Janeiro/Mar 2012 trimestral distribuição gratuita nº 46Zonas de sombra - Manuel Marques Barreiro,...
Transcript of Janeiro/Mar 2012 trimestral distribuição gratuita nº 46Zonas de sombra - Manuel Marques Barreiro,...
Janeiro/Mar 2012 trimestral distribuição gratuita nº 46
Revista edição Julho/Setembro 2013 Trimestral distribuição gratuita Nº 52
2
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Missão Promover a partilha do saber e da
prática em auditoria interna, gestão do
risco e controlo interno.
Índice IPAI - Me mbros Colect ivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Parcer ias e protocolos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Auditoria interna – a lg uns aspectos funda mentai s , Joaqui m Leite Pinheiro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Zonas de so mbra - Manuel Marques Barreiro, Consultor e Presidente do Conselho Geral do IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Ex pectat ivas e ações relacionadas - d irei tos econó micos , sociai s e cul turai s , Mário Parra da Si lva; Presidente
Direção da APEE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Esquema de Pirâ mide - Esque ma de f raude g lobal , Luís Montanha Rebelo, CIA, CRISC, ISO 27001 LA, ISO
22301 LA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Cloud Com put ing : Novo paradig ma para Ri scos e Controlos? - Franci sco Gui marã es , CGEIT . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Solvência II : qual o pape l da Auditoria Interna? J org e Nunes, VP Direcçã o IPAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Estudo de Auditoria Interna nas O rg anizaçõ es -Cabo-Verdianas - Alcinda Borges e Nuno Castanheira . . . . . . . . . . . 23
Caneta Dig i tal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Novos associados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Pesquisa na rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Post - i t , Miguel S i lva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Pesquisa de Inst i tutos de Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Propriedade e Administração
IPAI – Avenida Duque de Loulé, 5 – 2º B – 1050-085 LISBOA; [email protected];Contribuinte nº 502 718 714; Telefone/Fax: 213 151 002
Ficha técnica
Presidente da Direção: Fátima Geada; Diretor: Joaquim Leite Pinheiro; Redação: Manuel Barreiro; Raul Fernandes; Conselho Editorial: Jorge Nunes, Manuel
Barreiro, Fátima Geada, Francisco Melo Albino. Colaboradores: Fátima Geada, Manuel Barreiro, Luís Montanha Rebelo, Jorge Nunes, Miguel Silva, Mário Parra da Silva, Alcinda Borges, Nuno Castanheira, Francisco Guimarães.
Pré-impressão: IPAI; Impressão e Acabamento: FIG; Ano XV – Nº 52 – TRIMESTRAL Julho/Setembro de 2013; TIRAGEM: 1350 exemplares.
Registo: DGCS com o nº 123336; Depósito Legal: 144226/99; Expedição por correio; Grátis; Correspondência: IPAI – Avenida Duque de Loulé, 5 – 2º B –
1050-085 LISBOA Telefone/Faxe: 213 151 002; [email protected]; Visite-nos em www.ipai.pt
ERC: Exclusão de registo ao abrigo do artº 12º, DR 8/99, 9 de Julho.
http://pt-pt.facebook.com/people/Instituto-Auditoria-Interna-Ipai/
http://pt.linkedin.com/in/ipaichapteriia
Nota: Os artigos vinculam exclusivamente os seus autores, não refletindo necessariamente as posições da Direcção e do Conselho Editorial da Revista nem do
IPAI. A aceitação de publicação dos artigos na Revista Auditoria Interna do IPAI, implica a autorização para a inserção no sítio do IPAI após a edição da revista impressa.
Foto da capa: JLP
3
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
IPAI - Membros Colectivos
Click here to enter
text.
--Click here to enter text.
Click here
to enter text.
Click here to enter text..
4
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
IPAI – Membros Colectivos
.
-
.
Click here to enter text.
5
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Parcerias e protocolos
6
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Editorial
Auditoria interna – alguns aspectos
fundamentais, Joaquim Leite Pinheiro
“A Auditoria Interna gere a integridade de desempenho da gestão, a eficiência operacional e a correcção
dos relatórios financeiros".
Empresa Jonhson & Jonhson
A auditoria interna, passa por fornecer valor à
empresa, com o desenvolvimento das acções
focalizadas em processos/transacções, onde
tenham sido identificados r iscos negativos e
cujo impacto no negócio seja materialmente
relevante.
Nesta l inha, torna-se essencial que os
auditores internos possuam intrinsecamente e
desenvolvam um conjunto de compet ências e
de valores potenciadores de acrescentar valor
à empresa e da qual fazem parte integra nte.
As competências dos auditores internos,
reconhecidas como importantes foram a
criatividade/capacidade de comunicação
inteligência, espír i to de equipa,
conhecimentos técnicos, Capacidade de
desafiar as próprias convicções; Abertura de
espíri to; Flexibil idade; Vontade de aprender;
Sentido de humor ( fair play) , trabalho em
equipa, capacidade de avaliação da minuta
pela equipa, capacidade de relacionamento
com os auditados.
O relatório é o corolário final do trabalho do auditor,
sendo um dos documentos de trabalho que o
responsabiliza e serve para transmitir à gestão de topo, o
estado e a saúde do controlo interno dos processos
auditados.
A apresentação de recomendações e a sua análise com os
gestores operacionais, numa lógica de partilha de
informação e de os convencer das vantagens de
implementar as recomendações preconizadas, faz deste
processo um poderoso instrumento de gestão e de
melhoria do controlo interno.
No que concerne à metodologia de avaliação da função
auditoria, o melhor procedimento resulta da análise da
minuta com os responsáveis operacionais e da forma
como aceitam implementar as recomendações
preconizadas (capacidade de vender as recomendações e
conseguir que as mesmas sejam implementadas).
Igualmente, a simplicidade é um factor decisivo em
auditoria, para se ganhar a confiança do auditado, para
potenciar a implementação das recomendações e
detalhadas ao longo da acção de auditoria.
Passa pelos seguintes eixos de actuação:
1. Na descrição dos factos;
2. Na identificação das causas (objectivas);
3. No apuramento dos efeitos (quantificáveis);
4. Na caracterização do problema.
7
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
5. Na apresentação da solução, de modo que seja
possível a implementação pelos operacionais e na
lógica máxima do custo-benefício, visando a criação
de valor accionista;
Por vezes é esquecido, que a auditoria interna desperta,
com a sua chegada, esperanças de melhoria dos
procedimentos, condimentada com algum cepticismo
quanto aos resultados e às dificuldades de
implementação recomendações preconizadas.
O papel do auditor interno passa por uma postura
proactiva, uma atitude dinâmica e um entusiasmo que
supere as reticências dos auditados.
Conquistar pelo profissionalismo e pela ética para
vencer o cepticismo dos operacionais.
Assim, o auditor deve estabelecer um clima de
confiança, de modo que o auditado lhe confie os
problemas que sente no controlo da actividade e que
perceba que o auditor sabe escutar e transmitir
adequadamente à gestão de topo os problemas
encontrados.
Neste contexto, em simultâneo com as competências e
características enunciadas é fundamental que o auditor
utilize a simplicidade, na argumentação e na
apresentação de recomendações.
A experiência acumulada diz-me que, nestas questões, a
simplicidade é crucial, para se obter uma vantagem
competitiva: quem lê não perde tempo, quem
explica/defende uma recomendação formulada não tem
de argumentar desesperadamente para convencer o
supervisor da bondade da mesma.
