INTOSAI

Diretrizes para as Normas de Controle Interno do Setor Pblico

Tribunal de Contas do Estado da Bahia Brasil Srie Tradues N.o 13

Diretrizes para as Normas de Controle Interno do Setor Pblico

Comit de Normas de Controle Interno Fr. VANSTAPEL Primeiro Presidente do Tribunal de Contas da Blgica Regentschapsstraat 2 B-1000 BRUXELAS BLGICA Tel: ++32 (2) 551 81 11 Fax: ++32 (2) 551 86 22 E-mail: internalcontrol@ccrek.be
2

Diretrizes para
as Normas de Controle Interno do Setor Pblico

Intosai

Secretaria Geral da INTOSAI RECHNUNGSHOF (Tribunal de Contas da ustria) DAMPFSCHIFFSTRASSE 2 A-1033 VIENA USTRIA

Tel.: ++43 (1) 711 71 Fax: ++43 (1) 718 09 69 E-MAIL: intosai@rechnungshof.gv.at http://www.intosai.org

Intosai

Autorizao para traduo ao idioma portugus concedida pela Organizao Internacional de Entidades Fiscalizadoras Superiores em 25 de maio 2007. EQUIPE DE PRODUO Traduo: Cristina Maria Cunha Guerreiro Delanise Costa Soraia de Oliveira Ruther Reviso Tcnica: Inaldo da Paixo Santos Arajo Reviso Gramatical: Clarissa Carneiro da Rocha Normalizao: Denilze Alencar Sacramento Editorao: Cristiano Pereira Rodrigues

0 65 Organizao Internacional de Entidades Fiscalizadoras Superiores Diretrizes para as normas de controle interno do setor pblico./. Organizacin Internacional de Entidades Fiscalizadoras Superiores; Traduo de Cristina Maria Cunha Guerreiro, Delanise Costa e Soraia de Oliveira Ruther. Salvador: Tribunal de Contas do Estado da Bahia, 2007. 99 p. Traduo de: Gua para las normas de control interno del sector pblico 1. Controle Interno: Normas. 2. Administrao Pblica: ustria. 3. Tribunal de Contas da ustria. I. Ttulo CDU 657.6

Sumrio
Apresentao da Verso em Portugus ................................... 09 Prefcio Verso em Portugus .............................................. Prefcio ..................................................... ............................ Introduo.......... ...................................................................... 1 Controle Interno ................................................................................ 1.1 Definio ......................................................................................... 1.2 Limitaes para a eficcia do controle inteno .............................. 2 Componentes do Controle Interno ................................................ 2.1 Ambiente de controle ....................................................................... 2.2 Avaliao de risco .............................................................................. 2.3 Procedimentos de controle .............................................................. 2.3.1 Procedimentos de controle da tecnologia da informao ..... 2.4 Informao e comunicao ............................................................. 2.5 Monitoramento .................................................................................. 3 Funes e Responsabilidades ................................................ 11 13 15 19 19 26 29 33 38 44 48 54 58 63

Anexo 1: Exemplos................................................................... 69 Anexo 2: Glossrio .................................................................... 79

Apresentao da Verso em Portugus

No momento em que o Tribunal de Contas do Estado da Bahia se encontra engajado no Projeto Multiplicando Experincias, que tem como objetivo fortalecer o sistema de controle externo do Brasil mediante a realizao de auditorias governamentais integradas em projetos cofinanciados pelo Banco Internacional para a Reconstruo e o Desenvolvimento (BIRD), temos a imensa satisfao em apresentar a verso em lngua portuguesa das Diretrizes para as Normas de Controle Interno do Setor Pblico, da Organizao Internacional de Entidades Fiscalizadoras Superiores (INTOSAI). Esta publicao vem dar continuidade Srie de Tradues do Tribunal de Contas do Estado da Bahia, iniciada em 1995, e a sua escolha retrata a importncia dada pelos rgos de controle externo ao aperfeioamento do sistema de controle interno, que sabidamente um dos maiores desafios da administrao pblica brasileira na atualidade. Com efeito, de nada adiantaria o fortalecimento dos rgos de controle externo brasileiros, se, em paralelo, no fossem adotadas medidas efetivas para a institucionalizao de um slido sistema de controle interno em todas as esferas de governo. No obstante a Constituio Federal brasileira de 1988 ter estabelecido a necessidade de manter sistema de controle interno, de forma integrada, nos Poderes Legislativo, Executivo e Judicirio, que, alm dos aspectos de legalidade, deve, tambm, avaliar os resultados da gesto quanto eficincia e eficcia, incluindo as metas e os resultados dos programas governamentais, e apoiar o controle externo no exerccio de sua misso institucional, temos conhecimento das deficincias de controles internos, principalmente nos pequenos municpios brasileiros. Nesse sentido, esta publicao pretende contribuir para a implantao de um slido sistema de controle interno em todas as esferas de governo, muito embora com a conscincia de que no basta apenas a edio de trabalhos sobre esse tema, mas, sim, a sua adaptao nossa realidade, divulgao e aplicao pela administrao pblica no desempenho de sua misso, de modo que possa, cada vez mais, atender aos anseios da
9

sociedade, que espera sempre que seus escassos recursos sejam gastos de forma econmica, justa, eficiente e sbia. Cientes da importncia da divulgao de documentos tcnicos como este, relacionados atividade de controle da administrao pblica, cumpre-nos registrar que exemplares dessas diretrizes sero distribudos a rgos e entidades governamentais, aos auditores do Tribunal de Contas do Estado da Bahia, a instituies de controle governamental brasileiras e de pases de lngua portuguesa, universidades, centros de estudo e outros interessados. Por fim, gostaramos de agradecer INTOSAI, na pessoa do Dr. Josef Moser, que autorizou, de pronto, a traduo para o idioma portugus dessas diretrizes, em perfeita sintonia com o lema da INTOSAI: experincia mtua em beneficio de todos; ao Banco Mundial, na pessoa do seu Diretor para o Brasil, Dr. Jonh Briscoe, que apoiou a realizao dessa iniciativa; Conselheira Presidente do Tribunal de Contas do Estado do Tocantins, Dr Doris de Miranda Coutinho e ao Conselheiro Presidente do Tribunal de Contas do Estado do Piau, Dr. Anfrsio Neto Lobo Castelo Branco, que se prontificaram a colaborar com a distribuio deste guia; equipe tcnica deste Tribunal de Contas, responsvel pela produo deste documento; e aos meus pares, Conselheiros do Tribunal de Contas do Estado da Bahia, que apoiaram integralmente este projeto. , sem dvida, mais um desafio que se conquista. Salvador, Bahia, Brasil, junho de 2007. Antonio Honorato de Castro Neto Conselheiro Presidente do Tribunal de Contas do Estado da Bahia

10

Prefcio Verso em Portugus

A Organizao Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) uma organizao no-governamental, autnoma e independente. Fundada em 1953, por iniciativa do ento Presidente da Entidade Fiscalizadora de Cuba, Emilio Fernandez Camus, a organizao rene atualmente mais de 186 membros e tem por objetivo oferecer um marco institucional para a transferncia e aprimoramento de conhecimentos sobre a atividade de fiscalizao pblica, atravs do intercmbio de experincias entre os seus membros. Para tanto, a INTOSAI conta com uma estrutura que prev a existncia de Grupos Regionais de Trabalho que oferecem fruns para a cooperao profissional e especfica em nvel regional, e constitui Comits Tcnicos para tratar de assuntos de interesse comum a todos os seus membros. Esses comits e grupos de trabalho, compostos por uma representao equilibrada dos membros da organizao, so formados como resultado dos temas e das recomendaes finais obtidas durante a realizao dos congressos trianuais do Comit Diretivo da INTOSAI (INCOSAI), e buscam elaborar normas e diretrizes para o setor de fiscalizao pblica, que possam ser aplicadas por todos os seus membros. Esses comits atuam por um perodo de tempo determinado, ao final do qual apresentam os resultados do seu trabalho. A 17 reunio do Congresso Internacional das Entidades Fiscalizadoras Superiores, realizada em Seul, em 2001, reconheceu a necessidade de se atualizarem as diretrizes e o marco referencial para o controle interno. Essas diretrizes incorporaram avanos na sua formulao conceitual, a preocupao com os valores ticos, alm de fornecer princpios gerais para os procedimentos de controle pertinentes ao processamento da informao. Em 2004, durante a realizao do XVIII INCOSAI, em Budapeste, as Diretrizes para as Normas de Controle Interno do Setor Pblico foram aprovadas pelos seus membros. Em 2007, o Tribunal de Contas do Estado da Bahia (TCE-BA), dando continuidade ao trabalho de divulgao de documentos tcnicos relevantes para o aprimoramento dos trabalhos auditoriais, apresenta a
11

verso traduzida para a lngua portuguesa das Diretrizes para as Normas de Controle Interno do Setor Pblico, 13 ttulo da Srie Tradues do Tribunal de Contas do Estado da Bahia. Neste trabalho, as diretrizes da INTOSAI de 1992 so atualizadas e, tambm, incorporam algumas inovaes conceituais, as quais refletem os avanos mais recentes e significativos para o controle interno, tais como a concepo de que o controle no um fato ou circunstncia, mas uma srie de aes que permeiam todas as atividades da entidade. Recomenda, ainda, que o Controle Interno deve ser interligado s atividades dos organismos e concebido dentro da estrutura organizacional, o que o tornaria no apenas mais efetivo, mas, tambm, integrante da essncia mesma da organizao. por esse motivo que atualmente nos utilizamos do conceito de ambiente de controle para identificarmos uma situao permanente e contnua, existente em todos os setores da organizao, visando reduo dos riscos e ao aumento da eficincia dos processos. Estruturado em trs partes (Controle Interno definio e limitaes; Componentes do Controle Interno; e Funes e Responsabilidades), a publicao enriquece a abordagem do tema atravs de exemplos e do glossrio de termos tcnicos, objetivando fornecer uma compreenso comum dos conceitos mais importantes utilizados nessas diretrizes. Por isso, temos convico de que esta publicao cumprir sua finalidade, na medida em que venha a contribuir, de modo significativo, para o aperfeioamento da administrao pblica e a efetividade das aes do sistema de controle interno. Salvador, Bahia, Brasil, junho de 2007. Manoel Figueiredo Castro Conselheiro Corregedor do Tribunal de Contas do Estado da Bahia

12

Diretrizes para
as Normas de Controle Interno do Setor Pblico
Prefcio As diretrizes da Organizao Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), de 1992, para as normas de controle interno, foram concebidas como um documento vivo, que refletisse a viso de que se devem promover normas para o planejamento, implantao e avaliao do controle interno. Essa viso envolve um esforo contnuo de atualizao dessas diretrizes. Na 17 reunio do Congresso Internacional das Entidades Fiscalizadoras Superiores (INCOSAI - Seul, 2001) foi reconhecida uma forte necessidade de se atualizar as diretrizes de 1992 e estabelecido que, para essa tarefa, deveria ser considerado o trabalho do Committee on Sponsoring Organizations of the Treadway Commission's (COSO), como o marco referencial sobre controle interno. Avanos subseqentes resultaram em recomendaes adicionais, cujas diretrizes se reportam a valores ticos e fornecem mais informaes sobre os princpios gerais dos procedimentos de controle relacionados ao processamento da informao. As diretrizes revisadas consideram tais recomendaes e devem facilitar a compreenso de novos conceitos relacionados com o controle interno. Essas diretrizes revisadas tambm devem ser consideradas como um documento vivo, o qual, ao longo do tempo, dever ser atualizado e aprimorado adequadamente, de modo a absorver o impacto dos novos avanos, tais como a nova posio adotada pelo COSO, Gesto de Risco da Empresa: um modelo integrado1. Esta atualizao o resultado do esforo conjunto dos membros do Comit de Normas de Controle Interno da INTOSAI. As atividades foram coordenadas por um grupo de trabalho formado pelos membros do Comit e pelos representantes das instituies fiscalizadoras superiores

COSO. Enterprise Risk Management Integrated Framework, www.coso.org, 2004.

13

da Bolvia, Frana, Hungria, Litunia, Holanda, Romnia, Gr-Bretanha, Estados Unidos e Blgica (presidncia). Um plano de ao para a atualizao das diretrizes foi submetido avaliao e aprovao pelo Comit Diretivo, durante sua 50 reunio (Viena, outubro de 2002). O Comit Diretivo foi informado do progresso dos trabalhos na sua 51 reunio (Budapeste, outubro de 2003). A minuta foi discutida e aceita, em suas linhas gerais, durante a reunio do Comit em Bruxelas, em fevereiro de 2004. Aps a reunio do Comit, a referida minuta foi encaminhada a todos os membros da INTOSAI para os comentrios finais. Os comentrios recebidos foram analisados e as mudanas consideradas apropriadas foram devidamente incorporadas. Gostaria de agradecer a todos os membros do Comit de Normas de Controle Interno da INTOSAI, pela sua dedicao e cooperao para realizar este projeto. Agradeo especialmente aos membros do grupo de trabalho. As Diretrizes para as Normas de Controle Interno do Setor Pblico sero submetidas aprovao do XVIII INCOSAI, em Budapeste, 2004. Franki VANSTAPEL Primeiro Presidente do Tribunal de Contas da Blgica Presidente do Comit de Normas de Controle Interno da INTOSAI

14

Introduo Em 2001, o INCOSAI decidiu atualizar as diretrizes da INTOSAI, de 1992, sobre as normas de controle interno, para levar em considerao todos os avanos recentes e mais significativos em controle interno e, tambm, para incorporar, no documento da INTOSAI, o conceito emitido no relatrio COSO intitulado Controle interno: um modelo integrado. Ao incorporar o modelo COSO s diretrizes, o Comit objetivou, no apenas atualizar o conceito de controle interno, mas, tambm, contribuir para uma compreenso unificada de controle interno entre as Entidades Fiscalizadoras Superiores (EFSs). Fica claro que este documento leva em considerao as caractersticas do setor pblico. Isso motivou o Comit a incorporar algumas mudanas e a incluir temas adicionais. Comparado o documento atual com a definio do relatrio COSO e com as diretrizes de 1992, verifica-se que foi incorporado o aspecto tico das operaes. Sua incluso nos objetivos do controle interno est justificada, da mesma maneira que a importncia da conduta tica e a preveno e deteco da fraude e da corrupo no setor pblico tiveram maior nfase a partir dos anos noventa2. A expectativa geral que os servidores pblicos devem servir aos interesses pblicos com zelo e administrar os recursos pblicos apropriadamente. Os cidados devem receber tratamento imparcial, baseado nos princpios de legalidade e justia. Desse modo, a tica pblica um pr-requisito e um suporte para a confiana pblica e a chave para um bom governo. Uma vez que os recursos no setor pblico geralmente envolvem dinheiro pblico e sua utilizao em prol do interesse coletivo geralmente requer um cuidado especial, a importncia da salvaguarda desses recursos necessita ser fortalecida. Alm disso, a contabilizao do oramento com base na execuo financeira continua sendo uma prtica comum no setor pblico, mas no oferece a segurana suficiente em relao aquisio, ao uso e distribuio dos recursos. Conseqentemente, muitas organizaes do setor pblico nem sempre possuem inventrio atualizado de seus bens, o que as torna mais vulnerveis. Por esse motivo, a salvaguarda dos recursos tem sido considerada como um objetivo importante do controle interno.

XVI INCOSAI, Montevidu, Uruguai, 1998.

15

Assim como a concepo do controle interno, em 1992, no se limitava viso tradicional de controle administrativo-financeiro e incorporava um conceito mais amplo do controle da administrao, tambm este documento ressalta a importncia das informaes no-financeiras. Dado o intensivo uso dos sistemas de informao em todas as organizaes pblicas, os controles da tecnologia da informao (TI) vm alcanando cada vez mais importncia, o que justifica a criao de um tpico especfico nestas diretrizes. Os controles da TI se reportam a cada um dos componentes do processo de controle interno da entidade, incluindo o ambiente de controle, a avaliao de risco e os procedimentos de controle, a informao e a comunicao, e tambm o monitoramento. Porm, para efeito de apresentao, esses temas so tratados na seo intitulada "Procedimentos de Controle". O objetivo do Comit desenvolver orientaes para estabelecer e manter um controle interno eficaz no setor pblico. A administrao governamental , portanto, um importante destinatrio dessas diretrizes. A administrao governamental pode utilizar essas diretrizes como base para a implantao e execuo do controle interno em suas organizaes. Dado que a avaliao do controle interno geralmente aceita como uma norma de execuo dos trabalhos de campo na auditoria pblica3, os auditores podem utilizar as diretrizes como uma ferramenta de auditoria. As Diretrizes para as Normas de Controle Interno, as quais incorporam o modelo COSO, podem, portanto, ser utilizadas tanto pela administrao governamental4, como exemplo de um referencial de controle interno slido para as organizaes, quanto pelos auditores, como uma ferramenta para avaliar o controle interno. Porm, essas diretrizes no tm a inteno de substituir as Normas de Auditoria da INTOSAI ou qualquer outra norma relevante de auditoria. Este documento define um arcabouo recomendado para o controle interno do setor pblico e oferece uma base para que o controle interno possa ser avaliado. Essa abordagem pode ser aplicada a todos os aspectos operacionais de uma organizao. Contudo, no se tem a pretenso de limitar ou interferir no trabalho das autoridades responsveis pelo desenvolvimento da legislao, pela elaborao de regulamentos ou
3

Normas de Auditoria da INTOSAI. (N. do T.) Traduzidas para o portugus pelo Tribunal de Contas do Estado da Bahia - TCE/BA, em 2005. O g rupo operacional no mencionado como pblico-alvo. Embora sejam afetados pelo controle interno e desempenhem um importante papel na implementao do controle, eles no so responsveis por todas as atividades da organizao relacionadas com o sistema de controle interno. O Captulo 3 destas diretrizes descreve os papis e responsabilidades individuais.

