martinelli

auditores

AVALIAÇÃO DE RISCOS

E CONTROLES INTERNOS

MÓDULO 2
Fevereiro de 2002
 martinelli
auditores

SUMÁRIO

INTRODUÇÃO..................................................................................................... 03

1. AVALIAÇÃO DE RISCOS............................................................................ 04

1.1 Auditoria Externa........................................................................................ 04

1.2 Auditoria Interna......................................................................................... 04

1.3 Unicamp....................................................................................................... 04

1.4 Outras Definições de Risco....................................................................... 05

2. CONTROLE INTERNO................................................................................. 07

2.1 Sistema de Controles Internos.................................................................. 07

2.2 Objetivos do Controle Interno................................................................... 08

2.3 Proteção dos Ativos................................................................................... 09

2.4 Obtenção da Informação Adequada......................................................... 09

2.5 Promoção da Eficiência Operacional........................................................ 09

2.6 Aderência às Políticas Administrativas.................................................... 10

2.7 Controle Interno e Sistemas de Processamento Eletrônico de Dados. 10

2.8 Relação Custo x Benefício......................................................................... 11

2.9 Erro e Fraude............................................................................................... 11

2
 martinelli
auditores

INTRODUÇÃO

O Comitê de Procedimentos de Auditoria do Instituto Americano de Contadores

Públicos – AICPA, afirma:

“O controle interno compreende o plano de organização e o conjunto coordenado de

métodos e medidas, adotados pela empresa, para proteger seu patrimônio, verificar
a exatidão e a fidedignidade de seus dados contábeis, promover a eficiência
operacional e encorajar a adesão à política traçada pela administração.”

O conceito de avaliação de controles internos é algumas vezes confundido com o

conceito de avaliação de riscos. O risco pode ser definido de várias maneiras porém
optamos pela seguinte definição:

“Risco é uma medida da incerteza. Em todas as atividades humanas, o risco está

relacionado a nossos objetivos. Pode trazer conseqüências positivas ou negativas,
sendo grande parte dos riscos positivos chamados de oportunidades e apenas os
riscos negativos, chamados efetivamente de riscos”.

3
 martinelli
auditores

1. AVALIAÇÃO DE RISCOS

A avaliação do risco em auditoria identifica, mede e prioriza os riscos para

possibilitar a focalização das áreas auditáveis mais significativas. Em cada ação de
auditoria, a avaliação do risco é utilizada para identificar as áreas mais importantes
dentro do seu âmbito. Esta avaliação permite ao auditor delinear um programa de
auditoria capaz de testar os controles mais importantes, ou testar os controles com
maior profundidade ou mais minuciosamente.

Os riscos podem vistos sob vários ângulos dependendo de sua aplicação prática:

1.1 Auditoria Externa

As empresas de auditoria externa para emitir opinião sobre as demonstrações

contábeis de determinada companhia necessitam avaliar todas as contas destas
demonstrações. Visando esta avaliação, a realização ou não de testes e a
profundidade e extensão destes testes dependem da avaliação de risco que o
auditor faz de cada elemento das demonstrações contábeis auditadas no período
sob exame.

Na avaliação de risco o auditor leva em consideração o resultado da avaliação dos

controles internos de cada conta ou grupo de contas, e sua relevância
(materialidade). Em conseqüência o auditor poderá concluir que determinadas
contas (ou grupo de contas) não necessitam ser auditadas mas apenas revisadas.

1.2 Auditoria Interna

No caso da auditoria interna, a avaliação de riscos pode determinar por exemplo,

que unidade/processo avaliar, haja vista, o limitado número de horas de auditoria
disponíveis. Neste caso serão enfatizadas as unidades/processos que apresentem
maior risco.

Outro âmbito da aplicação do conceito de riscos está relacionado aos objetivos da

instituição, pois conhecidos estes objetivos, a auditoria interna voltaria suas
atividades para os riscos relacionados à consecução destes objetivos, procurando
eliminá-los.

4
 martinelli
auditores

1.3 Unicamp

Na Unicamp, a avaliação de riscos fornece subsídios para elaboração do Plano

Anual de Auditoria, e pretende assegurar que são examinadas todas as áreas de
alto risco da Universidade em uma base regular, e que, até mesmo áreas
consideradas de médio e pouco risco, recebam a atenção da Auditoria interna.