É importante, não esquecer que o contributo do auditor
interno é a sua perspectiva nova sobre os problemas, a
sua liberdade de espírito e a sua independência de
julgamento dos factos identificados e depois vertidos em
recomendações, que contribuam para fornecer valor
accionista, valor cliente e valor empregado.
Por outro lado, se o auditor interno se interessar pelas
dificuldades apresentadas pelos operacionais e
desenvolver recomendações que potenciem melhorias e
ajudas efectivas, consegue ganhar adeptos da função.
Para isso, deve trabalhar com ética, transparência,
credibilidade e profissionalismo com o auditado, não
esquecendo, porém, que nesta relação profissional, o
relatório responsabiliza exclusivamente o auditor
interno.
Fazer passar a ideia que a auditoria interna exerce o
papel de identificar disfuncionamentos, como “médico”
da empresa, ao qual não basta elaborar um bom
diagnóstico, mas sim apresentar uma proposta da
melhoria para o estado em que se encontra.
A falta de simplicidade conduz, frequentemente, a pouco
rigor no diagnóstico com impacto na dificuldade em
encontrar uma recomendação adequada.
A empresa não é uma realidade virtual, mas resulta da
combinação dos processos de actividade, interacção com
os clientes e empregados e a capacidade de fornecer
valor.
Em auditoria passa pela capacidade de saber escrever:
1. Factos objectivos;
2. Causas verdadeiras;
3. Efeitos relevantes;
4. Recomendação adequada, centrada no custo-
benefício e que forneça valor accionista.
Uma recomendação percebida pelo auditado, escrita
com rigor e simplicidade, é fundamental para que
seja aceite e implementada com sucesso.
O relatório responsabiliza o auditor, mas nunca terá o
sabor do sucesso na empresa, se as recomendações
formuladas não tiverem êxito, junto dos operacionais.
Auditoria interna – alguns aspectos fundamentais
8
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Audire
Zonas de sombra - Manuel Marques Barreiro, Consultor e
Presidente do Conselho Geral do IPAI
Na vida nem tudo é cristalino.
Também não tenho bem a certeza se o mundo viria a ser
melhor se o fosse. No entanto é bom lembrar as
situações em que a ausência de nebulosidade não só é
conveniente como fundamental.
Nas organizações empresariais para não falarmos das
outras que saem fora do contexto desta abordagem,
também a clareza, para que haja um bom entendimento
acerca de todas as variáveis que se prendem ao seu
funcionamento, é de suma importância.
Estamos falando mais precisamente de dois conceitos
que de certo modo se entrelaçam sendo muito badalados,
quer nas organizações, quer ao nível da opinião pública.
São eles, a independência e a transparência, dois
aspectos que nunca deverão passar ao lado do auditor
interno.
Todos sabemos mas nunca é demais lembrar que, o
resultado de qualquer acção de auditoria, pode não ser
devidamente entendido por quem tem a responsabilidade
da sua análise final se estes conceitos não foram levados
em consideração.
Algumas palavras sobre a questão da independência,
mas antes estou tentado a apelidar este conceito mais de
atitude do que propriamente um acto imposto pelas
circunstâncias. A independência, como é sabido, situa-se
em qualquer organização empresarial nos vários
patamares da estrutura e deve ser entendida como forma
e fundo da sua própria cultura.
Por isso é desejável que o conselho de administração
seja composto por alguns membros independentes. Neste
caso, qual deve ser o significado de independência?
Muito simples; que estes vogais do conselho não tenham
afinidades, ligações ou interesses a accionistas de
referência.
Percebe-se porquê. Para além de elementares questões de
natureza ética, podem suscitar-se dúvidas no que respeita
a situações de informação privilegiada. Isso pode
distorcer a verdade sobre a vida da empresa,
principalmente no que respeita aos mercados financeiros.
É uma questão de confiança.
Chegados aqui, importa realçar o seguinte: não obstante
podermos acreditar na declaração formal sobre a
independência, pode vir a ser necessário verificar (em
indícios de situações conflituais de interesse) se a
presunção de independente corresponde de facto à
realidade.
Há pois, trabalhos de auditoria que, para serem
rigorosos, devem atender a estes pormenores, porque
embora não parecendo, são de importância extrema para
a auditoria interna.
9
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Para que o exemplo acima possa ser exequível torna-se
necessário que auditoria também goze desta
prerrogativa, isto é, que seja também independente.
A independência da auditoria, como sabemos, não é
muito linear. O princípio mais importante depende do
seu enquadramento na estrutura organizativa onde exerce
a sua actividade.
Nas empresas de grande dimensão (à nossa escala), a
auditoria tem uma dependência funcional da comissão de
auditoria, (constituídas por administradores não
executivos independentes) sendo a dependência
hierárquica daquela, ao “chairman” ou, em alguns casos
ao presidente executivo (ceo).
Durante muitos anos a dependência do órgão de
auditoria esteve sob a alçada do administrador
financeiro. Felizmente que essa situação foi corrigida.
No entanto a auditoria interna para gozar de
verdadeiramente independência deve ter uma actuação
como que ignorando, dentro da organização, áreas tabu,
ou temer personalidades consideradas intocáveis.
A sua independência está na forma absolutamente “cega
a influências” na realização do seu trabalho, não
receando pôr em causa a cadeira onde o “cae” tem o seu
assento.
Nesta perspectiva, se a independência se apresenta como
um risco para si própria, todos ganharão, mormente a
organização no seu todo, enquanto o prestígio da
auditoria sairá reforçado, corporativamente falando.
Transparência é o outro ponto que iremos abordar, ainda
que de forma fugidia.
Muito se tem falado e escrito sobre este vocábulo que
pretende traduzir um conceito tão abrangente como
difícil de definir quando o transportamos para o seio da
organização.
Fala-se em transparência. Mas transparência de quê?
Certamente de tudo!
No entanto aquela que interessa abordar na perspectiva
do auditor tem, a meu a ver, com dois pontos que se
entrecruzam: desde a clareza dos actos de gestão, aqui se
englobando as linhas de actuação de natureza estratégica
(como ponto inicial), até aos pormenores operacionais
(como ponto final de qualquer tarefa).
Por conseguinte, a transparência sendo transversal vai
também do topo à base. A empresa tem de pautar a
sua actividade por princípios de transparência
inscritos no Código das Sociedades, no
“Corporate Governance” e no Código de
Conduta Ética.
Um factor que acaba por se tornar o corolário da
transparência nas organizações empresariais, tem a ver
com o conteúdo do relato financeiro. Basta que a
transparência suscite dúvidas na apresentação da
prestação de contas do exercício, para que toda a
organização seja posta em causa.
Além do mais, quando ausência de transparência é
factual, prejudica, eventualmente, o fisco e põe em
dúvida a credibilidade dos accionistas sobre a gestão
executiva, enquanto vai denegrindo a sua imagem em
termos de opinião pública.
Hoje as grandes empresas cotadas em bolsa de valores,
normalmente as listadas em praças estrangeiras, têm uma
quase obsessão pela transparência, porque sabem que é
também por aí que também vai passar o “valor
accionista”.
Cabe pois mais uma vez à auditoria interna acompanhar
a evolução destes conceitos e ter a certeza que os seus
projectos de auditoria prestam a devida atenção a este
importante edifício da organização corporativa.
.