16

daqueles que tm a discricionariedade de estabelecer polticas em uma organizao. O controle interno nas organizaes do setor pblico deve ser entendido dentro do contexto das caractersticas especficas dessas organizaes, ou seja, seu enfoque para alcanar os objetivos sociais ou polticos; a utilizao dos recursos pblicos; a importncia do ciclo oramentrio; a complexidade de seu desempenho (a demanda pelo equilbrio entre os valores tradicionais de legalidade, moralidade e transparncia, e os modernos valores gerenciais como eficincia e eficcia) e o amplo escopo decorrente da sua accountability5 pblica. Em concluso, deve ter ficado claro que este documento apresenta diretrizes para as normas. Essas diretrizes no fornecem polticas detalhadas, procedimentos ou prticas para implementar o controle interno, mas fornecem o arcabouo dentro do qual as entidades podem desenvolver controles detalhados. O Comit, obviamente, no est em posio de impor normas. Como est estruturado este documento? No primeiro captulo, est definido o conceito de controle interno e delimitado o seu alcance. Ateno especial dada s limitaes do controle interno. No segundo captulo, os componentes do controle interno so apresentados e discutidos. O documento termina com um terceiro captulo sobre as funes e responsabilidades. Em cada seo, os princpios mais importantes so primeiramente apresentados resumidamente em um quadro e acompanhados por informaes mais detalhadas. Tambm so feitas referncias a exemplos concretos, que podem ser encontrados nos anexos. Adicionalmente, ao final do documento, h um glossrio que contm os termos tcnicos mais importantes.

(N. do T.) A INTOSAI sugeriu para o XIV INCOSAI a adoo da terminologia "obrigao de prestar contas" como traduo para o termo accountability.

17

18

1 Controle Interno
1.1 Definio Controle interno um processo integrado efetuado pela direo e corpo de funcionrios, e estruturado para enfrentar os riscos e fornecer razovel segurana de que na consecuo da misso da entidade os seguintes objetivos gerais sero alcanados: execuo ordenada, tica, econmica, eficiente e eficaz das operaes; cumprimento das obrigaes de accountability; cumprimento das leis e regulamentos aplicveis; salvaguarda dos recursos para evitar perdas, mau uso e dano. O controle interno um processo integrado e dinmico que se adapta continuamente s mudanas enfrentadas pela organizao. A direo e o corpo de funcionrios, de todos os nveis, devem estar envolvidos nesse processo, para enfrentar os riscos e oferecer razovel segurana do alcance da misso institucional e dos objetivos gerais. Um processo integrado O controle no um fato ou circunstncia, mas uma srie de aes que permeiam as atividades da entidade. Essas aes se do em todas as operaes da entidade, de modo contnuo. So aes inerentes maneira pela qual a gerncia administra a organizao. O controle interno , portanto, diferente da perspectiva daqueles que o vem como uma atividade adicional da entidade ou como uma obrigao necessria. O sistema de controle interno deve ser interligado s atividades da entidade e torna-se mais efetivo quando concebido dentro da estrutura organizacional da entidade e parte integrante da essncia da organizao. O controle interno deve ser estruturado internamente e no superposto s atividades. O controle interno, ao ser estruturado internamente, tornase parte integrante dos processos gerenciais de planejamento, execuo e monitoramento.

19

Ademais, sua concepo de forma intrnseca s atividades apresenta importantes implicaes para a conteno de custos, pois adicionar novos procedimentos de controle, distintos dos procedimentos existentes, incrementa os custos. Uma organizao pode evitar procedimentos e custos desnecessrios ao focalizar sua ateno na contribuio que as atividades existentes podem dar para um controle interno eficaz e ao integrar os diferentes controles s operaes bsicas. Efetuado pela gerncia e o restante do pessoal So as pessoas que realizam o trabalho de controle interno. O controle realizado pelos indivduos dentro de uma organizao, pelo que eles fazem e dizem. Conseqentemente, o controle interno efetuado pelas pessoas. As pessoas devem conhecer seus papis, suas responsabilidades e os limites de autoridade. Dada a importncia desse conceito, um captulo inteiro (3) foi dedicado ao tema. As pessoas de uma organizao incluem a gerncia e os demais funcionrios. Embora o primeiro objetivo da gerncia seja a superviso, ela tambm estabelece os objetivos da entidade e tem a responsabilidade sobre o conjunto do sistema de controle interno. Uma vez que o controle interno oferece os mecanismos necessrios para auxiliar a compreender o risco no contexto dos objetivos da entidade, a gerncia deve implementar procedimentos de controle e realizar seu monitoramento e avaliao. A implementao do controle interno requer muita iniciativa da gerncia e intensa comunicao entre esta e os funcionrios. Desse modo, o controle interno uma ferramenta utilizada pela gerncia e diretamente relacionada aos objetivos da entidade. Como tal, o gerenciamento elemento importante do controle interno. De qualquer forma, todo o corpo funcional desempenha um papel importante na execuo do controle. Do mesmo modo, o controle interno afetado pela natureza humana. Essas diretrizes para o controle interno reconhecem que as pessoas nem sempre compreendem, comunicam e atuam de modo consistente. Cada indivduo traz para seu local de trabalho uma histria pessoal e habilidades tcnicas prprias, possuindo necessidades e prioridades distintas. Essas realidades afetam e so afetadas pelo controle interno.

20

Na consecuo da misso institucional Qualquer organizao est prioritariamente voltada para a consecuo de sua misso. As instituies existem para um fim - o setor pblico geralmente comprometido com a prestao de um servio e com resultados benficos para o interesse pblico. Dar resposta aos riscos Qualquer que seja a misso, sua consecuo enfrentar toda sorte de riscos. O desafio da gerncia identificar e dar resposta a esses riscos, a fim de maximizar as possibilidades de a instituio alcanar a sua misso. O controle interno pode ajudar a enfrentar esses riscos, embora somente possa oferecer uma garantia razovel para o alcance da misso e dos objetivos gerais. Fornecer segurana razovel No importa quo bem planejado ou executado esteja, o controle interno no pode dar segurana absoluta gerncia, em relao ao alcance dos objetivos gerais. Em vez disso, as diretrizes reconhecem que apenas um nvel "razovel" de segurana pode ser alcanado. A segurana razovel equivale a um nvel satisfatrio de confiana sob certas condies de custos, benefcios e riscos. Definir qual o grau de segurana que pode ser considerado razovel apenas possvel mediante avaliaes. Ao exercitarem sua capacidade de avaliao, os executivos devem identificar os riscos inerentes6 s operaes e os nveis aceitveis de risco sob circunstncias distintas, alm de avaliar os riscos, tanto quantitativa como qualitativamente. A segurana razovel reflete a noo sobre a incerteza e os riscos futuros que no podem ser previstos com segurana absoluta. Alm disso, existem fatores que esto fora do controle ou da influncia da organizao e que podem afetar sua capacidade de alcanar os objetivos. As limitaes so tambm decorrentes das seguintes realidades: o julgamento humano

(N. do T.) Risco inerente est conceituado no Captulo 2, item 2.2 Avaliao de risco.

21

 passvel de erro; as crises podem ser conseqncia de simples erros ou equvocos; controles podem ser suprimidos pela conivncia de duas ou mais pessoas, ou a gerncia pode anular o sistema de controle interno. Adicionalmente, os compromissos no sistema de controle interno refletem o fato de que os controles tm um custo. Essas limitaes impedem que a gerncia tenha segurana absoluta sobre o alcance dos objetivos. A segurana razovel reconhece que o custo do controle interno no deve exceder os benefcios que dele derivam. As decises acerca da resposta ao risco e da implantao de controles devem considerar os respectivos custos e benefcios. O custo se refere quantidade de recursos financeiros consumidos para lograr um propsito especfico e ao impacto econmico de uma oportunidade perdida, tais como o atraso nas operaes, uma diminuio nos nveis de servio ou na produtividade ou clima organizacional adverso. Um benefcio medido pelo grau em que o risco de no se alcanar um determinado objetivo reduzido. Os exemplos incluem um incremento na probabilidade de deteco de fraude, desperdcio, abuso ou erro, prevenindo uma atividade imprpria, ou fortalecendo o cumprimento dos regulamentos. A estruturao dos controles internos que tenham benefcios superiores aos custos, em virtude de reduzir o risco at um nvel aceitvel, requer que os gerentes entendam claramente o conjunto dos objetivos a serem alcanados. Caso contrrio, os gerentes governamentais podem conceber sistemas com controles excessivos em uma rea operacional e que podem afetar negativamente outras reas. Por exemplo, os empregados podem tentar burlar certos procedimentos incmodos, as operaes ineficientes podem causar atrasos, o excesso de procedimentos pode reprimir a criatividade dos funcionrios ou a capacidade de solucionar problemas e prejudicar a qualidade dos servios prestados aos beneficirios. Dessa forma, os benefcios derivados dos controles excessivos em uma rea podem ser anulados pelo incremento de custos em outras atividades. Entretanto, tambm se devem fazer consideraes qualitativas. Por exemplo, pode ser importante ter os controles adequados sobre as transaes com alto risco/baixo valor monetrio, tais como os salrios, viagens e gastos de representao. Os custos de adequados controles podem parecer excessivos em relao ao volume de recursos que se administra no

22

conjunto dos gastos governamentais, mas podem ser crticos para a manuteno da confiana dos cidados nos governos e na sua administrao. Alcance de objetivos O controle interno direcionado para o alcance de uma srie de objetivos gerais, distintos, mas ao mesmo tempo integrados. Esses objetivos gerais so implementados atravs de numerosos objetivos especficos, funes, processos e atividades. Os objetivos gerais so: Executar as operaes de maneira ordenada, tica, econmica, eficiente e eficaz. As operaes de uma entidade devem ser ordenadas, ticas, econmicas, eficientes e eficazes. Devem ser consistentes com a misso da organizao. De maneira ordenada significa que as operaes devem ser bem organizadas, isto , estruturadas metodicamente. A tica se refere aos princpios morais. A importncia da conduta tica e da preveno e deteco da fraude e da corrupo no setor pblico tem sido cada vez mais enfatizada a partir dos anos noventa. A expectativa geral de que os servidores pblicos sirvam aos interesses pblicos com justia e que administrem adequadamente os recursos pblicos. Os cidados devero receber tratamento imparcial, baseado na legalidade e na justia. Por tal motivo, a tica pblica um pr-requisito e um suporte para a confiana pblica e a chave para um bom governo. Tratamento econmico sem desperdcio nem extravagncia significa adquirir a quantidade correta de recursos, na qualidade adequada, entregue no lugar certo e no momento preciso, ao custo mais baixo. A eficincia se refere relao entre os recursos utilizados e os resultados produzidos para alcanar os objetivos. Significa gastar o mnimo de recursos para alcanar uma dada quantidade e qualidade de resultados, ou alcanar o mximo de resultado com uma dada qualidade e quantidade de recursos empregados.
23

A eficcia7 se refere ao alcance dos objetivos ou ao nvel em que os resultados de uma atividade cumprem com o objetivo ou com os impactos pretendidos por aquela atividade. Cumprimento das obrigaes de accountability Accountability o processo atravs do qual as organizaes pblicas e os indivduos que as integram tornam-se responsveis por suas decises e aes, incluindo a salvaguarda de recursos pblicos, a imparcialidade e todos os aspectos de seu desempenho. O processo ser alcanado mediante o desenvolvimento, manuteno e disponibilizao de informaes financeiras e no-financeiras confiantes e relevantes, e atravs da apresentao correta dessa informao em relatrios oportunos, destinados tanto ao pblico interno quanto ao pblico externo. A informao no-financeira pode estar relacionada com a economia, eficincia e eficcia das polticas e operaes (informao sobre o desempenho operacional), e o controle interno e sua eficcia. Cumprimento das leis e regulamentos As organizaes so obrigadas a cumprir muitas leis e regulamentos. Nas organizaes pblicas, as leis e regulamentos disciplinam a captao e a aplicao do dinheiro pblico e a forma de operao. Os exemplos incluem a lei oramentria, tratados internacionais, leis para garantir a administrao correta, lei ou princpios contbeis, lei de direito civil e de proteo ambiental, regulamentos sobre as receitas fiscais, alm de aes de combate fraude e corrupo.

(N. do T.) Para algumas EFSs o conceito de eficcia est relacionado aos bens e servios (produtos) gerados pela ao ou programa, enquanto os impactos deles resultantes esto relacionados ao aspecto da efetividade.

24

 Salvaguarda de recursos contra prejuzo por desperdcio, abuso, m administrao, erros, fraudes e irregularidades. Ainda que o quarto objetivo possa ser visto como uma subcategoria do primeiro (operaes ordenadas, ticas, econmicas, eficientes e eficazes), a importncia da salvaguarda dos recursos no setor pblico precisa ser fortalecida. Isso se deve ao fato de que os recursos no setor pblico geralmente envolvem dinheiro pblico e sua utilizao visa ao interesse coletivo, requerendo, desse modo, cuidado especial. Alm disso, a contabilizao do oramento com base na execuo financeira, prtica que continua sendo muito comum no setor pblico, no oferece segurana suficiente com relao aquisio, utilizao e disponibilizao dos recursos. Como resultado, as organizaes no setor pblico nem sempre tm registros adequados de seus ativos, o que as torna mais vulnerveis. Por isso, devem-se adotar controles internos em cada uma das atividades relacionadas com a administrao dos recursos da entidade, desde a aquisio at a sua disponibilizao. Outros meios, tais como a informao, fontes de documentao e registros contbeis, so a chave para a obteno da transparncia das operaes governamentais e devem ser preservados. No entanto, eles tambm esto em risco de serem roubados, mal utilizados ou destrudos. A salvaguarda de certos recursos e arquivos tem se tornado cada vez mais importante desde a chegada dos sistemas informatizados. Informaes relevantes armazenadas em meios magnticos podem ser destrudas ou copiadas, distribudas ou mal utilizadas, caso no se tenha o cuidado necessrio com a sua proteo.

25

1.2 Limitaes para a eficcia do controle interno8 O controle interno no pode, por si s, assegurar o alcance dos objetivos gerais previamente definidos. Um sistema de controle interno eficaz, no importa quo bem concebido e administrado possa ser, pode oferecer gerncia apenas uma segurana razovel - no absoluta - sobre o alcance dos objetivos da entidade ou sobre a sua sobrevivncia. Pode fornecer informao gerencial sobre os progressos da entidade ou sua ausncia, tendo em vista o alcance dos objetivos. Entretanto, o controle interno no pode transformar uma administrao essencialmente ruim em boa administrao. Alm disso, as mudanas nas polticas ou programas governamentais, as condies demogrficas ou econmicas esto alm do controle da gerncia e podem exigir uma reconfigurao dos controles ou ajustes para reduzir os riscos a nveis aceitveis. Um sistema de controle interno eficaz reduz a probabilidade de no se alcanar os objetivos. De qualquer modo, sempre haver o risco de que o controle interno seja estruturado de forma deficiente ou que falhe na atuao esperada9. Dado que o controle interno depende do fator humano, ele est sujeito s falhas no planejamento, erros de avaliao ou interpretao, m compreenso, descuido, cansao fsico, distrao, conluio, abuso ou excessos. Outro fator limitante que a estrutura do sistema de controle interno enfrente o contingenciamento de recursos. Os benefcios dos controles devem, portanto, ser considerados em relao a seu custo. Manter um sistema de controle interno que elimine os riscos de prejuzo no realista e, provavelmente, custaria mais que os benefcios dele derivados. Ao determinar se um controle especfico deve ou no ser implantado, a probabilidade de que exista um risco e o efeito potencial deste na entidade devem ser considerados, juntamente com os custos relacionados implantao do novo controle.

As limitaes na eficcia do controle interno devem ser estabelecidas a fim de evitar expectativas exageradas, devido m compreenso de seu efetivo alcance . 9 (N. do T.) o que se denomina de risco de controle, pois o controle existe, mas em face de suas limitaes pode falhar.
8

26

As mudanas organizacionais e a atitude gerencial podem ter um profundo impacto na eficcia do controle interno e nos tcnicos que operacionalizam o sistema. Assim, a gerncia deve revisar e atualizar continuamente os controles, comunicar as alteraes ao pessoal e dar o exemplo atravs da adeso a esses controles.

