoria Baseada em Riscos (ABR)................................................
85
3.2.1
Aplicabilidade de uma auditoria baseada em riscos.......................
88
3.2.2
Benefícios e dificuldades da ABR...................................................
90
4
METODOLOGIA..........................................................................................
93
4.1
Tipologia da Pesquisa........................................................................
93
4.2
Ambiente e Participantes da Pesquisa...............................................
97
4.3
Coleta de Dados.................................................................................
98
4.4
Tratamento e Análise dos Dados.......................................................
101
5
RESULTADOS DA PESQUISA..................................................................
103
5.1
Perfil da Instituição.............................................................................
103
5.2
Perfil dos Participantes.......................................................................
104
5.3
Implantação das metodologias de auditoria baseadas em processo
e em riscos.........................................................................................
106
5.4
Impactos da implantação das metodologias na atividade da
auditoria interna da instituição............................................................
111
5.5
Considerações sobre os resultados...................................................
124
6
CONCLUSÕES............................................................................................
126
REFERÊNCIAS................................................................................................
130
APÊNDICES.....................................................................................................
141
1 INTRODUÇÃO
As mudanças do mundo globalizado, nos últimos anos, motivadas,
principalmente, por diversos escândalos oriundos de fraudes contábeis e financeiras
na economia americana, patrocinados por grandes corporações, a exemplo da
Enron, WorldCom, Tyco e Adelphia e, posteriormente, em países da Europa, a
exemplo das empresas Parmalat, Royal Ahold e Vivendi, contribuíram de forma
decisiva para uma mudança de pensamento no controle dos negócios das
organizações empresariais, não apenas nos mercados emergentes, a exemplo do
Brasil, Rússia, China e Índia, mas também nos países desenvolvidos.
Todos esses escândalos suscitaram importantes ajustes legais de
intervenção e de regulamentação do Sistema Financeiro Nacional e Internacional,
como a lei Sarbanes Oxley (Sox), promulgada pelos Estados Unidos em 2002, que
determina práticas de controles internos sobre relatórios financeiros para todas as
empresas com ações negociadas na bolsa de Nova York (BORGERTH, 2008). A
Sox imputa responsabilidade civil e criminal aos principais executivos de empresas
pela confiabilidade das informações financeiras e contábeis publicadas. Além disso,
a lei Sarbanes Oxley também exige que as organizações realizem avaliações dos
seus sistemas de controle e que tais avaliações sejam objeto de auditoria
(MACIEIRA, 2008a).
Na prática, a Sarbanes Oxley modificou significativamente as relações entre
a administração empresarial e as auditorias externa e interna, que passou a ter
repercussão em todo mundo em razão da própria importância da economia
americana no contexto da globalização das economias (GRAY, 2004; MOELLER,
2004).
A reboque desses acontecimentos, os trabalhos da auditoria interna, ao
mesmo tempo em que tem elevado o seu grau de importância e valorização de seus
profissionais perante aos seus dirigentes e acionistas, tem, por outro lado, sofrido
questionamentos quanto ao resultado final de suas observações; se estariam
subsidiando de maneira satisfatória as decisões da alta administração.
Segundo Almeida (2005), nos últimos anos tem havido uma tendência global
da administração das empresas no sentido de incrementar o foco na manutenção
dos controles internos para assegurar a viabilidade da informação financeira e de
16
outras divulgações das empresas; aumentar a responsabilidade pessoal do Chief
Executive Office - CEO e do Chief Financial Office - CFO sobre as demonstrações
financeiras; melhorar os mecanismos de governança e dar mais responsabilidade e
independência ao Comitê de Auditoria.
Morais (2008) lembra que a função da auditoria interna está cada vez mais
interveniente e presente no diagnóstico de situações vivenciadas pela empresa que
possam impactar a viabilidade da empresa, tais como: denúncia de fraudes e ações
de natureza ilegal, apreciação dos fatores econômicos associados ao negócio da
empresa e a própria eficiência e eficácia das organizações.
Entende-se, desta forma, que o papel desempenhado pela auditoria interna
tem se aprofundado e se desenvolvido como um reflexo das necessidades e
expectativas da organização como um todo.
Destarte, a direção das empresas utiliza cada vez mais o gerenciamento dos
riscos corporativos como estratégia para se tornarem mais lidas e competitivas.
Em que pese existir áreas específicas nas organizações com atribuição para tal
gerenciamento, tudo isso tem influenciado às auditorias internas das empresas a
repensarem suas práticas e seus modelos de trabalho, de tal forma que sua atuação
se antecipe em relação à identificação de situações-problema existentes ou em
potenciais e consigam repassar, de forma clara e fundamentada, os resultados de
avaliação tão esperados pela administração.
Sendo um dos elementos essenciais que compõem os sistemas de controles
internos de uma empresa, a auditoria interna tem um grande papel no fortalecimento
da governança corporativa, que representa acima de tudo o equilíbrio de uma visão
empresarial e outra de interesse público, passando pelos princípios, processos e
práticas de um sistema de poder, além dos mecanismos de gestão da empresa,
buscando a maximização da riqueza de seus proprietários, a minimização ou
equilíbrio dos conflitos de agência e a plena satisfação dos agentes interessados,
como fornecedores, clientes, comunidade e demais stakeholders. Entende-se por
stakeholders todas as partes interessadas, indivíduo ou grupo que possa influenciar
o negócio da empresa, quer por meio de suas opiniões ou por ações, ou ser por ele
afetado, a exemplo do público interno, dos fornecedores, dos consumidores, da
comunidade, do governo, dos acionistas, etc.
17
Na visão do IBGC (2009), o conflito de agência é a forma de dividir os
interesses dos proprietários e a gestão empresarial. Para isso, o proprietário delega
a um gestor o poder de decisão sobre sua propriedade. No entanto, os interesses do
gestor nem sempre estarão alinhados com os do proprietário, resultando em um
conflito de agência.
As auditorias internas das corporações de todo o mundo vem passando por
mudanças profundas em seu formato de atuação, conforme tendência observada em
encontros, seminários, a exemplo do Congresso Brasileiro de Auditoria Interna
CONBRAI (2009).
Para se antecipar na identificação de intempéries empresariais, gerir
situações marcadas por grande incerteza como a que vivemos no século XXI e
disponibilizar os resultados de forma satisfatória perante a alta administração, as
auditorias internas têm buscado novas metodologias com respaldo científico que
identificam nos controles de seus processos críticos os riscos de suas atividades,
evidenciadas por falhas e fragilidades, com o objetivo de avaliar, medir e
recomendar a adoção de controles que possam mitigá-los. Para suportar as
metodologias, as auditorias internas têm adquirido novos e calibrados instrumentos
existentes, implementado indicadores de desempenho, adquirido ferramentas
computacionais de tratamento de dados sofisticados como data warehouse e de
mineração de dados, além de outros investimentos em tecnologia da informação,
infraestrutura e comunicação.
Outros investimentos importantes realizados por grandes corporações
brasileiras, repercutidos pelo Instituto Brasileiro de Auditores Internos Audibra, em
palestras e seminários, estão relacionados, principalmente, aos seus profissionais,
favorecendo o intercâmbio intersetorial e empresarial, participação em fóruns de
eventos e treinamentos especializados, além de certificações a padrões
internacionais de auditoria interna para dotar esses profissionais de mais
conhecimento e habilidades, além de mudança de postura perante os novos
paradigmas enfrentados pelas auditorias.
Tais mudanças visam primordialmente prestar um melhor serviço e fazer
com que os trabalhos sejam mais qualificados quanto à sua elaboração, que possam
refletir e contemplar, de forma estratégica, os principais riscos do negócio,
18
adicionando valor aos resultados do trabalho auditado e, consequentemente,
subsidiando melhor as decisões da alta administração e de seus investidores.
Considerando que as organizações existem para gerar valor aos seus
proprietários, a expressão adicionar valor” nos trabalhos de auditoria não é
diferente. Esse valor intrínseco é observado no desenvolvimento de produtos e
serviços por meio do uso de seus recursos para esse fim. É pela percepção dos
auditores internos, durante os trabalhos de avaliação dos controles e dos riscos
associados, que são desenvolvidos os valores que podem ser extremamente
benéficos à organização. Esses valores, contidos nas informações, podem estar na
forma de consulta, aconselhamento, comunicações escritas ou através de outros
produtos que, em sua totalidade, devem ser adequadamente comunicados às
gerências apropriadas ou ao próprio pessoal da área operacional (INSTITUTE OF
INTERNAL AUDITORS IIA, 2004 - Glossary).
Assim, as mudanças por que passam as auditorias internas das instituições
financeiras, no que diz respeito ao seu foco de atuação, estão relacionadas com o
aumento da complexidade e da quantidade das operações de uma empresa,
situação essa que justificou a necessidade de criação de normas e procedimentos
internos (controles internos). Dessa forma, por determinação do Conselho Monetário
Nacional e divulgação do Banco Central do Brasil BACEN, as empresas mudaram
suas estruturas organizacionais e implantaram áreas específicas de controles
internos (BRASIL, 1998).
Essas áreas de controles internos passaram a trabalhar em atividades antes
de atuação exclusiva da auditoria interna, a exemplo dos trabalhos de conformidade
direta nos processos de negócios. As auditorias internas, por sua vez, precisaram
ser remodeladas no seu escopo de trabalho, modificando sua metodologia de
atuação, saindo da análise pontual de suas observações para uma análise mais
abrangente, estratégica e com visão ampliada dos processos, riscos e controles dos
negócios da empresa.
O documento Normas Internacionais para o Exercício Profissional da
Auditoria Interna do The Institute of Internal Auditors IIA (2004) dispõe que a
maneira adequada de desenvolver as atividades da auditoria interna para cumprir a
sua missão como fundamento da governança corporativa, atendendo aos anseios
19
institucionais, é trabalhar na estrutura (framework) da gestão dos riscos da
organização.
Seguindo essa lógica, aliada à obrigatoriedade legal imposta pela Resolução
3.056 (Brasil, 2002) ou normas de natureza mandatária, no âmbito das instituições
financeiras do setor público, que impõem à auditoria interna o cumprimento e o trato
de questões quanto à identificação e avaliação de fatores internos e externos que
possam afetar adversamente a realização dos objetivos da instituição, é esperado
que as organizações mudem suas auditorias internas para se adequar a esse novo
desafio. Alia-se a isso a necessidade de mudança inevitável nos trabalhos das
auditorias internas por razões já comentadas neste trabalho.
A partir de nova atuação da auditoria interna é que se manifesta o presente
estudo que visa contribuir para ampliação do conhecimento da Auditoria Interna no
Brasil quanto à identificação dos impactos na própria unidade de auditoria interna
frente à implementação de uma nova metodologia de trabalho.
Considerando esse contexto, pergunta-se: quais os impactos na atividade da
auditoria interna com a implantação das Metodologias de Auditoria Baseadas em
Processo e em Riscos?
O estudo envolve diversos elementos a serem identificados e analisados,
considerando o contexto de mudanças da auditoria interna, pelo que se pressupõe
que:
a) o uso das metodologias de Auditoria Baseada em Processo e de
Auditoria Baseada em Riscos requer mudanças nos processos,
instrumentos de trabalho e de comportamento dos gestores e
dos auditores internos que compõem a unidade de auditoria
interna;
b) com o uso dessas metodologias, as funções das Áreas de
Controles Internos e Gestão de Riscos e da Auditoria Interna
podem se confundir;
c) a equipe de auditoria interna conhece os novos processos e
instrumentos da nova metodologia implantada pela instituição.
20
O presente estudo tem como objetivo geral analisar os impactos nas
atividades desenvolvidas pela unidade de auditoria interna do Banco do Nordeste do
Brasil S/A com a utilização das metodologias de Auditoria Baseadas em Processo e
em Riscos.
Por intermédio dos seguintes objetivos específicos, pretende-se atender ao
objetivo geral proposto:
a) identificar as principais funções, os processos de trabalho, as
ferramentas e os instrumentos de apoio às atividades da Auditoria
Interna com a implantação das metodologias de Auditoria
Baseada em Processo e de Auditoria Baseada em Riscos no
Banco do Nordeste do Brasil S.A;
b) identificar as funções da Área de Controles Internos e Gestão de
Riscos e da Auditoria Interna, delimitando os seus campos de
atuação, a partir da implantação das metodologias de Auditoria
Baseada em Processo e Auditoria Baseada em Riscos, no Banco
do Nordeste do Brasil S.A;
c) identificar o nível de conhecimento e aderência dos gestores e
dos colaboradores (auditores internos) da unidade de auditoria
interna ao novo modelo implantado pela instituição financeira.
A metodologia implantada na empresa sob estudo, o Banco do Nordeste do
Brasil - BNB, é uma junção de duas metodologias a Auditoria Baseada em
Processo e a Auditoria Baseada em Riscos (ABR). Assim, com a intenção de
facilitar o entendimento do leitor, utiliza-se também no presente trabalho, de forma
singularizada, citações que representam uma metodologia única denominada
Auditoria de Processo com Foco em Riscos, que significa a união das duas
metodologias citadas.
O presente estudo é embasado de relevância para a comunidade científica,
em razão da escassez de pesquisas no Brasil aplicadas à área de auditoria interna,
pelo que se justifica vislumbrar a descoberta de novos saberes ou de ideias que
possam sustentar outras indagações, contribuindo, desta forma, para o
desenvolvimento e ampliação do campo de estudo.
21
A pesquisa analisa os impactos nas atividades da auditoria interna
decorrentes da implantação das metodologias no âmbito interno da própria unidade
de uma instituição financeira com o objetivo de analisá-los, considerando a
importância deles para a organização e o tratamento dado para a superação e
melhoria das atividades existentes.
Para isso, a coleta de dados primários viabiliza conhecer as situações
impactantes derivadas da nova metodologia de trabalho na auditoria interna,
relacionados aos aspectos da própria implantação da metodologia nas atividades;
nos aspectos relacionados ao processo de trabalho, comunicação da auditoria,
equipe e profissionais (auditores internos) quanto à formação, à capacitação técnica
e convicção coletiva (aceitação).
Os dados que respondem ao problema de pesquisa e também aos objetivos
propostos são colhidos por meio dos instrumentos de entrevista e de questionário
com perguntas abertas e fechadas. A pesquisa é exploratória, de natureza
qualitativa, fundamentada em um estudo de caso único.
O trabalho dissertativo está dividido em sete seções, incluindo as
considerações introdutórias que, por sua vez, abordam o contexto, envolvendo o
tema de pesquisa, a questão básica a ser respondida, a relevância do trabalho, os
pressupostos e os objetivos. Nesta introdução, também estão contidos o universo a
ser pesquisado e a estrutura, contendo as partes que compõem o trabalho.
O referencial teórico apresenta-se em duas seções sequenciadas à
Introdução. A seção dois trata sobre a auditoria interna, contendo as funções, os
tipos, o processo, as normas e padrões, a relação com a governança corporativa,
gerenciamento de riscos e controles internos, as tendências e o contexto da
auditoria interna nas instituições financeiras. A seção três discorre sobre as
metodologias de Auditoria Baseada em Processo e da Auditoria Baseada em Riscos
(ABR), destacando os fundamentos, a aplicabilidade, o tratamento dos riscos e
controles, suas vantagens e limitações.
Na seção quatro, está disposta a abordagem metodológica, apresentando as
escolhas e justificativas do pesquisador quanto ao tipo de pesquisa, ambiente da
pesquisa e os métodos para a coleta, análise e interpretação dos dados. Enfim, a
seção faz o detalhamento da estratégia utilizada para a condução do trabalho.
22
A seção cinco apresenta os resultados do trabalho, contendo: o estudo do
perfil da instituição financeira objeto da pesquisa; os aspectos relacionados à
implantação da metodologia na unidade de auditoria interna; os impactos com o
advento do uso dessa metodologia e a disposição dos resultados da análise dos
questionários em formato de gráfico e comentários, consubstanciado nas
considerações sobre os resultados.
A conclusão e as recomendações do estudo estão na seção seis, contendo
a análise dos resultados com os pressupostos assumidos na pesquisa, abordando
as considerações finais e as recomendações do pesquisador sobre as percepções e
indagações merecedoras de novos estudos.
23
2 AUDITORIA INTERNA
Esta seção trata da auditoria interna sob o aspecto de sua gênese e
evolução. Inicia pelo amplo conceito e suas funções, demonstrando os principais
enfoques atribuídos a essa atividade nas organizações empresariais ao longo do
tempo. A seção ainda mostra as normas e o padrão nacional e internacional a que a
atividade está submetida, contemplando o trabalho do profissional de auditoria
quanto ao seu perfil, proficiência e interação com a equipe e zelo pelo trabalho.
Em seguida, abordam-se os aspectos da tipificação da auditoria interna
aliado ao processo de trabalho que especifica o modo de fazer as atividades, as
ferramentas e os instrumentos de trabalho. Trata, ainda, sobre a relação da auditoria
interna com a governança corporativa, Lei Sarbanes Oxley, os controles internos e a
gestão dos riscos.
Em razão de o presente trabalho tratar da aplicação do tema em instituição
financeira, a seção também versa sobre o funcionamento da auditoria interna no
setor bancário, abrangendo o arcabouço regulatório e a atuação dos comitês de
auditoria. Por fim, têm destaque as novas tendências da auditoria interna no
contexto nacional e internacional.
2.1 Conceito e funções da auditoria interna
O termo “auditoria” é comumente lembrado para designar um conjunto de
atividades específicas realizadas nas organizações modernas. Autores como Araújo
(2001) e Gil (1992) citam que o termo “auditoria” vem do latim auditoreou audire”,
que significa “aquele que ouve”, ouvidor. Documentos antigos revelam que havia
traços relacionados ao trabalho de auditoria nos impérios caldeu e babilônico.
Segundo (2002), também existiriam registros arqueológicos de inspeção
e verificação na Suméria, cerca de 4.500 a.C, como também registros de práticas de
auditoria realizadas nos territórios romanos.
Boynton, Johnson e Kell (2002, p.34) comentam sobre a origem da auditoria
da seguinte forma:
24
Auditoria começa em época tão remota quanto à contabilidade. Sempre que
o avanço da civilização tinha implicado que a propriedade de um homem
fosse confiada, em maior ou menor extensão, a outra, a desejabilidade da
necessidade de verificação da fidelidade do último, tornou-se clara.
[…] No Egito antigo, autoridades providenciavam verificações
independentes nos registros de arrecadações de impostos; na Grécia eram
realizadas inspeções nas contas de funcionários públicos; os romanos
comparavam gastos com autorizações de pagamento; e os nobres de
castelos medievais ingleses indicavam auditores que realizavam os
registros contábeis e relatórios preparados pelos criados.
Essas comunidades teriam avanços quanto à organização política e
econômica, razão pela qual teriam adotado diversos sistemas de verificação e
controle.
A origem da auditoria é muita discutida entre os especialistas. O fato a ser
destacado é que o trabalho da auditoria estaria sempre relacionado com as
atividades econômicas na verificação da gestão sobre a propriedade do homem e
das organizações.
O histórico avanço da auditoria é proporcional ao desenvolvimento do
capitalismo e das organizações. A revolução industrial veio ditar novos conceitos,
diretrizes e técnicas ao trabalho de auditoria para atender às necessidades de
grandes corporações que surgiram.
Segundo Boynton, Johnson e Kell (2002), o início da auditoria em empresas
começou durante a revolução industrial em meados do culo XIX com a legislação
britânica que abrangia as grandes empresas do setor industrial e de transporte. Com
a produção de escala, cresceu também diversas incidências motivadas pelas
ausências dos proprietários do cotidiano dos negócios, ocasião em que justificou os
primeiros trabalhos de auditoria realizados por acionistas, que não eram
administradores das empresas, autorizados pelos demais acionistas. Esse formato
de trabalho logo foi mudado com a alteração da legislação, permitindo que outras
pessoas, não acionistas, também pudessem fazer o trabalho de auditoria. Daí
surgiram, à época, empresas especializadas nesses trabalhos, tais como Deloitte &
Co., Peat, Marwick & Michell e Price Waterhouse & Co.
Em outra versão sobre o início da auditoria moderna, as organizações
empresariais, antes de característica familiar, precisaram, ao longo do tempo, injetar
novos recursos para incrementar os negócios. Aparecia, assim, o capital de terceiros
25
e consequentemente a inclusão de novos sócios para as empresas. O grau de
desenvolvimento alcançado pelas empresas aliado à crescente quantidade e
complexidade das transações comerciais favoreceram o surgimento de uma nova
atividade profissional a auditoria, pois era necessário conhecer mais a empresa,
seus resultados financeiros e sua situação patrimonial. Para prestar esses serviços,
surgia, então, a necessidade de um profissional externo, de reputado conhecimento
que fosse independente da organização o auditor (UNIVERSIDADE
CORPORATIVA BANCO DO BRASIL, 2008, p.33).
Os autores Boynton, Johnson e Kell (2002) comentam que a experiência
britânica logo chegou aos Estados Unidos da América no final do século XIX por
meio de investidores escoceses e ingleses, acionistas de empresas fabricantes de
cerveja e companhias de estrada de ferro. O foco das auditorias era encontrar erros
nos balanços e inibir ou bloquear o crescimento de fraudes. A certificação para os
trabalhos específicos de auditoria foi concedida inicialmente no estado de New York
por meio do registro de auditores independentes (Certified Public Accountants
CPA). A partir de 1921 todos os demais estados americanos haviam autorizado a
atividade profissional do auditor.
Boynton, Johnson e Kell (2002) citam ainda que, a partir da queda da bolsa
de New York em 1929, foram identificadas deficiências no controle das informações
das companhias americanas que exigia um aprimoramento no sistema contábil e a
auditoria teve que enfrentar seu maior desafio. As demonstrações de resultados
precisavam ser acrescidas de outros ingredientes, tais como medidas de
desempenho operacional e conceito de lucro, que pudessem gerar maior
confiabilidade aos acionistas.
A partir de 1934, com a criação da Security and Exchange Comission - SEC,
nos Estados Unidos, a profissão do auditor criou um novo estímulo, crescimento e
visibilidade, pois as grandes empresas que faziam transações comerciais por meio
de ações na Bolsa de Valores foram obrigadas, com a promulgação da Lei de
Negociação de Títulos, de 1934, a utilizar-se dos serviços de auditoria, para dar
maior fidedignidade às suas demonstrações financeiras (CREPALDI, 2009).
O trabalho da Auditoria está vinculado historicamente aos resultados de sua
atuação na área Contábil-Financeira. Por isso, as diversas conceituações de
26
Auditoria ainda guardam relação com esse foco. Dessa forma, o conceito de
Auditoria continua sendo sensibilizado ao longo de sua história. A principal evolução
certamente foi desvencilhar de uma atuação com foco contábil, passando para uma
abordagem mais abrangente e sistêmica da empresa.
O conceito de auditoria apresenta outras tantas acepções, como se pode
identificar no Quadro 01. Pode-se dizer que a maioria dos conceitos citados remete-
se ao ofício do auditor quanto à verificação básica e exclusiva de informações de
natureza contábil. Entretanto, ressalta-se que a atividade de auditoria pode ser vista
por outros autores sob uma forma mais abrangente (não apenas no tocante à
contabilidade), envolvendo outros paradigmas, como a conformidade das transações
operacionais à legislação pertinente e aos normativos internos.
AUTORES
CONCEITO
William H. Bell e
Ralph S. Johns
(1942)
Auditoria é a verificação geral das contas de uma empresa para
determinar sua posição financeira, o resultado de suas operações e a
probidade de seus administradores, com o fim de comunicar o resultado
do exame aos proprietários, acionistas, gerentes, conselheiros, bolsas e
outros órgãos oficiais, síndicos, atuais ou prováveis arrendatários, futuros
interventores ou compradores, juntas de credores, agências mercantis,
hipotecários ou quaisquer outros interessados. Para verificar se houve
prestação justa de contas de um patrimônio e se os negócios foram
convenientemente administrados, para satisfação ao público, aos
doadores etc. Para verificar custos, lucros ou prejuízos de um negócio.
Para descobrir e impedir fraudes.
Pedro A. Vidal
Rivera (1955)
Auditoria é o exame de todas as anotações contábeis, a fim de
comprovar sua exatidão, assim como a veracidade dos estados ou
situações que as ditas anotações produzem.
Arthur Warren
Holmes (1956)
A auditoria é o exame de demonstrações e registros administrativos. O
auditor observa a exatidão, integridade e autenticidade de tais
demonstrações, registros e documentos.
José Alvarez Lopez
(1987)
As palavras auditoria ou censura de contas se relacionam com a revisão
e verificação de documentos contábeis, registros, livros e listagens de
contas, utilizadas no processo de captação, representação e
interpretação da realidade econômico-financeira da empresa.
NBC T 11 (1997)
A auditoria das demonstrações contábeis constitui o conjunto de
procedimentos técnicos que tem por objetivo a emissão de parecer sobre
a sua adequação, consoante os princípios fundamentais de contabilidade
e as Normas Brasileiras de Contabilidade e, no que for pertinente, a
legislação específica.
Quadro 1: Evolução dos conceitos de auditoria
Fonte: Adaptado de CREPALDI (2009).
27
AUTORES
CONCEITO (Continuação)
Antônio Lopes de Sá
(1998)
Auditoria é uma tecnologia contábil aplicada ao sistemático exame dos
registros, demonstrações e de quaisquer informes ou elementos de
consideração contábil, visando a apresentar opiniões, conclusões,
críticas e orientações sobre situações ou fenômenos patrimoniais da
riqueza aziendal, pública ou privada, quer ocorridos, quer por ocorrer ou
prospectados e diagnosticados.
Hilário Franco e
Ernesto Marra (2000)
É uma técnica contábil que compreende o exame de documentos, livros
e registros, inspeções e obtenção de informações e confirmações,
internas e externas, relacionadas com o controle do patrimônio,
objetivando mensurar a exatidão desses registros e das demonstrações
contábeis deles decorrentes.
Boynton, Johnson e
Kel (2002)
Auditoria é um processo sistemático de obtenção e avaliação de
evidências sobre ões e eventos econômicos, com objetivo de
mensurar o grau de correspondência com os critérios estabelecidos e de
comunicar os resultados a usuários interessados.
Quadro 1: Evolução dos conceitos de auditoria
Fonte: Adaptado de CREPALDI (2009).
Para o The Institute of Internal Auditors Inc. (2004, p.9), o trabalho da
auditoria interna começa dessa forma:
no início do século XX, o crescimento econômico tornou difícil para as
organizações manter o controle da suas atividades e a eficiência
operacional. A gestão perdeu o contato direto com a maioria de seus
subordinados. Para superar o problema de controlar as atividades da
organização, pessoas conhecidas como auditores internos foram
designados para analisar e relatar sobre o que estava acontecendo. As
tarefas desempenhadas pelos auditores internos variaram entre a
verificação de rotina das atividades financeiras e operacionais, a análise e
avaliação destas atividades.
É pela perspectiva do avanço conceitual da auditoria que Ramamoorti
(2003a, p.3) cita que, em meados do século XX, com o contexto de crescimento e
complexidade nos negócios, emergiu-se a necessidade de separar as verificações
internas sobre as informações, que o utilizadas pelos gestores em tomada de
decisão, das demais verificações, até então de praxe, utilizadas com o viés contábil.
Os gestores careciam de “instrumentos para avaliar não a eficiência do trabalho
realizado, mas também a honestidade dos seus subalternos”. Dessa forma, a
auditoria interna se credencia para tal fim.
A criação internacional do Instituto de Auditores Internos (IIA) em 1947
ensaiou as primeiras definições quanto ao papel do auditor interno, estabelecendo
os fatores contábeis e financeiros como as premissas da auditoria interna. O IIA
28
ainda estabelecia a inclusão no escopo de trabalho da auditoria dos assuntos de
natureza operacional. Segundo Barros (2007, p.104-105), a declaração de
responsabilidade dos auditores internos promulgada pelo Instituto de Auditores
Internos IIA se ampliaria, anos depois, contemplando os seguintes assuntos:
a) revisar e avaliar a qualidade, adequação e aplicação do controle
contábil, financeiro e operacional;
b) determinar a extensão de cumprimento das políticas, planos e
procedimentos estabelecidos;
c) determinar em que extensão os ativos da empresa são
corretamente registrados e protegidos contra danos ou perdas de
quaisquer naturezas;
d) determinar a confiabilidade dos dados contábeis e de outros
dados originados dentro da organização; e
e) avaliar o desempenho dos gerentes em cumprirem as
responsabilidades definidas.
Em New York, com a criação do The Institute of Internal Auditors no ano de
1947, o trabalho da auditoria interna passou a ser entendido de forma diferente. Os
profissionais, quase sempre vinculados ao setor de contabilidade da empresa, foram
incorporando aos seus trabalhos o foco da área administrativa, avaliando a eficácia
e a efetividade dos seus controles internos.
Assim, passo a passo, a auditoria interna foi abrangendo todas as áreas da
organização. Quanto à estrutura organizacional, a auditoria interna passou a ser
subordinada diretamente à alta administração da empresa em razão da garantia de
uma das normas de atributos a independência, proferida pelo The Institute of
Internal Auditors.
Ramamoorti (2003a, p.5) definiu a auditoria interna, à época, preparando
o que seria a atividade no futuro, passando para uma orientação de auditoria
operacional, deixando claras as diferenças da função da auditoria interna e externa
no âmbito empresarial:
A auditoria interna, portanto, surge como um segmento especial do vasto
campo da contabilidade, que utilizam as técnicas básicas e método de
auditoria externa. O fato de o auditor externo e o auditor interno usarem
29
muitas das mesmas técnicas que muitas vezes leva a uma suposição
errônea de que pouca diferença no trabalho ou nos objetivos finais. O
auditor interno, como qualquer outro auditor, está preocupado com a
investigação da validade da representação dos fatos, mas no seu caso, as
representações com as quais ele é causa abrangem uma gama muito mais
ampla e se referem a muitas questões em que a relação com a
contabilidade é, muitas vezes, algo remoto. Além disso, o auditor interno,
sendo um funcionário da empresa, tem um interesse maior em todos os
tipos de operações da companhia e é naturalmente interessado em ajudar a
tornar essas operações sejam tão rentáveis quanto possíveis. Assim, em
maior medida, os serviços de gestão sensibilizam o seu pensamento e sua
abordagem geral. (tradução do autor)
Conforme exposição de Almeida (1996), a auditoria interna veio para suprir
as exigências da alta administração e, por consequência, as mudanças sempre tão
constantes do mercado. Para isso, fazia-se necessário a existência de profissionais
com conhecimento específico para realizar auditorias periódicas que pudessem
abranger além das áreas que trabalhavam com as informações contábeis e
financeiras, até então utilizadas, as demais áreas que executavam atividades chave
da empresa.
Sobre as mudanças significativas nas atividades da auditoria interna ao
longo do tempo, Castanheiras (2007) destaca que a atividade de auditoria interna
passou por dois momentos marcantes em sua atuação. Inicialmente trabalhou no
campo da observação com um viés aplicado puramente à informação contábil. Esse
procedimento explica-se porque faz parte da sua própria origem o ato principal de
conferir os dados das demonstrações contábeis das organizações empresariais. A
partir dos anos 1940, o enfoque da auditoria interna se amplia e começa a trabalhar
no formato de sistema de controles internos situação atual de diversas empresas
no mercado.
Para o Conselho Federal de Contabilidade CFC (2003), por meio da
Resolução CFC-986/03NBC-T12, a auditoria interna tem a seguinte função:
12.1.1.3. A Auditoria Interna compreende os exames, análises, avaliações,
levantamentos e comprovações, metodologicamente estruturados para a
avaliação da integridade, adequação, eficácia, eficiência e economicidade
dos processos, dos sistemas de informações e de controles internos
integrados ao ambiente e de gerenciamento de riscos, com vistas a assistir
à administração da entidade no cumprimento de seus objetivos.
12.1.1.4.A atividade de Auditoria Interna está estruturada em
procedimentos, com enfoque técnico, objetivo sistemático e disciplinado, e
tem por finalidade agregar valor ao resultado da organização, apresentando
subsídios para o aperfeiçoamento dos processos, da gestão e dos controles
internos, por meio da recomendação de soluções para as não-
conformidades apontadas nos relatórios.