Audire – Zonas de sombra
10
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
http://www.apee.pt/
Expectativas e ações relacionadas -
direitos económicos, sociais e culturais, Mário Parra da
Silva; Presidente Direção da APEE
Na NPISO 26000, ponto 6.3.9.2 - Direitos humanos,
questão 7: direitos económicos, sociais e culturais -
Expectativas e ações relacionadas, recomenda-se que
as organizações adaptem a sua oferta de produtos e
serviços ao real poder de compra das pessoas.
É mais um exemplo de como um pensamento de
Responsabilidade Social leva a estímulo à inovação e a
novos segmentos de mercado. Para usar um expressão
brasileira, há muito que do outro lado do Atlântico
aprenderam a assistir necessidades de pessoas de baixa
renda.
Entre nós tem crescido o comércio adaptado a menores
rendimentos, nos mais variados domínios, como a
alimentação, cuidados pessoais, vestuário, oferta
turística e de serviços.
Mas é notável a ausência de resposta por parte das
organizações públicas que fornecem serviços. Pelo
contrário têm aumentado todos os seus preços e tornado
cada vez mais difícil a vida dos que vêm o seu
rendimento descer.
Assim enquanto o mercado de oferta privada responde
responsavelmente (e inteligentemente) às capacidades
dos seus potenciais clientes, os fornecedores públicos
sobrecarregam os seus utentes e depois ficam
surpreendidos porque as suas receitas diminuíram.
Para que as organizações comerciais concretizem a sua
oferta com menores preços buscam eficiência interna,
eliminam do produto o que possa ser considerado pelo
cliente como supérfluo (e pelo Ambiente também, como
embalagens inúteis, quantidades excessivas, etc.) e
estruturam formas mais diretas e simples de distribuição.
No sector publico pouco se vê desta forma de pensar e
de procurar ajudar as pessoas. Pelo contrário compensa-
se a redução das verbas do orçamento do Estado com
mais custos sobre o utente.
A realidade mostra que as organizações públicas não
ouviram nada da mensagem da Responsabilidade Social.
Ou melhor ouviram mas reagiram como se isso fosse
apenas para as Empresas.
Alguns no meio empresarial ajudaram isso restringindo a
RS à “empresa” mas desde o início a ISO 26000
enfatizou a necessidade de se aplicar a “qualquer tipo de
organização”.
11
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Registei algumas entidades publicas portuguesas com
um grande interesse pela RS mas enquanto instrumento
para formular “politicas publicas” ou seja para criarem
meios adicionais de controle e supervisão sobre as
empresas. Sempre me opus a essa visão. Cada
organização deve criar, apoiada nos instrumentos
nacionais e internacionais disponíveis, a sua estratégia e
políticas de RS e definir as suas práticas de acordo com
as suas partes interessadas e os seus objetivos de
negócio.
Cada organismo público deverá fazê-lo de igual modo.
Este é um domínio (como tantos outros) onde as
organizações que a sociedade criou para responder aos
seus problemas (o denominado Estado) deveriam
aprender a responder de forma adequada ao período que
a sociedade portuguesa atravessa e definir as suas
políticas, práticas e preços de acordo com as reais
possibilidades dos seus utentes.
A União Europeia apelou à definição por cada Estado
Membro de uma política de RS e forma muitos os que a
apresentaram, porque já a haviam definido.
Portugal não conseguiu fazê-lo. Como sempre o caso foi
remetido a assessores que o remeteram “aos serviços”,
que após longas reflexões deram respostas complexas,
mas entretanto os assessores tinham mudado, os
ministros também, os relatórios dormem nas secretarias,
de facto ninguém é responsável, de vez em quando umas
declarações vagas dão a impressão de que alguém tem o
dossier mas nada, nada acontece.
Claro que o assunto não é prioritário.
Cortar em serviços e aumentar os preços do que resta é
muito mais fácil. Mas qualquer empresa que tentasse
sobreviver assim em mercado livre fecharia rapidamente
as portas.
A Administração pública tem o monopólio do serviço
público portanto este não é um mercado livre. Talvez até
nem deva ser, não entraremos aqui nessa discussão. Mas
estou certo de que deve ser um mercado responsável e
que as pessoas têm o direito de esperar que os servidores
públicos, titulares políticos incluídos, compreendam que
a Responsabilidade Social é um pacto de interajuda,
cooperação e serviço mútuo entre os elementos de um
ecossistema social. Não se espere que as entidades
privadas sejam responsáveis onde o Estado persiste em
não ser e não se espere que a economia melhore numa
sociedade que não busca o bem comum e onde reina a
irresponsabilidade.
Por muito utópico que isto possa parecer penso que um
elemento decisivo na superação consolidada da crise que
atravessamos é mudar a forma como a Administração
publica vê a sociedade.
A cultura organizacional da Administração publica não é
a de quem usa os recursos escassos que o contribuinte
pode disponibilizar mas a de quem distribui dinheiro
vindo de fontes alheias e potencialmente inesgotáveis.
Repito é a cultura de quem distribui dinheiro e não a de
quem usa o dinheiro do contribuinte.
Esta cultura é fruto do tempo anterior ao 25 de Abril, em
que imperava uma cultura de poder e não de serviço e de
longos anos de subsídios europeus canalizados por uma
administração que se habituou a lidar com a sociedade
como fornecedora e não como servidora.
Uma forte cultura de Responsabilidade Social poderia
mudar as coisas e criar uma Administração publica
diferente, mais eficiente, mais virada para o serviço e
mais consciente das necessidades reais do seus utentes
de modo a adaptar a sua oferta ao que as pessoas podem
de fato suportar.
Expectativas e ações relacionadas - direitos económicos, sociais e culturais
12
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Esquema de Pirâmide - Esquema de fraude
global, Luís Montanha Rebelo, CIA, CRISC, ISO 27001 LA, ISO 22301 LA
Vice-Presidente do IPAI, Membro da Direção do ISACA Lisbon Chapter
(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)
Introdução
Outro dia quando passeava pelo Facebook, deparei-me
com um post que apresentava um conjunto
investimentos, que supostamente permitiam rendimentos
elevados e garantidos em curtos espaços de tempo.
Por defeito profissional ou por pura curiosidade tentei
saber do que se tratava e fiquei algo surpreendido com a
diversidade da oferta. Para além de ofertas de
investimento perfeitamente legítimas, mas ao contrário
do que era apregoado, apresentavam um risco elevado na
sua subscrição, encontrei alguns investimentos que se
afiguravam claramente como esquemas em pirâmide.
Para além de ter feito um comentário em resposta ao
post encontrado, alertando para os riscos de se ser
envolvido num esquema de fraude com proporções
desconhecidas, resolvi investigar um pouco sobre estes
esquemas e partilhar convosco.
Como é do conhecimento geral, os esquemas em
pirâmide têm sido responsáveis pela perda das
poupanças de muitas famílias, tendo por vezes
consequências globais.
O conceito por trás deste esquema é simples e muito
fácil de identificar, no entanto este é normalmente
apresentado aos potenciais investidores de formas
distintas. Por esta razão é importante, não só perceber o
funcionamento do esquema, mas também estar
familiarizado com as várias formas como este se tem
apesentado ao longo dos anos.
Anatomia do esquema
Como o próprio nome indica, o esquema está estruturado
em pirâmide. Começa com uma única pessoa – o
recrutador inicial, que ficará no topo da pirâmide – que
recruta a segunda pessoa, a quem é solicitado um
investimento de, por exemplo 100 Euros, pagos ao
recrutador inicial.