27

28

2 Componentes do Controle Interno

O controle interno compreende cinco componentes inter-relacionados: ambiente de controle; avaliao de risco; procedimentos de controle; informao e comunicao; monitoramento. O controle interno estruturado para oferecer segurana razovel de que os objetivos gerais da entidade esto sendo alcanados. Por essa razo, a existncia de objetivos claros um pr-requisito para a eficcia do processo de controle interno. O ambiente de controle a base de todo o sistema de controle interno. Ele fornece o conjunto de regras e a estrutura, alm de criar um clima que influi na qualidade do controle interno em seu conjunto. O ambiente de controle exerce uma influncia geral na forma pela qual se estabelecem as estratgias e os objetivos, e na maneira pela qual os procedimentos de controle so estruturados. Tendo sido estabelecidos objetivos claros e um ambiente de controle eficaz, uma avaliao dos riscos a serem enfrentados pela entidade no alcance de sua misso e de seus objetivos determina a base para o desenvolvimento da resposta apropriada ao risco. A melhor maneira de minimizar o risco atravs de procedimentos de controle. Os procedimentos de controle podem ser preventivos e/ou detectivos. As aes corretivas so necessrias para complementar os procedimentos de controle interno, com a inteno de alcanar os objetivos. Os procedimentos de controle e as aes corretivas devem promover a otimizao dos recursos. Seu custo no deve exceder o benefcio que delas resulte (custo-eficcia).

29

Informao e comunicao eficazes so vitais para que uma entidade conduza e controle suas operaes. A gerncia de uma entidade necessita de comunicao relevante, confivel, correta e oportuna, relacionada tanto aos eventos internos, quanto aos eventos externos. Ademais, a informao necessria a toda a entidade para que ela alcance seus objetivos. Finalmente, uma vez que o controle interno uma atividade dinmica que deve ser aperfeioada continuamente, em funo das mudanas e dos riscos que a entidade enfrenta, o monitoramento do sistema de controle interno necessrio, de modo a assegurar que o controle interno esteja em sintonia com os objetivos, o ambiente, os recursos e os riscos. Esses componentes definem um enfoque recomendvel para o controle interno no setor pblico e fornecem as bases a partir das quais ele pode ser avaliado. Esses componentes se aplicam a todos os aspectos operacionais de uma organizao. Estas diretrizes oferecem um marco geral. Ao implement-las, a administrao ser responsvel pelo desenvolvimento de polticas, prticas e procedimentos detalhados, para satisfazer s operaes da organizao, de modo a assegurar que esses sejam parte integrante dessas operaes. Relao entre objetivos e componentes Existe uma relao direta entre os objetivos gerais, os quais representam o que uma entidade est buscando alcanar, e os componentes do controle interno, os quais representam o que necessrio para se alcanar esses objetivos. Esta relao est configurada em uma matriz tridimensional que possui a forma de um cubo. Os quatro objetivos gerais - accountability (e informao), cumprimento (das leis e regulamentos), operaes (ordenadas, ticas, econmicas, eficientes e eficazes) e salvaguarda de recursos - esto representados pelas colunas verticais, os cinco componentes esto representados pelas linhas horizontais e a organizao ou entidade e seus departamentos esto representados pela terceira dimenso da matriz.

30

Cada linha dos componentes "faz um corte transversal" e se projeta sobre cada um dos quatro objetivos gerais. Por exemplo, as informaes financeira e no-financeira geradas de fontes internas e externas, que pertencem ao componente informao e comunicao, so necessrias para administrar as operaes, emitir relatrios e cumprir com os propsitos de accountability e para cumprir com a legislao aplicvel.
t un co ac
es ra

e op

ambiente de controle avali ao de risco procedimentos de controle informao e comunicao monitoramento

departamento organizao entidade...

Do mesmo modo, se tomarmos os objetivos gerais, todos os cinco componentes so relevantes para cada objetivo. Se tomarmos um objetivo, como a eficcia e a eficincia das operaes, fica claro que todos os cinco componentes so aplicveis e importantes para a consecuo do objetivo. O controle interno no apenas relevante para toda a entidade, mas tambm para seus departamentos. Essa relao representada pela terceira dimenso, a qual representa toda a organizao com suas reas, unidades e departamentos. Dessa forma, pode-se enfocar qualquer uma das clulas da matriz. Enquanto o mbito de trabalho do controle interno relevante e aplicvel a todas as organizaes, a maneira como a administrao o aplica, variar substancialmente conforme a natureza da entidade, e depende de

sa de lva r e gu cu ar rs da os

ty ili ab

a id m or f n co

de

31

um certo nmero de fatores especficos. Esses fatores incluem a estrutura organizacional, o perfil de risco, o ambiente operacional, o tamanho, a complexidade, as atividades e o grau de regulamentao, dentre outros. Considerando a situao especfica de cada entidade, a administrao dever formular uma srie de alternativas relacionadas com a complexidade dos processos e com as metodologias empregadas para aplicar os componentes que integram o controle interno. Na seqncia, cada um dos componentes mencionados anteriormente ser apresentado de modo conciso, com comentrios adicionais.

32

2.1 Ambiente de controle

un co ac

tab

e op

es ra

ambi ente de controle

organizao entidade...

sa de lva r e gu c u ar rs da os

ty ili

a id m or nf o c

de

avaliao de risco procedimentos de controle informao e comunicao monitoramento

O ambiente de controle estabelece o perfil de uma organizao, influenciando na conscincia das pessoas acerca do controle. O ambiente de controle o fundamento para todos os componentes do controle interno, fornecendo o conjunto de regras e a estrutura. Os elementos do ambiente de controle so: (1) a integridade pessoal e profissional e os valores ticos da direo e do quadro de pessoal, incluindo uma atitude de apoio ao controle interno, durante todo o tempo e por toda a organizao; (2) competncia; (3) o "perfil dos superiores" (ou seja, a filosofia da direo e o estilo gerencial); (4) estrutura organizacional; (5) polticas e prticas de recursos humanos. Integridade pessoal e profissional e valores ticos da direo e do quadro de pessoal A integridade pessoal e profissional e os valores ticos da direo e do quadro de pessoal determinam suas preferncias e seus juzos de valor, os quais se traduzem em normas de conduta. Eles devem demonstrar uma atitude de apoio ao controle interno, a qualquer tempo, durante toda a vida da organizao. Todas as pessoas envolvidas com a organizao entre gerentes e funcionrios devem manter e demonstrar integridade pessoal e profissional e valores ticos, e devem cumprir com os cdigos de conduta aplicveis
33

departamento

durante todo o tempo. Isso poderia incluir, por exemplo, a declarao de rendimentos financeiros pessoais10, cargos externos ou prmios (por exemplo, ser selecionado para exercer altos cargos ou como servidor pblico de alta categoria), e relatar conflitos de interesses. Ademais, as entidades pblicas devem manter e demonstrar integridade e valores ticos e devem torn-los visveis ao pblico em sua misso e valores centrais. Alm disso, suas operaes devem ser ticas, ordenadas, econmicas, eficientes e eficazes. Devem ser consistentes com a sua misso. Competncia A competncia envolve o nvel de conhecimento e habilidades necessrias para ajudar a assegurar uma atuao ordenada, tica, econmica, eficaz e eficiente, assim como um bom entendimento das responsabilidades individuais relacionadas com o controle interno. Os gerentes e os funcionrios devem manter um nvel de competncia que lhes permita compreender a importncia do desenvolvimento, implantao e manuteno de um bom controle interno, e cumprir suas atribuies para poder alcanar os objetivos gerais do controle interno e a misso da entidade. Cada qual na organizao est envolvido com o controle interno, com suas responsabilidades prprias e especficas. Os gerentes e seu pessoal devem, portanto, manter e demonstrar um nvel de habilidades necessrio para avaliar os riscos, assegurar um desempenho eficaz e eficiente; e uma suficiente compreenso do controle interno, para efetivamente desincumbirem-se de suas responsabilidades. Proporcionar capacitao, por exemplo, pode aumentar a conscincia dos servidores pblicos sobre aes de controle interno e, em particular, de operaes ticas, alm de ajud-los a compreender os objetivos do controle interno e a desenvolver habilidades para saber lidar com dilemas ticos.

10

(N. do T.) Tambm conhecida como declarao de bens.

34

O perfil dos superiores O "perfil dos superiores" (ou seja, a filosofia da direo e seu estilo gerencial) reflete: uma atitude de apoio permanente ao controle interno, a independncia, a competncia e a liderana pelo exemplo; um cdigo de conduta de iniciativa da gerncia, orientao e avaliao de desempenho, que apiem os objetivos do controle interno e, em particular, as operaes ticas. A atitude estabelecida pela alta administrao est refletida em todos os aspectos das aes gerenciais. A dedicao, o envolvimento e o apoio dos dirigentes estabelecem "o perfil dos superiores" que deve gerar uma atitude positiva, sendo decisivos para manter uma postura de apoio positiva para o controle interno de uma organizao. Se a alta administrao acredita que o controle interno importante, os demais membros da organizao sentiro essa atitude e respondero observando conscientemente os controles estabelecidos. Por exemplo, a criao de uma unidade de controle interno como parte do sistema de controle interno um sinal importante por parte da gerncia de que o controle interno fundamental. Por outro lado, se os membros da organizao percebem que o controle interno no uma preocupao relevante para a alta administrao e se lhe dada pouca ateno, em vez de outorgar-lhe um suporte adequado, quase certo que os objetivos de controle da organizao no sero efetivamente alcanados. Conseqentemente, a demonstrao e a insistncia em uma conduta tica pelos dirigentes so de vital importncia para os objetivos do controle interno e, em particular, para o objetivo de "operaes ticas". Ao assumir esse papel, a administrao dar bom exemplo atravs de suas prprias aes, e sua conduta dever refletir o que adequado e o que no aceitvel. Em particular, as polticas gerenciais, os procedimentos e prticas devem promover a conduta ordenada, tica, econmica, eficiente e eficaz.
35

A integridade da gerncia e de seu pessoal , de qualquer modo, influenciada por muitos elementos. Por esse motivo, os funcionrios devero ser periodicamente relembrados das suas obrigaes, segundo um cdigo de conduta definido pela alta administrao. Orientao e avaliao de desempenho so muito importantes. Em geral, as avaliaes de desempenho devem estar baseadas em uma avaliao de muitos fatores crticos, incluindo o papel do servidor que realiza o controle interno. Estrutura organizacional A estrutura organizacional de uma entidade fornece: definio de autoridade e responsabilidade; delegao de autoridade e obrigao de prestar contas (accountability); formas apropriadas de prestao de contas. A estrutura organizacional define as reas-chave da entidade em relao autoridade e responsabilidade. A delegao de autoridade e a accountability se relacionam com a maneira pela qual a autoridade e a responsabilidade so delegadas dentro da entidade. No pode haver delegao de autoridade ou accountability sem a formalizao da informao. Por essa razo, devem ser definidas formas apropriadas de prestao de contas. Em circunstncias excepcionais, outras formas de prestao de contas tm que ser possveis alm das normais, como naqueles casos em que a gerncia est envolvida em irregularidades. A estrutura organizacional pode incluir uma unidade de controle interno11, que deve ser independente da gerncia e que se reportar diretamente autoridade mxima da organizao. A estrutura organizacional tambm tratada no Captulo 3 - Funes e Responsabilidades. Polticas e prticas de recursos humanos As polticas e prticas de recursos humanos incluem contratao, orientao, capacitao (formal e em servio), assim como educao, assessoramento e avaliao, consultoria, promoo, remunerao e aes corretivas.
11

(N. do T.) Normalmente denominada de auditoria interna.

36

O pessoal um aspecto importante do controle interno. Pessoal competente e confivel necessrio para um controle eficaz. Portanto, os mtodos atravs dos quais as pessoas so contratadas, capacitadas, avaliadas, remuneradas e promovidas so aspectos importantes do ambiente de controle. As decises de contratao devem, portanto, assegurar que os indivduos tenham a integridade, a formao e a experincia necessrias para realizar suas tarefas e que se promova a capacitao formal, em servio e sobre a tica. Dirigentes e funcionrios que possuam uma boa compreenso do controle interno e que estejam dispostos a assumir responsabilidades so vitais para um controle efetivo. A administrao dos recursos humanos tambm possui um papel essencial na promoo de um ambiente tico, desenvolvendo o profissionalismo e fortalecendo a transparncia nas prticas dirias. Isso se torna visvel nos processos de recrutamento, avaliao e promoo, os quais devem estar baseados em mritos. Assegurar a transparncia nos processos de seleo, publicando tanto as regras de recrutamento quanto as vagas disponveis, tambm ajuda a ter uma administrao tica dos recursos humanos. Exemplos O leitor dever buscar os anexos para exemplos relacionados a cada um dos objetivos e dos componentes do controle interno.

37

2.2 Avaliao de risco

un co ac

a id rm fo n co

e op

es ra

ambi ente de controle

avaliao de risco procedimentos de controle informao e comunicao monitoramento

departamento organizao entidade...

A avaliao de risco o processo de identificao e anlise dos riscos relevantes para o alcance dos objetivos da entidade e para determinar uma resposta apropriada. Envolve: (1) identificao do risco: relacionado com os objetivos da entidade; abrangente; inclui riscos devidos a fatores externos e internos, tanto no nvel da entidade, quanto de suas atividades; (2) mensurao do risco: estimativa da importncia do risco; avaliao da probabilidade de ocorrncia do risco; (3) avaliao da tolerncia da organizao ao risco; (4) desenvolvimento de respostas: quatro tipos de resposta ao risco devem ser considerados: transferncia, tolerncia, tratamento ou eliminao. Entre eles, o tratamento do risco a mais relevante para essas diretrizes, porque um controle interno eficaz o melhor mecanismo para tratar o risco; os controles adequados envolvidos podem ser detectivos ou preventivos.

38

sa de lva r e g ua cu rd rs a os

ty ili tab

de

Dado que as condies governamentais, econmicas, industriais, regulatrias e operacionais esto em constante transformao, a avaliao de risco deve ser um processo permanente. Isso envolve a identificao e a anlise das condies modificadas e de oportunidades e riscos (ciclo de avaliao de risco), assim como a adaptao do controle interno, no sentido de lidar com novos riscos. Como se enfatizou na definio, o controle interno pode oferecer apenas uma segurana razovel de que os objetivos de uma organizao sejam cumpridos. A avaliao do risco, enquanto componente do controle interno, exerce um papel essencial na seleo dos procedimentos apropriados de controle que devem ser realizados. o processo de identificao e anlise dos riscos relevantes para a consecuo dos objetivos da entidade e determinao da resposta apropriada. Conseqentemente, estabelecer os objetivos institucionais um pr-requisito para a avaliao do risco. Os objetivos devem ser definidos antes que a gerncia identifique os riscos que poderiam afetar a sua consecuo e realize as aes necessrias para administrar esses riscos. Isso significa manter um processo permanente de avaliao e gesto de impactos de risco, de forma que o custo seja razovel, e possuir pessoal com as habilidades necessrias para identificar e mensurar os riscos potenciais. Os procedimentos de controle interno so uma resposta ao risco na medida em que esto planejados para limitar as incertezas do resultado que tenha sido definido. As entidades governamentais devem gerenciar os riscos com maior probabilidade de impactar na prestao de servios e no alcance dos resultados desejados. Identificao do risco Um enfoque estratgico para a avaliao de risco depende da identificao dos riscos que ameaam os objetivos-chave da organizao. Os riscos relevantes a esses objetivos devem ser considerados e avaliados, resultando em uma pequena quantidade de riscos-chave. A identificao dos riscos-chave no importante apenas para identificar as reas mais relevantes para as quais se devem dirigir os esforos de mensurao, como tambm para atribuir responsabilidades para a gesto desses riscos.
39

O desempenho de uma entidade pode estar em risco devido a fatores internos ou externos, tanto no nvel organizacional quanto no nvel de suas atividades. A avaliao de riscos deve considerar todos os riscos que podem ocorrer (incluindo o risco de fraude e corrupo). Conseqentemente, importante que a identificao do risco seja abrangente. A identificao do risco deve ser um processo contnuo, repetitivo e muitas vezes integrado ao processo de planejamento. Muitas vezes, til considerar o risco sob a perspectiva de uma "folha de papel em branco", e nem sempre relacion-lo com o exame anterior. Esse tipo de enfoque facilita a identificao de mudanas no perfil de risco12 de uma organizao, que resultem de transformaes no ambiente econmico e regulatrio, de condies operacionais internas e externas e da introduo de objetivos novos ou modificados. necessrio adotar ferramentas apropriadas para a identificao do risco. Duas das ferramentas mais comumente utilizadas so a promoo de uma reviso de riscos e uma auto-avaliao de riscos13. Mensurao do risco Para decidir como administrar o risco essencial, no apenas identificar que um certo tipo de risco existe, a princpio, mas, tambm, avaliar sua importncia e mensurar a probabilidade de que ele venha a ocorrer. A metodologia de anlise de riscos pode variar, em grande parte, porque muitos riscos so difceis de quantificar (exemplo: riscos de imagem), enquanto outros se prestam a um diagnstico numrico (especialmente riscos financeiros). No primeiro caso, uma viso mais subjetiva a nica possibilidade e, nesse caso, a mensurao do risco se aproxima mais de
12

Uma viso geral ou matriz dos riscos-chave que uma entidade enfrenta, ou uma de suas unidades, que inclui o nvel de impacto (alto, mdio, baixo) associado probabilidade da ocorrncia do fato. 13 Promoo de reviso de risco Esse um procedimento de cima para baixo. estabelecida uma equipe para considerar todas as operaes e atividades de uma organizao em relao aos seus objetivos e a identificao dos riscos associados. A equipe conduz uma srie de entrevistas com membros-chave em todos os nveis da organizao para delinear um perfil de risco para a totalidade de atividades nas quais se identificam as reas das polticas, aes e funes que podem ser especialmente vulnerveis ao risco (incluindo o risco de fraude e corrupo). Auto-avaliao de risco Este um enfoque de baixo para cima. Cada nvel e setor da organizao convidado a revisar suas atividades e alimentar um diagnstico de riscos enfrentado pelos nveis superiores. Isso pode ser realizado mediante a solicitao de documentao (com um quadro diagnstico estabelecido atravs de questionrios) ou atravs de oficinas. Esses dois enfoques no so mutuamente excludentes e uma combinao de enfoques de cima para baixo e de baixo para cima recomendvel para o processo de mensurao de risco e desejvel para facilitar a identificao de riscos para a entidade e para suas atividades.