30
Em 2006, o Instituto dos Auditores internos do Brasil - Audibra, filiado ao The
Institute of Internal Auditors (IIA), traduzindo para o português, definiu a auditoria
interna da seguinte forma:
É uma atividade independente e objetiva que presta serviços de avaliação
(assurance) e de consultoria e tem como objetivo adicionar valor e melhorar
as operações de uma organização. A auditoria auxilia a organização a
alcançar seus objetivos adotando uma abordagem sistemática e
disciplinada para a avaliação e melhoria da eficácia dos processos de
gerenciamento de riscos, de controle, e governança corporativa
(INSTITUTO DOS AUDITORES INTERNOS DO BRASIL, 2006, p.5).
A transição e a evolução do conceito da auditoria interna trazem diversos
elementos “novos”, como o trabalho de consultoria, abordado pelo Institute of
Internal Auditors IIA e que devem ser assimilados e testados pela auditoria das
empresas ao longo dos anos.
Baseado no esboço de Boynton, Johnson e Kell (2002, p.933), modificado
por Barros (2007, p.108), o arcabouço representado pela Figura 1 foi desenvolvido a
partir da divulgação das normas e padrões internacionais do The Institute of Internal
Auditors (IIA) para demonstrar a estrutura conceitual das práticas profissionais de
auditoria.
Figura 1 Arcabouço conceitual de práticas profissionais do IIA
31
Fonte: Barros (2007, p.108).
A Figura 1 representa a auditoria interna cercada de todos os elementos que
constituem a atividade, incorporando as normas de implementação de serviço de
assurance, normas de serviço de consultoria, normas de atributo e de desempenho,
os procedimentos, o código de ética e as diretrizes, formando um conjunto
hierárquico de orientações para o uso das auditorias internas.
As funções da auditoria estão resumidas em documento divulgado pelo The
Institute of Internal Auditors IIA (2004, p.61). O escopo de seu trabalho é avaliar se
o conjunto de gestão de riscos, controles e processo de governança, conforme
planejado estrategicamente pela administração é adequado e funciona de maneira a
assegurar que:
a) os riscos são apropriadamente identificados e gerenciados;
b) a interação com os grupos de governança ocorram como
necessário;
c) as informações relevantes no plano financeiro, gerencial e
operacional sejam precisas, confiáveis e prestadas de forma
pontual;
d) as ações de empregados estejam em conformidade com as
políticas, normas, procedimentos, leis e regulamentos aplicáveis;
e) os recursos sejam adquiridos de forma econômica, usados
eficientemente e adequadamente protegidos;
f) programas, planos e objetivos sejam atingidos;
g) a qualidade e a melhoria contínua sejam componentes dos
processos de controles da organização;
h) aspectos legais que impactam a organização sejam
apropriadamente reconhecidos e resolvidos.
Segundo a Universidade Corporativa Banco do Brasil (2008, p.35), a
auditoria interna deve efetuar avaliações constantes e emitir recomendações
apropriadas para a melhoria do processo de governança corporativa, com o objetivo
de:
32
a) promover a ética e valores apropriados dentro da organização;
b) assegurar a gestão do desempenho eficaz da organização e a
responsabilidade na prestação de contas;
c) comunicar de forma eficaz às áreas apropriadas da organização
as informações relacionadas a risco e controle;
d) coordenar de forma eficaz as atividades de forma que flua a
comunicação entre o conselho, os auditores externos e internos e
administração.
2.2 Normas e padrões de auditoria interna
As normas e padrões aplicáveis à auditoria interna no setor privado são
diferentes das estabelecidas para a auditoria externa. Essas normas diferem em
relação ao órgão regulador e pela própria natureza do trabalho (BARROS, 2007).
Para a auditoria interna, as normas e padrões são elaborados e divulgados
pelos institutos de auditores sem caráter mandatório ou legal. Diversos órgãos
reguladores emitem normas próprias para auditoria externas dos organismos sob
sua supervisão, como, por exemplo, a Comissão de Valores Mobiliários para as
companhias com ações negociadas na Bolsa de Valores, o Banco Central do Brasil
para as instituições financeiras, a Superintendência de Seguros Privados para as
companhias de seguro etc. Como exemplo, cita-se o caso da obrigatoriedade das
companhias abertas para emissão de relatórios e pareceres de auditores
independentes Lei 6.404 (art. 177, parágrafo 3º), a saber:
As demonstrações financeiras das companhias abertas observarão, ainda,
as normas expedidas pela Comissão de Valores Mobiliários e serão
obrigatoriamente submetidas à auditoria por auditores independentes nela
registrados (BRASIL, 1976).
Quanto às instituições financeiras, a obrigatoriedade é regulamentada pela
Resolução 3.198, do Conselho Monetário Nacional (CMN) que estabelece:
Art.1º - Devem ser auditados por auditores independentes registrados na
Comissão de Valores Mobiliários (CVM) e que atendam aos requisitos
mínimos a serem fixados pelo Banco Central do Brasil:
I - as demonstrações contábeis, inclusive notas explicativas:
33
a) das instituições financeiras e demais instituições autorizadas a funcionar
pelo Banco Central do Brasil, exceto as sociedades de crédito ao micro
empreendedor. (BRASIL, 2004).
Em relação ao trabalho da auditoria interna praticado no âmbito
governamental, as normas, padrões, conceitos e diretrizes são elaborados pela
autoridade governamental. No Brasil, segundo Barros (2007, p.109), as normas
para as auditorias internas do Sistema de Controles Internos do Poder Executivo
foram definidas pelo Departamento do Tesouro Nacional por intermédio da
Instrução Normativa 16 (BRASIL, 1991). Para o Poder Legislativo e Governos
Estadual e Municipal, as normas e padrões de auditoria interna são emitidas pelo
Tribunal de Contas da União TCU.
Para os trabalhos de auditoria tanto interna como externa, as áreas que
envolvem a Tecnologia da Informação (TI) e de segurança da informação tornaram-
se de certa forma independente dos Institutos até então comentados. A natureza
especializada da auditoria de sistemas de informação aliada à necessidade da
capacitação dos seus auditores para realizar tais trabalhos forçaram a adoção de
requisitos e de padrões aplicáveis especificamente ao tipo de auditoria de TI ou de
segurança da informação. Desta forma, foram criadas as organizações especialistas
nas áreas de TI e de segurança da informação.
A Information Systems Audit and Control Association ISACA (Associação
de Auditoria e Controle de Sistemas de Informação) destaca-se por desenvolver
padrões aplicáveis globalmente, como é o caso do COBIT (Control Objetives for
Information and Related Technology), de forma a atender ao objetivo da TI (COBIT,
2000 Audit Guidelines).
Outro padrão adotado para os trabalhos de auditoria em sistema de
informação é o ITIL (Information Technology Infraestructure Library) desenvolvido
pela secretaria de comércio (Office of Government Commerce, OGC) do governo
inglês e serve como fonte de informações sobre melhores práticas e processos
relativos à prestação de TI como um serviço. O objetivo da metodologia ITIL é
adicionar valor aos negócios da empresa por meio de processos eficientes.
O ISO/IEC 27002 é uma norma internacional publicada pela International
Organization for Standardization - ISO e pela International Eletrotechnical Comission
- IEC que fornece aconselhamento de melhores práticas (guia) e orientações sobre
34
segurança da informação. A versão brasileira dessa norma é a NBR ISO/IEC 27002,
ABNT (2005) que provê controles de segurança da informação em diversas áreas,
como, por exemplo, gerenciamento de ativos, gerenciamento das operações e da
comunicação, e gerenciamento da continuidade dos negócios. Cada organização
deve adotar o conjunto de controles de acordo com a sua realidade e objetivos
estratégicos.
Figura 2 O framework do modelo CobiT
35
Fonte: Adaptado de IT Governance Institute (2007).
O CobiT e as normas (frameworks) conforme Figura 2 podem ser utilizados
em conjunto para alcançar a melhoria do processo, com o intuito de verificar se todo
o suporte de Tecnologia de Informação da empresa atende aos requisitos de
segurança, confiabilidade, qualidade e adequação ao uso.
A metodologia CobiT é um conjunto de melhores práticas que possui uma
série de recursos que podem servir como um modelo de referência para gestão da
TI, incluindo um sumário executivo, um framework, controle de objetivos, mapas de
auditoria, ferramentas para a sua implementação e, principalmente, um guia com
técnicas de gerenciamento. É indicada para todas as empresas, independente das
plataformas tecnológicas adotadas, que buscam alinhar as práticas de TI ao seu
modelo de negócio (ALBERTIN, 2005).
O CobiT é baseado no desenvolvimento conciliado de padrões existentes de
TI e de suas melhores práticas. Desta forma, o modelo do CobIT é projetado para
ser um complemento de um formato de governança na área de TI, guardando
coerência com os princípios de governança corporativa e dos objetivos estratégicos
da empresa, conforme demonstrado na Figura 2.
2.3 Normas internacionais de auditoria interna do IIA
O The Institute of Internal Auditors (IIA) publica as normas e padrões como
fins educacionais e de informação para cultivar, promover e disseminar o
conhecimento, fornecendo orientação para a atividade de auditoria interna, não
tendo uma determinação de ordem mandatária, legal ou contábil. O propósito para
o estabelecimento de normas, segundo o IIA (2004, p.2) é:
a) estabelecer princípios básicos que possam representar a prática
da auditoria interna no formato em que esta deveria ser;
b) fornecer um modelo para a execução e promoção de um amplo
portfólio de atividades de auditoria interna que possam agregar
valor à organização;
c) servir de base para a avaliação da própria auditoria interna;
36
d) incentivar a melhoria dos processos e operações da
organização.
O Institute of Internal Auditors (IIA) (2004, p.2) também promove a
profissionalização da auditoria interna, por meio das principais ações, a seguir:
a) desenvolvimento de estrutura de práticas profissionais que inclui
a definição da auditoria interna, código de ética do Institute of
Internal Auditors (IIA), normas e orientações para a prática
profissional da auditoria interna e materiais de apoio ao
desenvolvimento e à prática da atividade;
b) criação de um programa de certificação CIA (Certified Internal
Auditor);
c) publicação de periódico revista especializada denominada The
Internal Auditor”;
d) administração de programa de educação continuada.
As normas do Institute of Internal Auditors (IIA) (2004, p.5) tornaram-se
vigentes a partir de 1
o
de janeiro de 2002 e compreendem: Normas de Atributos
(série 1000), as Normas de Desempenho (série 2000) e as Normas de Implantação.
A norma da Estrutura Geral das Práticas para o Exercício Profissional da
Auditoria Interna (PPF) foi elaborada para orientação do conselho de diretores do
Institute of Internal Auditors (IIA), no sentido de organizar adequadamente uma série
de normas já existentes para a profissão. Baseado na definição de auditoria interna,
a The Professional Practices Framework abrange as Normas Internacionais
(Standards, o Código de Ética e as Orientações para as Práticas) e assim
estabelece um padrão para uma auditoria interna de classe internacional.
As normas de atributo tratam das características de organizações e
indivíduos que prestam serviços de auditoria interna. Estão distribuídas em:
a) propósito, autoridade e responsabilidade, que regulamenta a
necessidade de a empresa tornar formal a atividade de auditoria
interna, respaldado por um regulamento ou estatuto (charter),
nele especificando a modalidade e o tipo dos serviços de
avaliação (assurance) prestados à organização. Também devem
37
constar do estatuto os serviços de consultoria a serem prestados
pela auditoria interna;
b) sobre a Objetividade e Independência, a norma dispõe que a
atividade de auditoria interna deve ser independente e os
auditores internos devem ser objetivos na execução de seu
trabalho, devendo adotar uma atitude imparcial e isenta e evitar
conflitos de interesses. Dispõe ainda sobre a hierarquia do diretor
executivo de auditoria que deve estar subordinado a um nível
dentro da organização, que permita à atividade de auditoria
interna cumprir suas responsabilidades;
c) a terceira norma diz respeito à proficiência e zelo profissional do
auditor interno. Os trabalhos produzidos devem ser realizados
com a proficiência e o zelo profissional devidos. Quanto à
proficiência, a norma do Institute of Internal Auditors (IIA) (2004)
recomenda que os auditores devam possuir conhecimentos,
habilidades e outras competências necessárias ao desempenho
de suas responsabilidades individuais. A atividade de auditoria
interna, de forma coletiva, deve possuir ou obter o conhecimento,
habilidades e outras competências necessárias para
desempenhar suas responsabilidades. Ademais, o auditor interno
deve possuir conhecimento suficiente para identificar fraudes e
parte deles deve ser especialista em riscos e controles-chave
relacionado a TI.
Entende-se como regulamento ou estatuto da atividade de auditoria o
documento formal e escrito que define o propósito, autoridade e responsabilidade
da auditoria interna. Assim, segundo o The Institute of Internal Auditors (IIA) (2004),
o regulamento deve:
a) definir a posição da atividade de auditoria interna dentro da
organização;
b) autorizar acesso a registros, pessoas e propriedades físicas
relevantes ao desempenho dos trabalhos de auditoria; e
c) definir o escopo das atividades da auditoria interna.
38
Quanto ao zelo profissional, a norma do Institute of Internal Auditors (IIA)
(2004) esclarece que o auditor interno deva exercê-lo ao considerar: a extensão do
seu trabalho para alcançar os objetivos propostos; a complexidade, materialidade
dos assuntos sobre os quais os procedimentos são aplicados; a adequação e
eficácia dos processos de gestão de riscos, controle e governança corporativa; a
probabilidade de erros ou falta de conformidade significativa, além do custo
relacionado ao trabalho em relação ao benefício esperado.
A norma de atributo destaca, quanto à utilização adequada de ferramentas
de apoio ao trabalho de auditoria, a observância nos serviços de consultoria nos
aspectos quanto à expectativa do cliente, a complexidade e extensão e resultados
do trabalho além do custo associado. Ainda sobre o assunto, a norma do Institute of
Internal Auditors (IIA) (2004) recomenda que os departamentos de auditoria interna
tenham programas de desenvolvimento contínuo, de qualidade e melhoria,
contendo avaliações do programa de qualidade, revisão de desempenho da
atividade com avaliação interna e externa.
Para Barros (2007, p.112), os auditores internos precisam além dos
conhecimentos e habilidades gerais, conhecer as metodologias específicas e
adequadas ao bom desempenho e execução dos serviços de assurance e de
consultoria. Cita alguns referenciais metodológicos, como: o COSO, Controle
Interno e COSO-ERM, Turnbull Report, CoCo Report, CobiT, ITIL, ISO/IEC 27002,
que o internacionalmente reconhecidos como padrão a serem adotados nos
trabalhos de auditoria.
Aliado às normas internacionais, o trabalho do auditor interno, segundo a
Universidade Corporativa Banco do Brasil (2008, p.28-29), requer elementos tais
como:
a) adoção de modelo mental voltado à complexidade (visão de
mundo multireferencial);
b) um conjunto multireferencial de conhecimentos, mesmo que o
trabalho do auditor esteja concentrado em áreas que exijam,
precipuamente, determinados conhecimentos específicos;
c) alto grau de determinação;
39
d) capacidade de adaptação acima da média.
As qualidades inerentes ao auditor interno são importantes para o bom
desempenho da atividade. Assim, aspectos relacionados à atitude devem ser
exigidos para o profissional da auditoria, tais como comprometimento profissional,
capacidade de comunicação, adaptabilidade, iniciativa, postura ética, senso crítico,
visão sistêmica, relacionamento interpessoal, capacidade de coordenação,
dinamismo e liderança. Quanto à postura do auditor, a Universidade Corporativa
Banco do Brasil (2008, p.30) entende que:
O auditor interno contribui para a existência de um clima de cordialidade
profissional entre seus colegas da organização. O sucesso do trabalho
desenvolvimento por um auditor depende de sua habilidade no trato com as
pessoas, tanto quanto de sua capacidade técnica.
As normas de desempenho descrevem a natureza dos serviços de auditoria
interna e apresentam critérios de qualidade mediante os quais o desempenho
desses serviços pode ser medido. O ponto importante dessa norma é a
preocupação quanto ao resultado do trabalho de auditoria no aspecto da agregação
de valor à companhia. A atividade de auditoria interna deve avaliar e contribuir para
a melhoria dos processos de gestão de riscos, de controle e da governança
corporativa, aplicando uma abordagem sistemática e disciplinada.
Para isso, a norma do Institute of Internal Auditors (IIA) (2004) dispõe sobre
o planejamento que deve ser consistente com as normas da organização, que deve
basear-se na avaliação de riscos, nas informações fornecidas pela alta direção e
pelo conselho de administração. Outro aspecto relacionado diz respeito à
comunicação dos trabalhos propostos e realizados, a gestão dos recursos utilizados
e as políticas de procedimentos adotadas pelo departamento de auditoria interna.
Tudo isso, mantendo uma coordenação e estreito relacionamento com o conselho
de administração e a alta gerência da companhia.
Existem outros conjuntos de normas de implantação, ou seja, um conjunto
para cada tipo importante de atividade de auditoria interna. Assim, essas
informações tratam da aplicação das normas de atributos e foram estabelecidas
para as atividades de serviços específicos de avaliação (assurance) e de
consultoria.
40
2.4 Auditoria interna no Brasil
Este tópico trata da atuação da auditoria interna no Brasil. Dispõe sobre
aspectos históricos da evolução da Auditoria Interna no país, a utilização e a sua
importância para as grandes empresas.
Os grandes canais de informação, a exemplo da internet e da literatura
científica das academias e dos congressos, além de revistas especializadas, pouco
falam sobre a trajetória da auditoria interna no Brasil. As grandes empresas de
auditoria o as principais fomentadoras dessas informações, além do próprio
Instituto de Auditores Internos do Brasil Audibra, filiado internacionalmente, desde
o ano de 1998, ao The Institute of Internal Auditors IIA.
O início dos trabalhos de auditoria interna no Brasil está intimamente ligado
à instalação de grandes corporações estrangeiras no país. A internacionalização
das economias aliada à complexidade e a quantidade dos negócios realizados no
Brasil fizeram com que as grandes empresas multinacionais trouxessem suas
práticas ligadas aos padrões internacionais já existentes.
Com isso, as empresas nacionais foram conhecendo e se apropriando
dessas técnicas e padrões. Essa situação, de certa forma, forçou as grandes
companhias multinacionais e nacionais do setor financeiro e as de capital aberto,
inclusive empresas de economia mista, a utilizarem trabalhos especializados
prestados pelas auditorias dentro das empresas nos mais diversos setores
administrativos.
A criação do Instituto de Auditores Internos do Brasil Audibra veio a
reboque das principais mudanças econômicas e da gestão administrativa
acontecidas nos últimos 50 anos do pós-guerra, no Brasil. O Instituto foi criado em
1960 com o caráter de uma entidade civil associativa de auditores internos do país,
atuando em atividades de Auditoria Interna em qualquer modalidade, cuja missão é
a seguinte (Audibra, 2006):
a) estabelecer mediante intercâmbio de ideias, um maior
desenvolvimento técnico dos associados;
b) promover reuniões para o estudo de matérias pertinentes à
Auditoria e a realização de eventos cnico-culturais sobre
41
assuntos de Auditoria Interna;
c) desenvolver o espírito associativo dos Auditores Internos e
difundir e promover o reconhecimento e a importância da função
do Auditor Interno no âmbito dos setores privado e público;
d) promover intercâmbio com instituições técnico-culturais de
gênero análogo, nacionais e estrangeiras;
e) publicar bibliografia técnica no campo da Auditoria Interna e de
controle.
Segundo o Audibra (1992), as principais influências que possibilitaram o
desenvolvimento da auditoria no Brasil foram:
a) filiais e subsidiárias de firmas estrangeiras;
b) financiamento de empresas brasileiras através de entidades
internacionais;
c) crescimento das empresas brasileiras e necessidade de
descentralização e diversificação de suas atividades econômicas;
d) evolução do mercado de capitais;
e) criação de normas de auditoria promulgadas pelo Banco Central
do Brasil em 1972;
f) criação da Comissão de Valores Mobiliários e da Lei das
Sociedades Anônimas em 1976.
Decorridos muitos anos desde a sua criação, a organização idealizou e
coordenou o congresso nacional da categoria o CONBRAI, a partir de 1977, que
em 2009 está em sua 31ª edição. O evento tem o objetivo de disseminar
conhecimento e animar os debates em torno da prática da auditoria interna no
Brasil. Tem sido o ponto de referência e se tornado um forte meio de atualização
profissional de toda a categoria.
Segundo o IBRACON (1989), citado por Barros (2007), em 1991 o Instituto
de Auditores Internos do Brasil (Audibra) lançou a publicação das Normas
Brasileiras para o Exercício da Auditoria Interna, primeira edição, baseado nas
normas e padrões do The Institute of Internal Auditors (IIA) e na Instrução nº. 2 da
42
Secretaria de Controle da Empresas Estatais - SEST, de 05 de novembro de 1986,
que formatou as normas de auditoria interna na área blica brasileira. No ano de
1992, a entidade publicou um documento com quatro volumes denominado
“Procedimentos de Auditoria Interna”, contendo: Manual de Auditoria, Testes de
Comprovação e Exames de Auditoria, Programa de Auditoria e Relatório de
Auditoria. A ideia consubstanciada nesse material era criar um conjunto de diretrizes
para o desempenho adequado da atividade.
Com a divulgação do The Institute of Internal Auditors (IIA) em 2004 sobre
as normas internacionais (Estrutura Geral das Práticas para o Exercício Profissional
(The Professional Practices Framework PPF) contendo Standards, o Código de
Ética e as Orientações para as Práticas de auditoria interna, o Audibra lançou a
tradução dessas normas em 2006.
O Instituto de Auditores Internos do Brasil (Audibra) vem ampliando, desde
então, o leque de opções em prol da melhoria e qualificação dos profissionais de
auditoria de todo o Brasil. Para isso, desde 2000 são aplicados os exames para as
Certificações CIA - Certifield Internal Auditor, CCSA - Certification in Control Self-
Assessment, CFSA - Certified Financial Service Auditor e CGAP Certified
Government Auditing Professional.
A KPMG (2004a) patrocinou a realização da pesquisa sobre
gerenciamento de risco e governança corporativa. A pesquisa teve a preocupação
com a criação e a confiabilidade dos controles internos, além do atendimento das
exigências legais, e foi direcionada a 2000 empresas de todo Brasil dos mais
variados setores da economia. Considera-se essa pesquisa importante porque ela
trata de variáveis que são afetas diretamente à atividade da auditoria interna nas
empresas e como ela está se estruturando e trabalhando a partir daquela realidade.
Para o desenvolvimento dessa dissertação, foram escolhidos alguns dos resultados
da pesquisa KPMG (2004a) que mais se relacionam ao tratamento do assunto, a
saber:
a) 82% das empresas elegem a governança corporativa como
prioridade;
b) as empresas nacionais, notadamente as de grande porte,
intensificaram seu interesse pelos temas Gerenciamento de
43
Riscos e Governança Corporativa;
c) a Auditoria Interna tem cada vez mais assumida papel relevante
no gerenciamento de risco, liderada ou não por uma área
específica ou por um Chief Risk Officer. Em 26% das empresas
pesquisadas, a atividade do gerenciamento do risco continua
sendo exclusividade da auditoria interna;
d) a atividade da auditoria interna ganha uma nova importância nas
organizações se envolvendo com a governança corporativa,
gerenciamento de risco e no atendimento da Lei Sarbanes-Oxley.
O número das empresas que possuem departamentos de
auditoria interna cresceu 30% em relação à pesquisa passada
(de 62% para 82%);
e) 52% das empresas contam com auditoria interna com foco em TI.
Com o resultado dessa pesquisa realizada pela KPMG (2004a), percebe-se
que a auditoria interna se fortaleceu no Brasil. As empresas entenderam a
importância do gerenciamento de riscos, da governança corporativa e de outros
elementos objeto de trabalho da auditoria interna e fortaleceram seus
departamentos com intuito de aprimorá-los e dotá-los de condições para agregar
mais qualidade às decisões da alta administração.
Outro estudo realizado no Brasil com intuito de retratar o atual cenário da
auditoria interna foi coordenado pela empresa Deloitte Touche Tohmatsu (2007). A
pesquisa contou com a participação de 283 profissionais, sendo auditores internos e
executivos de negócios de grandes companhias, e apontou as principais tendências
em curso, as estratégias e o grau de aderência das organizações às melhores
práticas. Os resultados do estudo expõem ainda a relevância, os desafios, as
expectativas existentes e os principais benefícios da função da auditoria interna,
além dos pontos que podem ser interpretados como transformadores.
O estudo da Deloitte (2007) atesta o movimento de fortalecimento da
auditoria interna no País, evidenciando maior participação para o gerenciamento dos
riscos corporativos e sua crescente importância no apoio à governança corporativa.
Os resultados também ressaltam a relevância da auditoria interna na melhoria dos
processos e o tratamento dos controles internos, mostrando a perspectiva de que a
44
área deve se tornar mais preparada para enfrentar os desafios e expectativas da
organização quanto aos resultados mais valorosos de seu trabalho.
Quanto à importância e benefícios da auditoria interna, o estudo da Deloitte
(2007) revela uma confiança grande do papel da área (respostas: 77% auditores e
69% dos gestores). Em que pese essa confiança demonstrada, conforme mostra a
pesquisa, ainda desafios a serem vencidos nos trabalhos da auditoria, tais como:
comunicação, objetividade, mensuração dos resultados e conhecimento mais
amiúde do negócio da empresa.
Outra informação revelada no estudo foi em relação ao trabalho da auditoria
interna visto sob a ótica da alta administração no tocante ao gerenciamento de
riscos quanto à contribuição para a redução de custos e a otimização de receitas.
Para 51% dos executivos, um benefício claro da auditoria interna na identificação
de riscos e o seu gerenciamento. No entanto, quanto à redução de custos, 7%
alegam benefício e a otimização de receitas não foi considerada (DELOITTE, 2007).
Em relação ao quesito de qualidade da equipe da auditoria interna, a
pesquisa mostrou uma discrepância de opinião dos gestores e dos auditores
internos. No que tange ao conhecimento das características e particularidades dos
negócios da organização, à proficiência técnica nas áreas auditadas e a habilidade
para conduzir projetos especiais, os auditores se reconheceram (91%) com
conhecimento adequado. A maioria dos executivos (68%) reconhece a capacidade
técnica da equipe da auditoria como suficiente para realização dos trabalhos
(DELOITTE, 2007).
No geral, os resultados revelados nas pesquisas de 2004 e 2007, em
relação à distinção de abordagem, percebe-se que a área de auditoria interna em
diversos aspectos avança em relação à pesquisa realizada pela KPMG (2004a),
principalmente quanto à participação no fortalecimento da governança corporativa e
no gerenciamento de riscos.
2.5 Tipos de auditoria interna
Em relação à classificação de auditoria, não há porque se detalhar na
comparação de auditoria interna e externa que são focos distintos de trabalho e o
45
objeto do presente estudo repousa apenas na atividade da auditoria interna.
diversas formas de categorizar a auditoria. Alguns autores tipificam de
acordo com o objeto ou foco do trabalho a ser realizado, e, dessa forma, a
quantidade de auditorias são inúmeras, além de usarem mais de uma denominação
para um mesmo tipo. Alguns exemplos como: auditoria ambiental, auditoria contábil,
auditoria de circulação, auditoria de demonstrações financeiras, auditoria fiscal,
auditoria em segurança da informação, auditoria fiscal, auditoria social, auditoria de
riscos, dentre outras. Na realidade, a tipificação mais utilizada no universo
acadêmico diz respeito ao conteúdo de escopo da auditoria e que é adotada por
Boynton, Johnson e Kell (2002, p.31), a saber:
a) auditoria das demonstrações financeiras com o atendimento das
normas e dos princípios contábeis geralmente aceitos, esse tipo
envolve a avaliação de evidências das transações financeiras
para emissão de parecer sobre a sua adequação, cujos
resultados o distribuídos para diversos usuários como
acionistas, credores, agências reguladoras e outros interessados.
b) auditoria de compliance também conhecida como auditoria de
conformidade, esse tipo envolve a avaliação de evidências para
determinar se certas atividades financeiras ou operacionais estão
atendendo às condições, normas, procedimentos e regulamentos
pré-estabelecidos. Assim, os normativos podem ter origem das
mais variadas possíveis, como os de natureza legal, mandatário
ou interno. Um exemplo citado por Barros (2007) é uma auditoria
para atestar o grau de compliance com os requerimentos
impostos pelas disposições das seções 302 e 404 da SOX.
c) auditoria operacional conforme Boynton, Johnson e Kell (2002,
p.32), esse tipo de auditoria também chamada de gerencial ou de
desempenho, envolve a avaliação de evidências sobre o
desempenho da empresa, ou seja, a auditoria precisa obter
subsídios sobre a eficácia e a eficiência das atividades
operacionais da companhia frente aos seus objetivos planejados.
Barros (2007) chama a atenção para esse tipo que é utilizada
46
como sinônimo de auditoria interna, em razão de sua origem
apontar para as primeiras descrições de responsabilidades
assumidas pelo auditor a partir dos anos 1940.
Certamente esses três tipos de auditoria trazem em seu princípio o objetivo
de avaliar a eficácia dos controles e riscos associados às atividades, buscando
identificar os pontos para corrigi-los e aperfeiçoá-los, contribuindo para melhorias
nas práticas. O trabalho de auditoria em si pode ser de natureza corretiva e/ou
preventiva, possibilitando a aplicação de estratégias para esse fim.
Outros dois tipos de auditoria - a de qualidade e de apuração de fraudes -
não foram sinalizados por Boyton, Johnson e Kell (2002), mas são comuns nas
empresas nacionais e foram acrescidos por Barros (2007, p.140), conforme
verificado no Quadro 2.
Tipo Auditoria
Escopo
Critério de Avaliação
Produto
Demonstrações
Financeiras
Riscos, controles,
informações e
asserções acerca das
demonstrações
financeiras
Princípios contábeis
geralmente aceitos,
disposições legais,
normas e padrões de
auditoria
Opinião sobre a adequação
das demonstrações e
qualidade dos controles
relacionados
Compliance
Observância de leis,
regulamentos, políticas,
procedimentos
Leis, regulamentos
internos e externos,
políticas e procedimentos
relativos à governança,
normas e padrões de
auditoria
Assurance do grau de
observância.
Operacional
Riscos, controles,
eficiência, eficácia das
operações e do
desempenho gerencial.
Metas e objetivos da
organização, normas e
padrões de auditoria
Assurance da eficiência e
eficácia na gestão de riscos e
controles, além da
consecução das metas e
objetivos empresariais e de
governança.
Qualidade
Satisfação dos clientes e
usuários, planejamento
e execução, processos
de produção, entrega de
produtos e serviços.
Normas e padrões de
qualidade; normas
técnicas de produção de
bens e serviços
Certificado de níveis de
qualidade.
Fraude
Suspeitas e fatos
relacionados a desvios
de recursos ou
informações impróprias.
Leis, normas e princípios
de conduta.
Quantificação e
responsabilidade pelos
desvios
Quadro 2 Resumo dos Tipos de Auditoria
Fonte: Barros (2007, p.140)
47
A auditoria de qualidade consiste em verificar a aplicação das
recomendações da norma e a conformidade da execução do trabalho para uma
determinada certificação de reconhecimento público, como a ISO 9000. Segundo
Ratliff (1996), o trabalho de certificação adotado por empresas especializadas são
tradicionalmente realizadas por meio de auditorias de qualidade.
A apuração de fraude ou auditoria especial é a forma como é denominada a
apuração de irregularidades realizada pela auditoria interna. Trata-se de um tipo
não programado, atípico, que pode se reverter em algo crítico e muito importante
para empresa. Os resultados geram conhecimento além de recomendações às
áreas afins e pode retroalimentar o planejamento dos trabalhos de auditoria
tradicional. Está previsto nas normas internacionais do IIA (2004) que as unidades
de auditoria interna precisam dotar parte de seu quadro pessoal de especialidade
em fraude para trabalhar com esse tipo auditoria, muito embora as normas
prevejam que é de responsabilidade do auditor interno identificar as fragilidades que
favorecem a ocorrência de fraude nos seus trabalhos.