Para além de ofertas de investimento perfeitamente legítimas, mas ao contrário do que era
apregoado, apresentavam um risco elevado na sua subscrição, encontrei alguns investimentos que
se afiguravam claramente como esquemas em pirâmide.
13
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Para poder reaver o seu dinheiro o novo recruta terá de
recrutar novos investidores, e neste caso, cada um terá de
investir mais 100 Euros.
Se este novo recruta conseguir recrutar 10 novos
investidores, terá um retorno de 900 Euros com um
investimento de apenas 100 Euros.
Adicionalmente, por cada conjunto de novos
investidores, o recruta é obrigado a pagar um
determinado fee à pessoa que o recrutou, fazendo com
que qualquer rendimento obtido pelas faixas intermédias
da pirâmide suba até ao topo, alimentando todos os
recrutadores intermédios.
O problema com este esquema é que o número de
pessoas disponíveis para entrar no esquema é finito, e
este não pode continuar eternamente.
O número de investidores aumenta até que a base da
pirâmide não seja suficiente robusta para suportar a
estrutura que lhe está acima.
As pessoas são atraídas para o esquema pelo facto de
pensarem que investindo, terão um retorno bastante
significativo.
Mas na realidade, com o valor investido, nada foi
produzido ou criado, pelo que, desde que não haja
capacidade de continuar a alimentar o esquema, a
pirâmide desmorona-se e inevitavelmente as pessoas irão
perder o seu investimento.
As pessoas mais vulneráveis são naturalmente as que
estão nas bases da pirâmide, incapazes de recrutar o
número suficiente de novos recrutas para alimentar a
pirâmide e compensar o seu próprio investimento.
Apesar de se poderem apresentar como negócios
perfeitamente legais, este esquema de fraude é ilegal na
maioria dos países do mundo.
Estes têm-se apresentado de forma variada ao longo dos
anos, aproveitando-se do facto das pessoas se sentirem
atraídas pela ideia de fazer dinheiro de forma fácil e
rápida.
Estima-se que cerca de 90% das pessoas envolvidas em
esquemas desta natureza venham a perder parte ou a
totalidade do seu dinheiro.
Formas de apresentação
Marketing multinível
O Marketing multinível é um modelo de negócio
perfeitamente legal, onde uma pessoa é recrutada para
vender um produto ou serviço com um valor intrínseco
real. O recrutado pode obter um rendimento direto das
suas vendas, pelo que, embora este possa ser incentivado
a recrutar outros vendedores para aumentar as receitas,
não necessita de o fazer para receber algum rendimento.
Este modelo de negócio foi adaptado e transformado
num esquema de pirâmide. Neste esquema o produto ou
serviço vendido não tem qualquer valor intrínseco,
servindo unicamente como fee de entrada no esquema.
O recrutado vê-se desta forma obrigado a recrutar novos
vendedores para recuperar o seu valor de entrada e
alimentar toda a pirâmide.
Neste esquema, a única razão para a compra do produto
é entrar para o esquema.
Esquemas Ponzi
O seu nome deve-se ao Sr. Charles Ponzi que, na década
de 1920, pôs em prática um esquema de pirâmide sob a
forma de um plano de investimentos.
Neste esquema, existe uma pessoa que aceita dinheiro de
outros sob a forma de investimento, não havendo
necessidade deste conhecer a forma como a sua
remuneração é gerada.
Desta forma a remuneração pode surgir do nada, poderá
surgir de dinheiro de outros investidores, de atividades
de jogo, etc..
Esquema de Pirâmide - Esquema de fraude global
14
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Chain Letters
As Chain letters aparecem-nos hoje de forma eletrónica,
solicitando um donativo, normalmente muito pequeno,
para as pessoas numa determinada lista. Os novos
membros apagarão o primeiro nome da lista, colocando
o seu no fim e reencaminham-na para um determinado
número de potenciais novos membros da cadeia.
Ao reencaminhar para terceiros, a pessoa está a cometer
um ato ilícito, solicitando uma contribuição em dinheiro
em troca da promessa de que estas também virão a
ganhar algum dinheiro.
Casos conhecidos
Uma breve consulta na internet mostra que a história está
recheada de casos conhecidos, deixo aqui apenas alguns
exemplos do que é possível encontrar.
William Miller
Em 1899, William "520 por cento" Miller abriu um
negócio com denominação de "Franklin Syndicate" em
Brooklyn, Nova Iorque.
Miller prometia taxas de rendibilidade de 10% por
semana num esquema em tudo semelhante ao esquema
de pirâmide. A fraude tomou proporções de cerca de 1
milhão USD (em 1900) e foi sentenciado a uma pena de
10 anos de prisão.
Charles Ponzi
Charles Ponzi levou, na década de 1920, milhares de
habitantes Nova Inglaterra a especular em selos de
correio.
Ponzi pensou que podia ganhar vantagem nas diferenças
cambiais para compra de selos de correio. Aliciou os
investidores com um retorno de 40% em apenas 90 dias,
comparativamente com os 5% das contas bancárias
tradicionais.
Conseguiu investimentos no valor 1 milhão USD em
apenas três horas (e estávamos em 1920!). Uma
investigação posterior concluiu que Ponzi apenas tinha
comprado selos de correio no valor de 30 USD.
Ivar Krueger
Ivar Kreuger, um homem de negócios sueco, conhecido
como "match king", pôs em prática um esquema de
pirâmide, prometendo uma rendibilidade fantástica e de
crescimento constante. O esquema entrou rapidamente
em colapso e em 1930 Kreuger pôs termos à sua vida.
Dona Branca
Este é o esquema mais conhecido entre nós, Maria
Branca dos Santos, mais conhecida por Dona Branca, foi
a famosa "Banqueira do Povo" que causou um enorme
escândalo financeiro nos anos 1980 em Portugal.
Ao longo de décadas, o esquema funcionara e apareciam
constantemente novos clientes, vindos de todo o país,
para alimentar a “máquina”.
Em Março de 1983, uma investigação do semanário "Tal
& Qual" divulga a sua atividade e os seus métodos,
fazendo com que o Ministro das Finanças venha advertir
a população para os perigos associados, resultando no
deslocamento de centenas de pessoas na tentativa de
reaver o seu dinheiro, o que imediatamente gerou uma
confusão incontrolável, um pânico estrondoso e o fim do
esquema.
Ao reencaminhar para terceiros, a pessoa está a
cometer um ato ilícito, solicitando uma
contribuição em dinheiro em troca da promessa
de que estas também virão a ganhar algum
dinheiro.
Esquema de Pirâmide - Esquema de fraude global
15
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Adriaan Nieuwoudt
Em 1984, Adriaan Nieuwoudt iniciou um esquema, que
mais tarde ficou conhecido como o esquema "Kubus".
Os subscritores compravam um suposto produto
biológico sul-africano, utilizado para fazer crescer
culturas agrícolas.
Após o crescimento durante uma semana, a cultura era
colhida, seca e revendida, dando sequência ao esquema.
As culturas não tinham outro propósito senão alimentar
o esquema (ver esquema Marketing multinível).
Bernie Madoff
Bernard L. Madoff está atualmente a cumprir numa
prisão federal Americana, com pena máxima de 150
anos, por ter orquestrado um esquema Ponzi no valor de
vários biliões de USD, tendo ludibriado milhares de
investidores por todo o mundo.