40

uma arte do que de uma cincia. No entanto, o uso sistemtico de critrios de avaliao de riscos minimizar a subjetividade do processo, uma vez que fornece uma base para que as avaliaes sejam realizadas de um modo coerente. Um dos propsitos-chave da avaliao de risco informar administrao sobre as reas de risco, onde necessrio adotar uma ao e seu grau de prioridade. Por essa razo, normalmente, necessrio desenvolver um enquadramento para estabelecer categorias para todos os riscos, por exemplo, como alto, mdio ou baixo. Geralmente, melhor reduzir as categorias, j que um refinamento exagerado pode levar a uma separao desnecessria em nveis que, na verdade, no podem ser separados com clareza. Atravs de tal avaliao, os riscos podem ser classificados de modo a estabelecer prioridades para a administrao e apresentar informaes para as decises gerenciais sobre quais os riscos que necessitam de maior ateno (por exemplo, aqueles com um maior potencial de impacto e uma maior probabilidade de ocorrncia). Avaliao da tolerncia de risco de uma organizao Um tema importante ao considerar a resposta ao risco a identificao da "tolerncia de risco" de uma entidade. A tolerncia de risco a quantidade de riscos que uma entidade est preparada para assumir, antes de deliberar sobre a necessidade de implementar uma ao. As decises sobre as respostas ao risco devem ser tomadas em conjunto com a identificao da quantidade de riscos que podem ser tolerados. Tanto os riscos inerentes como os riscos residuais devem ser considerados para determinar a tolerncia ao risco. O risco inerente o risco para uma entidade na ausncia de aes que a direo poderia adotar para alterar a probabilidade ao risco ou o seu impacto. O risco residual o risco que permanece mesmo aps a resposta da administrao ao risco. A tolerncia de uma organizao ao risco variar de acordo com a sua percepo da importncia dos riscos. Por exemplo, a tolerncia ao prejuzo financeiro pode variar conforme a classificao de fatores, incluindo o tamanho do oramento, a origem do prejuzo ou outros riscos associados, tais como a publicidade adversa. A identificao da tolerncia ao risco uma questo subjetiva, mas, de qualquer modo, uma etapa importante na formulao da estratgia global de risco.
41

Desenvolvimento das respostas O resultado das aes mencionadas acima ser um perfil de risco para a organizao. Tendo desenvolvido um perfil de risco, a organizao pode ento considerar as respostas apropriadas. Respostas ao risco podem ser divididas em quatro categorias. Em alguns casos, o risco pode ser transferido, tolerado ou eliminado14. De qualquer modo, na maior parte dos casos, o risco dever ser tratado e a entidade necessitar implementar e manter um efetivo sistema de controle interno, de modo a manter o risco em um nvel aceitvel. O propsito do tratamento no necessariamente obviar o risco, mas mant-lo sob controle. Os procedimentos que uma organizao estabelece para tratar o risco so denominados procedimentos de controle interno. A mensurao do risco dever ocupar papel de destaque na seleo dos procedimentos de controle apropriados para serem implementados. Mais uma vez, importante repetir que no possvel eliminar todos os riscos e que o controle interno pode apenas oferecer segurana razovel de que os objetivos da organizao sejam alcanados. De qualquer modo, as entidades que ativamente identificam e gerenciam os riscos tm maiores probabilidades de estar bem preparadas para responder rapidamente quando as coisas saem mal e a responder a qualquer mudana em geral. Ao planejar um sistema de controle interno, importante que os procedimentos de controle estabelecidos sejam proporcionais ao risco. Independentemente do resultado extremo indesejvel, normalmente suficiente planejar um controle que oferea uma segurana razovel de poder limitar os prejuzos tolerncia de risco da organizao. Cada controle possui um custo associado e o procedimento de controle deve oferecer valor pelo seu custo considerando-se o risco ao qual est direcionado.

14

Para alguns riscos, a melhor resposta pode ser transferi-los. Isso pode ser feito por seguro convencional, atravs do pagamento a um terceiro para que assuma o risco de forma diferente ou, ainda, pode fazer-se atravs de clusulas contratuais. A habilidade para fazer algo para evitar riscos pode ser limitada, ou o custo de tomar qualquer medida pode ser desproporcional em relao ao benefcio potencial. Nesses casos, a resposta pode ser tolerar os riscos. Alguns riscos somente sero tratados ou reduzidos a nveis aceitveis, eliminando-se a atividade. No setor pblico, a opo de eliminar atividades pode ser severamente limitada quando comparada ao setor privado. Certas atividades so realizadas pelo setor governamental porque os riscos associados so to grandes, que no existe outra maneira para que o resultado, necessrio para o interesse pblico, seja alcanado.

42

Uma vez que as condies governamentais, econmicas, industriais, regulatrias e operacionais esto continuamente mudando, o ambiente de controle de qualquer organizao tambm est em constante mudana, e os objetivos prioritrios e a conseqente importncia dos riscos sero transformados e modificados. O fundamental para a avaliao de riscos a existncia de um processo permanente para identificar a mudana de condies (ciclo de avaliao de risco) e adotar as medidas necessrias. Os mapas de risco e os respectivos controles devem ser regularmente revisados e reconsiderados para assegurar que o perfil de risco continua a ser vlido, que as respostas ao risco permanecem apropriadamente escolhidas e proporcionais, e que os controles para mitiglos continuam sendo efetivos medida em que os riscos se modificam ao longo do tempo. Exemplos O leitor dever buscar os anexos para exemplos relacionados a cada um dos objetivos e dos componentes do controle interno.

43

un co ac

tab

or nf co

e op

es ra

ambiente de controle avaliao de risco

procedimentos de controle informao e comunicao monitoramento

departamento organizao entidade...

Os procedimentos de controle so polticas e aes estabelecidas para diminuir os riscos e alcanar os objetivos da entidade. Para serem efetivos, os procedimentos de controle devem ser apropriados, funcionar consistentemente de acordo com um plano de longo prazo, e ter custo adequado, ser abrangentes, razoveis e diretamente relacionados aos objetivos de controle. Os procedimentos de controle devem existir em toda a organizao, em todos os nveis e em todas as funes. Eles incluem uma gama de procedimentos de controle de deteco e preveno diversos como, por exemplo: (1) procedimentos de autorizao e aprovao; (2) segregao de funes (autorizao, execuo, registro, controle); (3) controles de acesso a recursos e registros; (4) verificaes; (5) conciliaes; (6) avaliao de desempenho operacional; (7) avaliao das operaes, processos e atividades; (8) superviso (alocao, reviso e aprovao, orientao e capacitao). As entidades devem alcanar um equilbrio adequado entre a deteco e a preveno, na adoo dos procedimentos de controle. As aes corretivas so um complemento necessrio para os procedimentos de controle na busca do alcance dos objetivos.

44

s de alva r e gu c u ar rs da os

2.3 Procedimentos de controle

ty ili

a id m

de

Os procedimentos de controle so as polticas e aes estabelecidas e executadas para atuar sobre os riscos, a fim de se alcanar os objetivos da entidade. Para serem efetivos, os procedimentos de controle necessitam: ser apropriados (isso significa o controle correto, no local correto e proporcional ao risco envolvido); funcionar consistentemente de acordo com um plano de longo prazo (isso significa que devem ser criteriosamente obedecidos por todos os funcionrios envolvidos no processo e no apressadamente, quando o pessoal-chave est ausente ou h uma sobrecarga de trabalho); apresentar um custo adequado (ou seja, o custo da implantao do controle no deve exceder os benefcios que possam derivar da sua aplicao); ser abrangentes e razoveis e estar diretamente relacionados com os objetivos de controle. Os procedimentos de controle incluem um leque de polticas e aes to diversas quanto: 1. Procedimentos de autorizao e aprovao A autorizao e a execuo de transaes e eventos devem ser realizadas somente por pessoas que detenham essa autoridade. A autorizao o principal meio para assegurar que apenas as transaes e eventos que a administrao tem a inteno de realizar sejam iniciados. Os procedimentos de autorizao, que devem ser documentados e claramente comunicados aos gerentes e funcionrios, devem incluir as condies especficas e os termos, segundo os quais eles devem ser realizados. Conformidade com as condies de autorizao significa que os funcionrios agem de acordo com as diretrizes e dentro das limitaes estabelecidas pela administrao ou pela legislao. 2. Segregao de funes (autorizao, execuo, registro, controle) Para reduzir o risco de erro, desperdcio ou procedimentos incorretos e o risco de no detectar tais problemas, no deve haver apenas uma pessoa ou equipe que controle todas as etapas-chave de uma transao ou evento. As obrigaes e responsabilidades devem estar sistematicamente
45

atribudas a um certo nmero de indivduos, para assegurar a realizao de revises e avaliaes efetivas. As funes-chave incluem autorizao e registro de transaes, execuo e reviso ou auditoria das transaes. O conluio entre pessoas pode, no entanto, reduzir ou destruir a eficcia desse procedimento de controle interno. Uma organizao de pequeno porte pode ter poucos funcionrios para implementar satisfatoriamente esse controle. Em tais casos, a administrao deve estar consciente dos riscos e compens-los com outros procedimentos de controle. A rotatividade de funcionrios pode auxiliar a assegurar que no apenas uma s pessoa seja responsvel por todos os aspectos-chave das transaes ou eventos por um perodo de tempo excessivo. Tambm estimulando ou exigindo frias anuais se pode reduzir o risco, porque significa uma rotatividade temporria de funes. 3. Controles de acesso a recursos e registros O acesso a recursos ou registros deve ser limitado a indivduos autorizados que sejam responsveis pela sua guarda e/ou utilizao. A responsabilidade pela guarda se evidencia pela existncia de recibos, inventrios ou outros registros, outorgando a guarda e registrando as transferncias da mesma. A restrio de acesso aos recursos reduz o risco da utilizao no autorizada ou de prejuzo, e ajuda a alcanar as diretrizes gerenciais. O grau de restrio depende da vulnerabilidade dos recursos e do risco que se percebe de prejuzo ou uso incorreto, que devem ser periodicamente avaliados. Quando se determina a vulnerabilidade de um bem, devem ser considerados o seu custo, portabilidade e possibilidade de permuta. 4. Verificaes As transaes e os eventos significativos devem ser verificados antes e depois de ocorrerem, por exemplo: quando os produtos so entregues, o nmero de produtos entregues conferido com o nmero de produtos solicitados. Depois, o nmero de produtos faturados verificado com o nmero de produtos recebidos. O inventrio tambm verificado quando se realizam os balanos no almoxarifado.

46

5. Conciliaes Os registros so conciliados com os documentos apropriados, de forma peridica, por exemplo: os registros contbeis relacionados com as contas bancrias so conciliados com os extratos bancrios correspondentes. 6. Avaliao de desempenho operacional O desempenho operacional analisado luz das normas, de forma peridica, mediante avaliao da eficcia e da eficincia. Se as avaliaes de desempenho indicam que os resultados obtidos no alcanam os objetivos ou os padres estabelecidos, os processos e as atividades estabelecidas para alcanar os objetivos devem ser objeto de reviso para determinar se so necessrias melhorias. 7. Avaliao das operaes, processos e atividades As operaes, processos e atividades devem ser periodicamente avaliados, para assegurar que eles cumpram com os regulamentos, polticas, procedimentos em vigor ou outros requisitos. Esse tipo de reviso das operaes existentes em uma organizao deve ser claramente distinto do monitoramento do controle interno que ser discutido, separadamente, na seo 2.5. 8. Superviso (alocao, reviso e aprovao, orientao e capacitao) Uma superviso competente ajuda a assegurar que os objetivos do controle interno sejam alcanados. A alocao, reviso e aprovao do trabalho de um funcionrio compreende: a comunicao clara das funes, responsabilidades e obrigao de prestar contas atribudas a cada membro da equipe; a reviso sistemtica, que se faa necessria, do trabalho de cada membro; a aprovao do trabalho em seus momentos crticos, para assegurar que se desenvolve de acordo com o requerido. A delegao de trabalho pelo supervisor no deve diminuir a responsabilidade por suas atribuies e funes. Os supervisores tambm fornecem aos funcionrios a orientao e capacitao necessrias para auxiliar
47

a assegurar que os erros, desperdcios e procedimentos incorretos sejam minimizados e que as diretrizes gerenciais sejam compreendidas e cumpridas. A relao mencionada no exaustiva, mas enumera os procedimentos de controle preventivo e de deteco mais comuns. Os procedimentos de controle de 1 a 3 so preventivos, de 4 a 6 so de deteco, enquanto que 7 e 8 so tanto preventivos como de deteco. As entidades devem alcanar um equilbrio adequado no uso dos procedimentos de controle de deteco e de preveno; por esta razo, freqentemente se utiliza uma mescla desses controles para compensar as desvantagens particulares de cada controle individualmente. Uma vez que um procedimento de controle implementado, essencial que se obtenha segurana sobre a sua eficcia. Conseqentemente, as aes corretivas so um complemento necessrio para os procedimentos de controle. Alm disso, deve ficar claro que os procedimentos de controle formam, apenas, um dos componentes do controle interno. Eles devem estar integrados aos outros quatro componentes (ambiente de controle; avaliao de risco; informao e comunicao; e monitoramento). Exemplos O leitor obter nos anexos exemplos relacionados a cada um dos objetivos e dos componentes do controle interno. 2.3.1 Procedimentos de controle da tecnologia da informao Os sistemas de informao envolvem procedimentos de controle especficos. Por esse motivo, os controles da tecnologia da informao (TI) consistem em dois grandes grupos: (1) controles gerais Controles gerais so a estrutura, as polticas e os procedimentos que se aplicam a todos ou a uma grande parcela dos sistemas de informao da entidade e que ajudam a assegurar seu funcionamento correto. Eles criam o ambiente no qual operam os sistemas aplicativos e de controle.