Aliada ao trabalho da auditoria tradicional cita-se a incidência muito comum
nas grandes empresas de um formato de auditoria não considerada por Barros
(2007), até porque incide de forma complementar ao trabalho da auditoria
tradicional. Trata-se da auditoria contínua (auditing continuos) que, segundo Moeller
(2004, p. 293), significa:
[...] o processo de instalar monitores baseados em controle nos sistemas
automatizados de forma que enviem sinais para auditores usualmente
auditores internos quando o processo automatizado acusa desvio de
limites ou parâmetros definidos pela auditoria.
na visão de Vasarhelyi (1991), a auditoria contínua tem a propriedade de
produzir resultados em breve espaço de tempo, trabalhando em conjunto com os
objetos de caráter tradicional. É, portanto, um meio de melhorar os processos de
atuação da auditoria, principalmente dos resultados.
Na verdade, esse tipo de auditoria tem característica de suporte ao trabalho
tradicional da auditoria. Segundo Heffes (2006, p.17), o desenvolvimento prático da
auditoria contínua exige um domínio de aplicação de tecnologia acentuada, pois a
envolve no tratamento de identificação dos riscos e relata as alterações nos
controles em tempo real. Por isso, as alterações no risco e indicadores de controle
48
podem ser um catalisador para uma auditoria ou identificar a necessidade de um
refinamento na avaliação dos riscos existentes. Desta forma, o ciclo de auditoria
tradicional se relaciona e se beneficia pelos subsídios apontados da auditoria
contínua que pode funcionar de forma ágil por meio de seu planejamento e
definições para o conjunto de atividades relacionadas.
A literatura acadêmica não estabelece claramente um vínculo dos métodos
de Auditoria de Processo e Auditoria com foco em Riscos, objetos dessa
dissertação, com os tipos aqui apresentados. No entanto, analisando o Quadro 2,
que apresenta o Resumo dos Tipos de Auditoria, verifica-se que os métodos são
temas relacionados aos tipos de auditoria citados. Esses métodos serão tratados
em seção específica deste trabalho.
2.6 Processo de auditoria interna
No âmbito organizacional, a auditoria interna assim como outras áreas de
uma empresa precisa ter um esboço de trabalho que possibilite ter uma visão geral e
específica sobre o andamento de suas atividades.
Desta forma, o processo de trabalho da auditoria interna segue o mesmo
rigor das demais áreas. As principais fases para se pôr em prática o ciclo completo
de uma atividade de auditoria são: planejamento, execução, comunicação de
resultados e pós-auditoria (follow-up).
A aplicação do ciclo do processo de auditoria precisa estar relacionada ao
objeto que se deseja atingir. É necessária, pois, a adoção de uma abordagem
estruturada em que a equipe de auditoria definirá os objetivos e o escopo do
trabalho a ser realizado.
Todas as etapas desempenham um papel importante na aplicação do
trabalho de auditoria de forma eficaz e eficiente, buscando um melhor
aproveitamento dos recursos disponíveis.
Conforme Ratliff (1996), demonstrado na Figura 3, o processo de auditoria
tem nove fases bem distribuídas e interdependentes. Cabe destaque a etapa do
Planejamento que pode ser dividido em tático e operacional. O primeiro tem como
objetivo determinar as questões relevantes ao gerenciamento do trabalho de
auditoria e o segundo abordar todos os detalhes que fazem parte do trabalho de
49
auditoria, tais como: escopo, procedimentos, recursos, cronograma e resultados
esperados.
Figura 3 Etapas do Processo da Auditoria Interna
Fonte: Adaptado de Ratliff (1996, p.184).
A pesquisa preliminar das operações ou p-auditoria fortalece o
conhecimento dos profissionais de auditoria sobre o objeto a ser auditado, além de
aprontar o trabalho para a execução que é a fase onde acontece a aplicação dos
testes definidos na etapa anterior. O resultado da aplicação dos testes são os
achados que são respaldados por evidência materiais. É a fase que busca os
elementos para cumprir o que foi planejado.
50
Uma das mais relevantes etapas é a de comunicação dos resultados e das
recomendações, formalizadas por intermédio do relatório que deve retratar de forma
clara e completa o resultado do trabalho da auditoria. O relatório é o produto mais
nobre da auditoria e precisa ter muito zelo na questão da comunicação. Precisa ser
bem escrito, pois é por intermédio dele que os gestores da empresa e demais
stakeholders conhecem o trabalho da auditoria e tomam as suas decisões. Sobre
esse assunto, Barros (2007, p. 127) entende que:
[...] o processo de auditoria interna é todo desenhado para produzir o
relatório de auditoria e que este cristaliza todo o trabalho empreendido e
constitui peça fundamental do processo, mas o objetivo e o produto principal
da atividade de auditoria são a avaliação e o assessoramento oferecidos à
alta administração e à gerência operacional, sendo o relatório o documento
que registra o fato.
Conforme estabelece a norma internacional do Institute of Internal Auditors
(IIA) (2004, p.36):
Os auditores internos devem informar à administração, ao comitê de
auditoria e ao Conselho ou outro corpo de governança da organização, a
natureza, extensão e resultados gerais dos trabalhos formais de consultoria
juntamente com outros relativos às atividades de auditoria interna.
A orientação para prática do IIA (2004, p.275) recomenda que as auditorias
internas tratem as recomendações de acompanhamento (follow-up) para “monitorar
e assegurar que as ações da administração tenham sido efetivamente implantadas
ou que a alta gerência tenha aceitado o risco de não haver implementado”. É a
forma de se completar o ciclo da atividade da auditoria.
As constatações verificadas nos trabalhos de auditoria são as incorreções de
natureza pontual ou não que podem justificar medidas corretivas ou saneadoras por
meio de recomendações que, por sua vez, poderão ser acompanhadas pelo trabalho
de follow-up. O processo de acompanhamento (follow-up) é o que assegurará que
as medidas corretivas ou saneadoras das áreas administrativas foram efetivamente
implantadas ou que seus dirigentes aceitaram o risco de não adotar qualquer
medida de controle.
A avaliação da auditoria é a última fase e consiste em coletar informações
durante o trabalho de todas as etapas anteriores e que poderão ter insumos de
novos trabalhos de auditoria num sistema de retroalimentação do planejamento da
auditoria.
51
2.7 Auditoria Interna e a Governança Corporativa
A auditoria interna é um dos elementos principais de composição do sistema
de controles internos de uma empresa e consequentemente tem um grande papel
no fortalecimento da Governança Corporativa. Segundo Ramamoorti (2003b, p.207),
o processo de governança lida com os procedimentos utilizados pelos
representantes das partes da organização para fornecer a correta supervisão de
risco e controle de processos administrado pela gerência. O monitoramento dos
riscos organizacionais é a garantia de que o controle seja adequado e os riscos
sejam mitigados. Porquanto, a auditoria interna contribui diretamente para a
realização dos objetivos organizacionais.
Para Barros (2007, p.142), o papel da auditoria interna para governança
corporativa tem a seguinte perspectiva:
A valorização e a cobrança sobre a Auditoria Interna têm como uma de suas
fontes primordiais o aumento da pressão que emergiu dos recentes
escândalos corporativos nos Estados Unidos e Europa, para que os
conselhos de administração e comitês de auditoria tenham uma atuação
mais efetiva em relação à governança corporativa nas empresas, sendo a
auditoria interna um dos principais, se não o principal instrumento, em
relação ao processo de gerenciamento de risco e controle interno, que pode
ser utilizado por essas instâncias para satisfazer às expectativas dos
stakeholders.
O normativo do Institute of Internal Auditors (IIA) (2004, p.221) estabelece
que a atividade de auditoria interna deva contribuir para o processo de governança
da organização pela avaliação e melhoria do processo, assegurando que: 1) os
valores e metas sejam estabelecidos e comunicados; 2) o cumprimento das metas
seja monitorado; 3) a responsabilidade seja prevalecida; e 4) os valores sejam
preservados.
2.7.1 Sarbanes Oxley e os controles internos
O assunto sobre controles internos será tratado inicialmente com ênfase na
Lei Sarbanes Oxley, no Committee of Sponsoring Organizations of the Treadway
Comission - COSO e com foco em riscos, pelo que se conceitua isoladamente, e em
seguida mostrar-se-á o seu funcionamento conjunto no âmbito da auditoria interna.
A escolha se justifica pela importância desses elementos para a consolidação das
52
atividades da auditoria interna que nos últimos anos tem trabalhado sempre com
visão nos controles internos, buscando avaliar a sua existência, sua suficiência e
observância nas atividades da empresa.
A Lei Sarbanes Oxley (2002), criada pelos Estados Unidos, também
conhecida como Public Company Accounting Reform and Investor Protection Act of
2002 e comumente chamada de SOX após diversos escândalos contábeis e
financeiros patrocinados por grandes corporações americanas, muda a relação entre
a administração das companhias, as empresas de auditoria externa e auditores
internos e consequentemente com a atuação dos controles internos. Foi posto em
“cheque” a governança corporativa em razão do declínio da confiança do público nas
práticas contábeis e de divulgação (PETERS, 2007).
Desta forma, criou-se um novo paradigma em torno de medidas mais
acentuadas nos controles internos. Segundo Gray (2004) e Moeller (2004), os
efeitos da Sarbanes Oxley logo tiveram repercussão em todo mundo em razão da
economia globalizada proporcionada pelos negócios e transações financeiras
realizadas pelas grandes empresas multinacionais nos países.
A Sox englobou assuntos como a independência de auditores, governança
corporativa e aprimorou a divulgação de informação que resulta em mais
transparência financeira (PETERS, 2007).
Com a Lei Sarbanes Oxley, as legislações dos países passaram a incorporar
exigências quanto a certificações, contendo um conjunto de procedimentos internos
para assegurar as transações e demonstrações contábeis. As auditorias
começaram, então, a ser envolvidas nos processos, passando a constar dos seus
relatórios os resultados de testes de avaliação dos controles internos.
2.7.2 Controles internos e os riscos
A atividade do controle está sempre relacionada ao ato de fiscalizar, para se
evitar desvios em relação aos padrões definidos. O controle interno teve origem na
auditoria interna e consiste na verificação que se faz nas atividades desenvolvidas
no âmbito da organização. Para D‟Ávila e Oliveira (2002, p.26), o controle interno “é
uma série de ações que permeiam as atividades de uma organização na condução
dos seus negócios ou atividades”. Em situações em que acontecem distorções e
53
anomalias fora do padrão convencionado, os controles, devem, portanto, detectá-los
e divulgá-los, para proporcionar condições de realização de ações corretivas.
Segundo Heier, Dugan e Sayers (2003), citados por Barros (2007), a
primeira formalização sobre controle interno foi realizada em 1892 pelo especialista
em auditoria Lawrance Dicksee, que na oportunidade propôs alguns procedimentos
de controle, dentre eles a necessidade de separar um conjunto de contas por tipo de
fonte de recursos (self-balance accounts), a segregação de funções e a rotação de
empregados, cuja preocupação básica era detectar a existência de fraudes e corrigi-
las.
Araújo (1998) cita a definição de Controle Interno proferida pelo American
Institute of Certified Public Accountants (AICPA):
O controle interno compreende o plano de organização e o conjunto
coordenado dos métodos e medidas adotados pela empresa, para
salvaguardar seu patrimônio, conferir exatidão e fidedignidade dos dados
contábeis, promover a eficiência operacional e encorajar a obediência às
diretrizes traçadas pela administração da companhia.
Muitas empresas nacionais, principalmente do setor bancário, criaram, por
força de legislação específica, áreas específicas para tratar do controle interno de
uma forma mais pontual e direta, ficando a cargo da auditoria interna o trabalho com
foco mais estratégico, numa perspectiva ampliada e moderna dos riscos e controles.
Segundo Peters (2007, p.39), o controle interno pode ser:
a) preventivo que tem por objetivo atuar de forma antecipada para
evitar perdas e desperdícios;
b) detectivo que visa detectar falhas nas atividades desenvolvidas;
c) corretivo que visa corrigir falhas já existentes.
4
Quanto ao seu formato na estrutura organizacional de uma empresa, o
controle interno pode variar mediante a necessidade específica de sua
administração bem como das características da atividade econômica da empresa.
O relacionamento do controle interno com a auditoria tem a seguinte
importância para Galhardo, Cresto e Crisante-Neto (2009, p.5):
O sistema de controle interno que não esteja apoiado em processos da
auditoria pode ser considerado, até certo ponto, inútil, uma vez que não é
possível confiar plenamente nas informações prestadas pelos gestores da
54
empresa. (...) a auditoria é necessária e fundamental não só na estruturação
dos controles da organização, como também na formulação de outros
planos empresariais.
O formato que gerencia o risco para um controle eficaz está relacionado à
atividade principal da empresa, portanto, deve variar de acordo com as
especificidades de cada organização. Por outro lado, as deficiências no controle
interno podem criar situações constrangedoras quanto à imagem da empresa ou de
insucesso empresarial caracterizado por perda financeira, como aconteceu no caso
do banco inglês Barings.
2.7.2.1 Controles Internos
A definição de controles internos mais amplamente aceita e utilizada nas
organizações foi produzida pelo The Committee of Sponsoring Organizations of the
Treadway Comission (COSO), um comitê formado por representantes de entidades
civis regulamentadoras, representado por uma entidade sem fins lucrativos dedicada
à melhoria dos relatórios financeiros, da ética, dos controles internos e da
governança corporativa, patrocinada por cinco associações de classe ligadas a área
financeira dos EUA. Sua definição se fundamenta num processo implementado sob
a responsabilidade do conselho de administração, diretores e gerentes da
organização, concebido a dar mais garantia aos processos de negócios,
estabelecendo, para isso, algumas categorias básicas, a saber: a) efetividade e
eficiência nas operações; b) confiabilidade dos relatórios financeiros; c) cumprimento
das leis e regulamentações pertinentes (COSO, 1994, p.13).
Essa estrutura integrada de controles internos, proporcionada pela visão do
COSO, conforme Figura 4, fornece conceitos elementares sobre controle interno e
que são aplicados por grandes corporações multinacionais. Assim, o controle interno
é composto de cinco elementos inter-relacionados, quais sejam:
a) ambiente de controle;
b) avaliação e gerenciamento dos riscos;
c) atividade de controle;
d) informação e comunicação; e
55
e) monitoramento.
Figura 4 - Framework do COSO
Fonte: Adaptado do COSO (1994).
Dias (2006) afirma que a estrutura formada pelos controles internos tem por
objetivo prevenir ou detectar a ocorrência de erros e fraudes, pois o seu
funcionamento está atrelado ao comportamento humano dentro das organizações.
Mautz (1987, p.163) conceitua os controles internos como a “expressão
usada para descrever todas as várias medidas tomada pelos titulares e gerentes de
organizações empresariais para dirigir e controlar empregados”. outros autores,
como Almeida (1996), que definem os controles internos como um conjunto de
procedimentos utilizado para os mesmos fins organizacionais citados, entretanto,
com um viés direcionado aos controles contábeis, que não é o foco desse trabalho.
Segundo Deloitte (2003) e Moeler (2004), outra metodologia voltada para
negócio é a Criteria of Control CoCo, publicado em 1995 pelo Committee of
Canadian Institute of Chartered Accountants CICA. O fundamento principal da
metodologia CoCo são os valores comportamentais para os controles internos de
uma organização. Tem como objetivo auxiliar as decisões da alta administração com
56
as avaliações de um ambiente de controle, de modo a atingir seus propósitos
organizacionais pré-definidos.
Os princípios básicos de avaliação dos controles internos na visão do
Criteria of Control - CoCo, segundo a Universidade Corporativa Banco do Brasil
(2008), são: a) responsabilidade do presidente da companhia (CEO); b) foco nos
objetivos da organização e os riscos a eles relacionados; c) abrange toda a
organização; d) conduzida por pessoas com capacitação necessária; e) fornece
relatório dos resultados ao Conselho de Administração; f) processo contínuo e
revisado constantemente.
O contexto da metodologia implica em admitir que ao realizar uma tarefa na
organização uma pessoa deve compreender antes de tudo o seu propósito principal
e possuir a capacidade adequada para tal, ou seja, deve ter informação, recurso e
habilidade.
A pessoa ainda necessitará de senso de comprometimento para realizar
bem a tarefa ao longo do tempo, devendo monitorar sua performance e o
ambiente externo para que possa aprender como melhor reali-la e quais
as mudanças que devem ser feitas. Isso vale para um indivíduo ou um
grupo de trabalho. (UNIVERSIDADE CORPORATIVA BANCO DO BRASIL,
2008).
Outras estruturas de avaliação dos controles internos divulgadas pela
Deloitte (2003) são: Turnbull Report; ACC-Australian Criteria of Control e King
Report.
Apesar de não serem objeto deste estudo, outras metodologias de controles
internos voltadas para a tecnologia da informação e segurança merecem ser citadas
pelo seu reconhecimento internacional, tais como: SAC-Sistems Auditability and
Control; COBIT- Control Objetives for Information and Related Technology, ITIL-
Information Technology Infraestructure Library e ISO 27002.
2.7.2.2 Gerenciamento de Riscos
O risco é comumente relacionado a aspecto negativo, normalmente tratado
como indesejado. É o grau de imprecisão quanto a evento que poderá acontecer. O
risco pode ser mensurado matematicamente, representando uma probabilidade de
sua ocorrência. outros diversos conceitos relacionados ao risco que se altera de
acordo com o contexto em que o fenômeno é observado.
57
O risco é demonstrado pela intensidade de propensão a fraudes ou erros
que determinada operação ou item está sujeito (CGU, 2002). Para Cocurullo (2003),
o risco está associado a qualquer situação que pode impactar a capacidade quanto
ao atendimento dos objetivos. Considera, portanto, associado a qualquer atividade
ou decisão, inclusive na vida pessoal e profissional e de qualquer organização.
De acordo com McNamee e Selim (1998), também citados por Barros
(2007), os autores caracterizam o risco em cinco dimensões distintas, a saber:
a) no gerenciamento estratégico quando o risco é entendido como
um misto de riscos e oportunidades, podendo trazer impactos
negativos ou positivos;
b) no financeiro quando o risco é um elemento de custo
(quantificável) por manter determinados ativos;
c) na segurança ambiental e saúde ocupacional quando o risco tem
foco nos perigos relacionados às atividades afins;
d) na profissão de auditoria e de analista de mercado, o risco é
encarado como potencial de perdas materiais de ativos; e
e) nos serviços de seguros quando os riscos se encontram na
distribuição probabilística das ocorrências de perdas materiais.
Tecnicamente o termo risco é diferente de incerteza. O primeiro estaria
associado com uma situação na qual se dispõe de dados e informações anteriores,
suficientes para quantificar o grau de probabilidade de um evento similar acontecer
no futuro. na “incerteza”, não estão disponíveis os dados históricos capazes de
quantificar uma possível perda (UNIVERSIDADE CORPORATIVA BANCO DO
BRASIL, 2007).
O estudo do risco tem grande uso na economia, principalmente no setor
financeiro, em razão da atividade sujeita a diversas situações impactantes, tais como
a flutuação de resultados no mercado (juros, câmbio...); inadimplência; fraudes;
falhas operacionais.
O modelo de risco do setor bancário segue um arcabouço regulatório que é
detalhado mais adiante em item específico.
58
Os riscos associados ao presente estudo estão direcionados à gestão de
risco utilizado pelo sistema de controles internos do setor bancário, especialmente
pela auditoria interna. Desta forma, o gerenciamento de risco apontará outras
definições de risco associados ao setor bancário, tais como: risco operacional, risco
de crédito, risco de mercado, risco de liquidez, risco legal e risco de imagem. Tais
riscos ainda são poucos citados na literatura, mas pela sua importância, o acordo de
Basiléia II estabeleceu regras para que os bancos passem a avaliar e a considerar
nos seus capitais.
Segundo o Basel Committee on Banking Supervision (2006, p.144), o risco
operacional “é definido como o risco de perdas resultantes de falhas dos processos
internos, pessoas e sistemas ou de eventos externos”. Esta definição inclui o risco
legal, mas exclui risco estratégico e de imagem.
O risco de crédito ou o risco financeiro diz respeito ao risco relacionado ao
não pagamento da dívida pelo tomador que pode está relacionado com capacidade
financeira, conforme citado por Gitman (1987 apud Barros, 2007), ou por outros
motivos como o desvio do crédito.
O risco de liquidez, por sua vez, assume dois aspectos quanto a sua
definição. O primeiro diz respeito ao mercado e está associado às grandes
oscilações de preços que podem impactar nas transações realizadas. O segundo diz
respeito ao fluxo de caixa e está associado à falta de recursos para quitar os
compromissos assumidos. O risco legal é a possibilidade de perda oriunda de
multas, penalidades ou indenizações, resultantes de ações de órgãos de supervisão
e controle, além de perdas em processos judiciais e administrativos
(UNIVERSIDADE CORPORATIVA BANCO DO BRASIL, 2007).
Segundo Perry e Fontnouvelle (2005), o risco de imagem ou de reputação é
um dos riscos mais indescritível por causa da dificuldade em medi-lo, bem como
pela falta de compreensão dos mecanismos que geram esse risco. O risco de
imagem está relacionado à possibilidade de perdas pelo desgaste da marca da
empresa no mercado, em razão de divulgação ou publicidade negativa, verdadeira
ou não. Perry e Fontnouvelle (2005) ainda mencionam que há vários caminhos pelos
quais o risco de reputação pode induzir perdas de uma empresa, a saber:
a) perda de atuais ou futuros clientes;
59
b) perda de funcionários ou gerentes da organização, um aumento
dos custos de contratação, ou o tempo de inatividade do pessoal;
c) redução dos parceiros de negócios atuais ou futuros;
d) aumento de custos financeiros via crédito ou aos mercados
acionários;
e) aumento de custos devido a regulamentos governamentais,
multas ou outras penalidades.
O gerenciamento de riscos de uma organização consiste em adotar um
conjunto de medidas compartilhadas que caracterizam a forma como o assunto vai
ser tratado na empresa, como o risco é considerado e avaliado nos processos de
negócios. A filosofia do gerenciamento de risco, portanto, deve estar inserida nas
políticas, estratégias, comunicações escritas, normas de conduta, indicadores de
desempenho e relatórios (COSO, 2007).
O risco é algo inerente às atividades vivenciadas cotidianamente pela
sociedade, assim:
Quando investidores compram ações, cirurgiões realizam operações,
engenheiros projetam pontes, empresários abrem seus negócios e políticos
concorrem a cargos eletivos, o risco é um parceiro inevitável. Contudo, suas
ações revelam que o risco não precisa ser hoje tão temido: administrá-lo
tornou-se sinônimo de desafio e oportunidade (BERNSTEIN, 1997, p. 7).
O gerenciamento dos riscos não tem como finalidade eliminar os riscos, pois
não se trata de um processo que se tente evitá-los, mas de gerenciá-los enquanto
existente no conjunto de atividades que faz o negócio da empresa.
A ideia é de potencializar as oportunidades a eles associadas, como definido
por Ruud (2003), e, por outro lado, minimizar os efeitos adversos por meio de
controles dos mais diversos possíveis aporque em muitos setores econômicos o
risco é inerente ao próprio negócio.
O gerenciamento dos riscos corporativos é uma matéria atual vivenciada
pelas grandes organizações em todo o mundo quanto ao aspecto da tomada de
decisões que chega a todos os níveis hierárquicos das empresas.
A esse tema está associado o trabalho da auditoria interna quanto ao
tratamento dado na avaliação de risco de controle que significa identificar a eficácia
60
dos controles internos de uma companhia quanto a sua prevenção e detecção de
erros e fraudes, além da classificação nas demonstrações contábeis (BOYNTON;
JOHNSON; KELL, 2002, p.381).
2.7.2.3 Gerenciamento de controles internos e de riscos pela auditoria interna
O contexto econômico atual vivenciado pelas organizações vem
demandando, cada vez mais, a adoção de medidas e sistemas de gerenciamento e
controle dos negócios, visando reduzir falhas e evitar problemas que coloquem em
risco a reputação da empresa perante o mercado em geral, clientes e demais
stakeholders.
Diante dessa situação, o mercado tem se mobilizado para materializar o uso
de novas metodologias e abordagens que aprofundem o acompanhamento dos
controles e riscos, avançando bem além da tradicional detectação e mensuração de
ocorrências, mas do fornecimento de alternativas de soluções. E um dos
mecanismos que se destaca é o gerenciamento de risco e dos controles internos
realizados pela auditoria interna.
Desta forma, a auditoria interna passa a ter como função principal avaliar os
processos com os seus riscos e controles associados, bem como avaliar os
controles internos que trabalham nos procedimentos de aderência às normas
regulatórias (compliance), apontando eventuais desvios e vulnerabilidade aos
objetivos traçados pela organização. Alguns eventos relacionados com gestão de
risco foram importantes, pois impactaram no trabalho da auditoria interna, tais como:
a publicação do COSO ERM (2004) e adoção das normas de auditoria do Institute of
Internal Auditors (IIA) que requerem uma avaliação de risco para elaboração do
plano anual de auditoria, desde o planejamento até a comunicação e o follow-up.
Sobre esse assunto, Barros (2007) também comenta que a auditoria interna
tem a responsabilidade de dar o suporte necessário ao conselho de administração e
gestores executivos quanto ao monitoramento dos riscos e controles internos, por
meio de serviços de avaliação e de consultoria. Para isso, a auditoria interna deve
utilizar-se dos modelos referenciais e padrões postos do mercado.
Sobre o trabalho da auditoria interna em sua atuação no risco, o Instituto de
Auditores Internos do Brasil (Audibra) (2007) definiu como gestão de risco
61
empresarial ERM da seguinte forma:
É um processo estruturado, contínuo e consistente, que se desdobra pela
companhia de uma forma integral e tem como objetivo identificar, avaliar e
decidir sobre a questão do risco, além de comunicar sobre as
oportunidades e ameaças a eles associados que possam impactar o
desempenho dos objetivos pré-estabelecidos.
Considerando a existência dos ambientes organizacionais que cuidam dos
controlo internos e do gerenciamento de risco, e que a auditoria interna também faz
parte, esses trabalhos refletem não apenas o aspecto operacional que eles
proporcionam às decisões da alta administração, mas algo muito mais abrangente e
subjacente ao seu trabalho, tais como: a atitude geral, as preocupações e as ações
dos responsáveis pela governança, gestão e outros assuntos relativamente à
importância de como tudo isso é transmitido no dia a dia sobre a cultura do controle
na organização (GONÇALVES, 2008).
O Instituto de Auditores Internos do Brasil (2006) estabeleceu pontos sobre a
evolução do papel desenvolvido pela auditoria interna. As funções críticas no
gerenciamento de risco seriam:
a) avaliar os processos de gerenciamento de risco;
b) assegurar que os riscos estão sendo avaliados corretamente;
c) avaliar os relatórios sobre “key risks” (chaves de risco);
d) revisar e acompanhar o gerenciamento dos “key risks”.
O Instituto definiu também as principais contribuições que a auditoria interna
pode trazer ao processo de gerenciamento de risco, como:
a) facilitar a identificação e avaliação de riscos;
b) treinar a gerência para responder aos riscos;
c) consolidar as diversas informações sobre riscos;
d) promover o estabelecimento e manutenção de processos de
gestão de risco (ERM, por exemplo).
O Audibra (2006) ainda determinou o que a auditoria interna não deve fazer
em relação ao gerenciamento de riscos.
a) Fixar os níveis de risco aceitáveis;
62
b) Impor / programar processos de gestão de risco;
c) Representar a gerência em relação a riscos;
d) Tomar decisões em relação a aceitar riscos; e
e) Responsabilizar-se pela gestão de riscos.
Figura 5 Riscos e Controles Internos impulsionando a auditoria
Fonte: Elaborado pelo autor a partir do IIA (2004), ATTIE (2006) e GONÇALVES (2008).
A Figura 5 demonstra as influências que o departamento de auditoria sofre
do ponto de vista dos controles internos e dos riscos que permeiam a organização.
Estão contidos nessa figura os riscos de toda natureza que podem ter influências de
origem interna e externa, inclusive de órgãos de fiscalização e controle (auditoria
externa, TCU, CGU, BACEN e outros).
2.8 Novas tendências da auditoria interna
Considerando a afirmação abaixo citado por McGee e Gartner (2004 apud
Macieira, 2008b, p.23), -se que uma exigência atual cada vez mais latente
Governança Corporativa
Conselho de
Administração
Auditoria Interna
Conselho
Fiscal
Acionistas
Controles Internos
Avaliação dos Riscos
Comitê de
Auditoria
63
pelas informações qualificadas capazes de dar uma boa sustentação à tomada de
decisão por parte dos gestores.
Trinta anos atrás, um gestor tinha a opção de ir devagar, esperando pela
informação quando decisões estratégicas importantes eram necessárias. O
gestor de hoje não tem esse luxo, o ritmo dos negócios acelerou e as
decisões são requeridas imediatamente mesmo quando a informação usada
está desatualizada.
A auditoria interna, assim como outros diversos segmentos profissionais,
tem sido sensibilizada pela evolução dos meios de comunicação, novas tecnologias
e metodologias. Neste contexto, é então exigido da auditoria interna maior qualidade
e assertividade no fornecimento dos resultados de seus produtos.
Castanheiras (2007) afirma que o momento atual aponta para uma atividade
de auditoria interna mais abrangente, ou seja, investida de desafios na busca do
alinhamento possível entre a visão dos processos, envolvendo os riscos do negócio
da empresa, tornando-se, por sua vez, mais eficaz no cumprimento de sua missão.
Dir-se-ia, portanto, que a atuação da auditoria atual estaria ou deveria estar
trabalhando com um foco mais estratégico, mas perto das decisões importantes,
daquilo que é realmente importante para a continuidade da empresa.
Krogstad Ridley e Rittenberg (1999) contemplaram em seu conceito de
auditoria interna uma nova função como sendo uma organização independente,
objetiva e de prestação de consultoria destinada a agregar valor e melhorar as
operações de uma organização. Segundo os autores, essa instituição deveria ajudar
uma companhia a alcançar seus objetivos, trazendo em seu bojo de trabalho uma
abordagem sistemática e disciplinada para avaliar e melhorar os controles
associados à gestão de riscos e, consequentemente, fortalecendo a governança
corporativa.
Dos autores Krogstad Ridley e Rittenberg (1999), destacam-se as
expressões “agregar valor e melhorar” que definem um novo modo de pensar a
auditoria interna e tendo como exemplo o serviço de consultoria e de avaliação
(assurance), algo prático que a torna mais pró-ativa, orientada para o cliente
(SALINAS, 2001).
Ao mesmo tempo, a auditoria interna tende a visualizar e identificar novas
oportunidades, quando da análise dos processos de trabalho. Desta forma, a
64
perspectiva do futuro papel da auditoria interna é uma derivada das mudanças que
ocorrem nas esferas organizacional e global (BONISCH, 1999).
Sobre a forma de permanência em nível satisfatório do trabalho de auditoria,
Salinas (2001, p. 66) estabelece que para “permanecer relevante para a alta
administração, esta deverá entender os negócios no seu mais largo senso e
responder profissionalmente e vigorosamente a esses desafios”.
O estudo do Institute of Internal Auditors
1
, citado também por Salinas (2001),
apontou algumas tendências sobre o perfil dos auditores internos numa visão de
1996, no tocante ao futuro e os novos papéis para a profissão, a saber:
a) segurança dos dados será o maior risco corporativo no próximo
século;
b) aumento da complexidade dos negócios e maior rigor nos
princípios, regulamentações e culturas presentes nos ambientes
dentre os quais as organizações operam;
c) a situação econômica corrente e o crescimento da competição
pressionam a auditoria interna para serem mais produtivas e para
expandirem suas operações e atividades de consultoria;
d) os processos de mudança e modernização estão quebrando e
remodelando as estruturas hierárquicas tradicionais, mudando
relacionamentos e responsabilidades gerenciais;
e) os auditores internos são um recurso valioso para a consolidação
de mudança e para o sucesso da empresa no futuro.