Ao contrário de muitos promotores de esquemas de
pirâmide, Madoff não prometia taxas de curto prazo
exorbitantes.
Eram garantidas rendibilidades constantes ao longo dos
anos, mesmo em períodos de grande turbulência nos
mercados.
Consultar
http://www.khanacademy.org/science/core-
finance/investment-vehicles-tutorial/mutual-
funds/v/ponzi-schemes
http://en.wikipedia.org/wiki/Chain_letter
http://www.sec.gov/answers/ponzi.htm
http://money.howstuffworks.com/ponzi-scheme5.htm
http://en.wikipedia.org/wiki/List_of_Ponzi_schemes
http://pt.wikipedia.org/wiki/Dona_Branca
Agenda
Dezembro de 2013
Lisboa, 2 de dezembro - Amostragem para auditoria
A certificação está ao seu alcance. Contacte o [email protected]
Comentar este artigo?
Poderá fazê-lo para o IPAI ([email protected]) ou
diretamente para o autor ([email protected])
Esquema de Pirâmide - Esquema de fraude global
16
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Cloud Computing: Novo paradigma para Riscos e
Controlos? - Francisco Guimarães, CGEIT
ISACA Lisbon Chapter Certifications & Standards Officer
(As opiniões contidas neste texto são expressas a titulo exclusivamente individual)
Introdução
Nos últimos anos tem-se sentido uma extraordinária
evolução da infra-estrutura de comunicações em termos
de velocidade, desempenho e disponibilidade, acrescido
de uma forte concorrência no sector.
Esta realidade criou uma “pavimentação” de novas
“auto-estradas digitais”, onde novos modelos de
computação para aplicações de suporte ao negócio
podem ser suportados com maior inovação, enfoque na
racionalização de custos de investimentos e
operacionais, além de time-to-market para novos
produtos e serviços suportados em tecnologia de ponta,
com custos e riscos aceitáveis.
Este tipo de tecnologia é conhecida como Cloud
Computing.
Num contexto de crise económica mundial, esta
promessa de valor possibilita novas visões sobre os
sistemas de informação das empresas,
independentemente da sua dimensão, estratégia ou
arquitectura de sistemas de informação.
Perante este cenário, quais os novos riscos, controlos e
especificidades de auditoria que devem ser
considerados no ecossistema de provedores de infra-
estrutura, aplicações e serviços em Cloud Computing?
Esta é uma das principais reflexões sobre a qual o
ISACA Lisbon Chapter se tem debruçado nos últimos
tempos, tendo por base os desafios de quem nas
Organizações toma as decisões, quer no nível estratégico
como operacional, e sempre suportados pelos
referenciais do ISACA nos domínios de governança,
gestão, segurança ou risco (ex. COBIT 5).
Cloud Computing
O termo Cloud Computing remonta a 1960 quando John
McCarthy considerava que “a computação pode algum
dia ser considerada como uma utilidade pública”.
Perante este cenário, quais os novos riscos, controlos e especificidades de auditoria que devem ser
considerados no ecossistema de provedores de infra-estrutura, aplicações e serviços em Cloud
Computing?
Num contexto de crise económica mundial,
esta promessa de valor possibilita novas
visões sobre os sistemas de informação das
empresas, independentemente da sua
dimensão, estratégia ou arquitectura de
sistemas de informação.
17
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Foi necessário uma primeira evolução de infra-estrutura
de comunicação de dados assente em tecnologia Internet
a partir de 1992, evolução de capacidade e velocidade de
computação e armazenamento, evolução do hardware,
modelos de virtualização dinâmica na alocação de
espaço e capacidade de processamento em hardware, e
novos modelos de desenvolvimento aplicacionais assente
em serviços (computação distribuída, modelos Service-
Oriented-Architecture, aplicações Web), para se atingir o
conceito enunciado em 1997 por Rammath Chellappa
numa palestra académica, onde numa evolução de
conceitos de computação distribuída, computação em
grelha e Application-as-Service, enunciou um novo
conceito designado por Cloud Computing.
No entanto, foi ainda necessária uma evolução nos
mesmos pilares tecnológicos de convergência de
iniciativas de implementação ao nível de redes,
comunicações, hardware, virtualização e aplicações,
para se atingir hoje uma percepção de Cloud Computing
considerado pelo IEEE como a 6ª tecnologia no ranking
de tendências da década.
De acordo com o NIST (National Institute of Standards
and Technology, EUA) e alinhado com o ISACA, o
Cloud Computing consiste num modelo de computação
em rede para acesso partilhado, ubíquo e on-demand
a um conjunto de recursos computacionais. Neste
contexto, o NIST considera um conjunto de definições
essenciais:
Características: Modelo de acesso e, self-service,
acesso por rede de comunicações alargada, recursos
partilhados entre clientes, elasticidade computacional
dinâmica e serviços medidos
Modelos de Serviços: Software-as-Service (designado
como SAAS, para acesso a serviços aplicacionais),
Platform-as-Service (designado como PAAS, para infra-
estrutura partilhada para desenvolvimento de aplicações)
e Infrastructure-as-Service (designado como IAAS, para
serviços de redes e comunicações)
Modelos de Implementação: Private Cloud no contexto
de uma entidade ou grupo de entidades (que também
pode ser visto Community Cloud) , Public Cloud no
contexto de utilização pública e naturalmente, um
modelo misto designado por Hybrid Cloud
A comunicação deste novo modelo evoca uma visão de
“dados e aplicações na nuvem”, sendo que no entanto,
esta nuvem corresponde somente a um acesso remoto,
estável, elástico e eficaz para acesso a serviços de
computação instalados num DataCenter localizado
num espaço geográfico concreto, e onde existe
hardware escalável e potente, com uma camada de
tecnologia de virtualização para partilha e ajuste
dinâmico às necessidades de serviços aplicacionais e de
redes de dados para os clientes que os utilizam.
Governança e Gestão TI em Cloud
O ISACA, atento às novas tendências tecnológicas e
impacto nos modelos de governança e gestão de TI, em
particular no que refere ao alinhamento e aproveitamento
de novas tecnologias para criação de valor para o
negócio, publicou um documento técnico em 2009
(“Computação em nuvem: benefícios para o negócio
com perspectivas de segurança, governança e
qualidade”), onde reconhece as definições do NIST
como padrão e reforça que o Cloud Computing permite
olhar para os serviços de TI como um utilitário ubíquo.
Por outro lado, aponta os benefícios essenciais deste
modelo, nomeadamente 1) a contenção de despesas; 2)
imediatismo na adesão a novas tecnologias/serviços;
3) nível de disponibilidade e resiliência dos serviços
para a continuidade do negócio; 4) e ganhos de
eficiência.
Cloud Computing: Novo paradigma para Riscos e Controlos?
18
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
No entanto, o ISACA alerta para o facto da importância
da análise de risco na tomada de decisão sobre a
migração total ou parcial de recursos aplicacionais e
tecnológicos para uma solução em Cloud Computing,
devendo ser somados riscos específicos aqueles já
anteriormente considerados na tomada de decisão para
migração anterior para modelos em Outsourcing
Desta forma, continua a ser necessário uma análise de
oportunidade mediante identificação, classificação e
avaliação de riscos e controlos ao nível do fornecedor
tais como:
1) infra-estrutura de acesso;
2) Níveis de serviço;
3) confidencialidade e continuidade de negócio;
ou 4) estratégias concretas para migração e saída
destes modelos de computação.