48

As grandes categorias de controles gerais so: (1) programa institucional de planejamento e gerenciamento de segurana; (2) controles de acesso; (3) controles de desenvolvimento, manuteno e mudanas de softwares aplicativos; (4) controles de sistema de software; (5) segregao de funes; e (6) continuidade no servio. 2) controles de aplicativos Os controles de aplicativos so a estrutura, as polticas e os procedimentos utilizados, separadamente em sistemas aplicativos, e esto diretamente relacionados s aplicaes informatizadas individuais. Esses controles so geralmente planejados para prevenir, detectar e corrigir erros e irregularidades enquanto a informao flui atravs dos sistemas de informao. Os controles gerais e de aplicao esto inter-relacionados e ambos so necessrios para assegurar um processamento adequado e completo da informao. Dado que a tecnologia da informao muda muito rapidamente, os controles relacionados devem evoluir constantemente para permanecerem eficazes. Na medida em que a tecnologia da informao tem avanado, as organizaes tm se tornado cada vez mais dependentes dos sistemas de informao computadorizados para realizar suas operaes e para processar, manter e comunicar informaes essenciais. Como resultado, a confiabilidade e segurana dos dados, assim como dos sistemas que processam, mantm e comunicam essa informao, so uma preocupao muito importante, tanto da gerncia quanto dos auditores das organizaes. Embora os sistemas informatizados envolvam tipos especficos de procedimentos de controle, a tecnologia da informao no um tema de controle autnomo e independente. parte integrante da maioria dos procedimentos de controle. A utilizao de sistemas automatizados para processar a informao introduz inmeros riscos que necessitam ser considerados pela organizao. Esses riscos, entre outros, vo desde a uniformizao do processamento das transaes; sistemas de informao que iniciem as transaes automaticamente; incremento potencial de erros no detectados; existncia, integridade e quantidade de trilhas de auditoria; a natureza do hardware e software utilizados; e o registro de transaes no usuais ou no rotineiras. Por exemplo, um risco inerente uniformizao do processamento de transaes que qualquer erro decorrente da progra49

mao do sistema ocorrer regularmente em transaes similares. Os controles eficazes da tecnologia da informao podem oferecer segurana razovel, gerncia, de que a informao processada pelo sistema cumpre com os objetivos de controle desejados, tais como assegurar que a informao seja completa, oportuna, vlida e que a sua integridade esteja preservada. Os controles da tecnologia da informao consistem em dois grandes grupos: controles gerais e controles de aplicativos. Controles gerais Os controles gerais so constitudos pela estrutura, polticas e procedimentos aplicveis a todos ou a uma grande parte dos sistemas de informao de uma entidade - tais como computador central/servidor (mainframe), microcomputador, rede, terminal de usurio final e ajudam a assegurar a sua correta operao. Eles constituem o ambiente no qual operam os sistemas de controle e de aplicao. As categorias mais importantes dos controles gerais so: (1) o programa institucional de planejamento e gerenciamento de segurana oferece uma sistemtica de trabalho e um ciclo contnuo de procedimentos para gerenciamento de risco, desenvolvimento de polticas de segurana, atribuio de responsabilidades e monitoramento da adequao dos controles institucionais computadorizados; (2) os controles de acesso limitam ou detectam o acesso aos recursos computadorizados (dados, programas, equipamentos e instalaes), protegendo, assim, esses recursos contra mudanas no autorizadas, perda e exposio no desejada. Controles de acesso incluem controles fsicos e lgicos; (3) os controles de desenvolvimento, manuteno e mudana de softwares aplicativos previnem a utilizao de programas no autorizados e/ou modificaes nos programas existentes; (4) os controles de sistema de software limitam e monitoram o acesso a programas potentes e a arquivos sensveis que controlam o hardware dos computadores e as aplicaes de segurana apoiados pelo sistema;

50

(5) a segregao de funes implica que as polticas, procedimentos e a estrutura organizacional esto estabelecidos para prevenir que uma pessoa controle todos os aspectos importantes relacionados s operaes informatizadas e possa, desse modo, realizar aes no autorizadas ou obter acesso no autorizado aos bens ou aos registros; (6) a continuidade no servio ajuda a assegurar que, quando ocorrem eventos inesperados, as operaes essenciais continuem sem interrupo ou sejam prontamente retomadas e a informao essencial e sensvel seja protegida. Controles de aplicativos Os controles de aplicativos so a estrutura, polticas e procedimentos utilizados especificamente em sistemas aplicativos individuais - tais como contas a pagar, inventrios, folhas de pagamento, concesses ou emprstimos - e so planejados para cobrir o processamento de dados dentro de aplicaes de software especficas. Esses controles so geralmente planejados para prevenir, detectar e corrigir erros e irregularidades, enquanto a informao flui atravs dos sistemas de informao. Os controles de aplicativos e a maneira atravs da qual a informao flui atravs dos sistemas de informao podem ser classificados em trs fases do ciclo do processo: entradas: os dados so aprovados, convertidos a uma forma automatizada e introduzidos na aplicao de maneira precisa, completa e tempestiva; processamento: os dados so corretamente processados pelo computador e os arquivos so atualizados corretamente; e sadas: os arquivos e relatrios gerados pela aplicao refletem fidedignamente os resultados do processamento das transaes ou eventos que realmente ocorreram, e os relatrios so controlados e distribudos aos usurios autorizados. Os controles de aplicativos tambm podem ser classificados segundo os objetivos de controle aos quais eles esto relacionados, incluindo se as transaes e a informao so autorizadas, completas, precisas, vlidas e tempestivas. Os controles de autorizao relacionam-se validade das
51

transaes e ajudam a assegurar que as transaes representam eventos que tenham efetivamente ocorrido em um determinado perodo. Os controles de integralidade esto relacionados ao registro e classificao adequada de todas as transaes vlidas. Os controles de preciso se reportam ao registro correto das transaes e exatido dos dados. Os controles sobre a integridade do processamento e dos registros de dados, quando so deficientes, podem anular cada um dos procedimentos de controle mencionados anteriormente e permitir a ocorrncia de transaes no autorizadas, alm de contribuir para que os dados sejam incompletos e imprecisos. Os controles de aplicativos incluem procedimentos de controle programados, tais como emisses automticas e acompanhamento manual das informaes geradas pelo computador, tais como anlises de relatrios que identifiquem itens rejeitados ou no usuais. Os controles gerais e de aplicao sobre os sistemas de computao esto inter-relacionados A eficcia dos controles gerais um fator significativo para determinar a eficcia dos controles de aplicao. Se os controles gerais so deficientes, eles diminuem acentuadamente a confiabilidade dos controles associados s aplicaes individuais. Sem controles gerais eficazes, os controles de aplicao podem se tornar ineficazes, seja por anulao, engano ou modificao. Por exemplo, os cartes de ponto planejados para evitar que os funcionrios registrem horas de trabalho em excesso na folha de pagamento podem ser um controle eficaz. De qualquer modo, esse controle pode no ser confivel se os controles gerais permitirem que sejam feitas modificaes no autorizadas no programa, que permitiriam excees no modo de registro de ponto. Enquanto os objetivos bsicos de controle no mudam, as mudanas rpidas na tecnologia da informao requerem que os controles evoluam para continuarem sendo eficazes. Mudanas tais como a crescente confiabilidade nas redes, computadores mais potentes que colocam a responsabilidade do processamento dos dados nas mos do usurio, comrcio eletrnico e a Internet afetaro a natureza e a implementao de procedimentos especficos de controle.

52

Mais informao sobre os procedimentos de controle da tecnologia da informao pode ser encontrada na Information Systems Audit and Control Association (ISACA)15, especialmente no marco de referncia ISACA Control Objectives for Information and Related Technology (COBIT)16 e nos anais das reunies do IT audit committee (Comit para Auditoria de Sistemas de Informao) da INTOSAI. Exemplos O leitor obter nos anexos os exemplos relacionados a cada um dos objetivos e dos componentes do controle interno.

15 16

(N. do T.) Associao para o controle e auditoria de sistemas informatizados. (N. do T.) Objetivos de controle para a informao e tecnologias conexas da ISACA.

53

2.4 Informao e comunicao

un co ac tab
a id rm fo n co
e op es ra

ambiente de controle avaliao de risco

departamento organizao entidade...

procedimentos de controle

informao e comunicao monitoramento

A informao e a comunicao so essenciais para a concretizao de todos os objetivos do controle interno. Informao Uma condio prvia para a informao confivel e relevante sobre as transaes e eventos o registro imediato e sua classificao adequada. A informao relevante deve ser identificada, armazenada e comunicada de uma forma e em determinado prazo, que permita que os funcionrios realizem o controle interno e suas outras responsabilidades (comunicao tempestiva s pessoas adequadas). Por esse motivo, o sistema de controle interno propriamente dito e todas as transaes e eventos significativos devem ser completamente documentados. Os sistemas de informao produzem relatrios que contm informao operacional, financeira, no-financeira e informao relacionada com a conformidade, e que tornam possvel que as operaes sejam realizadas e controladas. Esses sistemas lidam no apenas com dados produzidos internamente, mas, tambm, com informao sobre eventos, atividades e condies externas necessrias para a tomada de decises e a emisso de relatrios. A habilidade da administrao de tomar decises apropriadas afetada pela qualidade da informao, o que implica que essa deva ser apropriada, tempestiva, atual, precisa e acessvel.
54

sa de lva r e gu c u ar rs da os

ty ili

de

A informao e a comunicao so essenciais para a realizao de todos os objetivos de controle interno. Por exemplo, um dos objetivos de controle interno cumprir com as obrigaes de prestar contas (accountability). Isso pode ser alcanado atravs do desenvolvimento e da manuteno de informao financeira e no-financeira confivel e relevante, transmitidas atravs de relatrios imparciais e oportunos. O acesso informao e a comunicao relacionadas atuao da organizao criar a possibilidade de se avaliar a regularidade, tica, economia, eficincia e eficcia das operaes. Em muitos casos, determinada informao deve ser fornecida ou comunicada, de modo a cumprir com as leis e regulamentos. A informao necessria em todos os nveis da organizao, para que se obtenha um controle interno eficaz e para que se alcancem os objetivos da entidade. Por esse motivo, um conjunto de informaes pertinentes, confiveis e relevantes deve ser identificado, armazenado e comunicado na forma e no prazo que permita que as pessoas realizem o controle interno e suas outras responsabilidades. Uma condio prvia para se ter uma informao confivel e relevante o seu registro imediato e a classificao adequada das transaes e eventos. As transaes e eventos devem ser registrados imediatamente quando da sua ocorrncia, caso a informao seja relevante e valiosa para a administrao e controle das operaes, bem como para a tomada de decises. Isso se aplica ao processo completo ou ao ciclo de vida de uma transao ou evento, incluindo o comeo e a autorizao, todas as fases do processo e sua classificao final atravs de registros resumidos. Esse cuidado tambm se aplica atualizao permanente de toda documentao considerada relevante. A correta classificao das transaes e eventos tambm necessria para assegurar que a informao confivel esteja acessvel administrao. Isso significa organizar, classificar e formatar a informao a partir da qual so elaborados relatrios, planos de trabalho e demonstraes financerias. Os sistemas de informao geram relatrios que contm informao operacional, financeira e no-financeira, informao relacionada com a conformidade, e que tornam possvel que se execute e controle uma operao. Os sistemas lidam no apenas com dados qualitativos e quantitativos gerados internamente, mas, tambm, com informao sobre eventos, atividades e condies externas necessrias para a tomada de decises e para emisso de relatrio.
55

A habilidade da administrao para tomar decises apropriadas afetada pela qualidade da informao, o que implica que ela seja: apropriada (a informao necessria existe?); oportuna (ela est disponvel quando se necessita?); atualizada ( a ltima verso disponvel?); precisa ( correta?); acessvel (pode ser obtida facilmente pelos interessados?). Para ajudar a assegurar a qualidade da informao e da prestao de contas, realizar os procedimentos de controle interno e as suas atribuies, fazer com que o acompanhamento seja mais eficaz e eficiente, o sistema de controle interno, propriamente dito, e todas as transaes e eventos significativos devem ser completos e claramente documentados (exemplo: fluxogramas e relatrios narrativos). Essa documentao deve estar pronta e disponvel para ser examinada. A documentao do sistema de controle interno deve incluir a identificao da estrutura de uma organizao, suas polticas, suas categorias operacionais e respectivos objetivos, alm de seus procedimentos de controle. Uma organizao deve possuir registro escrito dos componentes do seu processo de controle interno, incluindo seus objetivos e procedimentos de controle. A extenso da documentao do controle interno de uma entidade varia de acordo com o tamanho da entidade, sua complexidade e fatores similares. Comunicao A comunicao eficaz deve fluir para baixo, para cima e atravs da organizao, por todos seus componentes e pela estrutura inteira. Todo corpo funcional deve receber uma mensagem clara da alta administrao, sobre a seriedade da responsabilidade do controle. necessrio no apenas que eles entendam seu prprio papel no sistema de controle interno, mas tambm a maneira atravs da qual suas atividades individuais se relacionam com o trabalho dos demais. Tambm necessrio que haja comunicao eficaz com os entes externos.

56

A informao a base da comunicao, a qual deve atender s expectativas de grupos e indivduos, permitindo-lhes executar suas responsabilidades de forma eficaz. A comunicao eficaz deve ocorrer em todas as direes, fluir para baixo, para cima e atravs da organizao, por todos seus componentes e pela estrutura inteira. Um dos canais mais crticos de comunicao aquele entre a administrao e o corpo tcnico. A administrao deve se manter bem informada sobre o desempenho, o desenvolvimento, os riscos e o funcionamento do controle interno, alm de outros temas e eventos relevantes. Do mesmo modo, a administrao deve manter seu corpo tcnico bem informado, fornecer feedback e orientaes, quando necessrias. A administrao deve tambm fornecer toda comunicao especfica e objetiva, relacionada s expectativas de conduta. Isso inclui orientaes claras da filosofia e enfoque do controle interno da entidade e delegao de competncia. A comunicao deve aumentar a conscincia sobre a importncia e a relevncia de um controle interno eficaz, comunicar a tolerncia e a margem de risco da entidade e fazer com que os funcionrios estejam conscientes de seu papel e de suas responsabilidades ao executar e apoiar os componentes do controle interno. Alm das comunicaes internas, a administrao deve assegurar que existam meios adequados de se comunicar e de obter informaes de entes externos, uma vez que as comunicaes externas podem fornecer insumos que tenham impacto significativo na extenso em que a organizao alcana seus objetivos. Baseando-se nos insumos provenientes das comunicaes internas e externas, a administrao deve adotar as medidas necessrias e implementar aes de monitoramento. Exemplos O leitor obter nos anexos exemplos relacionados a cada um dos objetivos e dos componentes do controle interno.

57

2.5 Monitoramento

un co ac

tab

e op

es ra

ambiente de controle
departamento

organizao

procedimentos de controle informao e comunicao

monitoramento

Os sistemas de controle interno devem ser monitorados para avaliar a qualidade de sua atuao ao longo do tempo. O monitoramento obtido atravs de atividades rotineiras, avaliaes especficas ou a combinao de ambas. (1) Monitoramento contnuo O monitoramento contnuo do controle interno realizado nas operaes normais e de natureza contnua da entidade. Ele inclui a administrao e as atividades de superviso e outras aes que o corpo tcnico executa ao cumprir com suas obrigaes. As atividades de monitoramento contnuo abrangem cada um dos componentes do controle interno e envolvem aes contra os sistemas de controle interno irregulares, antiticos, antieconmicos, ineficientes e ineficazes. (2) Avaliaes especficas A abrangncia e a freqncia das avaliaes especficas dependero, em primeiro lugar, da avaliao de risco e da eficcia dos procedimentos permanentes de monitoramento. As avaliaes especficas abrangem a avaliao da eficcia do sistema de controle interno e asseguram que o controle interno alcance os resultados desejados, baseando-se em mtodos e procedimentos predefinidos. As deficincias de controle interno devem ser relatadas ao nvel adequado da administrao.
58

entidade...

avali ao de risco

s de alva r e gu c u ar rs da os

ty ili

a id m or nf o c

de

O monitoramento deve assegurar que os achados de auditoria e as recomendaes sejam adequada e oportunamente resolvidos. O monitoramento do controle interno busca assegurar que os controles funcionem como o previsto e que sejam modificados apropriadamente, conforme mudanas nas condies. O monitoramento deve tambm avaliar se, no cumprimento da misso da entidade, os objetivos gerais propostos na definio de controle interno esto sendo alcanados. Isso obtido atravs das atividades de monitoramento contnuo, avaliaes especficas, ou uma combinao de ambas, de modo a poder ajudar a assegurar que o controle interno continue sendo aplicvel a todos os nveis e atravs de toda a entidade, e que o controle interno alcance os resultados desejados. O monitoramento dos procedimentos de controle interno, propriamente ditos, deve distinguir-se claramente da avaliao das operaes da organizao, que um procedimento de controle interno como se descreveu na seo 2.3. O monitomento contnuo do controle interno ocorre no curso normal das operaes rotineiras de uma organizao. executado continuamente e em tempo real, reage dinamicamente s mudanas nas condies e parte integrante da engrenagem das operaes de uma entidade. Como resultado, mais eficaz que as avaliaes especficas e suas aes corretivas so potencialmente menos onerosas. Dado que as avaliaes especficas ocorrem aps os fatos ou acontecimentos, os problemas podero ser mais rpida e facilmente identificados atravs das rotinas de monitoramento contnuo. O escopo e a freqncia das avaliaes especficas devem depender, em primeiro lugar, da avaliao do risco e da eficcia dos procedimentos de monitoramento contnuo. Ao definir esse procedimento, a organizao deve considerar a natureza e o grau das mudanas, tanto a partir dos fatos internos quanto a partir dos fatos externos e de seus respectivos riscos; a competncia e a experincia do pessoal que implementa as medidas de resposta aos riscos e os respectivos controles; e os resultados do monitoramento contnuo. As avaliaes especficas do controle tambm podem ser teis por focar diretamente na eficcia dos controles em um determinado perodo. As avaliaes especficas podem assumir a forma de uma autoavaliao, tanto quanto de uma avaliao da concepo do controle ou checagem direta dos controles internos. As avaliaes especficas podem tambm ser executadas pelas instituies fiscalizadoras superiores ou por auditores externos ou internos.
59

Normalmente, uma combinao de monitoramento permanente e de avaliaes especficas ajudar a assegurar que o controle interno mantenha sua eficcia atravs do tempo. Todas as deficincias encontradas durante o monitoramento contnuo ou atravs de avaliaes especficas devem ser comunicadas s pessoas que podem adotar as medidas necessrias. A expresso "deficincia" referese condio que afeta a capacidade da entidade para alcanar seus objetivos gerais. Uma deficincia, portanto, pode representar um defeito percebido, potencial ou real, ou uma oportunidade para fortalecer o controle interno com o propsito de aumentar as probabilidades de alcance dos objetivos gerais da entidade. Fornecer a informao necessria sobre as deficincias do controle interno parte responsvel difcil. Por isso, devem ser estabelecidos protocolos para identificar qual informao se faz necessria em um nvel particular para a tomada de decises efetivas. Tais protocolos refletem a regra geral de que uma gerncia deve receber a informao que afete as aes ou as condutas do corpo tcnico sob sua responsabilidade, da mesma forma que deve receber a informao necessria para alcanar objetivos especficos. A informao gerada no curso das operaes usualmente comunicada atravs de canais normais, para o indivduo responsvel pelo funcionamento, como tambm, para um nvel de gerncia superior ao desse indivduo. No entanto, os canais alternativos de comunicao devem existir para transmitir informao delicada, tais como atos ilegais ou incorretos. O monitoramento do controle interno deve incluir polticas e procedimentos que busquem assegurar que os achados de auditoria e outras avaliaes sejam adequados e prontamente resolvidos. Os gerentes devem: (1) analisar oportunamente os achados de auditoria e outras avaliaes, incluindo aquelas que evidenciam deficincias e recomendaes apontadas pelos auditores e outros avaliadores das operaes dos departamentos; (2) determinar as aes corretivas em resposta aos achados e recomendaes das auditorias e avaliaes; e (3) completar, dentro dos parmetros estabelecidos, todas as aes que corrijam ou resolvam os problemas trazidos ao seu conhecimento.