Os critérios utilizados para determinar o risco de cada área incluem fatores

gerenciais, fatores departamentais (turnover, mudanças de sistemas, orçamento
elevado, etc.), materialidade e fatores externos à instituição como regulamentação,
reputação, etc.

Existem diversas formas de classificar os riscos inerentes aos processos de gestão

no ambiente Unicamp; classificamos os riscos em seis categorias que julgamos as
mais adequadas nas circunstâncias:

1. Risco Sistêmico

Refere-se ao ambiente político e econômico em que a instituição está inserida.

2. Risco de Liquidez

Refere-se a disponibilidade de recursos financeiras para pagamento de suas

obrigações.

3. Risco Legal

Refere-se ao risco de contrariar qualquer determinação legal ou regulamentar a que

a instituição esteja sujeita.

4. Risco de Tecnologia

Refere-se ao risco de defasagem, sub-utilização ou utilização inadequada dos

recursos tecnológicos disponíveis.

5. Risco de Recursos Humanos

Refere-se a disponibilidade e qualificação dos recursos humanos existentes.

6. Risco Operacional e de Gestão

Refere-se à eficácia e eficiência das atividades operacionais desenvolvidas, bem

como a ação exercida pelos gestores sobre estas atividades.

5
 martinelli
auditores

1.4 Outras Definições de Risco

A título de ilustração, apresentamos a seguir algumas outras definições de riscos:

Risco absoluto – É o máximo risco sem os efeitos mitigantes de controles internos.

Risco da carteira – Definição relacionada à carteiras de investimentos.

Risco de detecção – A probabilidade de se ter conclusões incorretas sobre os

resultados de um exame de auditoria.

Risco de funções – É o risco de determinada função dentro de um processo.

Risco de planejamento – É o risco de avaliações imprecisas no planejamento dos

trabalhos.

Risco de processo – É o risco de um determinado processo desde sua origem até o

seu termino passando por todas as rotinas e funções.

Risco estratégico – expressa a natureza mutável de riscos que no horizonte de

tempo, podem converter-se em oportunidades.

Risco onipresente – Está relacionado ao ambiente em que as atividades se

desenvolvem, como exemplo, a “cultura da empresa”.

Risco residual – É o risco que resta quando fatores de mitigação dos riscos foram
aplicados.

Risco de controle – É a tendência do sistema de controles internos de perder

eficácia com o passar do tempo.

6
 martinelli
auditores

2. CONTROLES INTERNOS

2.1 Sistema de Controles Internos

Os riscos podem ser eliminados, reduzidos ou compartilhados, através de um

eficiente sistema de controles internos que compreende:

Plano de organização

É o modelo pelo qual a entidade se organiza. Corresponde a divisão do trabalho,

relações de autoridade, responsabilidades, etc.

Métodos e medidas

Estabelecem os caminhos, meios de comparação e julgamento para se chegar a

determinado fim, mesmo que não tenham sido preestabelecidos formalmente.

Proteção do patrimônio

Compreende a forma pela qual são salvaguardados e defendidos os bens e direitos

da empresa.

Exatidão e fidedignidade

Correspondem a adequada precisão e observância aos elementos dispostos na

contabilidade e registros auxiliares.

Eficiência operacional

Compreende a ação ou força a ser posta em prática nas transações realizadas pela
empresa.

Políticas administrativas

Compreende o sistema de regras relativas a direção dos negócios e à prática dos

princípios, normas e funções para a obtenção de determinado resultado.

Salientamos que a administração é responsável pelo planejamento, instalação e

supervisão de um sistema de controle interno adequado.

7
 martinelli
auditores

2.2 Objetivos do Controle Interno

Segundo a definição do AICPA (apud Conselho Regional de Contabilidade do

Estado de São Paulo, 1988), os objetivos do controle interno são quatro:

- proteção dos ativos;

- obtenção de informação adequada;
- promoção da eficiência operacional; e
- estimulação da obediência e do respeito às políticas da administração.

