Академический Документы
Профессиональный Документы
Культура Документы
AVALIAÇÃO DE
CONTROLES INTERNOS
Curso realizado em junho de 2012.
Apostila completa, com as 4 aulas:
- aula 1: p. 1 a 42;
- aula 2: p. 43 a 97;
- aula 3: 98 a 143;
- aula 4: 144 a 180.
Junho, 2012
Introdução ao curso
Você talvez esteja se perguntando a essa altura: o que isso tem a ver
com controles internos?
Indicadores de Desempenho
Introdução ao curso����������������������������������������������������������������������������������������������������������� 3
Aula 1 - Introdução������������������������������������������������������������������������������������������������������������� 7
Sumário��������������������������������������������������������������������������������������������������������������������������������������� 8
Lista de Siglas������������������������������������������������������������������������������������������������������������������������� 9
1. Conceitos Básicos����������������������������������������������������������������������������������������������������������10
1.1. Conceitos de Risco�����������������������������������������������������������������������������������������������11
1.2. Definições de controle interno�����������������������������������������������������������������12
1.3. Diferenciação entre Controle Interno e Auditoria Interna���18
1.4. Papéis e responsabilidades����������������������������������������������������������������������������23
1.5. Classificações de Controles Internos����������������������������������������������������26
1.5.1. Classificação quanto à função�������������������������������������������������������26
1.5.2. Classificação quanto ao momento da aplicação��������������������27
1.5.3. Classificação do CFC����������������������������������������������������������������������������28
1.5.4. Classificação quanto ao nível de abrangência�����������������������28
2. O processo de Controle Interno e suas limitações������������������������������������30
2.1. Processo integrado���������������������������������������������������������������������������������31
2.2.Processo executado por pessoas �������������������������������������������������������31
2.3. Controle Interno auxilia o alcance de objetivos����������������������������31
2.4.Controle Interno oferece segurança razoável, não absoluta 32
2.5. Limitações à eficácia do controle interno����������������������������������32
2.5.1. Custo versus Benefícios���������������������������������������������������������������������33
2.5.2. Erros de julgamento����������������������������������������������������������������������������33
2.5.3. Falhas e colapsos����������������������������������������������������������������������������������33
2.5.4. Conluio������������������������������������������������������������������������������������������������������� 33
2.5.5. Burla de gestores���������������������������������������������������������������������������������33
3. Avaliação de controles internos�������������������������������������������������������������������������34
3.1. O que significa e quem deve avaliar controles internos?����35
3.2. Por que avaliar controles internos?���������������������������������������������37
Síntese��������������������������������������������������������������������������������������������������������������������������������������40
Referências����������������������������������������������������������������������������������������������������������������������������41
RG – Relatório de Gestão
2 - Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Manager – Integrated
Framwork.
3 - Esse padrão foi a base da ISO 31000:2009 Principles and guidelines for risk managemen (Princípios e Diretrizes
para o Gerenciamento de Riscos), que visa harmonizar padrões, regulamentações e frameworks publicados
anteriormente sobre gerenciamento de riscos.
Nesse mesmo documento (p. 67), a CGU declara que “um dos
objetivos fundamentais do Sistema de Controle Interno do Poder Executivo
Federal é a avaliação dos controles internos administrativos das unidades
ou entidades sob exame.” Note que essa declaração reflete exatamente o
objetivo deste curso.
(INTOSAI, 2004, p. 6)
O exemplo ilustrado
não atende ao preceito
de vinculação da
auditoria interna à alta
administração, muito
embora o TCU já tenha
recomendado essa
providência ao órgão
(Acórdão 1074/2009-TCU-
Plenário).
A visão do Coso
A Intosai vai ainda mais longe, ao definir até mesmo o papel dos
gestores:
A visão do IIA
A visão da CGU
I. ambiente de controle;
V. monitoramento.
Isso quer dizer que nem todos os riscos precisam e/ou devem
ser controlados. Por exemplo, quando o risco é baixo e o impacto na
empresa causado pela ocorrência do risco também é baixo, pode-se
aceitar o risco e não estabelecer controle interno algum.
2.5.4. Conluio
______. ABNT NBR ISO GUIA 73: Gestão de riscos: vocabulário. 1. ed.
São Paulo, 2009.
________. GOV 9100 Guidelines for Internal Controls Standards for the
Public Sector. 2004. Disponível em: <http://intosai.connexcc-hosting.
net/blueline/upload/1guicspubsece.pdf>. Acesso em: 21 abr. 2009.