60

O processo de resoluo comea quando os resultados da auditoria ou de outra avaliao so comunicados gerncia e somente termina quando se adota uma ao que: (1) corrija as deficincias identificadas; (2) produza melhorias; ou (3) demonstre que os achados e as recomendaes no comprometem a ao gerencial. Exemplos O leitor obter nos anexos exemplos relacionados a cada um dos objetivos e dos componentes do controle interno.

61

62

3 Funes e Responsabilidades
Todos em uma organizao tm alguma responsabilidade pelo controle interno:

Executivos:

so os responsveis diretos por todas as atividades de uma organizao, incluindo o planejamento, a implementao, a superviso do funcionamento adequado, a manuteno e a documentao do sistema de controle interno. Suas responsabilidades variam de acordo com a sua funo na organizao e as caractersticas da organizao. examinam e contribuem para a contnua eficcia do sistema de controle interno atravs de suas avaliaes e recomendaes e, portanto, desempenham um papel importante em um sistema de controle interno eficaz. No entanto, eles no tm a responsabilidade gerencial primeira sobre o planejamento, implementao, manuteno e documentao do controle interno.

Auditores internos:

Demais tambm contribui para o controle interno. O controle funcionrios: interno uma parte implcita ou explcita das funes de cada um. Todos os membros da equipe exercem um papel na execuo do controle e devem ser responsveis por relatar problemas operacionais, de descumprimento do cdigo de conduta ou de violaes da poltica.
Entes externos tambm exercem um papel importante no processo de controle interno. Eles podem contribuir para que a organizao alcance seus objetivos, ou podem fornecer informao til para promover o controle interno. No entanto, no so os responsveis pelo planejamento, implementao, funcionamento adequado, manuteno ou documentao do sistema de controle interno das organizaes.

63

fortalecem e apiam a implantao do controle Entidades Fiscalizadoras interno eficaz na administrao pblica. A avaliaSuperiores (EFSs): o do controle interno essencial para as auditorias de conformidade, contbeis e operacionais das EFSs. Elas transmitem seus achados e recomendaes aos stakeholders interessados. Auditores externos: auditam determinadas organizaes governamentais em alguns pases. Eles e sua equipe de profissionais devem fornecer orientaes e recomendaes sobre o controle interno. estabelecem regras e diretrizes relacionadas com o controle interno. Eles devem contribuir para o entendimento comum do controle interno. interagem com a organizao (beneficirios, fornecedores, entre outros) e fornecem informao relacionada com o alcance dos objetivos.

Legisladores e reguladores: Outros parceiros:

O controle interno primeiramente efetuado pelos stakeholders internos da entidade, incluindo o corpo gerencial, os auditores internos e demais funcionrios. Contudo, as aes de stakeholders externos tambm impactam o sistema de controle interno. Executivos Todo o corpo de funcionrios de uma organizao desempenha papel importante na realizao do trabalho de controle interno. Entretanto, a direo tem a responsabilidade global do planejamento, implementao, superviso do funcionamento adequado, manuteno e documentao do sistema de controle interno. A estrutura da direo da organizao pode incluir diretorias e comits de auditoria, os quais possuem composies e misses diferentes e esto sujeitos a diferentes legislaes em cada pas.

64

Auditores internos A administrao muitas vezes estabelece uma unidade de auditoria interna como parte do sistema de controle interno e a utiliza para auxiliar a monitorar a eficcia desse sistema. Os auditores internos fornecem regularmente informao sobre o funcionamento do controle interno, concentrando ateno especial na avaliao do planejamento e operacionalizao do controle interno. Eles transmitem informaes sobre os pontos fortes e pontos fracos, alm de recomendaes para o aperfeioamento do controle interno. Todavia, sua independncia17 e objetividade devem ser asseguradas. Portanto, a auditoria interna deve ser uma atividade independente, de segurana objetiva e de carter consultivo, que agregue valor e melhore o funcionamento da organizao. Isso ajuda uma organizao a cumprir seus objetivos mediante um enfoque sistemtico e disciplinado para avaliar e melhorar a eficcia do processo de gesto de risco, de controle e de governana. Ainda que os auditores internos possam ser uma fonte valiosa de capacitao e orientao sobre o controle interno, os mesmos no devem substituir um slido sistema de controle interno. Para que a funo de auditoria interna seja eficaz, essencial que o pessoal da auditoria interna seja independente da direo18, trabalhe de modo imparcial, correto e honesto, e que se reporte diretamente ao mais alto nvel de autoridade dentro da organizao. Isso permite que os auditores internos apresentem opinies imparciais em suas avaliaes sobre o controle interno e apresentem propostas objetivas que busquem corrigir os obstculos apontados. Como diretrizes profissionais, os auditores internos podem utilizar o Guia de Prticas Profissionais19 (PPF) do Instituto de Auditores Internos (IIA), que compreende a Definio, o Cdigo tico, as Normas e as Orientaes Prticas. Adicionalmente, os auditores devem seguir o Cdigo de tica da INTOSAI20.

17 18

(N. do T.) Independncia dos auditores internos em relao s reas auditadas. (N. do T.) Independncia do pessoal da auditoria interna em relao direo das reas auditadas. 19 (N. do T.) Professional Practices Framework - Institute of Internal Auditors. 20 (N. do T.) Traduzido para o portugus pelo Tribunal de Contas do Estado da Bahia por ocasio das comemoraes do seu 90 aniversrio. O Cdigo traduzido pode ser encontrado em www.tce.ba.gov.br.

65

Alm de cumprir o papel de monitoramento de controle interno, a manuteno de pessoal tcnico qualificado na auditoria interna pode contribuir para a eficincia dos esforos da auditoria externa, dando assistncia direta ao auditor externo. A natureza, o escopo ou os prazos dos procedimentos do auditor externo podem ser modificados se o auditor externo pode contar com o trabalho do auditor interno. Demais funcionrios Os membros da equipe e todo o corpo funcional tambm realizam o controle interno. Com freqncia, so os indivduos da linha de frente que aplicam, revisam e corrigem os controles mal aplicados, assim como identificam problemas que podem ser melhor direcionados atravs dos controles na conduo do trabalho dirio. Entes externos O segundo grupo mais importante de interessados no controle interno so os agentes externos, tais como auditores externos (incluindo as EFSs), legisladores, reguladores e outros entes. Eles podem contribuir para a consecuo dos objetivos da entidade ou podem fornecer informao til para a execuo do controle interno. No entanto, no so os responsveis pelo planejamento, implementao, funcionamento adequado, manuteno ou documentao do sistema de controle interno da organizao. EFSs e auditores externos As obrigaes dos entes externos, em particular dos auditores externos e das EFSs, incluem a avaliao do funcionamento do sistema de controle interno e a comunicao gerncia sobre seus achados. Entretanto, a considerao dos entes externos sobre o sistema de controle interno estabelecida em sua competncia. A avaliao do auditor sobre o controle interno envolve: determinar a importncia e o grau de sensibilidade ao risco ao qual os controles esto sendo dirigidos; avaliar a suscetibilidade do mal uso de recursos, as deficincias no alcance dos objetivos relacionados tica, economia, eficincia e eficcia ou falhas na prestao de contas (accountability) e o descumprimento de leis e regulamentos;
66

 identificar e compreender os controles relevantes; determinar o que j se conhece sobre a eficcia do controle; avaliar a adequao do planejamento do controle; determinar, atravs de provas, se os controles so eficazes; relatar sobre as avaliaes do controle interno e discutir as aes corretivas necessrias. As EFSs tambm tm interesse em assegurar que existam slidas unidades de auditoria interna onde seja necessrio. Essas unidades de auditoria se constituem em um elemento importante de controle interno ao fornecer mtodos contnuos para o aprimoramento das operaes de uma organizao. Em alguns pases, no entanto, as unidades de auditoria interna podem no ter independncia, ser deficientes, ou no existir. Nesses casos, a EFS deve, sempre que possvel, oferecer assistncia e orientao para estabelecer e desenvolver essas capacidades e para assegurar a independncia das atividades do auditor interno. Essa assistncia pode incluir assessoramento ou emprstimo de pessoal, realizao de conferncias, compartilhamento de material de capacitao e desenvolvimento de metodologias e programas de trabalho. Isso deve ser feito sem ameaar a independncia da EFS ou do auditor externo. A EFS tambm necessita desenvolver uma boa relao de trabalho com as unidades de auditoria interna, para que a experincia e o conhecimento possam ser compartilhados e o trabalho mtuo possa ser suplementado e complementado. Incluir as observaes da auditoria interna e reconhecer suas contribuies nos relatrios de auditoria externa, quando for o caso, podem tambm fortalecer essa relao. A EFS tambm deve desenvolver procedimentos de avaliao do trabalho da unidade de auditoria interna, para determinar em que extenso essa pode ser confivel. Uma slida unidade de auditoria interna pode reduzir o trabalho de auditoria da EFS e evitar uma desnecessria duplicidade de trabalho. A EFS deve assegurar seu acesso aos relatrios da auditoria interna, aos respectivos papis de trabalho e s informaes de decises da auditoria. As EFSs devem tambm exercer um papel de liderana sobre o restante do setor pblico, mediante o estabelecimento de seus prprios parmetros para o controle interno da organizao, de uma forma coerente e consoante com os princpios expostos nestas diretrizes.

67

No apenas as EFSs, mas tambm os auditores externos possuem um papel relevante na contribuio para o alcance dos objetivos de controle interno, em particular "no cumprimento de suas obrigaes de prestar contas" e "na salvaguarda de recursos". Isso porque a auditoria externa das informaes e dos demonstrativos financeiros parte integrante da accountability e da boa administrao. As auditorias externas ainda so o mecanismo essencial, atravs do qual os entes externos avaliam o desempenho em confronto com a informao no-financeira. Legisladores e reguladores A legislao pode fornecer um entendimento comum sobre a definio de controle interno e os objetivos a serem alcanados. Tambm pode prescrever as polticas que os interessados internos e externos devam seguir ao desempenhar seus respectivos papis e responsabilidades para com o controle interno.

68

Anexo 1: Exemplos

69

70

Cumprimento das obrigaes de accountability. Exemplo (1): Um departamento responsvel pela administrao do transporte seguro por rio e mar foi organizado pelos diferentes departamentos de servio responsveis pela pilotagem, balizamento, inspeo da qualidade da gua, promoo de utilizao de meios de transporte hidrovirios, investimento e manuteno da infraestrutura (pontes, diques, canais e eclusas).
Avaliao de risco Os possveis riscos so choque de barcos, derramamento de matria txica ou combustvel e exploso de diques. Se os problemas estiverem relacionados com negligncia por parte do departamento de governo, este poder sofrer uma severa sano. Procedimentos de controle Os procedimentos de controle que podem ser adotados so a pilotagem de barcos por comandantes competentes; colocao de bias, faris e sinalizadores; inspeo visual area; e coleta de amostras de gua. Monitoramento Um monitoramento do nmero de colises, agresses ao meio ambiente, resultados das amostras e uma comparao com outros pases e com dados histricos podem ajudar a monitorar a eficcia e a eficincia da pilotagem de barcos, da colocao de faris, bias e sinalizadores, das inspees e das amostras de gua. Informao e comunicao A informao e comunicao relacionadas com esta situao podem ser o relato de colises para prevenir outros barcos, informar aos barcos sobre as condies climticas, publicar os nomes das substncias poluentes, as sanes que os responsveis podem enfrentar e as aes corretivas adotadas.

Ambiente de controle Para cada um dos departamentos de servio designado um gerente operacional que deve se reportar ao gerente geral do departamento. Os gerentes operacionais devem ter as habilidades necessrias e a autoridade para tomar determinadas decises. Todos eles tambm firmam compromisso com um cdigo de conduta adequada.

71

72
Avaliao de risco Procedimentos de controle O risco pode diminuir definindo diretrizes apropriadas para os relatrios e um modelo de relatrio que defina a informao que deve ser transmitida. Monitoramento A verificao da adequao ou no do relatrio, de quais informaes so fornecidas ou omitidas podem ser uma forma de monitoramento. Ao no especificar os objetivos, surge o risco deles no serem alcanados. Tambm existe perigo de que os relatrios no sejam feitos a tempo, por que o gerente quer esperar para emitir o relatrio quando puder afirmar que cumpriu o objetivo de 15% de crescimento. Alm disso, no foram especificados os indicadores de avaliao do crescimento de 15% e, desse modo, o gerente pode afirmar que o nmero de pessoas que praticam esporte aumentou ou que o nmero de horas de prticas esportivas aumentou, ou at que o nmero de centros de esportes ou clubes aumentou em 15%. Conseqentemente, a qualidade da informao relatada decresce substancialmente. Informao e comunicao O relatrio deve ser enviado tempestivamente e de acordo com o modelo especificado. Deve especificar os objetivos do crescimento, os indicadores adotados e justificar a metodologia empregada. Toda a informao de suporte deve estar acessvel.

Cumprimento das obrigaes de accountability. Exemplo (2): O gerente do departamento de esportes estipulou, no ano passado, o objetivo segundo o qual a prtica de esportes aumentaria em 15% nos anos seguintes.

Ambiente de controle Em funo da boa reputao do gerente, o comit executivo confiou nele e no realizou as reunies de monitoramento para avaliar o progresso do seu trabalho.

(A situao mencionada acima no um exemplo de boas prticas)

Exemplo do cumprimento de leis e regulamentos aplicveis: o Ministrio da Defesa quer comprar novos avies de combate atravs de um contrato administrativo e publica todas as condies e procedimentos para essa licitao governamental. Todas as propostas que chegam so mantidas lacradas at que se encerre o prazo estabelecido. Quando o prazo encerrado, todas as propostas so abertas na presena dos gerentes responsveis e de alguns funcionrios. Somente essas propostas sero analisadas e comparadas para que seja decidida qual dentre elas a mais adequada.
Avaliao de risco Um dos riscos relacionados com as licitaes governamentais e contratos administrativos so as relaes internas. Um dos licitantes pode ter conhecimento prvio sobre a oferta de outros licitantes e pode formular uma proposta que resulte vencedora, utilizando essa informao, mas que no seja a melhor opo entre todas as propostas. Outro risco consiste em selecionar a proposta errada, que pode resultar em um novo contrato administrativo, porque o anterior no cumpriu com as expectativas. Alm disso, outros licitantes que tenham se sentido prejudicados podem entrar com recursos. Monitoramento A auditoria interna pode fazer exames da documentao e acompanhamento dos recursos. Procedimentos de controle Para reduzir os riscos, os procedimentos devem ser desenvolvidos e aplicados em concordncia com todas as leis pertinentes e regulamentos concernentes aos contratos administrativos. Informao e comunicao Os procedimentos relacionados com a publicao das condies para essa licitao pblica, a avaliao das propostas recebidas e a divulgao da proposta selecionada devem ser documentados, por escrito, detalhando todas as medidas adotadas. Ao avaliar as propostas, todos os motivos pelos quais uma proposta foi ou no escolhida devem ser documentados.

Ambiente de controle A equipe que executar esta transao composta por pessoas competentes, que assinam um documento assegurando no possuir relaes financeiras ou de qualquer outra natureza, com nenhum dos licitantes. Os gerentes responsveis e os funcionrios tambm assinam o documento.

73

74
Avaliao de risco Monitoramento A anlise das justificativas dos gastos superiores aos orados e do valor de despesas relacionadas a atrasos nos servios ou nos pagamentos faz parte do monitoramento. Procedimentos de controle Os procedimentos de controle relacionados aos riscos mencionados anteriormente podem ser um controle oramentrio que compare o realizado com o previsto, monitoramento do progresso da construo e a solicitao de justificativas para gastos superiores aos do oramento. Informao e comunicao A informao e comunicao relacionadas a este exemplo podem consistir na documentao das reunies com arquitetos, corpo de bombeiros (para normas de segurana), artistas e outros. Pode tambm conter diferentes relatrios relacionados ao acompanhamento do oramento e evoluo do trabalho de construo.

Operaes regulares, ticas, econmicas, eficientes e efetivas. Exemplo (1): O departamento de cultura quer aumentar as visitas que o pblico faz ao museu. Para alcanar essa meta, prope construir novos museus, dar a cada cidado um cheque cultural e diminuir o custo das entradas. Para ser econmica, eficiente e efetiva, a administrao deve considerar e avaliar se os objetivos podem ser alcanados da forma como foram concebidos nas propostas, e quanto cada uma dessas propostas custar.