Mais do que na análise dos contractos de Outsourcing, as
empresas devem reforçar a percepção de risco de
contexto legal no espaço geográfico do fornecedor, para
uma adequada avaliação dos termos contratuais e regras
de compliance.
Estas considerações devem ser devidamente analisadas
com os fornecedores de soluções, nomeadamente os
fornecedores de infra-estrutura de comunicações, os
fornecedores de infra-estrutura Cloud física em termos
de DataCenter e os fornecedores de serviços sobre a
infra-estrutura física, reforçando sempre os requisitos
relacionados com a qualidade, transparência,
privacidade, conformidade e certificação de controlos.
Independentemente da análise de risco, as empresas,
mais do que nunca, devem aproveitar esta oportunidade
para avaliar o seu modelo de governança, garantindo
sempre o alinhamento estratégico entre o negócio e o seu
sistema de informação e assegurando:
1) a adequação da arquitectura aplicacional e
tecnológica;
2) a formação e capacitação dos recursos humanos; e
3) a eficácia e eficiência de processos para uma
adequada gestão dos sistemas de informação.
Tal só é possível mediante uma adequada avaliação de
riscos e desenho adequado de controlos, acompanhado
de modelos capazes de auditoria a uma maior
complexidade de um novo ecossistema de prestação de
serviços para suporte ao negócio.
Contexto Português
A nível nacional, o conceito de Cloud Computing tem
sido objecto de uma grande efervescência no mercado.
Como tal, tem-se verificado uma grande dinamização e
envolvimento de Associações Internacionais de Cloud
Computing, fornecedores internacionais de software,
infra-estrutura de redes e comunicações no apoio a várias
iniciativas locais relacionadas com o awareness sobre
Cloud Computing, verificando-se já alguns casos de
evolução de soluções de infra-estruturas e aplicacionais
nacionais para modelos de prestação de serviços sob este
novo paradigma.
Atenta a este fenómeno, o ISACA Lisbon Chapter
desenhou uma estratégia de acção que passa por
contribuir com a sua perspectiva de governança, gestão,
risco e controlo na cloud, tendo vindo a organizar e a
participar em várias conferências, round tables e
encontros que tem juntado a comunidade de
profissionais, Academia e empresas do sector.
As empresas, mais do que nunca, devem
aproveitar esta oportunidade para avaliar o
seu modelo de governança, garantindo
sempre o alinhamento estratégico entre o
negócio e o seu sistema de informação.
Cloud Computing: Novo paradigma para Riscos e Controlos?
19
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Desta forma temos procurado contribuir para uma ampla
e profunda discussão sobre o tema que permita uma
contínua melhoria da maturidade da governança e gestão
de TI nas Organizações, reforçando o posicionamento da
gestão estratégica de riscos tecnológicos, alinhamento
dos ambientes de controlo interno com as novas
realidades tecnológicas e reforço das competências e
qualificações dos profissionais no suporte a actividades
relacionadas com a governança, gestão, segurança, risco,
controlo e auditoria de tecnologias de informação.
Conclusão
O IEEE considera o Cloud Computing na 6ª posição
de tendências no ranking de tecnologia. No entanto,
tal como referido pelo ISACA, o Cloud Computing, por
se tratar de um novo paradigma tecnológico, deve ser
visto com rigor no que refere aos requisitos de
confiança, estabilidade, disponibilidade,
conformidade e privacidade, tendo sempre em
consideração que dificilmente as empresas poderão “dar-
se ao luxo” de perder as oportunidades e benefícios para
o negócio relacionados com os ganhos de eficiência,
eficácia e inovação.
Mais do que uma avaliação tecnológica, as empresas
devem reforçar a importância de uma adequada gestão
de risco empresarial como base de uma boa governança,
a importância do desenho e planeamento dos recursos de
suporte ao sistema de informação (aplicações,
tecnologia, informação e processos), a necessidade de
desenho de modelos de gestão adequados que permitam
a integração de controlos para mitigação do risco e
aproveitamento das oportunidades, tendo sempre em
perspectiva a criação de valor através da satisfação
das necessidades dos stakeholders, optimização dos
riscos e optimização dos recursos.
Referências
CIO Strategy for Cloud Computing -
http://www.isaca.org/CIO/Pages/CIO-Cloud.aspx
AGENDA
Outubro 2013
Lisboa, 7 de outubro – Preparação para o exame CIA – Introdução e parte I
Lisboa, 14 de outubro – Técnicas de aprsentação
Lisboa, 21 de outubro – Auditoria de sistemas e tecnologias de informação
Novembro 2013
Lisboa, 4 de Novembro - Auditoria de empreitadas de obras públicas
Lisboa, 11 de Novembro - Auditoria interna na saúde
Consulte o plano de formação em http://www.ipai.pt/calendario/formacoes.php?todos=1
Cloud Computing: Novo paradigma para Riscos e Controlos?
20
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Solvência II: qual o papel da
Auditoria Interna? Jorge Nunes, VP
Direcção IPAI
Solvência II é um projeto que tem o objetivo de
efetuar uma revisão global e profunda do modelo de
solvência aplicável ao setor segurador do designado
Espaço Económico Europeu.
Na base deste projeto, destacam-se a avaliação dos
ativos e passivos de uma forma consistente e baseada em
critérios económicos, o maior alinhamento das
exigências regulamentares de capital com os riscos
efetivamente assumidos pelas empresas de seguros e a
promoção de uma cultura de gestão e de supervisão
baseada nos riscos.
O novo regime que se pretende criar assenta numa
estrutura de três pilares:
Pilar 1: compreende os requisitos quantitativos,
nomeadamente as provisões técnicas, os
investimentos e dois níveis de requisitos de capital –
o requisito de capital de solvência (SCR) e o requisito
de capital mínimo (MCR);
Pilar 2: compreende os requisitos qualitativos,
nomeadamente o sistema de governação, que inclui
mecanismos de gestão dos riscos, d controlo interno,
as funções-chave e o processo de autoavaliação do
risco e da solvência (ORSA)
Pilar 3: compreende a transparência e a disciplina de
mercado, por via dos requisitos de prestação pública
de informação e de reporte aos supervisores.
Abordando o pilar 2, e de acordo com a Diretiva
2009/138/CE, de 25 de novembro de 2009, relativa ao
acesso à atividade de seguros e resseguros e ao seu
exercício (Solvência II), o sistema de governação
compreende a função de gestão de riscos, a função de
verificação da conformidade, a função de auditoria
interna e a função actuarial.
Aqui fica reconhecido o papel da auditoria interna para
as empresas do setor segurador, fazendo parte integrante
do sistema de governação.
A mesma Diretiva 2009/138/CE, acrescenta ainda que as
funções incluídas no sistema de governação são
consideradas como funções essenciais e,
consequentemente, como funções importantes e
fundamentais.
Mas vai mais longe: em empresas mais pequenas e
menos complexas, deverá ser possível confiar várias
funções a uma mesma pessoa ou unidade organizativa,
exceto no que respeita à função de auditoria interna.
21
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Na realidade portuguesa, o supervisor do setor segurador
– Instituto de Seguros de Portugal, havia já publicado,
em novembro de 2005, uma norma regulamentar (NR
14/2005) sobre os princípios aplicáveis ao
desenvolvimento dos sistemas de gestão de riscos e de
controlo interno das empresas de seguros, em que
procurou verter, para a realidade portuguesa, as melhores
práticas internacionais na regulamentação e supervisão
da atividade seguradora.