Sobre essa questão, Anderson (1996) comentava que a auditoria interna
precisava adotar uma postura de flexibilidade no sentido de mover-se com mais
rapidez no tocante ao trato de questões emergentes, suportar novas funções,
mudanças de prioridades que se traduz em maior abertura nas comunicações entre
os profissionais e os administradores da companhia, principalmente quanto à
identificação de oportunidades.
1
Enhancing internal auditing through innovative practices research report (Incrementando a auditoria
interna através de práticas inovadoras de pesquisa) (tradução do autor).
65
Segundo Bulla (2009), as tendências mundiais da auditoria interna têm o
seguinte rumo:
a) a importância de gerenciar riscos de maneira abrangente (ERM);
b) entendimento dos desafios e objetivos-chave das organizações;
c) assegurar que os controles e processos estão endereçando novas
mudanças e riscos-chave dos negócios das companhias;
d) auditoria interna desempenha um papel importante com relação
ao: sucesso no gerenciamento de mudanças; entendimento,
avaliação e gerenciamento de riscos; alinhamento do Plano de
Auditoria às expectativas da organização;
e) no ambiente atual de negócios, o sucesso da Auditoria Interna
depende também do: aprendizado e aprimoramento contínuo;
entendimento e habilidades para satisfazer as necessidades da
Companhia.
Ainda sobre as tendências, Summers (2009) atribui uma série de pontos a
serem adotados pelos departamentos de auditoria interna para que se tenham
resultados satisfatórios, considerando as normas internacionais das boas práticas
divulgadas pelo IIA, quais sejam:
a) alinhamento das Atividades de Auditoria Interna com Stakeholders
Normas 1000;
b) recursos Adequados - Norma 1200;
c) gerenciar Continuamente a Qualidade Normas 1300, 2200,
2300;
d) agregar Valor;
e) gerenciar Estrategicamente - Norma 2000;
f) gerenciamento de Risco e Governança Norma 2100;
g) orientação para a Excelência - Normas 2200, 2300;
h) comunique-se bem - Norma 2400;
i) reaja Prontamente - Norma 2500;
66
j) diga o que é - Norma 2600.
Finalmente, na visão de Cox (2009), o autor traça o futuro da auditoria
interna com seus benefícios e limitações, demonstrado no Quadro 3.
FUTURO (2008 em diante)
BENEFÍCIOS
LIMITAÇÕES
Áreas de auditoria interna integrada com
funcionamento inter-organizacional e
estratégico por meio dos registros da
organização de risco e outras informações
relevantes. Será capaz de desenvolver um
plano de auditoria de base. Discutirá com
gerência sênior, incluindo oficinas facilitadas as
áreas de auditoria que podem ser
acrescentadas. Desenvolverá anualmente ou
longo prazo termo de garantia do plano que
será flexível e evolutivo, contemplando a
consultoria de auditoria interna de prestação de
serviços em tempo útil, relevante e sensível.
Apresentará ao Comitê de Auditoria.
Feito em consulta
com o negócio.
Oportuna,
relevante e
sensível. Escopo
mais amplo, tendo
em conta riscos de
negócios. Facilita a
integração de
auditoria interna,
gestão de risco,
planejamento e
estratégico.
Requer um forte
compromisso de gerência
sênior. Exige disciplina
para garantir que o
processo de consulta da
auditoria interna é eficaz.
Pode não ser bem
conhecida dos auditores
internos.
Quadro 3. A evolução da auditoria interna - 2008 em diante
Fonte: Cox (2009, p.03) .
2.9 Auditoria Interna das Instituições Financeiras
É comum que as companhias cujas atividades setoriais na economia ou
profissão sigam determinações de natureza legal ou técnica e estejam vinculadas a
órgãos reguladores. Para Barros (2007), “o ambiente regulatório é fundamental
como determinante das características de governança corporativa”. A auditoria
interna que faz parte desse processo também deve seguir determinados padrões
técnicos e que objetivam qualificação na condução dos seus trabalhos, como é o
caso das normas internacionais divulgadas pelo Institute of Internal Auditors (IIA).
Por outro lado, a auditoria interna de uma instituição financeira de economia
mista do governo federal, objeto deste estudo, segue normas específicas tanto do
ponto de vista do seu trabalho em si, como de sua atuação como órgão de staff de
um banco público que precisa atender diversos regulamentos e preceitos legais e
mandatórios.
2.9.1 Arcabouço regulatório
Considerando que o presente estudo trata de assunto envolvendo auditoria
interna em instituição financeira, de natureza bancária, passa-se, portanto, a
67
trabalhar com o conceito dado pelo art. 17 da Lei 4.595 (Brasil, 1964), que dispõe
sobre a política e as instituições monetárias, bancárias e creditícias e cria o
Conselho Monetário Nacional (CMN), órgão responsável por expedir diretrizes gerais
para o bom funcionamento do Sistema Financeiro Nacional:
Art. 17. Consideram-se instituições financeiras, para os efeitos da legislação
em vigor, as pessoas jurídicas públicas ou privadas, que tenham como
atividade principal ou acessória a coleta, intermediação ou aplicação de
recursos financeiros próprios ou de terceiros, em moeda nacional ou
estrangeira, e a custódia de valor de propriedade de terceiros (BRASIL,
1964).
Da mesma forma, o conceito mais detalhado sobre o termo instituição
financeira é definido por Oliveira (1999, p.6):
[...] é uma organização estruturada e coordenada, prevista em lei ou
regulamento legalmente autorizado, com objetivo e finalidade de, mediante
atividade peculiar de gerenciamento de recursos próprios e/ou de terceiros,
prover meios pecuniários para financiar aquisição de bens e serviços, a
realização de empreendimentos, a cobertura de despesas pessoais ou
gerais, a manutenção de capital de giro, o abatimento de dívidas
preexistentes, e as demais atividades inerentes à vida econômica das
pessoas físicas e jurídicas, de direito público e privado.
As normas que envolvem o sistema financeiro são de competência do
Conselho Monetário Nacional, fundamentada na Lei 4.595, de 31/12/64.
Registre-se que para funcionamento de uma instituição financeira em
território nacional é necessária uma autorização prévia do Banco Central do Brasil
BACEN
conforme determina o art. 18, em seu caput e parágrafo 1º, da Lei 4.595
(1964):
Art. 18. As instituições financeiras somente poderão funcionar no País
mediante prévia autorização do Banco Central do Brasil ou decreto do
Poder Executivo, quando forem estrangeiras.
Segundo Freitas (2005, p.29), a origem e o objetivo do banco central
remontam aos séculos XVII e XVIII quando, na Europa, alguns bancos comerciais,
de capital privado, destacaram-se entre os demais por assumir algumas atividades
como emissão e controle da circulação da moeda-papel, garantindo a
conversibilidade de seus bilhetes em ouro e financiamento das atividades do Estado.
Então, essas instituições foram assumindo novas atribuições as quais atualmente
são consideradas típicas de um banco central, tais como: a função de gestor dos
68
meios de pagamentos, de bancos dos bancos, de controlador da moeda e do crédito
e de regulador e supervisor do sistema bancário.
Corazza (2005) aponta que a origem e a razão maior da existência dos
bancos centrais estão relacionadas com as recorrentes crises financeiras. O autor
ainda diz que a função maior de um banco central é ser o “banco dos bancos” ou
emprestador de última instância.
Para considerar o papel da auditoria interna nas instituições financeiras, é
importante conhecer o sistema regulatório a que os bancos estão vinculados. Para
isso, os Quadros 4 e 5 detalham os principais regulamentos relacionados aos
controles internos e ao gerenciamento de riscos de uma instituição financeira pelo
que a auditoria interna atua diretamente pela avaliação independente (assurance),
dos objetos relacionados aos temas.
Destacam-se outros normativos relacionados ao trabalho direto ou indireto
da auditoria interna, quais sejam:
a) Resolução 3.081 (2003), substituída pela Resolução 3.170 (2004)
do Conselho Monetário Nacional que estabelece, dentre outras
providências, a criação do comitê de auditoria em instituições
financeiras;
b) Decreto 3.591 (2000) da Presidência da República que
estabelece dentre outras providências, que as entidades da
administração pública indireta devem organizar sua unidade de
auditoria interna com o objetivo de fortalecer a gestão e
racionalizar as ações de controle. O referido Decreto teve
dispositivos alterados pelos Decretos nº 4.304 (2002) e 4.440
(2002);
c) Lei Complementar 105 que dispõe sobre o sigilo das operações
de instituições financeiras e estabelece outras providências;
d) Lei 9.613 (1998) da Presidência da República, que dispõe sobre
os crimes de “lavagem” ou ocultação de bens, direitos e valores;
e) Manual de supervisão do Banco Central do Brasil (BACEN).
69
NORMATIVOS LEGAIS RELACIONADOS AOS CONTROLES INTERNOS DOS BANCOS
Dispositivo
Texto referencial
Resolução nº 2554, de 24 de
setembro de 1998, emitida pelo
CMN, cuja publicidade foi realizada
pelo BACEN
Dispõe sobre a implantação e implementação de sistema
de controles internos nas instituições financeiras e demais
instituições autorizadas a funcionar por àquela Autarquia.
Determina a criação de controles internos voltados para as
atividades desenvolvidas, sistemas de informações
financeiras, operacionais e gerenciais utilizados e para o
cumprimento das normas legais e regulamentares.
Resolução do CMN nº 3056, altera a
resolução 2.554 e dispõe no art. 2º.
Os controles internos, cujas disposições devem ser
acessíveis a todos os funcionários da instituição de forma a
assegurar sejam conhecidos a respectiva função no
processo e as responsabilidades atribuídas aos diversos
níveis da organização, devem prever:
I - a definição de responsabilidades dentro da instituição;
II - a segregação das atividades atribuídas aos integrantes
da instituição de forma a que seja evitado o conflito de
interesses;
III - meios de identificar e avaliar fatores internos e externos
que possam afetar os objetivos da instituição;
IV - a existência de canais de comunicação que assegurem
aos funcionários, segundo o correspondente nível de
atuação, o acesso a confiáveis, tempestivas e
compreensíveis informações consideradas relevantes para
suas tarefas e responsabilidades;
V - a contínua avaliação dos diversos riscos associados às
atividades da instituição;
VI - o acompanhamento sistemático das atividades
desenvolvidas, de forma a que se possa avaliar se os
objetivos da instituição estão sendo alcançados, se os
limites estabelecidos e as leis e regulamentos aplicáveis
estão sendo cumpridos, bem como a assegurar que
quaisquer desvios possam ser prontamente corrigidos;
VII - a existência de testes periódicos de segurança para os
sistemas de informações.
Item VII, Parágrafo 2º, do art. da
Resolução 3.056 (CMN)
Determina que a atividade de auditoria interna deva fazer
parte do sistema de controles internos.
Quadro 4 Normativos legais relacionados aos Controles Internos dos Bancos
Fonte: Elaborado pelo autor.
70
NORMATIVOS LEGAIS RELACIONADOS AO GERENCIAMENTO DE RISCOS DOS BANCOS
Dispositivo
Texto referencial
Art. 1º da Resolução do CMN nº 3380,
de 29 de junho de 2006
Estabelece que as instituições financeiras e as demais
instituições autorizadas a funcionar pelo Banco Central do
Brasil devem implementar estrutura de gerenciamento do
risco operacional.
Art 2º da Resolução do CMN nº 3380,
de 29 de junho de 2006
Define como risco operacional a possibilidade de ocorrência
de perdas resultantes de falha, deficiência ou inadequação de
processos internos, pessoas e sistemas, ou de eventos
externos.
Art. 6º e § único da Resolução do
CMN nº 3380, de 29 de junho de 2006
A atividade de gerenciamento do risco operacional deve ser
executada por unidade específica nas instituições (...) deve
ser segregada da unidade executora da atividade de auditoria
interna, de que trata o art. 2º da Resolução 2.554, de 24 de
setembro de 1998, com a redação dada pela Resolução
3.056, de 19 de dezembro de 2002.
Resolução do CMN nº 3398, de 29 de
agosto de 2006.
Dispõe sobre procedimentos aplicáveis aos casos de
descumprimento de padrões mínimos de capital e de limite
operacionais (risco de liquidez).
Resolução do CMN nº 3464, de 26 de
junho de 2007.
Determina que as instituições financeiras e demais
instituições autorizadas a funcionar pelo BACEN devem
implementar estrutura de gerenciamento de risco de mercado.
Artigos 5ª, § 3º e 8ª, parágrafo único
Resolução do CMN nº 3464, de 26 de
junho de 2007.
Art. 5º As instituições financeiras devem dispor de política
claramente definida para determinar quais operações serão
incluídas na carteira de negociação, bem como
procedimentos para garantir que os critérios de classificação
na carteira de negociação serão observados de maneira
consistente.
§ 3º O cumprimento da política e dos procedimentos (...) deve
ser devidamente documentado e objeto de verificação pela
auditoria interna.
Art. 8º A atividade de gerenciamento do risco de mercado
deve ser executada por unidade específica nas instituições
financeiras;
Parágrafo único. A unidade (...) deve ser segregada das
unidades de negociação e da unidade executora da atividade
de auditoria interna, de que trata o art. 2º da Resolução nº
2.554, de 24 de setembro de 1998, com a redação dada pela
Resolução nº 3.056/2002.
O BACEN tornou pública a Resolução
do CMN nº 3721, de 30 de abril de
2009.
Trata sobre implementação de estrutura de gerenciamento de
risco de crédito nas instituições financeiras e nas instituições
autorizadas a funcionar pelo BACEN.
Quadro 5 Normativos legais relacionados ao Gerenciamento de riscos dos Bancos
Fonte: Elaborado pelo autor.
71
outros diversos normativos emitidos por órgãos de fiscalização e controle
como a Controladoria Geral da União CGU, divulgados por meio de Instruções
Normativas, que sensibilizam diretamente o trabalho de uma unidade da auditoria
interna, especificamente de uma instituição financeira do governo federal, a exemplo
de:
a) estabelecimento de conceitos e das diretrizes gerais aplicáveis às
auditorias internas das entidades da administração indireta -
Instrução Normativa nº 01 (BRASIL, 2001);
b) conteúdo do Relatório Anual das Atividades da Auditoria (RAINT)
- Instrução Normativa nº 01 (BRASIL, 2007).
Ademais, as atividades da auditoria interna devem ter coerência do ponto de
vista operacional com as atividades exercidas pelos órgãos do Sistema de Controle
Interno do Poder Executivo Federal. O Tribunal de Contas da União, Diário Oficial da
União (2005, p.144), recomenda que mesmo que haja diferença nos enfoques
adotados e nos objetos a serem trabalhados em razão do trabalho de auditoria está
direcionado ao âmbito interno da organização, devem as unidades de auditoria
interna adotar ações específicas e tempestivas na verificação da aderência as
normas (compliance) e diretrizes internas.
Do ponto de vista hierárquico, considerando a estrutura organizacional de
uma empresa, a unidade de auditoria interna deve estar subordinada ao Conselho
de Administração, deve ser vinculada administrativamente à Presidência da
companhia e tecnicamente a auditoria deve ser vinculada ao Comitê de Auditoria,
conforme demonstra a Figura 6.
O padrão internacional sobre as orientações para a prática da auditoria
interna, traduzida pelo Instituto de Auditores Internos do Brasil - Audibra (2006, p.17)
detalha e mostra a razão dessa orientação:
[...] auditoria interna deve estar subordinada (...) a organização com
suficiente autoridade para promover a independência e assegurar ampla
cobertura [...] bem como assegurar uma adequada consideração às
comunicações originadas dos trabalhos, além de ação apropriada sobre as
recomendações.
72
Figura 6 Vinculação da auditoria interna na companhia
Fonte: Elaborado pelo autor.
Assim, a Figura 6 representa a vinculação da auditoria interna em níveis
administrativo, funcional e técnico, considerando o padrão internacional e todo o
sistema regulatório, pelo que se destacam as diretrizes básicas da auditoria interna,
a suficiência da autoridade e a independência.
2.9.2 Comitê de Auditoria
No contexto dos grandes escândalos financeiros da economia americana e
mundial, a exemplo da Enron e World Com, dentre outras, e com o advento da Lei
Sarbanes Oxley, que abrange as empresas do mundo inteiro registradas na
Securities and Exchange Comission SEC (bolsa de valores dos EUA), além das
filiais de empresas multinacionais americanas, os Comitês de Auditoria começaram
a ter maior atenção e notoriedade.
A primeira definição legal de comitê de auditoria é da Lei Sarbanes Oxley
(2002, seção 2, Definições):
73
Um comitê de auditoria (ou órgão equivalente) é estabelecido e formado por
membros do Conselho de Administração (board of directors) de um emissor,
cujo objetivo é supervisionar a contabilidade e o processo de elaboração
dos relatórios financeiros do emissor e a auditoria independente realizada
nas suas demonstrações financeiras.
Nessa visão da Sarbanes Oxley, o comitê de auditoria fica sobre os
“holofotes” do universo contábil, situação que atualmente é mais ampla em razão da
observância dos controles dos riscos mais estratégicos de uma companhia.
Sobre o aumento da responsabilidade do Comitê de Auditoria a partir da
Sox, Moeller (2004) comenta que o colegiado teuma maior aproximação com o
trabalho da auditoria e, considerando tal legislação, o autor diz que a “Auditoria
Interna deve modificar os seus processos para seguir o que vem a ser os padrões
de melhores práticas para auditoria” (MOELLER, 2004, p. 23).
O Comitê de Auditoria para as Instituições Financeiras foi criado por força da
Resolução 3.081 (2003) do Conselho Monetário Nacional, substituída pela
Resolução 3.170 (2004) que, dentre outras providências, determina às instituições
financeiras e demais instituições autorizadas a funcionar pelo BACEN a criarem um
comitê de auditoria composto por membros independentes, que não podem
participar do dia a dia da organização nem participar do Conselho Fiscal e que
deverão assumir um elevado grau de responsabilidade e atribuições.
Os principais requisitos impostos pelo Banco Central, por meio da Resolução
3.170 (2004), para a criação de um comitê de auditoria nas empresas é
demonstrado na Figura 7.
Figura 7 Requisitos para constituição do Comitê de Auditoria
Fonte: Resolução 3.170 (2004) e KPMG Regulatory Practice News (2004b).
74
O BACEN segrega a participação dos membros da participação do conselho
fiscal e do comitê de auditoria, porém eles podem participar do conselho de
administração.
O comitê de auditoria tem também a responsabilidade por observar os
critérios para a contratação de uma auditoria independente e a definição do seu
próprio regulamento. As principais funções obrigatórias do comitê de auditoria são:
avaliar e aconselhar a administração da instituição, realizar reuniões no mínimo
trimestrais, elaborar relatórios para o Banco Central do Brasil (BACEN) e a
Comissão de Valores Mobiliários (CVM), e recomendar à diretoria a correção ou
aprimoramento de diversas práticas. O comitê terá, por obrigação, uma participação
relevante nas decisões estratégicas e operacionais dos bancos.
Segundo o Code of Best Practice on Corporate Governance, divulgado pelo
Comitê Cadbury (1992), o Comitê de Auditoria têm algumas responsabilidade.
a) Os comitês de auditoria devem ser constituídos como subcomitês
do Conselho de Administração, ao qual devem responder e ao
qual devem reportar-se regularmente;
b) Devem ser formados por um mínimo de três membros;
c) O auditor externo e, onde existir a função de auditor interno, o
chefe da auditoria interna, deverão participar das reuniões do
comitê de auditoria, assim como o diretor financeiro;
d) O comitê de auditoria deverá manter uma discussão com os
auditores pelo menos uma vez ao ano sem a presença dos
membros do conselho executivo, para assegurar-se de que
nenhum ponto de preocupação deixou de ser solucionado;
e) O comitê de auditoria deverá ter autoridade explícita para
investigar qualquer assunto em sua alçada de responsabilidade,
os recursos para efetuar essa investigação e total acesso às
informações; e
f) A relação dos membros do comitê deverá ser divulgada no
relatório anual e o presidente da Comissão deverá estar
75
disponível para responder perguntas sobre o trabalho do comitê
de auditoria na Reunião Anual Geral.
Na mesma linha de pensamento, o IBGC (2009 p.45) recomenda que os
comitês de auditoria passem a:
[...] analisar as demonstrações financeiras, promover a supervisão e a
responsabilização da área financeira, garantir que a Diretoria desenvolva
controles internos confiáveis (que o comitê deve entender e monitorar
adequadamente), que a auditoria interna desempenhe a contento o seu
papel e que os auditores independentes avaliem, por meio de sua própria
revisão, as práticas da diretoria e da auditoria interna. O comitê deve ainda
zelar pelo cumprimento do digo de conduta da organização quando não
houver comitê de conduta (ou de ética) designado pelo conselho de
administração para essa finalidade.
Segundo a KPMG (2004c), os comitês de auditoria acreditam cada vez mais
que um dos seus principais recursos é a auditoria interna. Para isso, alegam que
para reportar questões controversas e sensíveis, envolvendo a alta direção da
empresa, é preciso um bom e adequado relacionamento com a auditoria interna.
Desta forma, acreditam que estariam contribuindo para o fortalecimento da
governança corporativa.
Para Ramamoorti (2003a), a maior parte do comitê de auditoria é visto como
uma ponte entre o conselho de administração e a unidade da auditoria interna. Para
cumprir suas responsabilidades perante aos acionistas e os demais stakeholders, os
membros do comitê de auditoria tiveram de se tornar mais interessado e bem mais
informado sobre as questões que envolvem o trabalho de auditoria. A própria gestão
administrativa das empresas também tem consciência da necessidade de proteger-
se através de uma atenção adequada e eficaz dos controles internos.
Do ponto de vista do foco e da responsabilidade dos membros de Comitês
de Auditoria, o Audit Committee Institute ACI da KPMG (2008) divulgou os
mandamentos dos comitês de auditoria, baseado em 10 responsabilidades
essenciais do comitê e seus membros, a saber:
a) catalisador para a melhoria da supervisão e do gerenciamento de
riscos. Cabe lembrar que, nesse caso, a empresa já deve ter
estruturado o seu processo de gestão de riscos corporativos
(Enterprise Risk Management ERM);
76
b) monitoramento das divulgações da empresa. O comitê deve ter
contato direto com os gestores do processo de divulgação de
informações;
c) manter-se atualizado em relação ao desenvolvimento de normas
e políticas contábeis, inclusive convergências. O comitê deve
questionar o auditor externo sobre a forma utilizada para auditar
as demonstrações financeiras;
d) apoio ao diretor financeiro (CFO) é essencial em razão de
conhecer as estimativas e propósitos contábeis, mantendo o foco
de desempenho longo prazo, primando pela objetividade das
divulgações;
e) visão compartilhada com a auditoria interna, para que o órgão
fique atento a adequação dos controles internos e possa ampliar
sua participação no gerenciamento dos riscos, além de observar
os seus recursos tanto físicos quanto intelectuais em prol da boa
qualidade;
f) comunicação informal intensa com o responsável pela auditoria
interna para buscar informações relevantes e atualizadas;
g) capacidade de gerenciar uma crise. O comitê deve conhecer ou
elaborar um plano formal adequado ex ante;
h) comunicação efetiva com a Diretoria para melhorar supervisão do
relatório financeiro, dos controles internos, do gerenciamento dos
riscos, adequação às normas e identificar questões emergentes;
i) promover e garantir a cultura do compliance. O comitê deve
assegurar que as atividades da alta administração transmitam aos
funcionários transparência nos processos e informações;
j) o comitê deve observar o seu próprio desempenho.
Considera-se importante, portanto, o papel exercido pelo comitê de auditoria
porque sua atuação é de caráter preventivo e, de certa forma, pedagógico, quando
atua fortemente na promoção da cultura do controle na empresa e quando se
relaciona informalmente com a auditoria interna, não para colher informações
77
estratégicas, mas para colaborar tecnicamente com o trabalho da auditoria interna
no que se refere à metodologia de atuação, envolvendo diversos aspectos, tais
como: planejamento das atividades, controles e riscos, comunicação dos resultados,
gerenciamentos das recomendações, capacitação técnica dos auditores internos,
dentre outras.
78
3 METODOLOGIAS DE AUDITORIA BASEADAS EM PROCESSO E
EM RISCOS
O trabalho da auditoria interna tem evoluído bastante nos últimos anos,
como mencionado neste estudo. As abordagens utilizadas para os trabalhos da
auditoria se confundem com as tipologias existentes. A literatura sobre o assunto é
escassa do ponto de vista da diferenciação, modelagem, desenvolvimento individual
e de sua aplicabilidade no dia a dia das organizações.
Outro aspecto limitador da teoria acadêmica no que diz respeito às
metodologias de processo e de risco se revela quanto à natureza operacional
dessas abordagens de forma agregada, ou seja, não se identificou na literatura as
aplicações práticas de abordagens de auditoria baseada em processo em conjunto
com a auditoria com foco em riscos.
Por isso, o presente estudo direciona seu foco para as metodologias de
auditoria baseada em processo e auditoria baseada em riscos de uma forma
conjunta, revelando os resultados obtidos de sua aplicabilidade.
Segundo Gonçalves (2008), até meados da década de mil novecentos e
oitenta o trabalho de auditoria baseava-se fundamentalmente na análise documental
com um viés meramente contábil. Em seguida, acrescentou-se o enfoque ao
cumprimento dos aspectos legais e regulamentares (conformidade).
Figura 8 Evolução Histórica das Metodologias de Auditoria
Fonte: Adaptado de Gonçalves (2008).
79
Gonçalves (2008) acrescenta ainda que com o aumento da complexidade
das operações das empresas e da competitividade, aliada à importância da
tecnologia da informação, a abordagem sofreu outra alteração, desta vez
incorporando os aspectos associados aos processos.
Conforme demonstrado por Gonçalves (2008), esboçado pela Figura 8, o
trajeto das metodologias se baseia em marcos importantes na maneira de como se
estabelecem a avaliação dos negócios ao longo do tempo nas organizações
empresariais.
Assim, as metodologias começam a ser implementadas e norteadas para
uma análise dos processos críticos de negócio, passando o auditor a proceder à
análise dos processos mais relevantes e suportando a sua opinião em testes de
avaliação ou de conformidade.
3.1 Auditoria Baseada em Processo
O grande segredo do sucesso de uma empresa diz-se que está relacionado
ao olho do dono, ou seja, o dono precisa está presente ao andamento dos negócios.
Por similaridade, essa expressão popular retoma a discussão atual do sucesso das
organizações empresariais que estaria ligada ao quão conhecimento dos donos da
empresa tem sobre os seus controles internos.
Estariam (os controles internos) cobertos por um sistema confiável sobre
seus processos de negócios em que a auditoria interna possa revelar com precisão
a “saúde” e o andamento da empresa frente aos seus objetivos propostos? O
questionamento se faz necessário em razão da importância do trabalho da auditoria
interna, entendendo e avaliando o processo de negócio da empresa sobre os
aspectos dos riscos e dos controles a eles associados de forma a contribuir para o
sucesso dessa empresa.
A ideia da avaliação e investigação de problemas por meio dos processos de
negócios da empresa ganha fundamento e concordância por intermédio de Cole
(2001 apud Rebelato et. al, 2008) que destacam o aprendizado e o caráter
investigativo em processos como as principais características da melhoria contínua.
Associados aos resultados estariam se revelando a resolução de problemas da
80
empresa mediante a aplicação técnica de métodos de análise que evidenciasse a
situação-problema por meio dos processos.
O processo organizacional é uma sequência de atividades que ao serem
executadas transformam insumos em um resultado. Davenport (1993, p.10) define
um processo como “um conjunto de atividades estruturadas e medidas destinadas a
resultar num produto especificado para um determinado cliente ou mercado”. Para
executar o processo, é necessário o consumo de recursos materiais e/ou humanos
que agregarão e comporão o resultado do processo. Os resultados do processo são
produtos ou serviços que atenderão a certo público de interesse e necessidade que
podem ser clientes internos ou externos.
Na visão de Fernandes (2005), as auditorias de processo são trabalhadas
pelas auditorias internas e consistem na identificação de não-conformidades em
relação às atividades identificadas nos processos de negócio da empresa, tais
como: procedimentos administrativos, organização e limpeza, treinamento, logística
e mais especificamente às exigências relacionadas ao processo produtivo. A
auditoria de processo, segundo o autor, tem natureza detectiva e preventiva e tem
foco nas falhas do processo, possibilitando identificá-las e tratá-las para se evitar
que estas levem a um desdobramento inaceitável de uma futura rejeição de um
produto em razão da inconsistência identificada.
De acordo com os estudos de Dias (2006), o conceito de auditoria de
processo se baseia em:
Uma atividade de avaliação independente de assessoramento à alta gestão
da empresa, que visa à avaliação dos sistemas de controle envolvidos e
verificação dos procedimentos e das normas alocados no desenvolvimento
do negócio exercido, atentando para o desempenho operacional e para a
eficácia obtida por suas áreas produtivas, considerando planos de metas,
macro objetivos e políticas definidas pela organização.
Desse conceito se percebe a amplitude dos temas e se destaca alguns
pontos merecedores de uma visão crítica dos sistemas de controles internos que a
auditoria deve abordar. Deve ser verificada por cada participante do processo a
conformidade quanto aos procedimentos estabelecidos nos normativos internos e
dispositivos legais (compliance), além de conhecer suas atribuições para que seja
trabalhada a ideia do desempenho sempre eficaz do processo, agregando ao
81
objetivo previsto pela empresa, ganhos ou diferenciais que identifique a participação
daquele processo no contexto empresarial (DIAS, 2006).
3.1.1 Aplicabilidade de uma auditoria de processo
Na visão de Campos (1992), a auditoria de processo é uma das partes que
integra a auditoria de qualidade, juntamente com a auditoria de produto e da
auditoria do sistema de qualidade. Segundo o autor, esse tipo de auditoria se baseia
em identificar as inconsistências no processo, por meio de análise de dados
operacionais parametrizáveis e do próprio conhecimento técnico dos auditores
internos.
Para Dias (2006), a lógica da auditoria baseada em processo está respaldada
no conhecimento e na análise dos controles internos para identificar a eficácia de
sua implementação nos processos operacionais da companhia “considerando os
objetivos estabelecidos para assegurar que o sistema de controles internos suporte
as possíveis falhas na execução do negócio praticado.”
A aplicabilidade dessa metodologia no formato definido por Dias (2006),
conforme Figura 9, se divide em 03 estágios distintos:
Figura 9 Estágios da Metodologia baseada em Processo
Fonte: Elaborado pelo autor a partir de Dias (2006).
a) levantamento do processo que consiste em documentar os
conhecimentos e os procedimentos executados; identificar os
objetivos envolvidos e evidenciar os controles que dão
sustentação sua eficácia. Esta fase é o chamado mapeamento do
82
processo. Essa atividade normalmente é feita por uma área
técnica de Organização e Métodos (O&M). O mapeamento é
necessário numa auditoria para dar maior segurança à sua
análise, tendo a crítica do auditor pautada no conhecimento de
como o produto é fabricado ou a execução do serviço é prestada.
b) análise dos controles internos consiste em o auditor conhecer os
objetivos envolvidos na execução daquele processo ou sub-
processo com suas atividades, para então, analisar se cada
objetivo corresponde ao risco identificado na sua execução e os
controles que lhe dão suporte. Esse trabalho possibilitará: a
prevenção de possíveis falhas; a detecção de possíveis
problemas no negócio; obtenção de base para correção das
causas;
c) verificação da conformidade dos procedimentos executados e da
eficácia dos controles internos realizados no processo consiste
em o auditor verificar a conformidade das rotinas identificadas e a
efetiva aplicação dos controles pelo auditado. Esses trabalhos são
realizados por meio de procedimentos de auditoria. Esse formato
dará a segurança necessária ao auditor para que as suas
conclusões sobre o processo auditado sejam respaldadas na
coerência e na pertinência, dando qualidade à metodologia
aplicada.