________. GOV 9130 Guidelines for Internal Controls Standards for the
Public Sector. Further Information on Entity Risk Management. PSC
Subcommittee on Internal Control Standards. 2007. Disponível em: <
http://psc.rigsrevisionen.dk/composite-218.htm>. Acesso em 21 abr.
2009.
AVALIAÇÃO DE
CONTROLES INTERNOS
Aula 2:
Modelos de referência para
controle interno
Junho, 2012
Aula 2 - Modelos de referência para controle interno
COBIT e ITIL
Lei Sarbanes-Oxley
As seções 302 e 404 têm sido o foco das atenções dos profissionais
de auditoria por serem as que mais dizem respeito ao sistema de controle
interno e às boas práticas de governança corporativa.
2.2 Objetos
• Avaliação de risco
• Atividades de controle
• Informação e comunicação
• Monitoramento
• Fixação de objetivos
Para um maior
• Identificação de eventos aprofundamento,
recomendamos a
• Resposta a risco leitura dos documentos
“Gerenciamento de Riscos
O estudo e o entendimento do detalhamento desses componentes Corporativos – Estrutura
são de importância fundamental para quem vai realizar trabalhos Integrada”, do Coso,
de avaliação, pois eles constituem a base dos critérios de avaliação de “Diretrizes para
estruturas de gestão de riscos e controle interno em nível de entidade e as Normas de Controle
para a implementação e avaliação de controles em nível de atividades, Interno do Setor Público,
processos ou operações específicos. da Intosai, e “Ferramenta
de Gestão e Avaliação de
Explicaremos cada um desses componentes a seguir. Controle Interno”, do GAO,
disponíveis na biblioteca do
curso.
Toda organização tem uma razão para existir, que é a sua missão,
e, para lhe dar cumprimento é necessário que estabeleça objetivos e
estratégias para alcançá-los.
Fonte: Further Information on Entity Risk Management, Intosai, 2007, p. 28 (com adaptações)
• rotatividade de funções
• supervisão direta;
Conciliação Bancária
2. Controles de acesso
5. Segregação de funções
Controles de aplicativos de TI
1. Controles de autorização
2. Controles de integralidade
3. Controles de precisão
Meios de comunicação
2.3.8. Monitoramento
Monitoramento contínuo
Autoavaliações
Comunicação de deficiências
______. GOV 9100 Guidelines for Internal Controls Standards for the
Public Sector. 2004. Disponível em: <http://intosai.connexcc-hosting.
net/blueline/upload/1guicspubsece.pdf>. Acesso em 21 abr. 2009.
______. GOV 9130 Guidelines for Internal Controls Standards for the
Public Sector: further information on entity risk management. PSC
Subcommittee on Internal Control Standards. 2007. Disponível em: <
http://psc.rigsrevisionen.dk/composite-218.htm>. Acesso em: 21 abr.
2009.
AVALIAÇÃO DE
CONTROLES INTERNOS
Aula 3:
Avaliação do controle interno em
nível de entidade
Junho, 2012
Aula 3 - Avaliação do controle interno em nível de enti-
dade (Entity Assessment)
efetividade Legenda:
Fase de Planejamento
Fase de Execução
Fase de Relatório
Monitoramento
2.1 Planejamento
Contexto operacional
Referencial de conformidade
Essa etapa do planejamento tem por objetivo definir critérios para A norma AS-2, do PCAOB
diagnóstico e avaliação da estrutura de controle interno da organização, (atualmente substituída
caso ela ainda não tenha sido definida pela administração, ou revisar a pela AS-5) estabelece que a
estrutura de controle interno por ela definida, caso já o tenha feito. administração deve
definir [revisar] a estrutura
Em geral, a administração define sua estrutura de controle interno de controle interno
tomando por base os modelos de referência estudados na aula anterior anualmente, e exemplifica
(Coso, INTOSAI GOV 9100 e 9130, Cobit etc.), combinando abordagens o Coso como uma boa
e preceitos que melhor atendam às suas necessidades, extraídos de mais maneira para definir essa
de um modelo e adicionando critérios prescritos em seu marco legal e estrutura.
regulamentar, de maneira a dimensionar um sistema de controle interno
na proporção requerida pelos riscos de sua atuação e em consonância
com a natureza, complexidade, estrutura e estratégia envolvidas na
consecução dos objetivos que dão suporte à sua missão.