Na mencionada NR 14/2005, consta um artigo dedicado
à função de auditoria interna. Recorde-se que, de acordo
com a Diretiva 2009/138/CE, uma função é uma
competência administrativa para realizar determinadas
tarefas de governação.
O artigo 17º, para além de algumas notas gerais sobre a
função de auditoria interna, que vão de encontro às
orientações do IIA, apresenta algumas alíneas que
permitem uma maior clarificação do papel a
desempenhar, das quais destacaria:
a função de auditoria interna deve ter autoridade
suficiente para desempenhar as suas competências
objetivamente e de forma independente, não devendo,
neste sentido, ter ligação direta às funções
operacionais da empresa de seguros que serão objeto
de avaliação;
para garantir uma adequada autoridade, a função de
auditoria interna deve ter acesso direto ao órgão de
administração;
o pessoal que executa a auditoria interna deve ter
acesso pleno a todas as atividades da empresa de
seguros, incluindo sucursais, pelo que lhe deve ser
disponibilizada toda a informação necessária à
realização de uma adequada avaliação;
a realização de uma ação de auditoria deve
compreender a elaboração ou atualização do dossier
permanente da atividade de risco alvo de avaliação.
Anualmente, deve ainda ser elaborado um relatório de
auditoria em que sejam apresentados os resultados das
ações de auditoria realizadas, bem como o estado de
implementação e cumprimentos das recomendações
efetuadas.
Este relatório adquire importância acrescida pelo facto
de, no artigo 18º da mesma NR 14/2005, se prever a
elaboração, pelo órgão de administração, de um relatório
anual sobre a estrutura organizacional e os sistemas de
gestão de riscos e de controlo interno da empresa de
seguros.
E acrescenta-se que o mesmo relatório deve conter uma
descrição detalhada do acompanhamento efetuado pela
função de auditoria interna no exercício, identificando as
principais falhas e/ou fragilidades detetadas e as medidas
tomadas no sentido de melhorar os sistemas de gestão de
riscos e de controlo interno implementados.
De notar que o destinatário deste relatório é o regulador.
Algum tempo decorrido, em janeiro de 2013 o IIA –
Institute of Internal Auditors, publicou o position paper
“The Three Lines of Defense in Effective Risk
management and Control” em que se discrimina o
modelo das três linhas de defesa, contribuindo para
um posicionamento da auditoria interna como a
terceira linha de defesa.
Solvência II: qual o papel da Auditoria Interna?
22
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Em Junho de 2013, o ECIIA publicou um documento
sobre o papel da auditoria interna no âmbito do projeto
Solvência II (The role of Internal Audit under Solvency
II), frisando que, com Solvência II; o papel importante
desempenhado pela Auditoria Interna no sistema de
governação foi reconhecido pela União Europeia para a
indústria seguradora.
Num cenário com o Solvência II em vigor, os desafios da
auditoria interna serão:
efetuar revisões periódicas e regulares da adequação e
eficácia do processo de governação instalados pelas
outras funções de governação;
garantir uma correta e atempada partilha de
informação com as outras funções de governação;
discutir com outras funções de governação a
classificação dos riscos, os parâmetros de opinião,
ferramentas, etc., e, assim, permitir que todas as
funções de governação usem a mesma linguagem na
comunicação com o Board ;
utilizar os outputs de outras funções de governação
para a construção de planos de auditoria com base
nos riscos.
Assumindo o papel da terceira linha de defesa, a função de auditoria interna, numa abordagem baseada
no risco, irá garantir assurance para o governo das organizações (incluindo o Comité de Auditoria, nas
entidades em que o mesmo existe) e para a gestão, nomeadamente na forma como se encontram a
operar a primeira e segunda linhas de defesa, sendo que esta assurance deverá abarcar todos os
elementos da gestão de riscos da empresa.
Solvência II: qual o papel da Auditoria Interna?
23
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Estudo de Auditoria Interna nas Organizações
- Cabo-Verdianas - Alcinda Borges e Nuno Castanheira
Introdução
O estudo apresentado insere-se no âmbito do Mestrado
em Auditoria Empresarial e Pública, do Instituto
Superior de Contabilidade e Administração de Coimbra.
O trabalho foi realizado pela aluna Alcinda Borges, sob
orientação de Nuno Castanheira, docente do ISCAC.
Os resultados do estudo foram apresentados em Cabo
Verde, no passado dia 22 de Novembro, na cidade da
Praia, em Seminário sobre Auditoria Interna, promovido
pelo Banco Comercial do Atlântico, em parceria com o
Banco Central de Cabo Verde e a Bolsa de Valores de
Cabo Verde.
Objetivo
O estudo tem como principal objetivo avaliar o grau de
maturidade da auditoria interna, nas organizações Cabo-
Verdianas.
A opção pelo estudo em Cabo Verde, para a realização
da investigação, resulta do facto de ser o país de origem
da autora do trabalho, a que se associa o facto de se
tratar de um país emergente, com economias em
desenvolvimento, o que motivou a investigação nas
organizações de Cabo Verde.
Originalidade/valor acrescentado
Este artigo contribui para a literatura porque apresenta
dados sobre um país que, apenas recentemente, tem sido
objeto de estudo na área da auditoria interna.
É dos primeiros estudos com investigação sobre
auditoria interna, em Cabo Verde.
Limitações do Estudo
Não obstante termos estruturado o questionário com
perguntas fechadas, minimizando o risco de dupla
interpretação das questões, admitimos que tal cuidado,
por si só, possa não assegurar uma total uniformização
das questões por parte dos inquiridos.
Apesar do esforço realizado, na tentativa de recolha do
maior número de respostas, não podemos considerar que
a amostra obtida é de grande dimensão e que caracteriza
todo o tecido empresarial Cabo-Verdiano, o que implica
que as conclusões retiradas do nosso estudo não possam
envolver extrapolações para o universo da população
empresarial de Cabo-Verde.
Face à escassez dos dados recolhidos, não foi possível
confirmar estatisticamente a dependência da aplicação de
abordagens baseadas no risco nos processos de auditoria
interna, em relação a um conjunto de variáveis
independentes, concretamente ao tipo de entidade, setor
de atividade, dimensão da empresa, internacionalização e
perfil do auditor.
Metodologia
Foi aplicado um inquérito por questionário, como
instrumento de recolha de dados, junto das empresas
Cabo-Verdianas, com o objetivo de obter uma visão
global sobre as práticas e procedimentos de auditoria
interna.
O questionário foi estruturado em cinco partes distintas,
com perguntas fechadas, de modo a evitar processos
ambíguos na interpretação e na codificação das respostas
e de forma a possibilitar a utilização de métodos
estatísticos na análise das mesmas.
A população alvo do nosso estudo envolveu um conjunto
de organizações de Cabo Verde, de diferentes dimensões
e setores de atividade, maioritariamente sediadas na
Cidade da Praia, na Ilha de Santigo, e uma minoria de
empresas sediadas nas ilhas do Sal e São Vicente.
Os questionários foram entregues, pessoalmente, na sede
das empresas, entre 24 de Maio a 30 de Junho de 2012.
Das empresas inquiridas, apenas obtivemos resposta de
26 empresas.
24
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Deste conjunto, concluímos que 14 empresas (53,9%)
têm implementada a função de auditoria interna, 9
empresas (34,6%) não têm função de auditoria interna e
as restantes 3 empresas (11,5%) estão em via de
implementação, o que significa que cerca de metade das
empresas que responderam ao questionário não têm
função de auditoria interna.