Entende-se como procedimentos de auditoria a ação ou conjunto de eventos
que comprovem a eficaz execução do controle interno e/ou corroborem a existência
de possíveis melhorias no processo auditado, atentando para: o embasamento por
meio de amostras ou na totalidade as informações avaliadas; a certificação sobre a
documentação, evidência e exemplificação e dimensão dos resultados (DIAS, 2006).
Sobre os estágios da metodologia do trabalho de auditoria baseado no
processo, observados da Figura 8, não mudam as etapas do trabalho de auditoria
propriamente dita, citadas na Figura 3 (Etapas do Processo de Auditoria Interna),
pois elas se complementam. Ademais, não foi identificado na literatura acadêmica
algo sobre alguma mudança nesse sentido.
83
Quanto à escolha dos processos a serem tomados como objeto dentro da
programação a ser desenvolvida pelo departamento de uma auditoria interna, Bafna
(1997 apud REBELATO et al, 2008) defendem que a própria auditoria utilize critérios
específicos que caracterizam o caso da empresa, para identificar a relevância crítica
de cada processo com relação ao planejamento estratégico e operacional previsto
pela empresa.
Para Dias (2006), a escolha dos processos prioritários a serem objetos da
programação da auditoria interna tem como parâmetro a classificação de riscos,
conforme exemplificado pelo autor, no Quadro 6:
CLASSIFICAÇÃO
TIPO DE CONSEQUÊNCIA
ALTO
Diminuição ou extinção de quantidade nos produtos ou
serviços prestados;
Prejuízo à imagem que a empresa tenha perante seus clientes
e/ou o mercado em geral;
Interferência financeira nas operações da empresa, gerando
perdas correspondentes a mais de 10% de seus resultados.
MÉDIO
Diminuição parcial da quantidade dos produtos ou serviços
prestados, porém sem sua total extinção;
Interferência financeira nas operações da empresa, gerando
perdas correspondentes à faixa de 1 a 10% de seu resultado.
BAIXO
Interferências pontuais no processo que podem vir a afetar a
quantidade de produtos ou serviços prestados;
Interferência financeira nas operações da empresa, gerando
perdas inferiores a 1% de seu resultado.
Quadro 6 Critério para Classificação de Riscos
Fonte: Dias (2006, p. 24).
Na verdade, o método aplicado com foco nos processos é transversal aos
tipos de auditoria, como foi citado neste documento. Não influenciando, portando,
a escolha do objeto a ser auditado, que poderia ser os processos que mais
sensibilizam a sua matriz de risco com critérios parametrizáveis, baseados na visão
global da organização e no entendimento do negócio da empresa.
84
3.1.2 Os riscos e os controles associados
Na metodologia baseada no processo, o trabalho da auditoria sequencia a
partir dos objetivos identificados nas atividades dos processos ou subprocessos.
Na visão de Dias (2006), a análise do risco se inicia quando, então, o
auditor, deverá se questionar sobre: o que pode acontecer se tal objetivo proposto
não for alcançado?
Se as etapas do processo auditado forem de conhecimento do auditor, é
preciso também se questionar: quais as consequências advindas para o processo se
as atividades propostas não forem executadas ou se for executadas indevidamente?
O resultado dessa avaliação são os riscos que poderão ser traduzidos em
perdas de diversas naturezas, quais sejam: financeira, imagem da empresa,
continuidade do negócio, qualidade da operação exercida ou integridade física de
seu patrimônio.
Sobre os controles adotados na metodologia baseada em processo,
novamente recorre-se ao autor Dias (2006) para avançar nesse estudo. Segundo o
autor, o trabalho da auditoria nessa fase de identificação dos controles começa a
partir do conhecimento dos objetivos e dos riscos.
Se esses elementos não forem alcançados, caberia outro questionamento: o
que é feito para garantir ou assegurar o alcance dos objetivos e a não-ocorrência
dos riscos?
Considerando as finalidades do controle comentadas neste estudo
(preventiva, detectiva e corretiva), o auditor deve avaliar, na visão de Dias (2006), se
o tipo de controle adotado e a sua finalidade prevista se apresenta coerente com os
objetivos, com os riscos envolvidos.
Detalhadamente, o controle deve ser verificado inicialmente quanto a sua
existência. Em seguida, o controle deve ser analisado quanto a sua suficiência, ou
seja, se ele é adequado ao objetivo e ao risco envolvido. E por fim, se o controle é
observado pelos membros que atuam na atividade ou tarefa daquele processo ou
subprocesso.
85
3.1.3 As vantagens e desvantagens
Após o trabalho realizado pela auditoria interna com base na metodologia
aplicada nos processos, certamente os resultados e suas recomendações passam a
contribuir de forma efetiva para a melhoria dos processos e dos resultados da
empresa (RAUPP, 1999).
O grande diferenciador dessa metodologia de auditoria de processo quanto
à sua aplicabilidade em que se possa garantir o seu êxito e sucesso é a
cumplicidade e parceria que a auditoria deve ter com o auditado. Essa sintonia é de
extrema necessidade face às especificidades do formato dos objetos auditado e
para as conclusões e melhorias para o processo.
Sem uma parceria, Dias (2006) assegura que os resultados da auditoria
podem ficar comprometidos, pois a auditoria se tornaria uma ação meramente
fiscalizadora e sem a demonstração de interesse e opinião do auditado o apoio para
o trabalho da auditoria pode ser afetado da seguinte forma: na obtenção das
informações envolvidas; entendimento do processo; avaliação dos controles e de
sugestões de melhorias. Com isso, Dias (2006) ainda conclui que:
(...) o relacionamento com o auditado é preponderante para uma eficaz
avaliação dos controles internos, pelo enfoque de uma auditoria de
processo, podendo, a partir do tipo de abordagem firmada, representar uma
aliança para a promoção e a divulgação dos valores agregados ou, até
mesmo, um obstáculo para definição e a aceitação das sugestões
apresentadas pelo auditor.
Percebe-se que o foco dessa metodologia, exposta por Dias (2006) não visa
identificar de imediato o risco relacionado da operação, o que a diferencia da
metodologia baseada em riscos. A base, portanto, de sua característica própria é o
estudo mais profundo e detalhado de cada atividade ou tarefa do processo ou
subprocesso, numa ação de desmitificar e “quebrar as partes” para entender e
avaliar a transação completa, definida pelo processo. A partir daí, se pode identificar
o risco a cada objetivo das atividades realizadas e com o respectivo controle a ele
associado.
3.2 Auditoria baseada em Riscos (ABR)
Uma das características dessa abordagem é o trabalho de avaliação do risco
realizado pela auditoria interna, que identifica, mede e prioriza os riscos, para
86
possibilitar a focalização dos objetos auditáveis mais significativos (DELOITTE,
2007).
Assim, a função da auditoria interna é realizar trabalho de avaliação dos
controles internos para dar garantias de que os riscos associados estão sendo
gerenciados adequadamente. Essa visão foi se aperfeiçoando ao longo dos anos 90
e a partir da divulgação do COSO, a metodologia baseada em riscos ganhou forças.
Para o International Federation of Accountants (IFAC) (2001), o objetivo da
auditoria baseada em riscos é manter uma considerável garantia de que nenhum
problema seja causado por fraudes ou erros existentes nas demonstrações
financeiras ou nos processos. Essa garantia de segurança diz respeito a todo o
processo de auditoria.
O The Institute of Internal Auditors (IIA) (2004b) conceitua a Auditoria
Baseada em Riscos (ABR) como uma metodologia que integra o trabalho da
auditoria interna ao framework global de gestão de riscos de uma companhia. Essa
abordagem possibilita que uma auditoria interna possa assegurar à alta
administração de que os processos de gestão de riscos estão sendo gerenciados de
forma eficaz em relação à matriz de risco.
Segundo ainda o IIA (2004b), o principal objetivo da metodologia ABR é
proporcionar garantia independente ao conselho de administração das empresas de
que:
a) os processos de gestão de riscos da empresa estão sendo
trabalhados conforme o planejado;
b) os processos de gestão de riscos estejam bem sólidos em seu
arcabouço;
c) o tratamento que a gestão administrativa tem dado aos riscos é
adequado quanto à redução dos riscos e aceitável pelo conselho;
d) está em vigor uma estrutura lida de controles para mitigar
suficientemente os riscos que a direção escolheu para tratar.
A auditoria baseada em riscos (ABR), na visão de Griffiths (2006), é a
metodologia que prevê garantia de que os riscos estão sendo gerenciados dentro de
apetite de risco da organização, que é o nível de risco considerado aceitável pelo
87
conselho de administração, podendo ser estabelecido em relação a toda empresa,
grupamentos ou em termos de riscos individuais.
Mas o que diferencia a metodologia baseada no risco das outras
metodologias? Para responder a essa pergunta, Gonçalves (2008) elaborou um
comparativo que está representado no Quadro 7.
Tipo de Aspecto
Auditoria baseada nos
Controles
Auditoria baseada no
Processo
Auditoria baseada no
Risco
Objetivo
Garantir o cumprimento
da legislação e
normativos aplicáveis
Garantir o adequado
registro e a importância
das transações
associadas aos processos
críticos, cujos suportes
consistiam em processos
informatizados.
Garantir o adequado relato
financeiro, partindo de
uma adequada
identificação dos riscos e
definição do trabalho nas
áreas de maior risco.
Abordagem
Centrada em testes
substantivos de modo a
validar os principais
saldos e rubricas de
transações, assim como
os controles críticos ao
nível da aprovação das
transações.
Centrada na realização
de testes de cumprimento
aos principais processos e
realização de testes
substantivos
complementares.
Centrada no adequado
planejamento e
conjugação de testes de
cumprimento com testes
substantivos.
Foco
Identificar erros ou
lacunas ao nível das
autorizações.
Identificar exceções ao
nível dos procedimentos
adotados de modo a
suportar os principais
processos.
Suportar os saldos e
classes de transações nas
áreas de risco.
Tipos de testes
Amostragem estatística
de base julgamental,
procurando validar os
saldos mais
significativos.
Amostragem estatística,
julgamental ou aleatória,
procurando validar os
principais processos e,
consequentemente os
principais saldos e classes
de transações.
Teste de cumprimento,
conjuntamente com testes
substantivos.
Adicionalmente, enfoque
nas questões relacionadas
com a continuidade das
operações.
Enfoque nas
recomendações
Exceções ao nível dos
saldos, classes de
transações e
autorizações.
Exceções ao nível dos
saldos, classes de
transações e processos.
Aspectos críticos do
negócio e relato
financeiro.
Quadro 7 Características das metodologias de auditoria
Fonte: Gonçalves (2008, p.31).
88
3.2.1 Aplicabilidade de uma auditoria baseada em riscos
Segundo a Série Risk Management (2007), a metodologia da ABR se
fundamenta no próprio arcabouço de gestão de riscos da organização. Através do
arcabouço, a abordagem busca em cada um de seus estágios reforçar as
responsabilidades da direção e do conselho em relação à gestão de riscos.
Da mesma forma, a Série Risk Management (2007) e Albuquerque e
Tavares (2008) alertam sobre a importância da existência ou da robustez do
arcabouço de gestão de riscos na empresa. Se um desses dois fatores não
acontecer ou não tiver claro na organização, a metodologia não poderá ser
implementada.
É preciso, pois, que haja uma base da cultura da gestão do risco muito forte
para que a abordagem possa se consolidar. Da mesma forma acontece se o sistema
de controles internos da organização for considerado fraco. Como condição básica
para a implantação da metodologia, os auditores internos, nessa situação, devem
adotar uma boa prática da gestão de riscos para melhorar tais controles.
Para aplicar a metodologia, segundo a Série Risk Management (2007), é
necessário adotar três etapas distintas:
a) Avaliação da maturidade de riscos, que consiste em conhecer o
nível de gerenciamento dos riscos (determinação, avaliação,
manejo e monitoramento) da direção da empresa. Essa etapa é
importante, pois dará uma indicação da confiabilidade do cadastro
dos riscos para uso no planejamento da auditoria;
b) Planejamento de auditorias periódicas que consiste em identificar
e priorizar os objetos de interesse do conselho de administração
além do manejo dos riscos-chave, o registro e relato dos riscos
nos processos já identificados na matriz de risco;
c) Auditorias individuais que consistem em realizar tarefas
individuais baseada nos riscos para dar maior garantia sobre as
partes do arcabouço, incluindo a mitigação de riscos.
89
Segundo as orientações da Série Risk Management (2007), o estágio de
implementação da metodologia varia de empresa para empresa. Desta forma, o
Quadro 8 sugere uma associação do trabalho da auditoria interna com cada grau de
maturidade do risco na organização.
Grau de Maturidade da
Gestão de Riscos
Características Principais
Abordagem da Auditoria Interna
Ingênuo
Nenhuma abordagem formal
desenvolvida para a gestão de
riscos.
Promove a gestão de riscos e se
baseia na avaliação de riscos da
própria auditoria.
Consciente
Abordagem para a gestão de
riscos dispersa em “silos”.
Promove a abordagem corporativa
de gestão de riscos e se baseia na
avaliação de riscos da própria
auditoria.
Definido
Estratégia e políticas
implementadas e comunicadas.
Apetite por Riscos definido.
Facilita a gestão de riscos e se
relaciona com a gestão de riscos e
usa a avaliação dos riscos pela
direção quando apropriado.
Gerenciado
Abordagem corporativa para a
gestão de riscos desenvolvida e
comunicada.
Audita os processos de gestão de
riscos e utiliza a avaliação dos riscos
pela direção conforme apropriado.
Controlado
Gestão de riscos e controles
internos totalmente incorporados
às operações.
Audita os processos de gestão de
riscos e utiliza a avaliação dos riscos
pela direção conforme apropriado.
Quadro 8 O trabalho da auditoria interna frente à maturidade de risco empresarial
Fonte: Adaptado do The Institute Internal of Auditors UK and Ireland (2004b).
Zárate (2001) chama a atenção para a filosofia do trabalho da auditoria
interna com o uso da ABR. O autor argumenta que o paradigma da gestão de risco
usado nesse método altera a orientação, os objetivos e os resultados do trabalho da
auditoria e principalmente a maneira de enxergar as ocorrências em razão da
característica de proatividade da metodologia. Assim, os auditores internos devem
largar as atuações passadas e se voltar para a avaliação dos controles associados
aos riscos.
Mcnamee (1998) alerta também para a relevância dos resultados e
recomendações da auditoria interna, pois o trabalho vai envolver as variáveis de
negócios da organização o que significa uma mudança grande em relação à
90
auditoria tradicional, passando o foco para o risco ao longo de todo processo de
auditoria.
3.2.2 Benefícios e dificuldades da ABR
A aplicação da metodologia da ABR tem algumas vantagens na visão de
Griffiths (2006), a saber:
a) é considerada mais eficiente porque avalia as áreas de maior
risco, ao invés de uma análise exclusiva como a área financeira,
por exemplo, o que pode não representar um risco elevado;
b) a metodologia se integrará a todos os processos lógicos
necessários à realização dos objetivos da organização;
c) atua independentemente das áreas e das pessoas da
organização e, portanto, quando tais recursos mudam, não
mudam a visão dos riscos;
d) é relativamente fácil de identificar em todos os processos
mapeados pela organização. Ao relacionar os riscos para estes
processos, é possível identificar os mais importantes;
e) marcando os riscos relativos a cada processo é possível
identificar os processos mais significativos e que apresentem
maior dificuldade quanto à prioridade do trabalho de auditoria;
f) as auditorias podem ser definidas em termos de processos. Ou
seja, permite identificar a cobertura de auditoria aos riscos da
empresa;
g) é considerada mais eficiente porque avalia as áreas de maior
risco, ao invés de uma análise exclusiva como a área financeira,
por exemplo, o que pode não representar um risco elevado.
Outras vantagens na aplicação da metodologia ABR, visualizadas pela Série
Risk Management (2007), estabelecem pontos básicos de ganhos em relação às
demais abordagens, quais sejam:
91
a) Possibilidade de a auditoria interna concluir em sua avaliação que
a empresa respondeu com clareza os riscos abaixo ou acima de
sua matriz planejada. Ou seja, as conclusões são claras e não
ambíguas sobre a gestão de riscos;
b) As respostas aos riscos são mais eficazes, porém não excessivas
na gestão dos riscos inerentes se comparada com a sua matriz de
risco;
c) Melhor forma de alinhar os riscos residuais à matriz com ações
reparadoras;
d) Os processos de gestão de riscos tendem a ser monitoradas pela
direção da empresa para garantir que continuem a operar
eficazmente. A contribuição é direta para os objetivos da
organização;
e) Os riscos, respostas e ações são classificadas e relatadas de
forma adequada.
f) A ABR justifica o número de auditores no seu departamento de
auditoria.
Algumas limitações em relação à aplicação da ABR são citadas pelo
documento da Série Risk Management (2007), quais sejam: a) a metodologia ABR
requer um maior envolvimento da alta administração; b) a responsabilidade pela
gestão de riscos é direcionada à direção da empresa.
Da mesma forma, Griffiths (2006) cita algumas dificuldades no uso da
metodologia ABR, tais como:
a) estreitamento das relações com o resto da organização pode
reduzir a independência da função de auditoria interna;
b) a auditoria interna precisa “vender” muito bem à alta
administração o processo a ser auditado com base nos riscos,
principalmente em variáveis estratégicas dos negócios. O trabalho
precisa ser muito minucioso e fundamentado e leva tempo;
c) enquanto os princípios da metodologia são simples, a entrega
pode ser complexa, em razão da resistência dos auditores
92
internos e também dos gestores auditados. Podem precisar de
reciclagem quanto à visão dos riscos e controles;
d) ao concentrar-se em auditorias de riscos com base da matriz,
algumas auditorias anteriormente consideradas importantes pela
administração podem desaparecer.
Pelo exposto, verifica-se que a metodologia ABR não impede a utilização de
trabalho realizado pela auditoria com outras abordagens, a exemplo da baseada em
sistemas e/ou processos. Porém, a literatura não esclarece nem se aprofunda
quanto ao uso conjunto e suas especificidades em aplicação prática numa
organização. O que permanece é a garantia do foco em relação ao arcabouço
(framework) de gestão de riscos adotado pela empresa.
93
4 METODOLOGIA
O objetivo desta seção é descrever os procedimentos metodológicos
fundamentados na literatura acadêmica que nortearam o desenvolvimento do
presente trabalho.
Considerando que a pesquisa em administração revela um ambiente
administrativo repleto de modificações constantes, em que surge a necessidade de
estudar e explicar os fenômenos, o presente trabalho adentra nessa descoberta em
busca de novos saberes ou de esclarecimentos para novas indagações. Nesse
sentido, Hair et al. (2005, p.31) definem a pesquisa de administração como uma
“função de busca da verdade que reúne, analisa, interpreta e relata informações de
modo que as decisões administrativas se tornem mais eficazes”. O processo de
pesquisa em administração busca descrever as realidades de ações e interações
administrativas de um modo peculiar e verdadeiro.
Como diz Melo (2000, p.21), "não tenho um caminho novo, mas um novo
jeito de caminhar", o mesmo acontece com a decisão do pesquisador no momento
de definir a escolha dos métodos para o seu trabalho de pesquisa. É o momento de
encontrar uma forma de trilhar em busca de um novo conhecimento.
Sobre o assunto, Morin (1996, p.335) diz que o método é:
[...] a atividade pensante do sujeito onde a Teoria não é nada sem o
método. Ele [...] não deve degradar-se em técnica, com a teoria no papel
de programa, ao contrário, na perspectiva complexa, a teoria é engrama, e
o método, para ser estabelecido, precisa de estratégia, iniciativa, invenção,
arte. O método é a praxis fenomenal, subjetiva, concreta. O método é o
caminho, percurso e trajetória.
Assim, segundo Morin (1996), há um estreito relacionamento do pesquisador
com a teoria de tal forma a combinar-se mutuamente na organização dos dados e
das informações coletadas.
4.1 Tipologia da Pesquisa
A escolha do tipo de pesquisa é fator preponderante para se conseguir um
bom desempenho numa proposta de trabalho científico. Entende-se que o rigor pela
forma científica é necessário, pois busca a coerência, a boa disposição das
94
informações coletadas durante a pesquisa e, acima de tudo, atender a padrões e
modelos desenvolvidos cientificamente.
Considerando os aspectos determinantes do tema e da questão da pesquisa
ora trabalhados, identificou-se o estudo desenvolvido no paradigma fenomenológico,
cujo método é qualitativo, caracterizando-se pela não utilização de instrumental
estatístico como base do processo de análise de um problema (OLIVEIRA, 2001;
VIEIRA, 2004; RICHARDSON, 2008).
Por pesquisa qualitativa, Van Maanen (1983, p.9) conceitua como:
Uma série de técnicas interpretativas que procuram descrever, traduzir, e,
de outro modo, entender o significado e não a frequência de determinados
fenômenos que acontecem com mais ou menos naturalidade num mundo
social (tradução do autor)
Na visão de Collis e Hussey (2005), o método qualitativo é mais subjetivo e
remete o pesquisador a examinar e refletir sobre as percepções que irá encontrar no
ambiente de trabalho de sua pesquisa para, assim, obter um entendimento das
atividades sociais e humanas que acontecem na instituição, foco do presente
estudo.
Cooper e Schindler (2003, p.26) acrescentam que “o método de pesquisa
ao aluno o conhecimento e as habilidades necessárias para resolver problemas e
vencer desafios de um ambiente de tomada de decisão”.
Na mesma linha de pensamento, Cervo e Bervian (1983, p.50) resumem a
pesquisa científica como a “atividade voltada para a solução de problemas através
do emprego de processos científicos.”
Na classificação da pesquisa, toma-se como base as orientações
apresentadas por Collis e Hussey (2005), Hair et al (2007), Martins (2007) e Trivinos
(1987). Os autores classificam a pesquisa quanto aos objetivos e quanto aos meios.
Assim, em relação aos objetivos, a presente pesquisa se caracteriza como
um trabalho exploratório, devido a sua natureza de abordagem de buscar conhecer
o fenômeno como acontece na instituição pesquisada para adquirir maior
experiência e maior familiaridade com o problema, ou seja, a ideia foi tornar o
fenômeno mais explícito para ser interpretado no trabalho de pesquisa.
95
Sobre esse assunto, os autores Collis e Hussey (2005, p.24) caracterizam
como exploratória quando a pesquisa:
É realizada sobre um problema ou questão de pesquisa quando poucos
ou nenhum estudo anterior em que possamos buscar informações sobre a
questão ou o problema. O objetivo desse tipo de estudo é procurar padrões,
idéias ou hipóteses, em vez de testar ou confirmar uma hipótese.
Quanto aos meios, a pesquisa utiliza o estudo de caso, que se caracteriza
como um tipo de pesquisa cujo objeto é uma unidade que se analisa
detalhadamente (GODOY, 1995; TRIVINOS, 2007).
Na visão de Eisenhardt (1989, p.534), o estudo de caso “é um estudo de
pesquisa que foca no entendimento da dinâmica presente dentro de um único
ambiente”; situação em que se desenvolve o estudo ora trabalhado.
O estudo de caso como técnica de pesquisa amparou-se basicamente na
visão de Yin (1994) e Yin (2005). Na perspectiva inicial, Yin (1994) estabelece as
características de estudo de caso da seguinte forma:
a) os objetivos da pesquisa não devem se resumir apenas na
exploração de certos fenômenos, mas deve entendê-los num
determinado contexto onde ele acontece;
b) a pesquisa não deve começar com um conjunto de perguntas e
noções sobre os limites dos quais o estudo acontecerá;
c) a pesquisa deve utilizar métodos múltiplos para coletar dados que
podem ser qualitativos e/ou quantitativos.
De uma forma geral, Yin (2005, p.19) entende que o estudo de caso é uma
excelente estratégia de pesquisa para as ciências sociais. Ele assegura que o seu
uso se adequa melhor quando “o pesquisador tem pouco controle sobre os
acontecimentos e quando o foco se encontra em fenômenos menos
contemporâneos inseridos em algum contexto da vida real”.
Portanto, o esboço do presente trabalho de pesquisa foi fundamentado em
um estudo de caso, além dos procedimentos de pesquisa bibliográfica e pesquisa
documental.
Sobre a pesquisa bibliográfica e documental, o estudo se enquadra por
basear-se em materiais como documentos e relatórios, fundamentando-se nos
conhecimentos de documentação e bibliografia e tem a finalidade de colocar o
96
pesquisador em contato com todo material produzido na literatura acadêmica que
se relaciona com a pesquisa (PÁDUA, 2004).
Para Mattar (2001, p.20), “uma das formas mais rápidas e econômicas de
amadurecer ou aprofundar um problema de pesquisa é através do conhecimento
dos trabalhos já feitos por outros”.
Gill e Johnson (1991, p.21) estabelecem que uma revisão da literatura
precisa ser crítica e “deve fornecer ao leitor uma declaração sobre as mais recentes
e principais questões na área que está sendo considerada”.
Para os autores Cervo e Bervian (1983, p.55), a pesquisa bibliográfica:
Explica um problema a partir de referenciais teóricos publicados em
documentos. Pode ser realizada independentemente ou como parte da
pesquisa descritiva ou experimental. Ambos os casos buscam conhecer e
analisar as contribuições culturais ou cientificas do passado existente sobre
um determinado assunto, tema ou problema.
Assim, por meio da pesquisa bibliográfica, buscou-se os conceitos e os
fundamentos teóricos para compreender o ambiente da auditoria interna quanto aos
aspectos do seu trabalho, avançando pelas definições e padrões internacionais,
regulamentos governamentais e setoriais, tendo como base o conceito de
gerenciamento de risco e controle interno próprio do trabalho de auditoria.
Toda essa leitura foi feita para investigar um fenômeno de natureza interna
do Banco do Nordeste do Brasil quanto aos impactos com o advento da implantação
de um misto de metodologia disponível no mercado (auditoria baseada em processo
e auditoria baseada em riscos), tema objeto da presente pesquisa.
Apesar da literatura se mostrar escassa em muitos aspectos, como em o
funcionamento de um conjunto de metodologia de trabalho de auditoria interna
adotada por empresas, viu-se que a gestão de risco é algo comum nos estudos e no
mercado de trabalho e é percebida basicamente através dos controles internos e
esse, por sua vez, precisa ser entendido no organismo da empresa pelos seus
inúmeros trabalhos dispostos em processos e sistemas que fazem um todo
corporativo.
Com relação à pesquisa documental, foram obtidas informações do perfil da
empresa pesquisada no site institucional na internet e dados sobre o projeto de
97
implantação da metodologia e a situação atual, colhidos na própria unidade de
auditoria interna da instituição.
4.2 Ambiente e Participantes da Pesquisa
O presente estudo delimita como ambiente de análise o departamento da
auditoria interna de uma instituição financeira estatal, o Banco do Nordeste do Brasil
S.A. A escolha de uma única empresa para o foco da pesquisa se justifica pela
afinidade e facilidade do acesso às informações.
O Banco do Nordeste é uma empresa de economia mista que tem sua
atuação focada no desenvolvimento regional, com características específicas que
mescla suas atividades no dinamismo do mercado bancário, com toda
regulamentação especial do setor e, por outro lado, com o rigor burocrático do setor
público. Da mesma forma, a unidade de auditoria interna do BNB sofre os mesmos
efeitos desse dualismo.
Outro aspecto que foi levado em consideração, quanto à escolha da
empresa sob estudo, foi o formato utilizado pela sua unidade de auditoria interna
quando da implantação e aplicação de um misto de metodologias de trabalho
aplicável à auditoria interna, experiência essa não encontrada na literatura
acadêmica.
No entanto, tem-se a informação de mercado que as metodologias são de
uso comum em outras instituições como, por exemplo, no Banco do Brasil, porém
sem resultados divulgados nos meios acadêmicos, razão por não estar contido no
presente estudo.
Foram considerados para efeito do presente estudo na unidade de auditoria
interna do Banco do Nordeste os profissionais envolvidos diretamente ao trabalho de
auditoria (gestores e auditores internos) com atuação a partir de três anos na
função. A ideia de selecionar esse público se fez necessária em razão da vivência
desses profissionais no método antigo utilizado pela auditoria interna em
comparação com a nova metodologia implantada.
Portanto, foram desprezados para efeito da pesquisa os demais gestores e
auditores internos cuja atuação na unidade de auditoria data de até três anos.
98
4.3 Coleta de Dados
A coleta de dados é uma atividade essencial e a mais dinâmica na pesquisa
científica que, para descrever fenômenos, faz-se uso, necessariamente, de dados
(HAIR et al, 2005).
O método selecionado para a pesquisa “determina como os dados serão
coletados” (COOPER; SCHINDLER, 2000, p.83). Assim, vem a escolha e aplicação
dos instrumentos previamente elaborados com o uso de cnicas e recomendações
que serão úteis ao bom desempenho dessa etapa.
Os dados primários são aqueles coletados em fontes originais, sem
interpretação ou pronunciamentos que representam um ponto de vista ou um
posicionamento formal que se juntam durante a pesquisa com a finalidade de
atender especificamente os objetivos propostos no trabalho. (COOPER;
SCHINDLER, 2003).
Expostas as fundamentações teóricas sob os elementos que compõe a
coleta de dados, passa-se a comentar sobre o uso desses elementos no trabalho de
pesquisa.
O presente trabalho adotou o questionário e a entrevista como técnicas para
a coleta de dados.
A entrevista se mostrou importante para colher informações mais
qualificadas e de natureza estratégica da empresa, tendo o respaldo do gestor
principal da auditoria interna do BNB. As informações complementaram os demais
dados coletados por meio do questionário.
Segundo Yin (2001), a entrevista pode assumir inúmeras formas de
aplicação em um estudo de caso, contribuindo para ser uma das principais fontes de
informações devido à sua capacidade de permitir que o pesquisador tenha acesso,
além da percepção e interpretação da fala do respondente, a indicação de outras
fontes de pesquisa.
De maneira similar, Gall et. al (2007) elegem o instrumento da entrevista
como adequado ao tipo de pesquisa qualitativa por permitir que sejam esclarecidas
as declarações vagas, além de obter outras informações do respondente o
previstas inicialmente pelo pesquisador.
99
Considerando a afirmação de Yin (2005) sobre um dos pontos fortes da
entrevista - o enfoque direto ao tópico do estudo de caso - realizou-se um roteiro de
entrevista (APÊNDICE A) contendo seis perguntas, além dos quesitos sobre o perfil
do respondente, que foi direcionado ao gestor principal (superintendente) da unidade
de auditoria interna da instituição pesquisada.
Considerando o público perfilado para pesquisa, ou seja, gestores da
auditoria e auditores internos, foi também utilizado o questionário em face da
necessidade de colher informações com mais rapidez, sem o prejuízo do conteúdo
previsto na proposta da pesquisa.
O questionário (APÊNDICE B) foi elaborado com questões
predominantemente fechadas para facilitar a escolha pelo respondente. No entanto,
fez-se uso também de questões abertas para que os respondentes pudessem se
sentir à vontade para se manifestar livremente sobre alguns aspectos do tema.
Sobre isso, Hair et al (2005) alertam para coerência que deve ter o instrumento com
o problema de pesquisa e os objetivos do projeto de pesquisa.
Para Hair et al (2005, p.159), o questionário é:
Um conjunto predeterminado de perguntas criadas para coletar dados dos
respondentes. É um instrumento cientificamente desenvolvido para medir
características importantes de indivíduos, empresas, eventos e outros
fenômenos.
Algumas orientações de Yin (2005) foram tomadas ao realizar a aplicação do
questionário, como, por exemplo, os cuidados quanto ao local, nomes a serem
contatados e plano de coleta.
O questionário utilizado na pesquisa foi aplicado, na maioria das vezes, pelo
pesquisador em formato de entrevista nos moldes como é concebido por Hair et al
(2005), em razão dos profissionais estarem no mesmo ambiente de trabalho e de
existir abertura e facilidade para tal.