Testes de controle
Escala 1
Situação Pontuação
Discordo totalmente 1
Discordo 2
Nem concordo nem discordo 3
Concordo 4
Concordo totalmente 5
Escala 2
Situação Pontuação
Não cumpre 1
Cumprimento insignificante 2
Cumprimento mediano 3
Cumprimento em alto grau 4
Cumprimento pleno 5
Escala 3
Situação Pontuação
Nunca 1
Raramente 2
Muitas vezes 3
Quase sempre 4
Sempre 5
INSTRUMENTOS DE
Item COMPONENTE/Elemento/Critério REF
AVALIAÇÃO
1 AMBIENTE DE CONTROLE
1.1 Integridade e valores éticos
Os servidores têm uma clara per-
cepção acerca de comportamen-
Questionário de
1.1.1 tos aceitávei de si mesmo e de sua QP-1
Pesquisa
instituição, fomentada pelo tom
ético estabelecido no alto escalão.
Código ou códigos formais de con-
duta e outras políticas adequada-
mente comunicados explicitam as
normas de comportamento ético
Procedimentos de
1.1.2 e moral esperado, incluindo con- PA-1
Auditoria
flito de interesses e outros pontos
sensíveis peculiares às atividades
da instituição, nas suas relações
internas e com terceiros.
Comissão de ética ou equivalente
efetivamente promove a ética, Questionário de
conscientizando, orientando e jul- Pesquisa QP-2
1.1.3
gando conflitos éticos, bem como Procedimentos de PA-2
aplicando um adequado sistema Auditoria
de consequências.
a. gerar uma SAN, cujo menor valor seja 1 e o maior valor seja Sequência Aleatória de
igual ao número de servidores da área organizacional; Números - SAN
Você pode gerar números
b. selecionar na tabela da sequência aleatória de números, a aleatórios no Microsoft
partir do primeiro número, consecutivamente, os números Excel ou utilizar um
que estejam dentro do tamanho mínimo da amostra até gerador como o fornecido
completar o número de pesquisas a serem realizadas na gratuitamente no link
área; http://www.random. org/
sequences
c. correlacionar os números obtidos em “b” com os números
da listagem obtida no item 1, definindo, assim, a lista de
servidores aos quais a pesquisa será aplicada.
Aplicação
Quantidade
4 10 9 8 7 2 40
% Participação
10% 25% 23% 20% 18% 5% 100%
Pontuação
0,0 0,3 0,5 0,6 0,7 0,3 2,4
Questionário de Pesquisa
REF: QP-1-R
Compilação de Resultados
Consolidação de Resultados
1. Não cumpre
4. Cumprimento em alto grau
2. Cumprimento insignificante
5. Cumprimento pleno
3. Cumprimento mediano
Avaliação Observações/Co-
mentários (Indi-
car o documento,
Nº Questão o fato, a observa-
1 2 3 4 5
ção que compro-
va a resposta da
questão)
AVALIAÇÃO
Item COMPONENTE/Elemento/Critério REF
Pontuação Interpretação
SISTEMA DE CONTROLE INTERNO 3,1 SATISFATÓRIO
1 AMBIENTE INTERNO 2,9 Insatisfatório
1.1 Integridade e valores éticos 1,9 Deficiente
1.1.1 Critério 1 2,4 Insatisfatório QP-1-R
1.1.2 Critério 2 0,4 Inadequado PA-1-R
1.1.3 Critério 3 1,6 Deficiente QP-2-R, PA-2-R
1.1.4 Critério 4 3,2 Satisfatório ...
1.2 Filosofia de direção e estilo gerencial 2,1 Insatisfatório
1.2.n Critério n ...
1.3 Estrutura organizacional e de governança 3,5 Satisfatório
1.3.n Critério n ...
1.4 Políticas e práticas de recursos humanos 4,0 Satisfatório
1.4.n Critério n ...
... ...
[ 34 ] Avaliação de Controles Internos
Observe que os pontos nos quais se devem concentrar esforços para
desenvolver os achados aparecem nitidamente perceptíveis na tabela
acima, a qual resume o diagnóstico da estrutura de controle interno em
funcionamento na organização.
folha de rosto
resumo
sumário
i. apresentação
ii. introdução
v. conclusão
vii. anexos
apresentação
introdução
deficiências constatadas
conclusão
proposta de encaminhamento
3. Acompanhamento (Follow-up)
AVALIAÇÃO DE
CONTROLES INTERNOS
Aula 4:
Avaliação de controles internos em
nível de atividades
Junho, 2012
Aula 4 - Avaliação de controles internos em nível de ati-
vidades
2. Processos organizacionais
SUPRIMENTOS Macroprocesso
1. Cadastrar dados, relação de
bens ou serviços necessitados.