Principais Conclusões
No que respeita à abordagem utilizada para determinar o
plano de auditoria interna, a maioria (57,1%) das
empresas afirma utilizar uma abordagem baseada no
risco de negócio, enquanto que 28,6% das empresas
afirma utilizar uma abordagem mista, simultaneamente
cíclica e baseada no risco.
Por outro lado, são cerca de 14,3% as empresas que
afirmam utilizar outra abordagem.
Na maioria das empresas, o universo de auditoria é
revisto anualmente e é desenvolvido a partir do processo
de planeamento estratégico da organização, prática que
contribui para melhorar a eficácia do plano de auditoria.
O planeamento das auditorias está, essencialmente,
orientado para auditorias operacionais (26,43%),
auditorias de conformidade (22,74%), auditorias às
demonstrações financeiras (17,74%) e avaliações de
risco (16,67%).
Em relação à abordagem utilizada no ciclo de auditoria,
conclui-se que a maioria (64,3%) das empresas utiliza
abordagens mistas no decorrer do processo de auditoria
individual, isto é, simultaneamente baseadas no controlo
e baseadas no risco.
Apenas uma única empresa afirma utilizar uma
abordagem baseada no risco, ao longo de todo o ciclo de
auditoria individual, e duas empresas afirmam adotar
uma abordagem predominantemente baseada no
controlo.
No que respeita ao reporte de auditoria interna, apenas
21,4% das empresas afirmam reportar as recomendações
em termos de gestão de risco.
Não obstante, cerca de 64,3% das empresas reportam,
simultaneamente, em termos de controlo interno e gestão
de risco.
Adicionalmente, conclui-se que quase metade (42,9%)
das empresas inquiridas não utiliza categorias de risco
no reporte dos resultados de auditoria.
Quanto ao papel da auditoria interna na gestão
empresarial de risco (ERM), conclui-se que a maioria
(71,4%) das empresas tem implementado ou a decorrer a
implementação do processo de ERM e, em cerca de 70%
do referido conjunto de empresas, a auditoria interna
apoia ou apoiou a implementação do processo de ERM.
Relativamente aos profissionais de auditoria interna,
podemos constatar que a grande maioria (85,7%) tem
formação académica na área de auditoria, ou em áreas
conexas.
Os auditores, maioritariamente, estão filiados no IIA, no
IPAI, ou outros Institutos, como por exemplo o OPACC
e o IAIE. Quanto à formação proporcionada aos
auditores internos, a salientar que, em metade das
empresas inquiridas, não são definidas políticas de
formação contínua (apenas proporcionam formação
quando se justifica), facto que poderá ter impacto no
necessário desenvolvimento profissional contínuo dos
auditores.
Perante os factos expostos, conclui-se que a auditoria
interna, em Cabo Verde, é, ainda, uma função recente no
seio das organizações, o que significa, que há um longo
caminho a percorrer.
Questiona-se, para quando um Instituto de Auditoria
Interna, em Cabo-Verde?
Orientações para futura investigação Na sequência
deste estudo, poderão ser realizados outros trabalhos
com vista a aprofundar outras vertentes associadas à
auditoria interna em Cabo Verde. Com base numa
amostra alargada, a pesquisa pode ser orientada no
sentido da avaliação do impacto da auditoria interna ao
nível: da sua contribuição para a concretização dos
objetivos do negócio; da independência dos auditores,
fundamentalmente quando são chamados a desempenhar
serviços de consultoria; da credibilidade da função de
auditoria interna junto da sua hierarquia e dos órgãos
auditados; do ensino da auditoria interna, etc.
Palavras-chave ─ Auditoria interna, Risco, Cabo Verde.
IIA Austria will host ECIIA Conference 2013 - The Sound of Music 2 - 4 October 2013
Estudo de Auditoria Interna nas Organizações -Cabo-Verdianas
25
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Caneta Digital
A banker is a fellow who lends you his umbrella when
the sun is shining, but wants it back the minute it begins
to rain.
Mark Twain
Novos associados Ana Raquel Santos Mendes
Catarina Alves Moreira Gomes de Almeida
Maria Susana Faria Pinto Coelho Lima
Maria de Jesus Covas Dimas
Maria João Brandão Fernandes
Vanessa Lara da Silva Martins
Paulo Alexandre Carvalho Mauricio
Maria Helena Alves de Oliveira Diogo
Manuel Eduardo Aires Magriço
Joaquim Manuel Cepeda
Helder Manuel Rodrigues Gonçalves
Tiago Sousa Seixas
Luis Miguel Rodrigues Cost
Paulo Alexandre Marto de Carvalho
Mariana Costa Maia
Maria Manuela Pinto Godinho
Cindy Marie Soares de Carvalho
Sónia Cristina Teixeira Gaspar
Marco André Teixeira Oliveira
Joana Isabel Vieira Alves
Ana Raquel Pancadas Banza
Carla Cristina Soares da Rocha
Mafalda Cristina Mendes Grilo
Jorge Fernando Ferreira Ribeiro
Teresa Alexandra Meca Estevão Pedro
Maria Emília Vidinha Pires Rodrigues
Etelvino Moucho Craveiro
Carina Natacha Ribeiro Peixoto
Filipa Ramalho Teixeira Martins
José Carlos da Silva Nunes
Maria Teresa Pereira da Costa
Ana Cristina Oliveira Miranda
André David Diogo Capitão
Sizalda Gomes Gonçalves
Maria Silvia Martins Fafaiol
Ana Paula Miranda Relvas
Diogo Luís de Sequeira Mota
Frederico Chaves Pinheiro Torres
Luis Pedro Matos Lopes
Natália Maria Pereira de Macedo
Carlos Manuel da Costa Pinto
Liliana Fernanda Antunes Monteiro
Jorge Manuel Mendes Inácio
Nuno Miguel Mapos Lopes
-
Pesquisa na rede
Casos de Fraude - Fraude com cheques.
Recentemente têm sido
feitos estudos e
publicados artigos
mencionando que o
cheque é um meio de
pagamento em declínio.
No entanto a fraude
com cheques continua a ser um grande desafio para
muitas instituições e o seu impacto não deverá ser
subestimado.
O recente exemplo da Liberty Bell Bank demonstra o
impacto que estes esquemas poderão ter. Neste exemplo,
um único caso de rotação de cheques teve um impacto
dramático. De acordo com um artigo do American
Banker, este caso causou perdas no valor de 2.1 milhões
de USD.
A avaliação dos controlos, procedimentos e tecnologias
associadas à gestão da fraude com cheques, é uma boa
forma de mitigação do risco, minimizando a
probabilidade de ocorrência, com especial atenção aos
casos com impactos relevantes sobre as instituições.
Informação na rede:
http://www.americanbanker.com/issues/178_146/check-kiting-
scam-sinks-earnings-at-liberty-bell-bank-1060971-1.html
http://finance.yahoo.com/news/liberty-bell-bank-reports-
second-213400984.html
26
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Post-it, Miguel Silva
27
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Pesquisa de Institutos de Auditoria
http://www.aiam.org.mk/
28
IPAI Auditoria Interna Julho/Setembro 2013 nº 52
Pré inscrição [email protected]
Consulte programa provisório http://www.ipai.pt/gca/index.php?id=180
Lisboa
21 de Novembro de 2013 Hotel ALTIS