Os formatos dos quesitos do instrumento questionário foram assim definidos:
a) questões fechadas algumas com utilização de escala de Likert
de gradação de 1 a 5, por meio de medidas de opinião e de
atitudes para garantir a equivalência na variação de pensamento,
através de opiniões e atitudes dos sujeitos pesquisados. Para os
quesitos cuja resposta for mais favorável ou tiver um nível de
100
entendimento ou conhecimento de acordo com a questão posta
recebe a nota mais alta, e a desfavorável ou tiver o menor nível
de entendimento ou conhecimento recebe a nota mais baixa.
b) questões abertas de acordo com a conveniência da pesquisa e
para melhor detalhamento da resposta, tentando captar alguns
dados mais espontâneos, menos previsíveis.
Visando avaliar a necessidade de melhoria no questionário (APÊNDICE B),
fez-se um teste piloto contemplando dois participantes profissionais da área de
auditoria interna do Banco do Nordeste. O teste foi respondido gerando algumas
dúvidas, o que desdobrou prontamente em mudanças no questionário inicialmente
proposto.
O questionário utilizado na pesquisa (APÊNDICE B) contém um total de
vinte e cinco questões (dezoito perguntas fechadas e sete perguntas abertas) e a
sua estrutura é divida em três partes, contendo:
a) perfil do respondente;
b) aspectos sobre a implantação das metodologias de auditoria
baseada em processo e auditoria baseada em riscos;
c) aspectos de impacto na unidade da auditoria interna,
relacionados ao(s):
i. processo de trabalho da auditoria interna;
ii. relatórios emitidos/comunicação da auditoria interna;
iii. profissionais (equipe) da auditoria interna quanto à
quantidade, formação e capacitação técnica;
iv. ao conhecimento das metodologias pela equipe da auditoria
interna.
Como a pesquisa do estudo de caso é de âmbito interno, ou seja, realizada
na unidade de auditoria interna do Banco do Nordeste do Brasil, a aplicação dos
questionários foi direcionada aos profissionais daquela unidade em condições
funcionais distintas, sendo: cinco gestores e vinte e quatro auditores internos que se
encontravam em atividade, na data de 01/02/2010, considerados, portanto, os
sujeitos da pesquisa.
101
4.4 Tratamento e Análise dos Dados
O tratamento dos dados de uma pesquisa qualitativa requer um estudo
minucioso do conteúdo apurado para procurar o sentido que dê correspondência aos
objetivos específicos propostos no estudo. A análise do conteúdo, portanto,
consiste em desmontar a estrutura e os elementos desse conteúdo para esclarecer
suas diferentes características e extrair uma significação” (LAVILLE; DIONNE, 1999,
p.214).
Segundo ainda os autores Lavine e Dionne (1999), a análise de conteúdo se
aplica a uma grande variedade de materiais, além de abordar vários objetos de
investigação, tais como: atitudes, valores, representações, mentalidades, ideologias,
e outros. O seu uso pode ser adotado no estudo de embates políticos, de
estratégias, ou ainda para esclarecer fenômenos sociais particulares, em matéria de
comunicação.
Na visão de Bardin (2009, p.44), a análise de conteúdo é:
Um conjunto de técnicas de análise das comunicações visando obter, por
procedimentos sistemáticos e objetivos de descrição do conteúdo das
mensagens, indicadores (quantitativos ou não) que permitam a inferência de
conhecimentos relativos às condições de produção/recepção (variáveis
inferidas) destas mensagens.
Utilizando as orientações de Yin (2005), Bardin (2009) e Collis e Hussey
(2005) para a análise de conteúdo, algumas combinações analíticas foram utilizadas
na análise dos dados, tais como: codificação; criação de matriz de categoria,
destacando evidências; quantificação dos dados em formato de tabulação de
frequência diferentes e criação de gráficos.
Sobre essas atividades, foram adotados os seguintes procedimentos,
considerando a quantidade de respostas recebidas:
a) na etapa inicial (codificação) foi analisado o material por inteiro
e realizado um recorte dos conteúdos das respostas, buscando as
informações significativas do ponto de vista da pesquisa;
b) na segunda etapa (categorização), foram escolhidas as unidades
de códigos, agrupando os conteúdos da seguinte forma:
102
i. aspectos sobre a implantação da metodologia de auditoria
baseada em processo em conjunto com a auditoria baseada
em riscos;
ii. aspectos relacionados aos processos de trabalho da unidade
de auditoria interna com o advento da nova metodologia;
iii. aspectos relacionados à comunicação dos resultados,
incluindo os papéis de trabalho;
iv. aspectos relacionados aos profissionais da auditoria, à equipe
a sua formação técnica e conhecimento da metodologia.
c) na terceira etapa realizou-se o cotejamento das análises dos
documentos coletados com os objetivos específicos, para verificar
a coerência entre eles e, em seguida, foram feitas as inferências
sobre o tema proposto.
Do total de vinte e nove participantes inicialmente previstos para a pesquisa,
foram obtidos retornos de vinte e cinco respondentes, representando 86% de
participação. Quatro gestores e vinte e um auditores responderam o questionário. As
respostas dos questionários foram registradas em planilha eletrônica, os dados
foram eletronicamente compilados para totalizar em cada linha e coluna as
respostas neles contidas, com a observação da predominância da resposta em cada
quesito para a devida análise.
As respostas da entrevista foram dispostas em códigos e categorias,
analisadas no conjunto das demais respostas, e serviram para complementar os
resultados do questionário. A apresentação dos resultados finais é efetuada
basicamente por meio de relatos escritos, gráficos ilustrativos e quadros, e realizada
na seção 5 deste trabalho.
103
5 RESULTADOS DA PESQUISA
Esta seção apresenta os resultados da pesquisa realizada, por meio de
entrevista e aplicação de questionário, aos profissionais da unidade de auditoria
interna do BNB e avalia os principais impactos nas atividades decorrentes da
implantação da metodologia de auditoria de processo com foco em riscos em
consonância com os pressupostos.
5.1 Perfil da Instituição
A empresa pesquisada, o Banco do Nordeste do Brasil S.A. (BNB), é uma
instituição financeira estatal criada pela Lei Federal nº 1.649, de 19.07.1952, e
organizada sob a forma de sociedade de economia mista, de capital aberto, tendo
mais de 90% de seu capital sob o controle do Governo Federal. Com sede na cidade
de Fortaleza, Estado do Ceará, o Banco atua em cerca de 2 mil municípios,
abrangendo os nove Estados da Região Nordeste, o norte do estado de Minas
Gerais (incluindo os Vales do Mucuri e do Jequitinhonha) e o norte do Espírito
Santo.
O Banco tem foco no desenvolvimento regional do nordeste brasileiro, opera
como órgão executor de políticas públicas, cabendo-lhe a operacionalização de
programas como o Programa Nacional de Fortalecimento da Agricultura Familiar
(Pronaf) e a administração do Fundo Constitucional de Financiamento do Nordeste
(FNE), principal fonte de recursos operacionalizada pela Empresa. O BNB é o maior
banco da América Latina neste segmento e diferencia-se das demais instituições
financeiras pela missão que tem a cumprir: atuar, na capacidade de instituição
financeira pública, como agente catalisador do desenvolvimento sustentável do
Nordeste, integrando-o na dinâmica da economia nacional.
A instituição financeira trabalha com ações antecedentes e subsequentes à
concessão de crédito com diversos instrumentos que lhe possibilitam atuar mais
próximo dos clientes e ampliar suas atividades, indo além da intermediação
financeira, buscando contribuir para garantir a sustentabilidade dos
empreendimentos financiados. Seus principais instrumentos são: os Agentes de
Desenvolvimento, as Agências Itinerantes, as Políticas de Desenvolvimento
104
Territorial, o Crediamigo (o maior programa de microcrédito da América do Sul e o
segundo da América Latina) e o Programa de Desenvolvimento do Turismo no
Nordeste - PRODETUR, no apoio à infraestrutura turística regional.
Associado a sua atuação, o Banco do Nordeste estabelece uma política de
parcerias com os diversos níveis de governo, associações de classe e demais
órgãos de apoio, pesquisa e fomento para implementação de iniciativas conjuntas,
como, por exemplo, nas áreas de pesquisa, assistência técnica e apoio à
comercialização.
5.2 Perfil dos Participantes da Pesquisa
O perfil dos respondentes da pesquisa na unidade de auditoria interna do
Banco do Nordeste revela que a equipe de profissionais é experiente. A faixa etária,
representada no Gráfico 1, indica que 96% desses profissionais tem idade superior a
40 anos.
4,0%
28,0%
36,0%
32,0%
A39 anos
De 40 a 44 anos
De 45 a 49 anos
Acima de 50 anos
Gráfico 1 Faixa etária dos profissionais da auditoria do BNB
Fonte: elaborado pelo autor.
Quanto à escolaridade dos profissionais da auditoria interna do BNB, a
pesquisa revelou que 60% têm, no mínimo, uma especialização, e 28% têm o título
de mestre, conforme Gráfico 2.
105
60%
28%
12%
Especialista / MBA
Mestre
Superior completo
Gráfico 2 Escolaridade dos profissionais da auditoria interna do BNB
Fonte: elaborado pelo autor.
No quesito de certificações que norteiam o trabalho de auditoria, a pesquisa
identificou ausência, na maioria dos participantes, quanto às principais certificações
de reconhecimento do mercado e de padrões internacionais, conforme demonstra o
Gráfico 3. Foi identificado na pesquisa documental que o assunto faz parte do
projeto técnico da auditoria da instituição (vide quadro 10), em andamento. A meta
do projeto técnico é capacitar toda a equipe de auditores internos, gestores e
analistas para as principais certificações de padrão internacional a exemplo da CIA
Certified Internal Auditor, conforme pesquisa documental.
64,0%
36,0%
Sim
Não
Gráfico 3 Profissionais da auditoria interna do BNB com certificação
Fonte: elaborado pelo autor.
106
em conhecimento de língua estrangeira, os profissionais participantes da
pesquisa indicaram um conhecimento em 72%, com predomínio do inglês e de nível,
no mínimo, básico, conforme demonstrado no Gráfico 4. Sobre este assunto, o
Banco do Nordeste tem incentivado os seus profissionais, não apenas da auditoria
interna, a buscarem conhecimento em língua estrangeira. Para isso, a empresa tem
financiado diversas participações de funcionários em cursos de línguas e imersões
da espécie, conforme identificado na pesquisa documental.
72,0%
28,0%
Sim
Não
Gráfico 4 Profissionais da auditoria com conhecimento em língua estrangeira
Fonte: elaborado pelo autor.
Pelo resultado da pesquisa, o perfil dos respondentes revela que a unidade
de auditoria interna do BNB possui um padrão de conhecimento em língua
estrangeira com margem positiva para avançar. Considera-se importante manter e
expandir a condição de proficiência em língua estrangeira em razão do perfil
moderno que precisa ter os profissionais da auditoria para acompanhar as
tendências veiculadas em revistas e outras mídias internacionais.
5.3 Implantação das metodologias de auditoria baseadas em processo e em
riscos
A análise da entrevista realizada com o gestor principal da auditoria interna
do BNB revela os principais motivos da administração para as mudanças no escopo
de trabalho da sua unidade de auditoria.
107
Segundo o superintendente da área de auditoria, o segmento financeiro de
banco, nos últimos anos, foi objeto de muitas mudanças promovidas por diversos
acontecimentos no mundo todo. Assim, por si só, no setor bancário suscitam
diversas motivações para a implantação de uma nova metodologia de trabalho da
auditoria interna, dentre as quais se destacam, segundo o entrevistado:
a) o Acordo de Basiléia que através da divulgação de seus princípios
e recomendações sobre contabilidade e supervisão bancária se
tornaram posteriormente determinações do Banco Central do
Brasil (BACEN). O foco em processo, portanto, se mostrava mais
importante porque se constatou que a forma clássica de se fazer
auditoria em unidades administrativas não agregava aquilo que se
esperava e que poderia ser útil para a empresa;
b) a evolução natural das estruturas internas dos bancos e a criação
de área específica de controle interno que passaria a ser a
responsável, em primeiro plano, pela aplicação de testes de
conformidade e verificação de controle, permitiram que a auditoria
interna pudesse migrar de um trabalho que era mais centrado em
teste de conformidade e verificação de falhas. Com isso, o
trabalho da auditoria evoluiu para uma visão de processo e não
mais em unidades administrativas. Abandonou o foco da detecção
de falhas e centrou esforços na detecção de fragilidades e nas
suas respectivas causas. Portanto, as recomendações de
auditoria deixaram de ser, exclusivamente, para o cumprimento
de norma, de uma falha pontual de execução de uma determinada
atividade de um processo, para executar um serviço mais “nobre”,
passando a adotar uma visão muita mais ampla, uma visão de
“águia”. Desta feita, percebendo a fragilidade do processo,
mesmo que não tenha sido gerada alguma ocorrência de falha,
mas que potencialmente poderia acontecer, e, assim, a auditoria
passaria a recomendar à administração da empresa as medidas
preventivas de controle;
c) o não atendimento aos anseios da alta administração quando do
relato de informações críticas dos processos de negócios da
108
empresa. No formato de trabalho anterior da auditoria interna,
geravam-se inúmeras recomendações de falhas sem que não
tivesse a visão do todo, das fragilidades do processo, das
atividades mais críticas da empresa, até porque o foco do trabalho
da auditoria era as unidades administrativas. Portanto, os
relatórios da auditoria interna estariam mais afetos às
superintendências operacionais e não à alta administração;
d) o desejo de dar maior eficiência ao trabalho da auditoria, o que
foi possível apenas com o avanço de estruturação do controle
interno da empresa que passou a subsidiar a auditoria interna
com seus relatórios. Assim, a auditoria passou a concentrar-se
em questões mais estratégicas para empresa, mostrando quais os
processos que apresentam uma exposição a risco residual ainda
alto e recomendando às áreas do banco que tomem as
providências, visando levar o risco residual a um patamar
adequado dentro do que a empresa espera.
O ânimo de mudança para nova metodologia de atuação da unidade de
auditoria interna do BNB partiu da própria auditoria que, segundo o entrevistado,
encontrou respaldo e apoio em todos os órgãos que compõem a cúpula da empresa
que mantém relacionamento com a auditoria interna, dentre eles: o conselho de
administração, as diretorias e o comitê de auditoria.
As motivações para uma mudança de atuação da auditoria interna do BNB,
destacadas pelo entrevistado da pesquisa encontram respaldo nos comentários
relacionados no referencial teórico, principalmente no que diz respeito à legislação
imposta pelo Banco Central do Brasil, baseado no Acordo de Basiléia e na Lei
Sarbanes Oxley.
De acordo com o resultado da entrevista, pode-se dizer que o papel da nova
auditoria interna com as mudanças implementadas é buscar maior eficiência aos
processos de negócio do Banco no sentido de aumentar a garantia para que os
objetivos da empresa sejam alcançados e diminuir os riscos por fragilidades em
seus processos. Para isso, a auditoria está trabalhando com foco na verificação dos
processos mais críticos que sensibilizam os negócios da empresa, identificando os
109
riscos residuais ainda existentes, buscando atuar com recomendações às áreas
operacionais no sentido de mitigar os riscos.
A auditoria interna agrega valor às decisões estratégicas da empresa na
medida em que o tomador da decisão conhece os resultados dos trabalhos da
auditoria realizados nos processos da empresa, permitindo um posicionamento mais
seguro em relação ao assunto e até que ponto essa decisão pode impactar os
negócios da empresa, diminuindo os riscos que tal decisão poderá ter
consequências de perda para o Banco. É verdade que na maioria dos bancos
existem áreas específicas que mensuram os riscos dos processos. No entanto, a
auditoria interna tem uma visão e atuação independentes, o que a diferencia e torna
seu trabalho mais relevante, possibilitando maior credibilidade às tomadas de
decisão estratégica da organização.
A entrevista ainda revelou que a alta administração da empresa tem se
manifestado postivamente quanto à „nova‟ metodologia da auditoria interna. Na
prática, essa manifestação se por meio do acompanhamento do comitê de
auditoria, cujo papel é avaliar a auditoria interna de forma técnica, fazendo com que
o seu trabalho seja direcionado para as tendências de uma auditoria moderna, mais
eficiente e mais agregadora. O comitê de auditoria, que é o “braço operacional” do
conselho de administração, com o respaldo daquele colegiado, tem colaborado com
a auditoria interna durante todo o processo de implementação da nova metodologia
de atuação da auditoria interna. Os integrantes do comitê de auditoria, segundo o
entrevistado, são profissionais experientes no assunto.
Sobre a participação do Comitê de Auditoria na nova atuação da auditoria
interna do Banco do Nordeste, -se que o resultado da pesquisa corrobora com o
que foi comentado por Moeller (2004) ao citar que aquele colegiado terá uma maior
aproximação com as atividades da auditoria considerando os ditames da nova
legislação do setor bancário, a adoção de melhores práticas do mercado e aos
padrões estabelecidos internacionalmente.
Na visão do gestor principal da auditoria, os principais produtos
desenvolvidos a partir da nova metodologia de trabalho da auditoria estariam
segmentados em dois eixos.
110
a) O primeiro seria o próprio formato e o conteúdo dos relatórios da
auditoria, que ficaram sucintos, direcionados. O gestor do
processo quando tem conhecimento do relatório ou durante o
trabalho de auditoria tem a oportunidade de perceber a situação
do processo, ou de parte dele, que é de sua responsabilidade, por
meio da sinalização da auditoria, no que se refere à qualidade e o
nível da gestão de risco desse processo. Através do relatório é
possível também o gestor conhecer onde estão as causas
maiores, as dificuldades que sua área tem quanto aos controles
no que diz respeito a sua existência, suficiência e observância;
b) Outro produto seria as recomendações da auditoria que são
focadas em atingir as causas das fragilidades identificadas na
execução do processo, sem prejuízo para as recomendações de
correção de falhas. A origem dessas fragilidades pode estar
relacionada tanto ao processo auditado como pode estar
relacionada a qualquer outro processo de outra área da qual o
primeiro processo depende. Assim, o objetivo da auditoria é dar
recomendação que resolva a questão na “raiz” do problema,
independentemente de onde ela aconteça.
Principais critérios para a escolha das metodologias
Benchmarching com o Banco do Brasil
Debates internos
Consultoria com o Banco do Brasil
Adequação com a realidade orçamentária e tecnológica do mercado
Treinamento dos profissionais da auditoria pela auditoria do Banco do Brasil;
Resultados exitosos alcançados por outras empresas
Participação em fóruns e eventos especializados
Quadro 9 Principais critérios para a escolha das metodologias
Fonte: elaborado pelo autor.
Conforme resultado da pesquisa realizada por meio do questionário,
identificou-se que os principais critérios de seleção da metodologia, conforme
111
demonstrado no Quadro 9, foram identificados a partir de um conjunto de elementos
que a própria auditoria foi reunindo ao longo do tempo em diversas ocasiões.
5.4 Impactos da implantação das metodologias na atividade da auditoria
interna da instituição
Com a implementação da metodologia baseada em processo com foco em
riscos, a unidade de auditoria interna do Banco do Nordeste passou a exercer
diversas funções e atividades antes não adotadas e, ao mesmo, deixou de exercer
tantas outras.
Com a pesquisa documental e os dados coletados no questionário,
identificaram-se as principais mudanças ocorridas nas atividades da auditoria que
foram realizadas para adequar às diretrizes da nova metodologia, baseada em
processo com foco em riscos, aliadas à padronização internacional de trabalhos da
auditoria, divulgada pelo Institute of Internal Auditor (IIA).
Esse conjunto de alterações foi desenvolvido e gerenciado pela instituição
pesquisada em formato de projeto técnico de estruturação da auditoria interna,
resumido no Quadro 10.
Resumo do Projeto Técnico da Auditoria para Suporte da Metodologia
Governança
Redefinição da política de atuação
Relacionamento
Pessoas
Alocação de Recursos
Desenvolvimento
Retenção e Carreira
Infraestrutura e Operações
Ferramentas e tecnologia
Metodologia
Qualidade
Quadro 10 Resumo do Projeto Técnico da Auditoria para Suporte da Metodologia
Fonte: elaborado pelo autor.
No segmento de Pessoas, constante do documento Projeto Técnico da
Auditoria Interna (vide Quadro 10) e ratificada no resultado do questionário
(Apêndice B quesito 22), a unidade pesquisada investiu inicialmente em cursos
específicos de capacitação na metodologia de processo com foco em riscos para
112
mais de 25 profissionais da auditoria. A auditoria interna também investiu em outros
cursos, em participações de profissionais em congressos, seminários e outros fóruns
especializados, além de visitas técnicas a outras instituições financeiras, resultando
em cerca de 200 horas/aula por ano para cada profissional, durante os anos de 2008
e 2009, conforme pesquisa documental.
No segmento de Infraestrutura e Operações, foram adotadas diversas ações
que mudaram o processo de fazer auditoria, dentre as quais: o desenvolvimento de
novos papéis de trabalho, a aquisição de ferramenta computacional para coleta de
dados e definição de amostras estatísticas e a inclusão de novos instrumentos de
apoio às atividades da auditoria.
Antigas e Novas Atividades da Auditoria Interna
Atividades excluídas dos trabalhos da Auditoria
Compliance;
Auditoria de unidades de negócio;
Avaliação da gestão das unidades operacionais;
Auditoria de conformidade à distância;
Análise de procedimentos, registro das ocorrências em súmulas.
Atividades incluídas nos trabalhos da Auditoria
Mapeamento do processo;
Avaliação de processos corporativos vitais;
Avaliação dos controles dos processos;
Avaliação dos riscos dos processos;
Identificação das atividades críticas, dos riscos estratégicos e da qualidade dos controles por
meio dos processos;
Gerenciamento e controle dos trabalhos das recomendações da auditoria (follow-up);
Identificação de fragilidades e suas respectivas causas;
Auditoria com foco em riscos;
Extração de amostra científica para execução de testes;
Análise de existência, suficiência e observância dos controles com registro das fragilidades e
ou falhas na execução.
Quadro 11 Antigas e Novas Atividades da Auditoria Interna
Fonte: elaborado pelo autor.
113
A auditoria interna do BNB com a implementação da metodologia baseada
em processo com foco em riscos passou a trabalhar com novas atividades e
abandonou outras. Assim, o Quadro 11 demonstra as atividades excluídas e
incluídas de acordo com os dados da pesquisa documental e na visão dos
participantes da pesquisa.
O uso da metodologia de auditoria baseada em processo com foco em
riscos também modificou e passou a utilizar alguns instrumentos e ferramentas para
dar o suporte ao efetivo funcionamento. Assim, com base na pesquisa documental e
na pesquisa com os participantes, o Quadro 12 demonstra as principais ferramentas
e instrumentos utilizados na nova metodologia.
Ferramentas e Instrumentos Utilizados pela nova auditoria do BNB
Alterações no sistema de auditoria para adequar o novo modelo
Utilização de amostra científica do tipo aleatória simples
Aplicação de matriz de criticidade
Aplicação de matriz GUT (Gravidade, Urgência e Tendência)
Aquisição de software IDEA para técnica de coleta de dados e definição de
amostras estatísticas
Cálculo da criticidade das ocorrências
Estudo do BMP (Business Measurement Process)
Mapeamento dos processos
Metodologia de cálculos de pontos críticos
Novos papéis de trabalho
Programa de teste em atividades eleitas como críticas e com base em fatores de
risco
Quadro 12 Ferramentas e Instrumentos utilizados pela “nova” auditoria do BNB
Fonte: elaborado pelo autor.
Sobre a nova atuação da auditoria interna do BNB em relação às práticas
adotadas pelo mercado e aos padrões internacionais (Apêndice B questão 10), os
respondentes assim se manifestaram, conforme demonstrado percentualmente no
Gráfico 5.
114
48,0%
44,0%
4,0%
4,0 %
Parcialmente aderente
Parcialmente aderente com plano de
evolão de aderência completa
completamente aderente
não aderente
Gráfico 5 Aderência da metodologia implantada no BNB às práticas de mercado e
aos padrões internacionais
Fonte: elaborado pelo autor.
De acordo com a pesquisa documental, faz parte do projeto técnico da
auditoria interna o plano de evolução completa no tocante à aderência às práticas de
mercado e aos padrões internacionais de auditoria. Portanto, deve ser uma meta a
ser buscada pela unidade.
Quanto aos impactos na comunicação dos resultados dos trabalhos de
avaliação (assurance) da auditoria, com a chegada da nova metodologia, os
respondentes (Apêndice B questão 21) se manifestaram positivamente em relação
aos benefícios que a nova metodologia está proporcionando aos principais veículos
de comunicação da auditoria interna, cujo resumo está demonstrado no Quadro 13.
Melhorias na comunicação da auditoria interna
Concisão e objetividade nos relatórios da auditoria, dando melhor
qualidade ao produto da auditoria;
Maior envolvimento da alta administração pelo conhecimento dos
riscos envolvidos nos negócios da empresa, possibilitando maior
transparência e apoio à governança da empresa;
Sintetização das principais ocorrências para comunicação ao
Conselho de Administração;
Envolvimento dos gestores dos processos.
Quadro 13 Melhorias na comunicação da auditoria interna
Fonte: elaborado pelo autor.
115
Ainda no aspecto da comunicação dos resultados, cabe destaque o fato dos
respondentes citarem alguns desafios e anseios dos profissionais da auditoria,
inclusive na confecção dos papéis de trabalho (documentação produzida pela
auditoria), no sentido de tornar mais eficiente a atividade da auditoria e o repasse de
informações a alta administração.
Os desafios dizem respeito ao processo de elaboração e validação dos
reports e na mudança da linguagem operacional em reports que tratam de
informações estratégicas. Quanto aos anseios, as informações dizem respeito ao
atendimento das recomendações pelos gestores dos processos em tempo hábil,
pois daria a prioridade merecida.
No segundo pressuposto deste trabalho, foi mencionada a preocupação a
respeito das atribuições da área de controle interno em comparação com os
trabalhos realizados pela auditoria interna que poderiam se confundir com o advento
da nova metodologia de atuação da auditoria. Essa hipotética situação, à primeira
vista, poderia prejudicar os trabalhos de ambas as unidades e consequentemente a
organização.
Para atender a essa questão, a pesquisa documental aliada às respostas
dos participantes definiram as fronteiras de seus campos de atuação, demonstrados
nos Quadros 14 e 15.
Atribuições Básicas dos Controles Internos
Acompanhar o cumprimento, pelas demais áreas do Banco, das normas legais e
regulamentares aplicáveis à Instituição.
Definir mecanismos e procedimentos de controle voltados para a mitigação dos riscos
do Banco em suas atividades e sistemas de informações financeiras, operacionais e
gerenciais.
Executar, de forma segregada das demais funções do Banco, as atividades referentes
à gestão do Sistema de Controles Internos, com vistas a assegurar a eficiência dos
controles existentes em cada processo.
Verificar a conformidade das operações, processos, produtos e serviços.
Quadro 14 Atribuições básicas dos Controles Internos
Fonte: elaborado pelo autor.
116
Funções da Auditoria Interna
Avaliar os principais riscos dos processos de negócios, detectando as fragilidades e suas
respectivas causas, atuando de forma preventiva, evitando perdas para a empresa;
Avaliar e prestar consultoria à administração no alcance dos objetivos estratégicos, na
gestão de riscos e controles internos em prol do fortalecimento da governança
corporativa;
Planejar, implementar, coordenar e avaliar as atividades de auditoria interna visando à
melhoria do gerenciamento dos riscos da instituição e o assessoramento dos níveis
estratégicos intermediários da empresa nos assuntos que lhe são afetos;
Avaliar se o gerenciamento de risco adotado pela empresa é adequado às boas práticas
da governança corporativa, prestando as recomendações de melhorias consideradas
necessárias;
Avaliar a existência, suficiência e observância de controle que assegurem o alcance dos
objetivos dos processos.
Quadro 15 Funções da Auditoria Interna
Fonte: elaborado pelo autor.
Com a implantação da metodologia baseada em processo com foco em
riscos, percebe-se, com base nos Quadros 14 e 15, que as funções das áreas de
controles internos e da auditoria interna não se confundem, pois tecnicamente são
distintas. Um exemplo disso é que a auditoria interna abandonou completamente as
verificações de conformidade, que hoje estão a cargo da unidade de controles
internos da instituição, conforme citam a maioria dos respondentes à pergunta 14
do questionário (Apêndice B) sobre o assunto.
Os respondentes ainda citam que, em muitos casos, as funções são
complementares na medida em que os relatórios dos controles internos são
subsídios para os trabalhos da auditoria interna na avaliação dos controles dos
processos.
Outro ponto destacado pelos respondentes sobre o assunto ressalta que
apesar das áreas da auditoria e do controle interno, em alguns casos, fazerem
testes no mesmo objeto, o escopo do trabalho e a visão m ângulos diferentes.
Para ilustrar essa situação, toma-se como exemplo a execução de uma atividade
bancária simples como o cadastro de um cliente. A atuação do controle interno
117
nesse caso teria uma visão apenas na conformidade da execução do trabalho,
observando se estaria sendo preenchido corretamente como previsto em norma.
a auditoria interna teria uma perspectiva diferente, uma visão que iria muito além do
simples erro de execução da atividade em si. O foco de visão se ampliaria para
conhecer os controles dessa atividade e os riscos associados. Desta forma, a
auditoria teria como identificar possíveis fragilidades e causas no processo.
Portanto, um mesmo objeto pode ser verificado em ângulos distintos,
concluindo, assim, que não confusão sobre as atribuições das unidades de
controles internos e da auditoria interna.
Fazendo referência sobre o terceiro pressuposto deste estudo, no que diz
respeito à identificação do nível de conhecimento e aderência dos profissionais ao
modelo adotado, passa-se, então, a expor os resultados da pesquisa sobre o
assunto.
Foi perguntado no questionário (Apêndice B questão 15) quais as
dificuldades enfrentadas pela auditoria na implantação da nova metodologia de
trabalho.
Gráfico 6 Dificuldades enfrentadas pela auditoria na implantação da metodologia
Fonte: elaborado pelo autor.
26,6%
22,4%
21,6%
15,3%
14,1%
Estruturação técnica (processos,
planos, modelos, papéis de
trabalho...)
Cultura do controle nos gestores
da empresa
Ferramentas e Instrumentos
Sistema de gerenciamento dos
trabalhos da auditoria
Outros
118
O Gráfico 6 demonstra, na visão da equipe de profissionais da auditoria, que
as grandes barreiras enfrentadas pela unidade da auditoria interna na implantação
do modelo não foram concentradas em apenas em único elemento, considerando
que uma das mais apontadas, a Estruturação Técnica, apresentou índice de apenas
26,6%. Isso revela que a implantação da metodologia teve vários aspectos a serem
superados.
Outro elemento a destacar no Gráfico 6 foi a preocupação de 22,4% dos
profissionais da auditoria citarem no item Cultura do Controle nos Gestores da
Empresa como dificuldades na implantação da metodologia. Infere-se, contudo, que
tal preocupação com a cultura do controle nos gestores da empresa estaria
relacionada ao aspecto do “novo” que é algo imponderado nas relações humanas e,
portanto, também nas organizações.
Na pesquisa realizada (Apêndice B questão 18), procurou-se investigar
sobre as melhorias observadas nos processos de trabalho da auditoria interna com o
advento da nova metodologia. O resultado mostrado no Gráfico 07 evidencia os
impactos positivos na nova atuação da auditoria, na visão dos seus profissionais.
Cabe destacar que 24,1% dos participantes elegeram o aspecto
da eficácia do processo de trabalho, o que significa um avanço esperado por
qualquer organização.
Gráfico 7 Melhorias do processo de auditoria com a implantação da metodologia
Fonte: elaborado pelo autor.
24,1
20,5%
18,8%
14,2%
12,5%
9,9%
Eficácia do processo de auditoria
Conhecimento dos controles
Conhecimento dos processos da
empresa
Gerenciamento das
recomendações
Redução de custos do trabalho da
auditoria
Outros
119
Conforme resultado demonstrado no Gráfico 7, o item relacionado ao
Conhecimento dos Controles, citado por 20,5% dos respondentes da pesquisa, e o
item Conhecimento dos Processos da Empresa, citado por 18,8%, obviamente tem
sua relevância ao ser citados até porque é a essência da metodologia baseada em
processo com foco em riscos. Ou seja, os controles e os processos são os canais
por onde o trabalho se realiza.