2. Analisar dados solicitados
quanto à especificação
Processo LICITAÇÃO 3. Verificar se há previsão no
Programa Interno de Trabalho
(PIT)
4. Verificar se há
disponibilidade de recursos
Subprocesso REQUISIÇÃO 5. Despachar dados para
orçamentação
6. Despachar para aprovação
Figura 3: Hierarquia entre processos do setor administrativo
Fonte: adaptado de Gespública
• atividades de controle
Processos Finalísticos
Processos de Apoio
Processos críticos
3. Metodologia de avaliação
3.1. Planejamento
• workshops;
Autorização 11
Cobrança
5 6
1. Documentação falsa
2. Documentação incompleta
Procedimento de confirmação
PROCESSO COMPRAS
Objetivos-chave do Processo Riscos relacionados
Manter níveis adequados de matéria-prima Sazonalidades; disfunções de mercado
Com qualidade Matéria-prima fora de especificações
No tempo da linha de produção Entregas em atraso; problemas de logística
A custos competitivos Preços discrepantes; risco de taxas de câmbio
Elaborado por: / /
Revisado por: / /
Supervisionado por: / /
1
Probabilidade
2
Consequência
3
Nível de Risco (PxC)
Escala de Probabilidades
Níveis de Risco
MATRIZ DE PLANEJAMENTO
TC nº Fiscalis nº
ÓRGÃO/ENTIDADE: declarar o nome do órgão/entidade fiscalizado.
OBJETIVO: Avaliar a adequação e a efetividade operacional dos controles internos do processo (nome do processo).
ATIVIDADES
FONTES DE MEMBRO POSSÍVEIS
DE DETALHAMENTO DO PROCEDIMENTO PERÍODO
INFORMAÇÃO RESPONSÁVEL DEFICIÊNCIAS
CONTROLE
Elaborado por: / /
Revisado por: / /
Supervisionado por: / /
% Pontuação Avaliação
Avaliação
0 a 10 5 Eficaz Eficaz
11 a 20 4 Bastante
Bastante
Eficaz
Eficaz
21 a 50 3 Eficácia
Eficácia
mediana
mediana
51 a 80 2 Pouco
Pouco
Eficaz
Eficaz
81 a 100 1 Ineficaz
Ineficaz
3.2. Execução
Situação encontrada
Descrição detalhada da deficiência significativa constatada, isto é,
a ausência, a inadequação ou a não aplicação de controles internos.
Risco e consequência
Eventos [riscos] e efeitos que podem decorrer da deficiência.
Avaliação do risco
Probabilidade de ocorrência, consequência e nível de risco avaliado
na MRC (ex.: extremo, alto, médio).
Causa
Exposição dos motivos que levam à existência da deficiência,
indicando as fontes [pessoas, processos, sistemas, infraestrutura
organizacional ou física], tecnologia [de produto ou de produção] e
eventos externos [não gerenciáveis] e as vulnerabilidades nela existente
[inexistências, inadequações ou deficiências]. A causa objetiva configura-
se como uma vulnerabilidade localizada em uma fonte de risco .
Esclarecimento de responsáveis
A respeito dos casos concretos de falhas na aplicação, inaplicação
ou descumprimento de atividades de controle estabelecidas.
Proposta de encaminhamento
Proposta formulada pela equipe de auditoria tendo como alvo de
incidência a causa apontada.
Boas práticas
Os elementos necessários para relatar achados positivos (ou boas
práticas) constatados durante a aplicação de testes de controle também
devem ser coletados, pois, como vimos na aula anterior, a abordagem de
boas práticas, nesse tipo de trabalho, assume uma importância maior do
que normalmente recebe em outros trabalhos de auditoria.
introdução
4. Acompanhamento (Follow-up)
INTOSAI. GOV 9100 Guidelines for Internal Controls Standards for the
Public Sector. 2004. Disponível em: <http://intosai.connexcc-hosting.
net/blueline/upload/1guicspubsece.pdf>. Acesso em 27 out. 2011.