Ambiente de controle O departamento de cultura necessita assegurar-se de que a estrutura da organizao adequada para apoiar e supervisionar o planejamento e a construo das obras propostas, bem como para o planejamento e funcionamento dos novos museus.

O fato de as visitas ao museu no aumentarem um risco possvel. Tambm existe o risco de que algumas das propostas excedam seu oramento. Por exemplo, se a reduo do preo das entradas no aumentar o nmero de visitas ao museu, isso reduzir a receita governamental. Alm disso, construir novos museus sem o planejamento necessrio e sem levar em conta as especificidades da iluminao, temperatura e segurana pode resultar em ajustes muito caros durante ou depois da construo.

Operaes regulares, ticas, econmicas, eficientes e eficazes. Exemplo (2): O governo quer desenvolver a agricultura e melhorar a qualidade de vida no campo. Ele fornece recursos para subsidiar a construo de poos de irrigao e drenagem.
Avaliao de risco Os riscos so que associaes inescrupulosas qualifiquem-se para obter o emprstimo, mas no utilizem esse recurso para o que foi destinado. Informao e comunicao Relatrios de progresso, detalhando os custos e o nmero de poos que foram drenados e a rea que foi irrigada (nmero de hectares). (Cpia de) faturas so requeridas para justificar as despesas subsidiadas. Monitoramento O monitoramento pode consistir na anlise da drenagem dos poos e da construo do sistema de irrigao e na comparao com outros projetos similares. O monitoramento dos resultados obtidos nas terras irrigadas pode, tambm, ser considerado. Procedimentos de controle Os procedimentos de controle podem ser: verificar as qualificaes das associaes que se inscrevem para receber o emprstimo; comparar, in loco, o progresso dos trabalhos de construo e os respectivos relatrios de progresso; verificar as despesas da associao atravs da anlise de suas faturas, e adiar a liberao do subsdio (ou parte dele) at que a avaliao esteja concluda.

Ambiente de controle O governo deve se assegurar de que dispe de um departamento apropriado para implementar e conduzir a operao de concesso de subsdio e criar os mecanismos apropriados para concluir o projeto no prazo e de maneira eficiente.

75

76
Procedimentos de controle Os procedimentos de controle compatveis com esses riscos podem ser a construo de cercas e muros em torno dos depsitos e postos, ou a colocao de guardas armados com cachorros nas entradas. Checar regularmente o inventrio com o material e determinar que se estabelea que os suprimentos somente possam ser entregues com a aprovao de um oficial superior tambm ajudaro a salvaguardar os bens. Monitoramento O monitoramento pode ser uma inspeo das cercas, das entregas no comunicadas de material, do movimento de entrada e sada de estoques ou, at, um teste secreto sobre a segurana. Avaliao de risco Os riscos existentes so que as pessoas possam querer roubar armas para us-las inapropriadamente ou vend-las. Outros suprimentos, como o combustvel, podem tambm ser vulnerveis ao roubo. Informao e comunicao Relatrios sobre danos nas cercas e diferenas encontradas na entrega dos suprimentos. Procedimentos e aprovaes de fornecimento tambm oferecem informao e comunicao relacionadas a esse tema.

Salvaguarda de recursos. Exemplo (1): O Ministrio da Defesa tem construdo depsitos almoxarifados e postos de combustvel militares. O comando militar tem a poltica de que esses suprimentos sejam apenas para o uso profissional dos militares, e no para seu uso pessoal.

Ambiente de controle Polticas adequadas sobre o capital humano seriam efetivas para recrutar e manter o pessoal adequado para dirigir e colocar em funcionamento tais depsitos.

Salvaguarda de recursos. Exemplo (2): Grandes quantidades de informao sensvel so armazenadas nos sistemas informatizados em uma agncia do Ministrio da Justia. No entanto, a importncia dos controles de tecnologia da informao (TI) negligenciada e, conseqentemente, o controle da TI apresenta inmeras deficincias.
Avaliao de risco Procedimentos de controle Informao e comunicao Os procedimentos de controle em TI devem ser acessveis e as mudanas devem estar documentadas antes que o software comece a operar. Devem ser desenvolvidas as polticas e as atribuies que obedeam ao princpio de segregao de funes. Os registros de acessos (tentativas) e comandos (no autorizados) devem ser periodicamente revistos e comunicados. Monitoramento Executar uma auditoria em TI, simulando um desastre, e monitorar as atividades do ambiente web podem ser parte do monitoramento do ambiente de TI.

Ambiente de controle A gerncia deve comprometer-se com a competncia e com boas prticas envolvendo a TI, e oferecer capacitao apropriada nessa rea. As polticas de capital humano tambm exercem um papel importante no estabelecimento de um ambiente de controle positivo para as questes relacionadas a TI.

77

Ao nvel dos controles gerais, a agncia no tem: limitado o acesso do usurio a somente quelas informaes necessrias ao desempenho das suas atividades; desenvolvido um sistema adequado de controle informatizado para proteger os programas e os dados sensveis; documentado as mudanas de softwares; segregado as atividades incompatveis; buscado a continuidade do servio; protegido a rede contra uso no autorizado. Ao nvel de controle da aplicao, a agncia no tem mantido as autorizaes de acesso. (Este no um exemplo de boas prticas)

A agncia pode: implementar acessos lgicos (exemplo: senhas) e controles de acesso fsico (exemplo: travas, cartes de identificao, alarmes); negar, a alguns usurios, acesso ao sistema operacional; limitar o acesso, ao ambiente de desenvolvimento de aplicao, ao pessoal autorizado; utilizar relatrios dirios de auditoria para registrar todos os acessos (tentativas de acesso) e tentativas de violaes segurana; possuir um plano de contingenciamento e de recuperao para assegurar a acessibilidade a recursos crticos e facilitar a continuidade das operaes em casos crticos; possuir sistemas de segurana interno (firewall) e monitorar a atividade do servidor da pgina web para assegurar o trfego pela rede.

78

Anexo 2: Glossrio

79

80

Este glossrio foi elaborado objetivando fornecer uma compreenso comum dos termos mais importantes utilizados nessas diretrizes, acerca das definies e prticas do controle interno. Alm das definies que introduzimos nesse documento, tambm utilizamos definies existentes, tomadas das diversas fontes citadas: Cdigo de tica e normas de auditoria, INTOSAI, 2001. (Normas de Auditoria INTOSAI). Controle Interno - Marco integrado, COSO, 1992. (COSO 1992). Glossrio, Escritrio para as publicaes oficiais das comunidades europias, P. Everard e D. Wolter, 1989. (glossrio). Servios de auditoria e segurana: uma abordagem integrada, A. A. Arens, R. J. Elder e M. S. Beasley, Edio internacional Prentice Hall, 9 ed., 2003. (Arens, Elder & Beasley). Notas de apresentao COSO Guia de administrao de risco em uma organizao, COSO, 2003. (COSO ERM). Manual de auditoria internacional, pronunciamentos sobre tica e segurana, IFAC, 2003. (IFAC). Livro Fonte da Transparncia Internacional. (Transparncia Internacional). XVI INCOSAI, Montevidu, Uruguai, 1998, Comunicao do Tema Principal 1 A (Preveno e deteco de fraudes e corrupo), Fevereiro 1997. (XVI INCOSAI, Uruguai, 1998). Guia de prticas profissionais, Instituto de Auditores Internos. (IIA).

A Accountability (Obrigao de Prestar Contas) O processo no qual as organizaes de servio pblico e os indivduos que as constituem so responsveis por suas decises e aes, incluindo a salvaguarda de recursos pblicos e todos os aspectos do seu desempenho. Obrigao imposta, a uma pessoa ou entidade auditada, de demonstrar que administrou ou controlou os recursos que lhe foram confiados em conformidade com os termos segundo os quais lhe foram entregues.

81

Accountability Pblica (Obrigao de Prestar Contas Pblicas) A obrigao que tm as pessoas ou entidades s quais se tenham confiado recursos, includas as empresas e corporaes pblicas, de assumir as responsabilidades de ordem fiscal, gerencial e programtica que lhes foram conferidas, e de informar a quem lhes delegou essas responsabilidades (Normas de Auditoria INTOSAI).
Acesso fsico No controle de acesso, ter acesso a reas fsicas e entidades (ver acesso lgico). Acesso lgico O ato de ter acesso aos dados de um computador. O acesso pode estar limitado apenas para consulta, porm direitos de acesso mais extensivos incluem a capacidade de alterar os dados, criar novos arquivos e apagar arquivos existentes (ver acesso fsico). Administrao Compreende os dirigentes e outros que tambm realizam funes gerenciais superiores. A administrao ou gerncia inclui diretores e o comit de auditoria somente nos casos em que esses cumprem tais funes (IFAC). Ambiente de controle O ambiente de controle estabelece o perfil de uma organizao, influenciando na conscincia das pessoas acerca do controle. o fundamento para todos os componentes do controle interno, fornecendo o conjunto de regras e a estrutura. Aplicativo Programa de computador projetado para auxiliar as pessoas a realizar determinado tipo de trabalho, incluindo funes especiais, tais como relaes de pagamento, controle de inventrio, contabilidade e apoio. Dependendo da tarefa para a qual foi projetado, o aplicativo pode manipular textos, nmeros, grficos ou uma combinao desses elementos. Auditores internos Examinam e contribuem para a eficcia do sistema de controle interno atravs de suas avaliaes e recomendaes, mas no possuem responsabilidade primria pelo planejamento, implementao, manuteno e documentao do processo.
82

Auditoria Reviso das atividades e das operaes de uma organizao, para assegurar que essas esto sendo executadas ou esto funcionando de acordo com os objetivos, o oramento, as regras e as normas. O objetivo dessa reviso identificar, em intervalos regulares, desvios que podem requerer uma ao corretiva (glossrio). Auditoria externa Auditoria realizada por um corpo tcnico externo e independente do auditado, com o propsito de emitir uma opinio ou um relatrio sobre a prestao de contas e as demonstraes financeiras, a regularidade e a legalidade das operaes e/ou da gesto financeira (glossrio). Auditoria interna Meio funcional que permite aos dirigentes de uma entidade receber de fontes internas a segurana de que os processos pelos quais so responsveis funcionam com as probabilidades de ocorrncia de fraudes, erros ou prticas ineficientes e antieconmicas reduzidas ao mnimo. A auditoria interna possui muitas das caractersticas da auditoria externa, porm pode, perfeitamente, atender a instrues dos dirigentes da entidade a que deve informar (Normas de auditoria da INTOSAI). Uma atividade independente, de segurana objetiva e de carter consultivo, concebida para agregar valor e aprimorar as operaes de uma organizao. Auxilia uma organizao a atingir seus objetivos, mediante um enfoque sistemtico e disciplinado para avaliar e melhorar a eficcia do processo de gesto de risco, de controle e de governana (IIA, IFAC). A auditoria interna uma atividade de avaliao estabelecida dentro de uma entidade como um servio para a mesma. Suas funes incluem, dentre outras, examinar, avaliar e monitorar a adequao e eficcia da contabilidade e dos sistemas de controle interno (IFAC). Avaliao de risco A avaliao de risco o processo de identificao e anlise dos riscos relevantes para o alcance dos objetivos da entidade e a determinao de resposta apropriada.

83

C Ciclo de avaliao de risco um processo contnuo e repetitivo para identificar e analisar as mudanas nas condies, oportunidades e riscos, e realizar as aes necessrias, em especial as modificaes no controle interno dirigidas s mudanas de risco. Os perfis de risco e os controles a eles associados devem ser revisados e repensados com regularidade, de modo a garantir que o perfil de risco continua sendo vlido, que as respostas ao risco continuam sendo adequadas e apropriadamente direcionadas, e que os controles para mitig-lo continuam sendo eficazes na medida em que os riscos mudam com o tempo. Conformidade / Cumprimento Relaciona-se com a conformidade com as leis e regulamentos aplicveis a uma entidade (COSO 1992). Conformidade e aderncia a polticas, planos, procedimentos, leis, regulamentos, contratos ou outros requisitos (IIA). Comit de auditoria um comit da Mesa Diretora, cuja funo tipicamente focada em aspectos de informao financeira e nos processos gerenciais da entidade para administrar o risco do negcio e o risco financeiro, e para o cumprimento de significativos requisitos legais, ticos e regulamentares. O Comit de Auditoria normalmente auxilia a Mesa com uma viso geral sobre: (a) a integridade dos demonstrativos financeiros da entidade; (b) o cumprimento dos requisitos legais e regulamentares; (c) as qualificaes e independncia dos auditores; (d) o desempenho do auditor interno da entidade e dos auditores independentes; e (e) as remuneraes dos dirigentes da entidade. Componente do controle interno Um dos cinco elementos do controle interno. Os componentes do controle interno so o ambiente de controle interno da entidade, a avaliao de risco, os procedimentos de controle, a informao e comunicao, e o monitoramento (COSO 1992). Conluio Um esforo corporativo entre funcionrios para defraudar recursos financeiros, estoque ou outros bens de uma empresa (Arens, Elder & Beasley).
84

Controle 1. Um substantivo, utilizado como sujeito, exemplo: existncia de controle uma poltica ou procedimento que parte do controle interno. Um controle pode existir dentro de qualquer dos cinco componentes. 2. Um substantivo, utilizado como objeto, exemplo: efetuar controle o resultado de polticas e procedimentos planejados para controlar; este resultado pode ou no ser um controle interno efetivo. 3. Um verbo, exemplo: controlar, regular, estabelecer ou implementar uma poltica que se destina ao controle (COSO 1992). Qualquer ao tomada pela gerncia, direo e outros setores para administrar o risco e aumentar as possibilidades de que os objetivos e metas sejam alcanados. A administrao planeja, organiza e dirige a gesto com as aes adequadas para proporcionar uma garantia razovel de que os objetivos e metas sejam alcanados (IIA). Controle de acesso Em tecnologia da informao, os controles planejados para proteger os recursos de modificaes no autorizadas, perda ou exposio. Controle de continuidade de servio Esse tipo de controle envolve assegurar que, quando ocorram eventos inesperados, as operaes crticas continuem sem interrupo ou sejam rapidamente reassumidas, e a informao crtica e sensvel seja protegida. Controles de aplicativos A estrutura, polticas e procedimentos que so aplicados em separado aos sistemas individuais de aplicativos e que so projetados para cobrir o processamento de dados em softwares aplicativos especficos. Procedimentos programados nos aplicativos e no respectivo manual de procedimentos, projetados para ajudar a assegurar a integridade e exatido do processamento da informao. Os exemplos incluem revises computadorizadas da entrada de dados, seqncia numrica de revises e procedimentos manuais para monitorar os itens listados em relatrios de exceo (COSO 1992). Controle de deteco Um controle programado para descobrir um fato ou um resultado imprevisto (em contraste com o controle preventivo) (COSO 1992).

85

Controle interno O controle interno um processo integrado que est afeto gerncia e ao corpo de funcionrios da entidade e estruturado para administrar os riscos e para oferecer segurana razovel de que na busca de sua misso, os seguintes objetivos gerais esto sendo alcanados: executar as operaes de forma regular, tica, econmica, eficiente e eficaz, cumprindo com as obrigaes de prestar contas (accountability) e com todas as leis pertinentes, assim como os regulamentos e a salvaguarda dos recursos contra a perda, mau uso e danos. Uma garantia independente e objetiva, e uma atividade de consultoria projetada para proporcionar valor agregado e melhorar a operacionalidade da organizao ajudam organizao a cumprir seus objetivos, mediante o uso de um enfoque sistemtico e disciplinado para avaliar e melhorar a eficcia nos processos de gesto do risco, controle e governana (IIA). Controle oramentrio Controle mediante o qual uma autoridade que liberou um oramento para uma entidade assegura que o oramento est sendo implementado de acordo com as estimativas, autorizaes e regulamentos. Controle preventivo Um controle definido para evitar aes ou resultados no previstos (comparar com controle de deteco) (COSO 1992). Controles computadorizados 1. Controles executados por computador, exemplo: controles programados no software do computador (em oposio aos controles manuais). 2. Controles sobre o processamento da informao, consistindo de controles gerais e controles de aplicativos (tanto programados como manuais) (COSO 1992). Controles do sistema de software Controles sobre o elenco de programas de computadores e respectivas rotinas, projetadas para operar e controlar as atividades de processamento dos equipamentos computacionais.

86

Controles gerais Os controles gerais so a estrutura, polticas e procedimentos que se aplicam a todos ou a uma grande parte dos sistemas de informao de uma entidade e ajudam a assegurar sua correta operao. Eles produzem o ambiente no qual operam os sistemas de aplicao e controles. Polticas e procedimentos que ajudam a assegurar a continuidade e a operao apropriada dos sistemas de informao. Incluem controles sobre gerenciamento da tecnologia da informao, infra-estrutura da tecnologia da infor mao, gesto de segurana, aquisio, desenvolvimento e manuteno de software. Os controles gerais do suporte ao funcionamento dos controles de aplicativos programados. Outros termos por vezes utilizados para descrever os controles gerais so: controles gerais de computao e controles de tecnologia da informao (COSO ERM). Controles manuais So os controles executados manualmente, no atravs do computador (comparar com controles computadorizados) (COSO 1992). Corrupo Qualquer forma de utilizao no tica da autoridade pblica para obteno de vantagem pessoal ou particular (INTOSAI XVI, Uruguai, 1998). O mau uso do poder outorgado, para o benefcio particular (Transparncia Internacional). COSO Comit de Organizaes Patrocinadoras da Comisso Treadway, um grupo de vrias organizaes de contabilidade. Em 1992 publicou um estudo relevante sobre o controle interno intitulado Controle Interno: marco integrado. O estudo muitas vezes chamado de Relatrio COSO. D Dados Fatos e informao que podem ser comunicados ou manipulados.