Outra característica a ser destacada sobre o aspecto da melhoria é que ao
mesmo tempo em que foi verificada a melhoria na eficácia do processo de trabalho
da auditoria, percebe-se que uma tendência observada por 12,5% dos
respondentes sobre a questão da redução de custos nas atividades da auditoria
(vide Gráfico 7).
Então, analisando os dados apresentados no Gráfico 7, conclui-se que é
possível uma unidade de auditoria interna se manter eficaz nos trabalhos e ter
sempre uma preocupação e perspectiva na redução dos custos. Pode-se dizer,
portanto, que a metodologia proporciona fazer mais e bem feito, mas com poucos
recursos, ou seja, ser eficiente.
Investigou-se ainda (Apêndice B questão 20) as possíveis limitações nos
trabalhos da auditoria interna com a nova metodologia. O resultado demonstrado no
Gráfico 8 revela, na visão dos respondentes, o grau de relevância dessas principais
limitações que podem se apresentar como comprometedoras para a continuidade do
formato de atuação escolhido, porque, ao citar essas possíveis dificuldades, os
profissionais se preocupam com a melhoria da sua própria atuação e do seu
desempenho.
Fazendo uma análise comparativa do resultado do Gráfico 6, que trata de
aspectos relacionados à implantação da metodologia baseada em processo e em
riscos, e do Gráfico 8, que simula possíveis limitações à metodologia pós-
implantação, observa-se que o item Ferramentas de Suporte à Operacionalização da
Metodologia se apresenta na terceira posição no Gráfico 6 com 21,6% de escolha
pelos respondentes.
120
Gráfico 8 Possíveis limitações no trabalho da auditoria com o uso da metodologia
Fonte: elaborado pelo autor.
A mesma preocupação se repete, conforme visualizado no Gráfico 8, desta
vez em primeiro lugar com um índice de 24,1%. A situação destacada pela pesquisa
é recorrente, na visão dos profissionais da auditoria, com a implantação da nova
metodologia.
Sobre esse assunto, também se verificou, na pesquisa documental, que faz
parte do projeto técnico da auditoria, o investimento em um novo sistema
computacional de suporte à metodologia que está sendo adquirido no formato de
licitação pública, o que poderá minimizar a preocupação dos profissionais sobre
esse tema.
Outro aspecto de preocupação de 18,5% dos respondentes da pesquisa,
demonstrado no Gráfico 8, é a questão da ausência do mapeamento de alguns
processos ainda não realizado pelo BNB. A execução da atividade de mapeamento
de processo seria feita por outra área específica da empresa, conforme foi
observado em documentação sobre as atribuições dos ambientes operacionais que
fazem a estrutura organizacional do BNB.
Para essa questão, não se considera um problema relevante que é da
própria essência do trabalho do auditor fazer um fluxo ou mapeamento de algum
24,1%
18,5%
18,5%
17,7%
11,4%
9,8%
Ferramentas de suporte à operacionalização
da metodologia
Ausência de mapeamento de processos
Maturidade de risco da empresa
Nivelamento de conceitos da metodologia
pelos auditores
Ausência da cultura do controle na empresa
Outros
121
processo em que não se conheça para poder entender as diversas nuances, as
interseções e os possíveis impactos das atividades relacionadas com o objeto e o
escopo do trabalho planejado.
O que se vislumbra de problema, no entanto, é a questão do custo a maior
no trabalho da auditoria, já que a unidade estaria alocando mais horas de seu
trabalho para realizar uma atividade que originalmente deveria ser feita por outra
unidade, conforme a estrutura da empresa em estudo.
Em referência aos aspectos relacionados ao conhecimento e à compreensão
dos elementos principais envolvidos com a nova atuação da auditoria interna, os
profissionais daquela unidade se posicionaram na pesquisa por meio da pergunta 23
do questionário (Apêndice B), cujo resultado está demonstrado no Gráfico 9.
Os elementos apresentados no Gráfico 9 dizem respeito aos conceitos e
formatos de atuação da nova metodologia baseada em processo com foco em
riscos. Os itens de maior citação dos respondentes da pesquisa, tais como:
Planejamento Operacional (96%), Visão de Risco (96%), são itens de preparação do
trabalho, razão pelo qual se explica o conhecimento acentuado dos profissionais.
Do lado inverso, o Gráfico 9 identifica os itens menos citados na pesquisa
como Visão Estratégica e Matriz processo x critério x unidade, ambos com 68%.
Sobre o item da Visão Estratégica, pode caracterizar o pouco exercício dos
profissionais na questão de definir o que é realmente estratégico na visão deles e
como isso se reveste na prática, a exemplo do repasse de informações, via relatório.
Quanto ao item Matriz Processo x Critério x Unidade também menos citado pelos
profissionais, é compreensível o resultado apontado pelo questionário (68%) por
refletir pouca familiaridade de alguns profissionais na execução dessa atividade.
Segundo a pesquisa documental, trata-se de uma matriz realizada a partir de
critérios para seleção de amostra, que, por sua vez, é definida a partir de consultas
realizadas no banco de dados. Entende-se, portanto, que a complexidade da
atividade se refletiu no resultado da pesquisa.
122
Gráfico 9 Conhecimento dos profissionais da auditoria sobre a metodologia
Fonte: elaborado pelo autor.
Contudo, de uma forma geral, os conceitos da nova metodologia de atuação
da auditoria foram assimilados de maneira satisfatória pelos profissionais que os
executam, com índices de resultado superiores a 67%, conforme mostra o Gráfico 9.
Com essas informações da pesquisa, infere-se que o trabalho da auditoria interna,
levando em conta essa nova configuração, tem-se mostrado claro para os seus
profissionais, o que simboliza um ganho para unidade de auditoria e a organização.
68
68
72
72
76
80
80
80
80
80
80
80
80
80
84
84
88
88
88
88
92
92
92
96
96
96
32
32
28
28
24
20
20
20
20
20
20
20
20
20
16
16
12
12
12
12
8
8
8
4
4
4
Matriz processo x critério x unidade
Visão estratégica
Registro de constatação
Pré-auditoria
Monitoramento progresso - recomendação
Avaliação do processo de auditoria
Objetivos, riscos e controles
Falha de execução do processo
Identificação de atividades (dos processos)
Função da auditoria
Matriz GUTGravidade/Urgência/Tendência
Foco na melhoria dos processos
Certificação e Follow-up
Vulnerabilidade
Planejamento tático
Definição critérios - seleção amostras
Fragilidades do processo
Matriz de criticidade
Relatórios da auditoria
Mapa de processos
Programa de testes
Execução do trabalho de auditoria
Criticidade e abrangência - recomendação
Coleta de documentos - processo
Visão de risco
Planejamento operacional
Pouco / Médio
Conhecimento
Bom / Ótimo
Conhecimento
123
Foi perguntado (Apêndice B questão 17) sobre o nível de atendimento dos
objetivos propostos pela auditoria interna frente aos resultados até então atingidos
após a implantação da metodologia. A ideia do questionamento era confrontar os
dados obtidos pela pesquisa com as metas projetadas pela auditoria interna,
conforme pesquisa documental verificada no Projeto Técnico, e identificar o nível de
entendimento dos profissionais sobre os resultados pós-implantação. O produto
gerado pelas respostas sobre este assunto está demonstrado no Gráfico 10.
Gráfico 10 Resultados Atingidos x Objetivos propostos pela auditoria interna
Fonte: elaborado pelo autor.
Com um índice de 84%, conforme o Gráfico 10, os resultados planejados da
auditoria interna foram atingidos parcialmente, na visão dos respondentes.
Compreende-se que esse fato deve ter um referencial.
Para isso, considerou-se o Projeto Técnico da auditoria interna como o ponto
de referência para poder entender os resultados.
O projeto técnico ainda está em andamento, a exemplo da aquisição de
sistema de auditoria comentado neste trabalho e da meta sobre a certificação dos
profissionais em padrão internacional de auditoria. Então, por esses elementos,
pode-se dizer que o índice levantado pela pesquisa se apresenta coerente.
84,0%
12,0%
4,0%
Atingem parcialmente
Atingem completamente
Não atingem
124
5.5 Considerações sobre os resultados
De um modo geral, esta pesquisa revela que a implementação das
metodologias de auditoria baseada em processo e em riscos para o Banco do
Nordeste está sendo um aprendizado da própria unidade de auditoria, envolvendo
os seus profissionais e, em alguns aspectos, toda a organização.
Percebeu-se que a construção do novo formato de atuação da auditoria
interna foi realizada em bases técnicas conhecidas no mercado e com benchmarking
institucional sobre o uso similar dessas metodologias realizado em instituições
como, por exemplo, o Banco do Brasil, posto que se considera um ingrediente
necessário ao fortalecimento da governança corporativa de qualquer empresa.
As manifestações coletadas na entrevista e nos questionários revelam que
há um desejo da unidade de auditoria para a melhoria constante não só do processo
da auditoria em si, mas na contribuição que auditoria interna pode dar à empresa por
meio de seus achados, de sua avaliação independente de seus relatos e
recomendações.
Considerando que a pesquisa é do tipo exploratória e que trata de estudo de
caso em uma única empresa com contexto diferenciado e específico, o estudo não
pressupõe uma generalização dos resultados aqui expostos para outras empresas,
situação similar aconteceu com outras instituições financeiras, a exemplo do Banco
do Brasil, que aprendeu com a sua própria realidade e criou formatos próprios e
padronizados que serviram para estabelecer o seu modelo de atuação.
Por outro lado, os resultados da pesquisa, aqui expostos, permitiram
apresentar algumas conclusões, tais como: necessidade de investimento no pessoal
capacitando-o tecnicamente para as tendências de mercado; aquisição de
ferramenta computacional de banco de dados e de sistema para dar suporte à
metodologia e a estreita relação com os colegiados da alta administração podem ser
consideradas comuns e, portanto, extensivas a outras realidades, inclusive para
servir de referência nas observações de outros estudos.
Conclui-se, desta forma, a análise dos comentários sobre os resultados
gerais da pesquisa, fazendo destaque a uma citação expressa por um dos
profissionais da auditoria em relação ao impacto da nova atuação fruto da
125
implantação da metodologia baseada em processo com foco em riscos, pelo que se
considera uma menção representativa de outras tantas manifestações sobre o tema
pesquisado no Banco do Nordeste e que consegue refletir o sentimento de melhoria
com a mudança.
Para o interesse da empresa, a auditoria interna agrega mais valor quando
examina todo o processo de trabalho e recomenda melhorias de controle
para minimizar os riscos e não apenas pela sinalização pontual de
problemas em determinada unidade, que poderiam estar se repetindo em
várias delas e isso não era percebido pela forma antiga de trabalho da
auditoria. (PARTICIPANTE DA PESQUISA)
As conclusões são apresentadas na seção seguinte, abordando os aspectos
comparativos dos resultados da pesquisa com os referenciais e as argumentações
estabelecidas inicialmente na proposta.
126
6 CONCLUSÕES
A presente seção tem por objetivo discorrer sobre as principais conclusões
oriundas dos resultados obtidos e avaliar o nível de alcance dos objetivos
estipulados na pesquisa, considerando os pressupostos e as questões que
nortearam este estudo. As análises dos resultados fazem referências aos impactos
comentados em itens específicos deste trabalho e relatam as práticas das atividades
da auditoria interna do BNB. Fez-se comentários sobre as melhorias e os desafios
ainda a serem traçados pela unidade de auditoria interna da organização sob
estudo.
Destaca-se em todo o transcorrer do presente trabalho que o fato de a
pesquisa acontecer em uma unidade de auditoria interna de uma instituição
financeira, pressupõe-se, inicialmente, que muita dificuldade e restrição no
acesso às informações, tendo em vista que, tradicionalmente, as instituições
financeiras e os próprios departamentos de auditoria tratam normalmente com dados
sigilosos. No entanto, a presente pesquisa teve o zelo de resguardar a
confidencialidade das respostas e comentários dos profissionais envolvidos na
pesquisa; a tratar as informações de cunho estratégico e, em alguns casos, não citá-
las, de forma a não comprometer a imagem da empresa sob estudo, sem, contudo,
prejudicar o atendimento dos objetivos traçados pela pesquisa.
Ao investigar os principais fatores impactantes nas atividades da auditoria
interna, considerados como melhorias no trabalho e desafios ainda a serem
enfrentados e serem identificados com a visão dos próprios profissionais que fazem
a unidade de auditoria interna do BNB, o trabalho levantou elementos que permitem
conhecer as barreiras enfrentadas e entender melhor os pontos a serem
trabalhados, como assim estabelece Graffiths (2006) ao relacionar algumas
dificuldades iniciais no uso da metodologia baseada em risco que qualquer empresa
pode enfrentar a exemplo do relacionamento adequado (comunicação) com a alta
administração. Portanto, as situações levantadas na pesquisa são absolutamente
normais, previstas na literatura sobre o tema, e se constitui em um processo de
aprendizagem para a empresa pesquisada e uma contribuição para o estudo das
organizações.
127
Em relação ao atendimento dos objetivos deste estudo, fez-se um resumo,
demonstrado nos Quadro 16 e 17, envolvendo os resultados destacados na
pesquisa em comparação com os pressupostos e os objetivos específicos previstos
no trabalho.
Destaque do Resultado da Pesquisa
Confronto dos Resultados x Pressupostos
Pressuposto 1
Pressuposto 2
Pressuposto 3
O BNB criou um projeto técnico com bases
estratégicas para o gerenciamento da
implantação da metodologia.
Confirmado
-
-
O BNB investiu em capacitação e
participações de profissionais em
congressos, seminários e outros fóruns
especializados, resultando em cerca de
200 horas/aula por ano para cada
profissional durante os anos de 2008 e
2009.
Confirmado
-
Confirmado
A auditoria interna excluiu e incluiu novas
atividades com o uso da metodologia (Vide
Quadro 11).
Confirmado
-
-
A auditoria interna passou a utilizar alguns
instrumentos e ferramentas para dar o
suporte ao efetivo funcionamento da
metodologia (Vide Quadro 12).
Confirmado
-
-
A pesquisa revela que as atribuições das
áreas de controle interno e da auditoria
interna não se confundem (vide Quadro 14
e 15).
-
Não
Confirmado
-
Os profissionais da auditoria revelam as
principais dificuldades para implantação da
metodologia (vide Gráfico 06)
-
-
Confirmado
Os profissionais da auditoria revelam as
melhorias do trabalho após o novo formato
de atuação (vide Gráfico 07).
-
-
Confirmado
A pesquisa revela o conhecimento dos
profissionais sobre a nova metodologia de
atuação da auditoria (vide Gráfico 09)
-
-
Confirmado
Quadro 16 Verificação dos resultados com os pressupostos da pesquisa
Fonte: elaborado pelo autor.
128
Considerando o resumo disposto no Quadro 16, conclui-se que os
pressupostos confrontados com os principais resultados da pesquisa foram
atendidos em sua totalidade.
Destaque do Resultado da Pesquisa
Resultados x Objetivos Específicos
Objetivo 1
Objetivo 2
Objetivo 3
A auditoria interna excluiu e incluiu novas
atividades com o uso da metodologia
(Vide Quadro 11).
Atendido
-
-
A auditoria interna passou a utilizar
alguns instrumentos e ferramentas para
dar o suporte ao efetivo funcionamento da
metodologia (Vide Quadro 12).
Atendido
-
-
A pesquisa revela que as atribuições das
áreas de controle interno e da auditoria
interna não se confundem (vide Quadro
14 e 15).
-
Atendido
-
A pesquisa revela o conhecimento dos
profissionais sobre a nova metodologia de
atuação da auditoria (vide Gráfico09)
-
-
Atendido
Quadro 17 Verificação dos resultados com os objetivos específicos da pesquisa
Fonte: elaborado pelo autor.
Da mesma forma, evidenciou-se, conforme demonstrado no Quadro 17 que
os objetivos específicos foram alcançados pela pesquisa. Assim, considerando que
tais objetivos tratam de forma detalhada e desmembrada o objetivo geral da
pesquisa, implica dizer que o objetivo geral foi também atendido.
O presente estudo envolveu aspectos específicos das atividades cotidianas
de uma auditoria interna, com realidade e contexto peculiar de uma instituição
financeira de economia mista voltada para o mercado e, ao mesmo tempo,
enfrentando o rigor e aparato do setor público. Aliado à escassez do tema na
literatura, isso revela que esse campo de estudo necessita de mais aprofundamento
em outras pesquisas, no sentido de buscar realidades de outras empresas, o que
possibilitaria a comparação e a identificação de pontos comuns inerentes ao assunto
129
ao confrontar com os conhecimentos aqui expostos, pelo que a presente pesquisa
se mostra motivadora para tal.
Em que pese o escopo da pesquisa ter abrangido o âmbito interno da
auditoria, ou seja, investigar, sob a ótica dos próprios profissionais da auditoria, os
principais impactos ocorridos nas atividades do departamento com o advento da
implementação de nova metodologia de trabalho, baseada em processo com foco
em riscos, o método utilizado na presente pesquisa pode ter a aplicabilidade e
abrangência em toda a instituição. Podendo, com isso, considerar ou não o mesmo
contexto e os objetivos, mas com o enfoque diferente, que o público poderia ser
externo à auditoria, a exemplo das superintendências e diretorias operacionais.
Essas unidades teriam o conhecimento tácito das atividades apenas como resultado
dos relatórios e recomendações da auditoria interna que estariam sensibilizando os
seus processos e suas decisões gerenciais.
Logo, a avaliação de outras unidades da empresa em relação ao trabalho da
auditoria teria outro enfoque, e os resultados seriam agregadores ao
desenvolvimento das atividades da auditoria interna, funcionando com um formato
de feedback aos trabalhos realizados, e ao formato de comunicação exercida pela
auditoria.
Acredita-se, portanto, que de qualquer forma, o campo de estudo
envolvendo a auditoria interna nas organizações enriqueceria a própria literatura
com mais trabalhos sobre o assunto.
130
REFERÊNCIAS
ABNT NBR ISO/IEC 27.002: 2005. Code of practice for information security
management. Disponível em: http://www.abntcatalogo.com.br/norma.
aspx?ID=11549. Acesso em: 03 nov 2009.
ALBERTIN, Alberto Luiz et al. Tecnologia de Informação. São Paulo: Atlas, 2005.
ALBUQUERQUE, Fábio H. F. de; TAVARES, António M. M. Auditoria: uma estrutura
baseada em princípios. Revista Revisores Auditores. Jan-Mar 2008, p.20-45.
Disponível em: <www.oroc.pt/fotos/editor2/Revista/JanMar2008/Auditoria.pdf>.
Acesso em: 20 ago 2009.
ALMEIDA, Domingos M. S. Gestão de Risco e Governo das Sociedades. Revista de
Auditoria Interna, nº 22, Out-Dez 2005, p. 9-13.
ALMEIDA, Marcelo Calvalcanti. Auditoria: um curso moderno e completo. 5. ed.
São Paulo: Atlas, 1996.
ALMEIDA PAULA, Maria G.M. Auditoria Baseada na Avaliação de Risco. Banco
Central do Brasil. Disponível em: <www.cemla.org/pdf/aud-avalderisco.PDF>.
Acesso em: 29 ago 2009.
ANDERSON, Richard J. From critics to coaches. Bank Management, Rolling
Meadows, v. 72, n. 3, p. 26-31, mai-jun 1996.
ARAÚJO, Inaldo da Paixão Santos. Introdução à Auditoria: breves apontamentos
de aula aplicáveis à área governamental e aos programas de concursos públicos.
Salvador, 1998.
______. Introdução à auditoria operacional. Rio de Janeiro: FGV, 2001.
ATTIE, William. Auditoria: conceitos e aplicações. 2. ed. São Paulo: Atlas, 2006.
BARDIN, Laurence. Análise de Conteúdo. Edição revista e atualizada. Lisboa:
Edições 70 LDA, 2009.
BANCO DO NORDESTE DO BRASIL S/A. Site oficial. Dados históricos e perfil da
instituição. Disponível em: http://www.bnb.gov.br/content/aplicacao/O_Banco/
Historico/gerados/hist_principal.asp?idTR=historico>. Acesso em 03 fev 2010.
BARROS, Joaquim dos Santos. Auditoria Interna no contexto da Governança
Corporativa: um estudo nas empresas listadas nos mercados diferenciados da
Bovespa. Mestrado Profissional em Controladoria da Universidade Federal do
Ceará, Fortaleza, 2007.
BASEL COMMITTEE ON BANKING SUPERVISION. International Convergence
of capital Measurement and Capital Standard: a revised framework,
131
comprehensive version. Basel, 2006, p.347. Disponível em:
http://www.bis.org/publ/bcbs128. pdf. Acesso em: 18 nov 2009.
BERNSTEIN, Peter L. Desafio aos Deuses: a fascinante História dos Riscos. 6.ed.
Campus, São Paulo, 1997.
BONISCH, Peter. CFIA Beams up the future. The Internal Auditor, Altamonte
Springs, v. 56, n. 4, p. 60-63, ago 1999.
BORGERTH, Vania M. Costa. Sox: Entendendo a Lei Sarbanes-Oxley. São Paulo:
Ed. Cengage, 2008.
BOYNTON, William C.; JOHNSON, Raymond N.; KELL, Walter G. Auditoria.
Tradução José Evaristo dos Santos. São Paulo: Atlas, 2002.
BRASIL. Diário Oficial da União DOU, de 22 de novembro de 2005. Tribunal de
Contas da União, item 3.2.7.1. Brasília, 2005.
______. Decreto 3.591 da Presidência da República. Dispõe sobre o Sistema de
Controle Interno do Poder Executivo Federal e dá outras providências. Brasília,
2000. Disponível em: http://www.planalto.gov.br/ccivil_03/Decreto/D3591.htm>.
Acesso em: 20 ago 2009.
______. Decreto 4.304 da Presidência da República. Altera dispositivos do
Decreto n
o
3.591, de 6 de setembro de 2000, que dispõe sobre o sistema de
Controle Interno do Poder Executivo Federal e dá outras providências. Brasília,
2002. Disponível em: http://www.planalto.gov.br/ccivil_03/decreto/2002/D4304.htm>.
Acesso em: 20 ago 2009.
______. Decreto 4.440 da Presidência da República. Altera dispositivos do
Decreto nº 3.591, de 6 de setembro de 2000, que dispõe sobre o Sistema de
Controle Interno do Poder Executivo Federal. Brasília, 2002. Disponível em: http://
www.planalto.gov.br/ccivil_03/decreto/2002/D4440.htm>. Acesso em: 20 ago 2009.
______. Instrução Normativa nº. 16, de 20 de dezembro de 1991. Define
conceitos, diretrizes e estabelece as normas de Auditoria do Sistema de Controle
Interno do Poder Executivo. Diário Oficial da República Federativa do Brasil, Brasília,
23 dez.1991.
______. Instrução Normativa nº 01, de 06 de abril de 2001. Define diretrizes,
princípios, conceitos e aprova normas técnicas para a atuação do Sistema de
Controle Interno do Poder Executivo Federal. Brasília, 2001. Disponível em: http://
www.cgu.gov.br/Legislacao/InstrucoesNormativas.asp>. Acesso em: 20 ago 2009.
______. Instrução Normativa nº 02, de 24 de dezembro de 2002. Diário Oficial da
União DOU, de 30 de dezembro de 2002. Estabelece normas de elaboração e
acompanhamento da execução do Plano Anual de Atividades das Auditorias
Internas - PAAAI das entidades da administração indireta [...] Disponível em:
132
http://www.inmetro.gov.br/legislacao /laf/pdf/LAF000186.pdf>. Acesso em: 20 set
2009.
______. Instrução Normativa nº 01, de 03 de janeiro de 2007. Estabelece o
conteúdo do Plano Anual de Atividades de Auditoria Interna e do Relatório Anual de
Atividades de Auditoria Interna. Brasília, 2007. Disponível em: http://www.cgu.gov.br/
Legislacao/InstrucoesNormativas.asp>. Acesso em: 20 set 2009.
______. Lei n. 4.595/64, de 31 de dezembro de 1964. Dispõe sobre a Política e as
Instituições Monetárias, Bancárias e Creditícias e dá outras providências. Disponível
em: <http://www.planalto.gov.br/ccivil/leis/L4595.htm>. Acesso em: 20 nov 2009.
______. Lei n. 6.404/76, de 15 de dezembro de 1976. Dispõe sobre a sociedade por
ações. Disponível em: http://www.cnb.org.br/CNBV/leis/lei6404-1976.htm> Acesso
em: 20 nov 2009.
______. Lei n. 9.613, de 03 de março de 1998. Dispõe sobre os crimes de
"lavagem" ou ocultação de bens, direitos e valores; a prevenção da utilização do
sistema financeiro para os ilícitos previstos nesta Lei [...] Disponível em:
http://www.planalto.gov.br/ccivil/Leis/L9613.htm>. Acesso em: 20 nov 2009.
______. Lei Complementar 105, de 10 de janeiro de 2001. Dispõe sobre o sigilo das
operações de instituições financeiras e dá outras providências. Disponível em:
http://www.planalto.gov.br/ccivil/LEIS/LCP/Lcp105.htm>. Acesso em: 20 nov 2009.
______. Resolução 2.554 do Conselho Monetário Nacional. Dispõe sobre a
implantação e implementação de sistema de controles internos. Brasília, 1998.
Disponível em: http://www.cnb.org.br/CNBV/resolucoes/res2554-1998.htm. Acesso
em: 20 set 2009.
______. Resolução 3.056 do Conselho Monetário Nacional. Dispõe sobre
auditoria interna das instituições financeiras [...] Brasília, 2002. Disponível em:
<https://www3.bcb.gov.br/normativo/detalharNormativo.do?N=102209875&method=d
etalharNormativo>. Acesso em: 20 ago 2009.
______. Resolução 3.081 do Conselho Monetário Nacional. Dispõe sobre a
prestação de serviço de auditoria independente para as instituições financeiras [...]
Brasília, 2003. Disponível em: https://www3.bcb.gov.br/normativo/detalharNormativo.
do?N=103074246&method=detalharNormativo>. Acesso em: 30 set 2009.
______. Resolução 3.170 do Conselho Monetário Nacional. Altera a Resolução
3.081, de 2003, que disciplina a prestação de serviços de auditoria independente
para as instituições financeiras. Brasília, 2004. Disponível em:
http://ef.amazonia.org.br/index.cfm?fuseaction=guiaDetalhes&id=97067&tipo=7&cat_
id=157&subcat_id=551>. Acesso em: 30 set 2009.
______. Resolução 3.198 do Conselho Monetário Nacional. Altera e consolida a
regulamentação relativa à prestação de serviços de auditoria independente para
as instituições financeiras. Brasília, 2004. Disponível em: http://ef.amazonia.org.br/
133
index.cfm?fuseaction=guiaDetalhes&id=97067&tipo=7&cat_id=157&subcat_id=551>.
Acesso em: 30 set 2009.
______. Resolução 3.380 do Conselho Monetário Nacional. Dispõe sobre a
implementação de estrutura de gerenciamento do risco operacional. Brasília, 2006.
Disponível em: https://www3.bcb.gov.br/normativo/detalharNormativo.do?method=
detalharNormativo&N=106196825. Acesso em: 30 set 2009.
______. Resolução 3.398 do Conselho Monetário Nacional. Dispõe sobre
procedimentos aplicáveis aos casos de descumprimento de padrões mínimos de
capital e de limites operacionais. Brasília, 2006. Disponível em:
https://www3.bcb.gov.br/normativo/detalharNormativo.do?N=106265700&method=de
talharNormativo.. Acesso em: 30 set 2009.
______. Resolução 3.464 do Conselho Monetário Nacional. Dispõe sobre a
implementação de estrutura de gerenciamento do risco de mercado. Brasília, 2007.
Disponível em: https://www3.bcb.gov.br/normativo/detalharNormativo.do?N=
107200095&method=detalharNormativo. Acesso em: 30 set 2009.
______. Resolução 3.721 do Conselho Monetário Nacional. Dispõe sobre a
implementação de estrutura de gerenciamento do risco de crédito. Brasília, 2009.
Disponível em: https://www3.bcb.gov.br/normativo/detalharNormativo.do?N=
109034287&method=detalharNormativo>. Acesso em: 30 set 2009.
BULLA, Waldemir. Tendências Mundiais em Auditoria Interna. Protiviti Brasil. In:
31º CONGRESSO BRASILEIRO DE AUDITORIA INTERNA CONBRAI, Anais...
Belo Horizonte, 2009.
CADBURY Committee. Report of The Commitee on The Financial Aspect of
Corporate Governance. London: Cadbury Committee, 1992. Disponível em:
<http://www.ecgi.org/codes/documents/cadbury.pdf>. Acesso em 28 fev 2010.
CAMPOS, V. F. TQC: Controle da Qualidade Total. 6. ed. Rio de Janeiro: Fundação
Christiano Ottoni, 1992.
CASTANHEIRAS, Nuno. Auditoria interna baseada no risco. Dissertação
(Mestrado em Contabilidade e Auditoria) Escola de Economia e Gestão,
Universidade do Minho, Portugal, 2007.
CERVO, Amado L.; BERVIAN, Pedro A. Metodologia Científica: para uso dos
estudantes universitários. 3. ed. São Paulo: McGraw-Hill do Brasil, 1983.
COBIT Governance, Control and Audit for Information and Related
Technology. Audit Guidelines, 3ª Edition. IT Governance Institute, 2000.
COCURULLO, Antonio. Gestão de Riscos Corporativos: Riscos Alinhados com
Algumas Ferramentas de Gestão. 2. ed. São Paulo: Scortecci, 2003.
COLLINS, Jill; HUSSEY, Roger. Pesquisa em Administração: um guia prático para
alunos de graduação e pós-graduação. 2. ed. Porto Alegre: Bookman, 2005.
134
CONSELHO FEDERAL DE CONTABILIDADE - CFC. NBC T 12 aprovada pela
Resolução CFC nº. 986/03 de 21 nov. 2003. Disponível em
http://cfcspw.cfc.org.br/resolucoes_cfc/Res_820.DOC. Acesso em: 21 set. 2009.
COMISSÃO DE VALORES MOBILIÁRIOS CVM. Cartilha. Recomendações da
CVM sobre Governança Corporativa, 2002. Disponível em: <www.cvm.gov.br>.
Acesso em: 01 abr 2009.
CONGRESSO BRASILEIRO DE AUDITORIA INTERNA CONBRAI, 31º, Belo
Horizonte, 2009, Anais.
COOPER, D.R.; SCHINDLER, P.S. Métodos de pesquisa em administração.
Tradução Luciana de Oliveira da Rocha. 7.ed. Porto Alegre: Bookman, 2003.
CORAZZA, Gentil. Os dilemas da Supervisão Bancária. In: Regulação Financeira e
Bancária. Org. Rogério Sobreira. São Paulo: Atlas, 2005.
COSO (Committee of Sponsoring Organizations of the Treadway Comission).
Internal Control Integrated Framework. New York: COSO, 1994.
______. Enterprise Risk Management Integrated Framework. (executive
summary). New York: COSO, 2004. Disponível em: http://www.theiia.org/
download.cfm?file=9229>. Acesso em: 13 nov. 2009.
______. Gerenciamento de Riscos Corporativos Estrutura Integrada. Sumário
Executivo. Tradução de PriceWaterhouseCoopers, Federação Latino-Americana de
Auditores Internos - FLAI e Instituto dos Auditores Internos do Brasil Audibra, São
Paulo, 2007.
COX, Andrew. What Is the Range of the Internal Auditor’s Work? Q.Finance,
2009. Disponível em: < http://www.qfinance.com/auditing-best-practice/what-is-the-
range-of-the-internal-auditors-work?page=1>. Acesso em: 03 nov 2009.