87

Deficincia Uma falha percebida no controle interno, potencial ou real, ou uma oportunidade para fortalecer o controle interno, para oferecer uma maior probabilidade de que os objetivos da entidade sejam alcanados (COSO 1992). Diagramao de fluxo Ilustra um fluxo de procedimentos, informao ou documentos. Essa tcnica torna possvel que se d uma descrio sinttica de procedimentos ou circuitos complexos (glossrio). Documentao A documentao suporte do controle interno a evidncia material e escrita dos componentes do processo de controle interno, incluindo a identificao das polticas e da estrutura de uma organizao, suas categorias operacionais, seus procedimentos de controle e respectivos objetivos. Esses devem estar evidenciados em documentos, tais como diretrizes gerenciais, polticas administrativas, manuais de procedimento e manuais de contabilidade. O exame do auditor dos documentos do cliente e dos registros para fundamentar a informao que est ou deve estar includa nas demonstraes financeiras (Arens, Elder e Neasley). E Economia Consiste em reduzir ao mnimo o custo dos recursos utilizados para desempenhar uma atividade a um nvel de qualidade apropriado (Normas de auditoria INTOSAI). Aquisio dos recursos financeiros, humanos e materiais, no momento adequado, ao menor custo, que sejam mais adequados em termos de qualidade e quantidade. Econmico Sem desperdcio nem extravagncia. Significa adquirir a quantidade necessria de recursos, na qualidade adequada, entregues no momento e no lugar correto, ao custo mais baixo.

88

Eficcia A medida em que se alcanam os objetivos e a relao entre os resultados pretendidos e os resultados alcanados (Normas de auditoria INTOSAI). O grau em que os objetivos estabelecidos so alcanados sob a tica do custo-eficcia (glossrio). Eficaz Refere-se ao cumprimento dos objetivos ou ao grau dos resultados alcanados por uma atividade frente aos objetivos ou aos efeitos pretendidos daquela atividade. Eficincia Relao entre o produto expresso em bens, servios e outros produtos - e os recursos utilizados para produzi-los (Normas de auditoria INTOSAI). Utilizao dos recursos financeiros, humanos e materiais de modo a maximizar os produtos obtidos com uma determinada quantidade de recursos, ou a minimizar os insumos para obteno de determinada quantidade e qualidade de produtos (glossrio). Eficiente Refere-se aos recursos utilizados e os produtos gerados para alcanar os objetivos. Significa que o mnimo de insumos so utilizados para se obter uma determinada quantidade e qualidade de produtos, ou o mximo de produtos com uma determinada quantidade e qualidade de insumos. Entidade Uma organizao de qualquer tamanho estabelecida com um propsito particular. Uma entidade, por exemplo, pode ser uma empresa de negcios, uma organizao sem fins lucrativos, uma organizao governamental ou instituio acadmica. Outros termos usados como sinnimos so organizao ou departamento (COSO 1992). Entidade Fiscalizadora Superior (EFS) rgo pblico de um Estado que, qualquer que seja a sua denominao ou a forma em que seja constitudo ou organizado, exerce, em virtude da lei, a suprema funo de auditoria pblica desse Estado (Normas de auditoria INTOSAI & IFAC).

89

Entrada Qualquer informao introduzida em um computador ou o processo de inserir dados no computador. tico Relacionado com princpios morais. F Fluxograma Uma representao grfica dos documentos e arquivos do cliente, e a seqncia na qual eles so processados (Arens, Elder & Beasley). Fraude Interao ilegal entre duas entidades, na qual uma das partes intencionalmente defrauda a outra, atravs de representaes falsas para obter vantagens ilcitas ou injustas. Envolve atos fraudulentos, ardis, omisses ou quebra de sigilo, utilizados para obter alguma vantagem injusta ou desonesta (INCOSAI XVI, Uruguai 1998). I Incerteza Incapacidde de saber com antecedncia a real probabilidade ou impacto de eventos futuros (COSO ERM). Independncia A liberdade que se d a uma instituio de auditoria e a seus auditores para atuar em acordo com as atribuies de auditoria que lhes so conferidas, sem nenhuma interferncia externa. A liberdade da EFS, nas matrias que so objeto de auditoria, para atuar conforme sua competncia legal de auditoria, sem sujeio a diretrizes ou interferncias externas de nenhuma classe (Normas de auditoria INTOSAI). A liberdade das condies que ameacem a objetividade ou a aparncia de objetividade. Tais ameaas objetividade devem ser administradas nos nveis individual com o auditor, de compromisso, funcional e organizacional (IIA). A habilidade de um auditor para manter um ponto de vista imparcial no desempenho de servios profissionais (independncia de fato) (Arens, Elder & Beasley).
90

 A habilidade de um auditor para manter um ponto de vista imparcial diante dos olhos dos demais (aparncia de independncia) (Arens, Elder & Beasley). Instituio de auditoria Organizao pblica que, qualquer que seja a sua denominao ou a forma em que seja constituda ou organizada, executa atividades de auditoria externa em conformidade com a lei (glossrio). Interveno administrativa Aes administrativas para anular polticas ou procedimentos destinados a propsitos legtimos; a interveno administrativa geralmente necessria para lidar com transaes ou eventos no-rotineiros e nonormatizados que de outra forma seriam tratados de modo inadequado pelo sistema (comparar esse termo com o de Sustao de ato administrativo) (COSO 1992). Instituto de Auditores Internos (Institute of Internal Auditors - IIA) O Instituto de Auditores Internos uma organizao que estabelece normas ticas e de procedimentos, promove capacitao e fortalece o profissionalismo entre seus membros. L Limitaes inerentes As limitaes de todos os sistemas de controle interno. As limitaes se relacionam aos limites do julgamento humano; restries de recursos e a necessidade de considerar o custo dos controles em relao aos benefcios esperados; a realidade que podem ocorrer colapsos; e a possibilidade de sustar atos administrativos e conluios (COSO 1992). M Mapa de risco Uma viso conjunta ou matriz dos riscos-chave enfrentados por uma entidade ou uma unidade, que inclui o nvel de impacto (exemplo: alto, mdio, baixo), bem como a probabilidade de que o evento ocorra.

91

Mainframe Computador de grande porte destinado s atividades de processamento de dados mais intensivas. Os computadores de grande porte ou servidores so usualmente compartilhados por mltiplos usurios conectados atravs de terminais.
Mensurao de risco Significa estimar a importncia de um risco e calcular a probabilidade de sua ocorrncia. Monitoramento Monitoramento um componente do controle interno e o processo que avalia a qualidade do sistema de controle interno ao longo do tempo. Moralidade/Integridade A qualidade ou o estado de ser de um importante princpio moral; retido, honestidade e sinceridade; o desejo de fazer as coisas corretamente, professar e viver de acordo com certos valores e expectativas (COSO 1992). O Objetividade Atitude mental de imparcialidade que permite que as EFSs, auditores externos e internos realizem suas atribuies de tal maneira que emitam uma opinio honesta no resultado de seus trabalhos, e que no sejam feitos comprometimentos de qualidade significativos. A objetividade requer que os auditores no subordinem seu julgamento sobre questes auditoriais opinio de terceiros. Operaes Essa palavra usada com objetivos ou controles tem a ver com a eficcia ou a eficincia das atividades de uma entidade, incluindo suas metas de desempenho e rentabilidade e a salvaguarda de recursos (COSO 1992). As funes, processos e atividades atravs dos quais os objetivos de uma entidade so alcanados.

92

Oramento a expresso financeira e quantitativa de uma programao de medidas planejadas para um determinado perodo. O oramento projetado com uma viso de planejamento de operaes futuras e de revises ex post facto dos resultados obtidos. Ordenadamente Significa de forma ordenada, ou metodicamente. Organizao Internacional de Entidades Fiscalizadoras Superiores ( International Organisation of Supreme Audit Institutions INTOSAI) INTOSAI a organizao profissional de Entidades Fiscalizadoras Superiores (EFSs) nos pases que pertencem s Naes Unidas ou a suas agncias especializadas. As EFSs exercem um papel central na auditoria de contas e das operaes governamentais, e na promoo de administraes financeiras slidas e responsveis por prestar contas dos seus governos. A INTOSAI foi fundada em 1953, vem crescendo dos 34 pases membros iniciais para mais de 170 membros no presente. P Partes interessadas (stakeholders) Entes que so afetados pela entidade, tais como os acionistas, as comunidades nas quais a entidade opera, funcionrios, clientes e fornecedores (COSO ERM). Poder Legislativo A autoridade que, em um pas, elabora as leis; por exemplo: um Parlamento (Normas de auditoria INTOSAI) Poltica Instruo gerencial sobre o que se deve fazer para efetuar um controle. Uma poltica serve como base para a implementao dos seus procedimentos (COSO 1992). Procedimento Uma ao que implementa uma poltica.

93

Projeto (design) 1.Inteno. Como utilizado na definio, o controle interno destinado a fornecer segurana razovel para o alcance dos objetivos; quando a inteno se torna realidade, o sistema pode ser considerado eficaz. 2. Plano. A forma atravs da qual um sistema concebido para funcionar, comparada maneira que ele efetivamente funciona (COSO 1992). Processamento Em tecnologia da informao, a execuo das instrues de um programa pela unidade central de processamento do computador. Procedimento de controle Os procedimentos de controle so as polticas e os procedimentos estabelecidos para enfrentar os riscos e alcanar os objetivos da entidade. Os procedimentos que uma organizao executa para tratar o risco se chamam procedimentos de controle interno. Os procedimentos de controle interno so uma resposta ao risco, j que eles so projetados para lidar com o nvel de incerteza previamente identificado. Procedimentos de usurio final Referem-se utilizao de processamento de dados no centralizados (exemplo: que no sejam do departamento de TI), utilizando procedimentos automatizados desenvolvidos pelos usurios finais, geralmente com a ajuda de aplicativos (exemplo: planilha eletrnica e base de dados). Os processos do usurio final podem ser sofisticados e transformarem-se em uma fonte extremamente importante de gerenciamento de informao. Se eles esto documentados e testados adequadamente podem ser questionados. Processo gerencial ou administrativo A srie de aes tomadas pela direo para administrar uma entidade. O controle interno uma parte integrante do processo gerencial (COSO 1992). Programa de segurana Programa de toda uma organizao para o planejamento e gerenciamento da segurana, que constitui o fundamento da estrutura de controle da segurana de uma organizao e que reflete o compromisso da alta administrao para lidar com os riscos de segurana. O programa deveria estabelecer um referencial e uma periodicidade para a avaliao de risco, desenvolvendo e implementando procedimentos eficazes de segurana, e realizando o monitoramento da eficcia desses procedimentos.
94

R Rede Em tecnologia da informao, um grupo de computadores e equipamentos conectados por instalaes de comunicao. Uma rede pode envolver conexes permanentes, tais como cabos, ou conexes temporrias feitas atravs de telefone ou de outros meios de comunicao. Uma rede pode ser to pequena como uma rede local composta por poucos computadores, impressoras ou outros equipamentos, ou pode ser composta por muitos computadores de grande e pequeno porte distribudos em uma vasta rea geogrfica. Revises de edio Controles programados concebidos nas primeiras fases de alimentao de dados para identificar campos com dados incorretos. Por exemplo, os caracteres alfanumricos, que so introduzidos nos campos numricos, podem ser rejeitados por esse controle. Controles de edio programada tambm podem ser aplicados, por exemplo, quando os dados das transaes ingressam no ciclo de processamento de uma outra aplicao. Risco A possibilidade de que ocorra um evento adverso que afete o alcance dos objetivos (COSO ERM). Risco aceitvel A quantidade de risco qual a entidade est preparada para enfrentar antes que se julgue necessria uma ao. Uma base ampla de quantidade de risco que uma companhia ou outra entidade est disposta a aceitar na busca de sua misso ou sua viso (COSO ERM). Risco inerente O risco para uma entidade na ausncia de aes gerenciais que possam reduzir a probabilidade do risco ou seu impacto (COSO ERM). Risco residual O risco que permanece depois que a gerncia responde ao risco.

95

S Sada Em tecnologia da informao, os dados/informao produzidos pelo processamento informatizado de um computador, tal como uma informao grfica apresentada em um terminal ou uma cpia impressa. Setor pblico O termo setor pblico refere-se aos governos nacionais, governos regionais (por exemplo: estadual, provincial, territorial), aos governos locais (por exemplo: municpios, povoados) e respectivas entidades governamentais (por exemplo: agncias, diretorias, comisses e empresas) (IFAC). Segurana razovel Equivale a um nvel satisfatrio de confiana segundo determinadas consideraes de custos, benefcios e riscos. O conceito de que o controle interno, sem importar o quanto seja bem planejado e executado, no pode garantir que os objetivos da entidade sero alcanados. Isso se deve a limitaes inerentes a todos os sistemas de controle interno (COSO 1992). Sistema de controle interno (ou processo, ou arquitetura) Um sinnimo de Controle Interno aplicado em uma entidade (COSO 1992). Sistemas computadorizados de informao Um ambiente de sistemas de informaes computadorizados existe quando um computador de qualquer tipo ou tamanho est envolvido no processamento de informao (financeira) da entidade que tenha significado para a auditoria, seja este computador operado pela entidade ou por uma terceira parte (IFAC). Segregao (ou separao) de funes Para reduzir o risco de erro, desperdcios, aes equivocadas e o risco de no detectar estes problemas, nenhuma equipe ou indivduo apenas deveria controlar todas as fases-chave (autorizao, processamento, documentao e controle) de uma transao ou evento.

96

Sistema software Software que trata fundamentalmente da coordenao e do controle do hardware e dos recursos de comunicao, acesso a pastas e arquivos, e do controle e programao de aplicativos. Sustao de ato administrativo Decises administrativas de anular polticas ou procedimentos destinados a propsitos ilegtimos, com a inteno de obter ganhos pessoais, ou permitir a apresentao errada das demonstraes financeiras de uma entidade ou de situaes de descumprimento da lei (comparar este termo com o de interveno administrativa) (COSO, 1992). T Tolerncia ao risco a variao aceitvel relativa consecuo dos objetivos (COSO ERM). U Unidade de auditoria interna Departamento (ou atividade) dentro de uma entidade, qual so confiadas revises e avaliaes dos sistemas e procedimentos da entidade para minimizar a probabilidade de fraude, erros e prticas ineficientes. A auditoria interna deve ser independente dentro de uma organizao e reportar-se diretamente direo. Um departamento, diviso ou equipe de consultores ou outros profissionais que oferece independncia, segurana objetiva e servios de consultoria projetados para agregar valor e melhorar o funcionamento de uma organizao. Os procedimentos de controle interno ajudam uma organizao a cumprir seus objetivos mediante o uso de um enfoque sistemtico e disciplinado para avaliar e melhorar a eficcia nos processos de gesto de risco, controle e governana (IIA). V Valores ticos Valores morais que permitem que aquele que decide determine um curso apropriado de conduta. Esses valores devem estar baseados no que correto, o que pode estar alm daquilo que legalmente exigido (COSO 1992). Valor pelo dinheiro Ver economia, eficcia e eficincia.
97

98

Cpias desta traduo podem ser adquiridas, sem custo, no Tribunal de Contas do Estado da Bahia, Centro Administrativo da Bahia, Plataforma 5. Salvador, Bahia (www.tce.ba.gov.br), no

Tribunal de Contas do Estado do Piau, Avenida Pedro Freitas, 2100 - So Pedro, Teresina, Piau e no

Tribunal de Contas do Estado do Tocantins, Avenida Teotnio Segurado 102 Norte - Conjunto 1, lotes 1 e 2, Palmas, Tocantins, Brasil.

99

Tribunal de Contas do Estado da Bahia

Srie Tradues: 1. Um modelo para Auditorias de Otimizao de Recursos (Value for Money Audits VFM) 2. Ajudando a nao a gastar sabiamente: um guia para o Escritrio Nacional de Auditoria 3. Normas de Auditoria do NAO 4. Normas de Auditoria Governamental do GAO Reviso 1994 5. Normas de Auditoria da INTOSAI 6. Glossrio de Termos de Auditoria do Manual de Auditoria Integrada do OAG 7. Auditoria Integrada: Conceitos, Componentes e Caractersticas 8. Accountability, Contabilidade e Auditoria Respondendo uma dcada de experincia 9. Auditoria de Eficincia: Guia de Auditoria do OAG Partes I e II 10. Diretrizes para Aplicao de Normas de Auditoria Operacional da INTOSAI 11. Cdigo de tica e Normas de Auditoria da INTOSAI 12. Normas de Auditoria Governamental do GAO Reviso 2003, atualizada at setembro de 2005

Apoio:

Colaboradores:

ISBN 85 - 85524 - 28 - 6

9 788585 524289

TCE-TO