CREPALDI, S.A. Fundamentos da auditoria: uma abordagem analítica. Revista
Contábil e Empresarial, 2009 Disponível em: http: //www.netlegis.com.br/indexRC.
jsp ? arquivo=detalhesArtigosPublicados.jsp&cod2=574>. Acesso em 20 ago 2009.
DAVENPORT, T. H. Process Innovation. Boston: Harvard Business School Press,
1993.
D‟ÁVILA, Marcos Zähler; OLIVEIRA, Marcelo A. Martins de. Conceitos e Técnicas
de Controles Internos de Organizações. São Paulo: Nobel, 2002.
DELOITTE TOUCHE TOHMATSU. Lei Sarbanes-Oxley: guia para melhorar a
governança corporativa através de eficazes controles internos. São Paulo: Deloitte,
2003. Disponível em: <http://www.deloitte.com/dtt/whitepaper/0,1017,sid%
253D7173%2526cid%253 D17040,00.html>. Acesso em: 01 abr 2009.
______. Auditoria Interna no Brasil. São Paulo, 2007. Disponível em:
<www.deloitte.com.br>. Acesso em: 20 ago 2009.
135
DIAS, Sérgio Vidal dos Santos. Auditoria de Processos Organizacionais: teoria,
finalidade, metodologia de trabalho e resultados esperados. São Paulo: Atlas, 2006.
EISENHARDT, K.M. Building Theories from case Study Research. Academy of
Management Review, n.14, p.532-550, 1989.
FERNANDES, J. M. R. Proposta de um sistema de gestão da qualidade
integrado baseado no FMEA. Dissertação (Mestrado) Departamento de
Engenharia de Produção Pontifícia Universidade Católica do Paraná. Curitiba,
2005.
FREITAS, Maria Cristina P. de. Racionalidade da Regulamentação e Supervisão
Bancária: uma interpretação heterodoxa. In: Regulação Financeira e Bancária.
Org. Rogério Sobreira. São Paulo: Atlas, 2005.
GALHARDO, Luís Carlos; CRESTO, Vicente; CRISANTE-NETO, Beraldo.
Importância da auditoria na avaliação dos controles internos da empresa.
Resenha BM&F n.162, 2009. Disponível em: http://www.scribd.com/doc/499940
/controles-internos?secret_password=&autodown =pdf >. Acesso em: 03 nov 2009.
GALL, Meredith D. et al. Educational Researh: an introduction. 8. ed. Boston
Pearson Education, 2007.
GIL, Antonio de Loureiro. Auditoria operacional e de gestão: qualidade da
auditoria. São Paulo: Atlas, 1992.
GILL, J.; JOHNSON, P. Research Methods for Managers. Londres: Paul Chapman,
1991.
GONÇALVES, Antônio. Auditoria: A Evolução das Metodologias de Auditoria.
Revista Revisores e Auditores. Jul-Set 2008, p.25-34. Disponível em:
<www.oroc.pt/fotos/editor2/Revista/.../Auditoria.pdf>. Acesso em: 28 ago 2009.
GODOY, Arida Schmidt. Pesquisa qualitativa: tipos fundamentais. Revista de
Administração de Empresas, São Paulo, v. 35, n. 3, p. 20-29, mai./jun., 1995.
GRAY, L. Glen. Changing Internal Audit Practices in the New Paradigm: The
Sarbanes-Oxley Environment. Altamonte Spring, Florida: The Institute of Internal
Auditors Research Foundation, 2004. Executive Sumary. Disponível em:
http://www.theiia.org/iia/bookstore.cfm?fuseaction=product detail&order num=503 .
Acesso em: 21 ago 2009.
GRIFFITHS, D. Risk Based Internal Auditing: An Introdution, 2006. Disponível em
www.internalaudit.biz. Acesso em 15 dez 2009.
HEFFES, Ellen M. Theory to Practice: Continuous Auditing Gains. Financial
Executive, n 7, p.17, set 2006.
HAIR JR, Joseph F. et al. Fundamentos de Métodos de Pesquisa em
Administração. Tradução Lene Belon Ribeiro. Porto Alegre: Bookman, 2005.
136
HEIER, Jan R.; DUGAN, Michael T.; Sayers, David L. Sarbanes-Oxley and the
Culmination of International Control Development: a Study or Reactive Evolution.
2003. Disponível em: http://www.ssrn.com/abstract=488783. Acesso em: 15
jan.2010.
IFAC - International Federation of Accountants. Governance in the Public Sector: A
Governing Body Perspective. International Public Sector Study13. Aug. 2001.
http://www.ifac.org>. Acesso em 19 de setembro de 2005.
INSTITUTE OF INTERNAL AUDITORS IIA. The Professional Pratices
Framework. Trad. Instituto dos Auditores Internos do Brasil Audibra. São Paulo,
2004.
______. The Role of Internal Audit in Enterprise-wide Risk Management:
Position Statement. IIA. UK & Ireland, 2004b. Disponível em: http://www.theiia.org/
download.cfm?file=283>. Acesso em: 21 out 2009.
INSTITUTO BRASILEIRO DE CONTADORES IBRACON. Requisitos de
Auditoria Independente sobre as Informações Complementares e sobre a
observância das normas legais e regulamentares sobre as entidades estatais.
Comunicado Técnico nº 04, São Paulo, 1989. Disponível em: http://www.ibracon.
com.br/anexo.asp?idpagina=919>. Acesso em: 21 out 2009.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das
Melhores Práticas de Governança Corporativa. 4. ed. São Paulo, IBGC, 2009.
Disponível em: <http://www.ibgc.org.br/Codigo MelhoresPraticas.aspx>. Acesso em:
10 set 2009.
INSTITUTO DE AUDITORES DO BRASIL - Audibra. Normas Brasileiras para o
Exercício da Auditoria Interna. São Paulo, 1992.
______. Práticas para o Exercício Profissional da Auditoria Interna. São Paulo,
2006.
______. Gerenciamento de riscos corporativos - estrutura integrada. Rio de
Janeiro, 2007.
______. Certified Internal Auditor. O Papel da Auditoria Interna em Governança
Corporativa, Riscos e Controle. Texto de referência, versão 1.0.7, São Paulo, 2008.
______. Palestra: A evolução do papel desenvolvido pela Auditoria, o
posicionamento no organograma da empresa e o ganho com a nova atuação
dos Auditores Internos. São Paulo, 2009.
INSTITUTO ETHOS. Indicadores Ethos de Responsabilidade Social Empresarial
Glossário. Disponível em: <http://www.ethos.org.br/docs/conceitos_praticas
/indicadores/glossario/>. Acesso em: 02 set 2009.
ITGI (IT Governance Institute). Governance, Control and Audit for Information
and Related Technology. Rolling Meadows, IL USA, 2007.
137
KPMG. Management Assurance Services. Resultado da Pesquisa sobre
Gerenciamento de Risco e Governança Corporativa. Sumário Executivo, São Paulo,
2004a. Disponível em: http://www.kpmg.com.br/publicacoes/advisory/ras/iarcs/IAS_
site.pdf>. Acesso em 28 out 2009.
______. Regulatory Practice News - Publicação do S.A.R. - Setor de Apoio
Regulamentar - Financial Services, São Paulo, 2004b.
______. Audit Committee Institute. Como estruturar um comitê de auditoria.
Adaptado da publicação Audit Committe Roundtable Highlights Spring, São Paulo,
2004c.
______. Audit Committee Institute. Qual deve ser o foco dos membros de Comitês
de Auditoria? KPMG Business Magazine, nº 13, Nov 2008, p.38-41.
KROGSTAD, Jack L.; RIDLEY, Anthony J.; RITTENBERG, Larry E. Where we’re
going. Revista The Internal Auditor, v. 56, n. 5, p. 26-31, out 1999.
LAVILLE, Christian; DIONNE, Jean. A construção do saber: manual de
metodologia da pesquisa em ciências humanas. Tradução de Heloisa Monteiro e
Francisco Settineri. Porto Alegre: Artmed; Belo Horizonte: UFMG, 1999.
MACIEIRA, André. Gestão Baseada em Riscos. Reinventando o Papel da Gestão
de Riscos Integrada ao Negócio, 2008a. Artigo disponível em: <www.elogroup.com.
br/download/ Artigo_Gestao Baseada em Riscos.pdf>. Acesso em: 28 ago 2009.
MACIEIRA, André. Ative o programa GRC (Governance, Risk, compliance).
Elogroup 2008b. Artigo disponível em: < www.elogroup.com.br/download>. Acesso
em: 29 ago 2009.
MARTINS, Gilberto de Andrade. Manual para Elaboração de Monografias e
Dissertações. 3. ed. São Paulo: Atlas, 2007.
MATTAR, F. Pesquisa de Marketing. Edição compacta. 3. ed. São Paulo: Atlas,
2001.
MAUTZ, Robert Kuhn. Princípios de Auditoria. Tradução e adaptação técnica de
Hilário Franco. Volumes 1 e 2. São Paulo: Atlas, 1987.
McNAMEE, David; SELIM, M. Georges. Risk Management: Changing the Internal
Auditor' s Paradigm. Altamonte Spring, Florida: Institute of Internal Auditors
Research Foundation, 1998.
MELLO, Thiago. A vida verdadeira. In: Faz escuro, mas eu canto. São Paulo:
Bertrand Brasil, 2000.
MOELLER, R. Robert, Sarbarnes-Oxley and the New Internal Auditing Rules.
Hoboken, New Jersey: John Wiley & Sons, 2004.
138
MORAES, José Cássio Fróes de. Análise da eficácia da disseminação de
conhecimento sobre controles internos após sua implantação no Banco do
Brasil. Dissertação Programa de Pós-Graduação em Engenharia de Produção da
Universidade Federal de Santa Catarina, Universidade Federal de Santa Catarina,
Florianópolis. 2003.
MORAIS, Maria G. Costa Tamborino. A importância da Auditoria Interna para a
Gestão: Caso das Empresas Portuguesas. In: 18º CONGRESSO BRASILEIRO DE
CONTABILIDADE. Anais eletrônicos... Gramado, 2008.Disponível em: <http://
www.congressocfc.org.br/ hotsite/trabalhos_1/570.pdf>. Acesso em: 29 ago 2009.
MORIN, Edgar. Ciência com consciência. Rio de Janeiro: Bertrand Brasil, 1996.
OLIVEIRA, Leonardo H. M. M.. As Instituições Financeiras no Direito Pátrio:
Definição e Caracterização de Atividade Própria ou Exclusiva. Revista do Tribunal
Regional Federal, v.11, n.1, 1999. Disponível em: http://bdjur.stj.gov.br/xmlui/
bitstream/handle/2011/21928/instituicoes_financeiras_direito_patrio.pdf?sequence=1
>. Acesso em: 24 set 2009.
OLIVEIRA, Silvio Luiz de. Tratado de metodologia científica. São Paulo: Pioneira
Thomson Learning, 2001.
ORIÁ FILHO, Humberto Ferreira. As fraudes contra as organizações e o papel da
auditoria interna. Monografia de graduação. Fortaleza: UNIFOR, 2002.
PÁDUA, Elisabete. M. M. de. Metodologia da pesquisa: abordagem teórico-prática.
10. ed. rev. e atual. Campinas, SP: Papirus, 2004.
PERRY, Jason; FONTNOUVELLE, Patrick de. Measuring Reputational Risk: The
Market Reaction to Operational Loss Anouncements. Boston: 2005. Disponível em:
<http://www.ssrn.com/abstract=861364>. Acesso em: 18 out 2009.
PETERS, M. Implantando e Gerenciando a Lei Sarbanes Oxley. São Paulo: Atlas,
2007.
RAMAMOORTI, Sridhar. Research Opportunies in Internal Auditing. Chapter 1
Internal Auditing: History, Evolution, and Prospects. The Institute of Internal Auditors
Research Foundation, Altamonte Spring, Florida: 2003a.
______. Research Opportunies in Internal Auditing. Chapter 3 - The Internal Audit
Function: An Integral Part of Organizational Governance. The Institute of Internal
Auditors Research Foundation, Altamonte Spring, Florida: 2003b.
RATLIFF, Richard L. et al. Internal Auditing: Principles and Techniques. 2nd
edition. Altamont Springs, Florida: Institute of Internal Auditors, 1996.
RAUPP, Elena Hahn. O papel do Auditor Interno na Gestão de Riscos e de
Qualidade. XXIII Conferência Interamericana de Contabilidade. Porto Rico USA -
02 a 05 de Agosto de 1999.
139
REBELATO, M.Giroto. et al. A auditoria de processo como suporte à melhoria
contínua. Revista Produto & Produção, vol. 9, n. 1, p. 76-92, fev. 2008.
RICHARDSON, Roberto Jarry. Pesquisa social: métodos e técnicas. 3. ed. São
Paulo: Atlas, 2008.
RUUD, T. Flemming. The Internal Auditing Function: An Integral Part of
Organizational Governance. In: BAYLEY, D. Andrew et al. Research Opportunities in
Internal Auditing. Cap.3. Altamonte Spring, Florida: Institute of Internal Auditors
Research Foundation, 2003.
SÁ, Antônio Lopes de. Curso de Auditoria. 10. ed. São Paulo: Atlas, 2002.
SALINAS, José Luis. Impactos da aprendizagem organizacional nas práticas de
auditoria interna: um estudo no Banco do Brasil. Tese submetida ao Programa de
Pós-Graduação em Administração da Universidade Federal do Rio Grande do Sul,
Porto Alegre, 2001.
SARBANES OXLEY Act of 2002. published by The University of Cincinnati
College of Law. Disponível em: http://translate.google. com.br/translate?hl=pt-
BR&sl=en&tl=pt&u=http%3A%2F%2F www.law.uc.edu %2FCCL%2FSOact%2F
sec2.html&anno=2>. Acesso em: 20 ago 2009.
SÉRIE RISK MANAGEMENT. Auditoria Baseada em Riscos. Como implementar
a ABR nas organizações: uma abordagem inovadora. Risk Tecnologia, São Paulo,
2007.
SILVEIRA, Alexandre Di Miceli da. Palestra - Governança Corporativa: Conceitos
Fundamentais e Principais Gerações de Estudo. Abr/06. 2006. (Apresentação de
Trabalho/Conferência/palestra).
SUMMERS, Cyndi. Uma Visão Global dos 10 Principais Passos para a Qualidade do
Departamento de Auditoria Interna. In: 31º CONGRESSO BRASILEIRO DE
AUDITORIA INTERNA CONBRAI. Anais... Belo Horizonte, 2009.
TEIXEIRA, Maria de Fátima. O Contributo da Auditoria Interna para uma Gestão
Eficaz. Dissertação de Mestrado em Contabilidade e Auditoria. Coimbra, Portugal,
2006.
TRIVIÑOS, Augusto N.S. Introdução à pesquisa em ciências sociais: a pesquisa
qualitativa em educação: São Paulo: Atlas, 1987.
______. Introdução à pesquisa em ciências sociais: a pesquisa qualitativa em
educação: o positivismo, a fenomenologia, o marxismo. São Paulo: Atlas, 2007.
UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Introdução à Gestão de
Riscos. Banco do Brasil, 2007.
UNIVERSIDADE CORPORATIVA BANCO DO BRASIL. Curso de Auditoria
Integrada. Banco do Brasil, 2008.
140
VAN MAANEN, J. Qualitative methodology. London: Sage, 1983.
VASARHELYI, M. A.; HALPER, F. B. The Continuous Audit on Online Systems.
Auditing: A Journal of Practice & Theory, Vol. 10, No. 1, Spring 1991, pp. 11-125.
VIEIRA, M. M. F. Por uma boa pesquisa (qualitativa) em administração. In: VIEIRA,
Marcelo Milano Falcão; ZOUAIN, Deborah Moraes (Orgs.) Pesquisa qualitativa em
administração. Rio de Janeiro: FGV, 2004. Cap. 1, p. 13-28.
YIN, Robert K. Case Study Research: design e method. 2. ed. Thousand. Oaks,
CA: Sage Publications, 1994
.
______. Estudo de Caso: Planejamento e Métodos. Trad. Daniel Grassi. 2. ed.
Porto Alegre: Bookman, 2001.
______. Estudo de Caso: Planejamento e Métodos. Trad. Daniel Grassi. 3. ed.
Porto Alegre: Bookman, 2005.
ZÁRATE, F.C.O. La gestión de riesgos: un enfoque práctico. Revista Partida Doble,
Jul-Ago, Madrid: 2001.
141
APÊNDICE
142
APÊNDICE A - ROTEIRO DE ENTREVISTA
Universidade Federal do Ceará UFC
Faculdade de Economia, Administração, Atuária, Contab. e Secretariado - FEAACS
Programa de Pós-Graduação em Administração e Controladoria PPAC
Mestrando: José Edilbran Magalhães Madeira
Orientadora: Profª. Drª. Márcia Martins Mendes De Luca
I. PERFIL PROFISSIONAL
01. Nome:
[ ]
02. Função que exerce na Auditoria Interna / Comitê de Auditoria:
1. Analista de Negócios
2. Auditor Interno
3. Gerente Executivo
4. Gerente de Ambiente
5. Superintendente
6. Membro do Comitê de Auditoria
[ ]
03. Faixa etária
1. até 24 anos
2. De 25 a 29 anos
3. De 30 a 34 anos
4. De 35 a 39 anos
5. De 40 a 44 anos
6. De 45 a 49 anos
7. a partir de 50 anos
[ ]
04. Qualificação acadêmica
1. Ensino Médio
2. Superior Incompleto
3. Superior Completo
4. Especialista/MBA
5. Mestre
6. Doutor
[ ]
05. Possui conhecimento em língua estrangeira? 1. Sim 2. Não
Em caso afirmativo, especificar a língua e o nível de conhecimento. Marque
com (x)
06. Língua
Básico
Intermediário
Fluente
1. [ ] Inglês
2. [ ] Espanhol
3. [ ] Francês
4. [ ] Italiano
5. [ ] Outra
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
07. quanto tempo está na
função?
[ ]
1. [ ] Menos de 1 ano
2. [ ] De 1 a 3 anos
3. [ ] De 3 a 5 anos
4. [ ] Acima de 5 anos
143
II. IMPLANTAÇÃO DA NOVA METODOLOGIA DE TRABALHO DA AUDITORIA
INTERNA DO BNB
08. O que moveu a empresa a mudar a metodologia de trabalho da auditoria
interna?
09. Qual o nível de participação da cúpula da empresa nessa decisão?
10. Qual é o papel da “nova” auditoria interna?
11. Que valor (es) a auditoria interna pode agregar às decisões estratégicas da
empresa?
12. Como a alta administração e os colegiados (conselho de administração,
conselho fiscal e comitê de auditoria) têm se manifestado quanto à “nova”
auditoria interna do BNB?
13. Que novos produtos (resultados da área) são oferecidos à empresa com a nova
metodologia?
144
APÊNDICE B - QUESTIONÁRIO DE PESQUISA
Universidade Federal do Ceará UFC
Faculdade de Economia, Administração, Atuária, Contab. e Secretariado - FEAAC
Programa de Pós-Graduação em Administração e Controladoria PPAC
Mestrando: José Edilbran Magalhães Madeira
Orientadora: Profª. Drª. Márcia Martins Mendes De Luca
Instruções:
i. Este questionário tem a finalidade de coletar informações sobre a atividade de Auditoria
Interna, para fundamentar dissertação de mestrado que pretende conhecer os impactos
no trabalho da auditoria interna do BNB com a implantação da metodologia Auditoria de
Processo com Foco em Riscos.
ii. Solicitamos que o questionário seja respondido pelos gestores e auditores internos da
unidade de auditoria interna.
iii. As respostas individuais serão tratadas confidencialmente.
iv. Em caso de dúvidas, gentileza informar-se com Edilbran Madeira por meio de endereço
eletrônico edilbran@hotmail.com.
I. PERFIL PROFISSIONAL
[ ]
01. Função que exerce na Auditoria Interna:
1. Superintendente
2. Gerente de Ambiente
3. Gerente Executivo
4. Auditor Interno
[ ]
02. Faixa etária
1. até 24 anos
2. De 25 a 29 anos
3. De 30 a 34 anos
4. De 35 a 39 anos
5. De 40 a 44 anos
6. De 45 a 49 anos
7. a partir de 50 anos
[ ]
03. Qualificação acadêmica
1. Ensino Médio
2. Superior Incompleto
3. Superior Completo
4. Especialista/MBA
5. Mestre
6. Doutor
04. Certificação (quantas?)
[ ]
1. Nenhuma
2. CISA-Certified Information Systems Auditor
3. CFA - Certified Financial Service Auditor
4. CFE - Certified Fraud Examiner
5. CCSA - Certification in Control Self-Assessment
6. CIA - Certified Internal Auditor
7. Com base na ISO 27001
8. CPA 10
9. CPA 20
10. Outra (citar)
Qual (is)? _______________________________________________________
[ ]
05. Possui conhecimento em língua estrangeira? 1. Sim 2. Não
Em afirmativo, especificar a língua e o nível de conhecimento. Marque com (x)
145
06. Língua
Nível Básico
Nível Intermediário
Nível Fluente
1. [ ] Inglês
2. [ ] Espanhol
3. [ ] Francês
4. [ ] Italiano
5. [ ] Outra
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
[ ]
07. Há quanto tempo está na função?
[ ]
5. [ ] Menos de 1 ano
6. [ ] De 1 a 3 anos
7. [ ] De 3 a 5 anos
8. [ ] Acima de 5 anos
II. IMPLANTAÇÃO DA METODOLOGIA DE TRABALHO DA AUDITORIA
08. Como se deu o processo de seleção da metodologia de trabalho da auditoria
interna utilizada pelo BNB (auditoria de processo com foco em riscos)?
[ ]
1. [ ] Benchmarking institucional
2. [ ] Consultoria
3. [ ] Treinamento
4. [ ] Pesquisa de Mercado
5. [ ] Participação em fóruns ou eventos especializados
6. [ ] Outros
09. Quais os critérios utilizados para a seleção da metodologia?
10. Como o trabalho da unidade de auditoria interna do BNB está posicionado em
relação às práticas adotadas pelo mercado e aos padrões internacionais?
[ ]
1. [ ] Não aderente
2. [ ] Parcialmente aderente
3. [ ] Parcialmente aderente com plano de evolução de aderência completa
4. [ ] Completamente aderente
11. Qual a função básica da Auditoria Interna com a implantação da nova
metodologia?
[ ]
1. [ ] Conformidade
2. [ ] Consultoria
3. [ ] Compliance
4. [ ] Gerenciamento de riscos
estratégicos
5. [ ] Avaliação (assurance) dos controles críticos da
empresa por meio de processos.
6. [ ] Outra (______________________________)
146
12. Considerando as mudanças na Auditoria Interna com a implantação da nova
metodologia, quais as funções que foram excluídas e as que foram incluídas no
seu escopo de trabalho?
13. Que novas ferramentas e instrumentos de trabalho da Auditoria Interna foram
introduzidos a partir da nova metodologia?
14. As funções da unidade de controles internos e da auditoria interna se
confundem com o uso da nova metodologia de trabalho da AI? Em que
aspectos?
15. Quais as dificuldades / limitações para implantação da nova
metodologia de auditoria de processo com foco em riscos?
Menor Maior
1
2
3
4
5
a) Estruturação técnica (processo de trabalho - planos, modelos,
papéis de trabalho e outros)
b) Mudanças organizacionais
c) Normalização
d) Padronização internacional (ajuste)
e) Ferramentas e Instrumentos
f) Sistema de gerenciamento dos trabalhos da auditoria
g) Formação de auditores com a nova visão
h) Capacitação técnica dos profissionais
i) Convicção coletiva (aceitação)
j) Cultura do controle nos gestores da empresa
k) Benchmarking referencial no mercado
l) Outros (_________________________________________)
147
III. IMPACTOS NA AUDITORIA INTERNA COM A IMPLANTAÇÃO DA NOVA
METODOLOGIA DE TRABALHO
16. Quais as principais funções da AI após a implantação da nova metodologia de
trabalho (auditoria baseada em processo com foco em riscos)?
17. Os resultados do trabalho após a implantação da metodologia até então
realizada atingem os propósitos definidos pela AI do BNB?
[ ]
1. [ ] Não atingem
2. [ ] Atingem parcialmente
3. [ ] Atingem completamente
18. Quais as melhorias observadas nos processos de trabalho
da auditoria interna com a implantação da metodologia?
Menor

Maior
1
2
3
4
5
a) Conhecimento dos processos da empresa
b) Conhecimento dos controles
c) Testes dos controles dos riscos mais significativos
d) Visão dos riscos
e) Visão sistêmica dos negócios da empresa
f) Visão alinhada com os objetivos estratégicos da empresa
g) Padronização dos trabalhos pela equipe
h) Gerenciamento das recomendações
i) Eficácia do processo de auditoria
j) Comunicação dos resultados à Alta Administração
k) Agregação de valor às decisões da empresa
l) Redução de custos do trabalho da auditoria
19. Outros ganhos/vantagens para a instituição com o advento da implantação da
metodologia?
20. Para as possíveis limitações identificadas no trabalho da
auditoria interna com o advento da nova metodologia,
dimensione o seu grau.
Menor

Maior
1
2
3
4
5
a) Ferramentas de suporte à operacionalização da metodologia
b) Ausência de mapeamento de processos
c) Quantidade de auditores frente aos trabalhos a serem realizados
148
d) Nivelamento de conceitos da metodologia pela equipe de
auditores
e) Conhecimentos específicos do auditor frente aos novos trabalhos
f) Mudança de cultura do auditor
g) Ausência da cultura do controle na empresa
h) Maturidade de risco da empresa
i) Convicção coletiva (aceitação) dos profissionais da auditoria
j) Elaboração de testes e relatórios
k) Avaliação do próprio trabalho da auditoria
l) Menor presença da auditoria nas unidades da empresa
m) Não definição do apetite de risco pela empresa
n) Outra 1 ( )
o) Outra 2 ( )
21. Quais as melhorias e desafios na comunicação dos resultados (reports) dos
trabalhos da auditoria interna com a nova metodologia?
22. Quantos auditores internos foram capacitados para desenvolver os trabalhos no
novo formato da metodologia implantada?
[ ]
1. [ ] De 0 a 05
2. [ ] De 06 a 10
3. [ ] De 11 a 15
4. [ ] De 16 a 20
5. [ ] De 21 a 25
6. [ ] Acima de 25
IV CONHECIMENTO E ADERÊNCIA DOS AUDITORES AO MODELO DA AI
23. Compreensão da metodologia (auditoria baseada em
processo com foco em riscos)
Menor

Maior
1
2
3
4
5
a) Função da auditoria
b) Foco na melhoria dos processos
c) Visão de risco
d) Visão estratégica
e) Planejamento tático
f) Definição de critérios para seleção de amostras
g) Matriz processo x critério x unidade
h) Planejamento operacional
i) Pré-auditoria
j) Coleta de documentos sobre o processo
k) Mapa de processos
l) Programa de testes
149
m) Identificação de atividades (dos processos)
n) Objetivos, riscos e controles
o) Matriz de criticidade
p) Execução do trabalho de auditoria
q) Registro de constatação
r) Falha de execução do processo
s) Fragilidades do processo
t) Vulnerabilidade
u) Criticidade e abrangência da recomendação
v) Matriz GUT Gravidade, Urgência e Tendência
w) Relatórios da auditoria
x) Certificação e Follow-up
y) Monitoramento do progresso (recomendações)
z) Avaliação do processo de auditoria
24. Nível de conhecimento técnico geral quanto aos temas
Menor

Maior
1
2
3
4
5
a) Estruturação técnica (processos de trabalho - planos, modelos,
papéis de trabalho e outros)
b) Prevenção à Lavagem de Dinheiro
c) Basiléia II
d) Gerenciamento de Risco Operacional
e) Gerenciamento de Risco de Crédito
f) Derivativos (Mercado de capitais)
g) Due Diligence
h) Regulamentação de Compliance
i) Teste de Stress e Análise de Cenários
j) Estrutura Financeira & Mecanismos Gerenciais
k) Terceirização
l) Gerenciamentos de Convênios
m) Contratos e Licitações
n) CobIT
o) COSO Controles Internos
p) Lei 11.638 (elaboração e divulgação de demonstrações
financeiras)
q) ISO 9000 (Gerenciamento e Garantia da Qualidade)
r) ISO 14000 (Gestão Ambiental)
s) ISO 27000 (Segurança da Informação)
t) Gerenciamento de Riscos Corporativo - COSO (ERM)
u) Guia de Avaliação de Riscos de TI (GAIT)
150
v) Seis Sigma
w) Padrões de Governança Corporativa
x) Foreign Corrupt Practices Act (FCPA) - Lei sobre prática de
corrupção
y) International Financial Reporting Standards (IFRS)
z) Sarbanes-Oxley Seção 301 (Assuntos referentes à contabilização,
controles internos ou auditoria.)
aa) Sarbanes-Oxley Seção 302 (Divulgação de Controles e Padrões)
bb) Sarbanes-Oxley Seção 404 (Controle Interno sobre o Relatório
Financeiro)
cc) Prática dos Profissionais de Auditoria Interna (IIA Standards)
25. Nível de conhecimento de assuntos relacionados ao
processo de auditoria
Menor

Maior
1
2
3
4
5
a) Avaliação de Riscos: Nível de Entidade
b) Plano de Auditoria: Nível de Entidade
c) Avaliação dos Controles: Compliance
d) Avaliação dos Controles Operacionais
e) Auditoria em TI: Segurança
f) Auditoria em TI: Ambiente de TI
g) Auditoria em TI: Desenvolvimento de Programas
h) Auditoria em TI: Continuidade
i) Avaliação de Controles Internos - Demonstrações Financeiras
j) Fraude: Avaliação de Risco de Fraude
k) Fraude: Detecção / Investigação de Fraude
l) Auditoria Contínua
m) Tecnologia para Análise de Dados: Análise Estatística
n) Tecnologia para Análise de Dados: Manipulação de Dados
o) Tecnologia para Análise de Dados: Amostras
p) Conduzir Abertura/Fechamento de Reuniões
q) Desenvolvimento de recomendações
r) Avaliação de Qualidade Interna
s) Técnicas de Entrevista
t) Marketing Interno da Auditoria Interna
u) Plano Estratégico de Auditoria
v) Apresentação para Alta Administração
w) Redação de Relatórios
x) Gerenciamento de Recursos (contratação, treinamento, gestão)
Livros Grátis
( http://www.livrosgratis.com.br )
Milhares de Livros para Download:
Baixar livros de Administração
Baixar livros de Agronomia
Baixar livros de Arquitetura
Baixar livros de Artes
Baixar livros de Astronomia
Baixar livros de Biologia Geral
Baixar livros de Ciência da Computação
Baixar livros de Ciência da Informação
Baixar livros de Ciência Política
Baixar livros de Ciências da Saúde
Baixar livros de Comunicação
Baixar livros do Conselho Nacional de Educação - CNE
Baixar livros de Defesa civil
Baixar livros de Direito
Baixar livros de Direitos humanos
Baixar livros de Economia
Baixar livros de Economia Doméstica
Baixar livros de Educação
Baixar livros de Educação - Trânsito
Baixar livros de Educação Física
Baixar livros de Engenharia Aeroespacial
Baixar livros de Farmácia
Baixar livros de Filosofia
Baixar livros de Física
Baixar livros de Geociências
Baixar livros de Geografia
Baixar livros de História
Baixar livros de Línguas
Baixar livros de Literatura
Baixar livros de Literatura de Cordel
Baixar livros de Literatura Infantil
Baixar livros de Matemática
Baixar livros de Medicina
Baixar livros de Medicina Veterinária
Baixar livros de Meio Ambiente
Baixar livros de Meteorologia
Baixar Monografias e TCC
Baixar livros Multidisciplinar
Baixar livros de Música
Baixar livros de Psicologia
Baixar livros de Química
Baixar livros de Saúde Coletiva
Baixar livros de Serviço Social
Baixar livros de Sociologia
Baixar livros de Teologia
Baixar livros de Trabalho
Baixar livros de Turismo