A partir da promulgação da Constituição Federal de 1988, ganhou ênfase a

discussão sobre o controle interno governamental, especialmente pela sua previsão
constitucional contida nos artigos 70 e 74, que transcrevemos:

"Art. 70. A fiscalização contábil, financeira, orçamentária, operacional

e patrimonial da União e das entidades da administração direta e
indireta, quanto à legalidade, legitimidade, economicidade, aplicação
das subvenções e renúncia de receitas, será exercida pelo
Congresso Nacional, mediante controle externo, e pelo sistema de
controle interno de cada Poder.

Art. 74 Os Poderes Legislativo, Executivo e Judiciário manterão, de

forma integrada, sistema de controle interno com a finalidade de:

I – avaliar o cumprimento das metas previstas no plano plurianual, a

execução dos programas de governo e dos orçamentos da União;

II – comprovar a legalidade e avaliar os resultados, quanto à eficácia

e eficiência, da gestão orçamentária, financeira e patrimonial nos
órgãos e entidades da administração federal, bem como da aplicação
de recursos públicos por entidades de direito privado;

III – exercer o controle das operações de crédito, avais e garantias,

bem como dos direitos e haveres da União;

IV – apoiar o controle externo no exercício de sua missão

institucional.

§ 1° Os responsáveis pelo controle interno, ao tomarem

conhecimento de qualquer irregularidade ou ilegalidade, dela darão
ciência ao Tribunal de Contas da União, sob pena de
responsabilidade solidária."

8
 martinelli
auditores

Portanto, o controle interno faz parte das atividades normais da Administração

Pública, tendo como função acompanhar a execução dos atos, indicando em caráter
opinativo, preventivo ou corretivo, as ações a serem desempenhadas com vistas a
atender o controle da execução orçamentária, financeira, contábil e patrimonial, bem
como os controles administrativos de um modo geral.

A existência de controles pressupõe sempre dois lados – o do controlador e o do

controlado –, mas normalmente não há gosto pelo primeiro, tido como algoz, e, com
freqüência, há uma simpatia pelo segundo, tido como vítima.

2.3 Proteção dos Ativos

Os principais meios que podem dar suporte necessário à proteção dos ativos são os
seguintes:

a) segregação de funções;
b) sistema de autorização e aprovação;
c) determinação de funções e responsabilidades;
d) rotação de funcionários;
e) carta de fiança;
f) manutenção de contas de controle;
g) seguro;
h) legislação;
i) diminuição de erros e desperdícios;
j) contagens físicas independentes;
k) limites de alçada progressivos.

2.4 Obtenção de Informação Adequada

Os principais meios que possibilitam dar o suporte necessário à precisão e

confiabilidade dos informes e relatórios contábeis, financeiros e operacionais são os
que seguem:

a) documentação confiável;
b) conciliação;
c) análise;
d) plano de contas;
e) tempo hábil;
f) equipamento eletrônico.

2.5 Promoção da Eficiência Operacional

Os principais meios que podem prover suporte ao estímulo è eficiência operacional

são os que seguem:

9
 martinelli
auditores

a) seleção;
b) treinamento;
c) plano de carreira;
d) relatórios de desempenho;
e) relatórios de horas trabalhadas;
f) tempos e métodos;
g) custo-padrão;
h) manuais internos;
i) instruções formais.

2.6 Aderência às Políticas Administrativas

Os principais meios que visam dar embasamento para a aderência às políticas

existentes são:

a) supervisão;
b) sistema de revisão e aprovação;
c) auditoria interna.

2.7 Controle Interno e Sistemas de Processamento Eletrônico de Dados

Com a crescente aplicação de meios eletrônicos de processamento de dados nos

sistemas de informação das instituições surgem, como conseqüência, novos
aspectos de controle interno nesses sistemas.

Os riscos da tecnologia de informação são relacionados à relevância das

informações, integridade, acesso, disponibilidade e infra-estrutura.

No contexto de controle interno devem ser observados pelo auditor interno:

a) ambiente geral de informática;

b) sistemas em desenvolvimento;
c) softwares de apoio;
d) custo e produtividade no ambiente de informática;
e) sistemas em produção;
f) planos de contingência;
g) segurança de informações;
h) aquisições de pacotes;
i) extração e análise de dados;
j) software de controle de acesso;
k) redes de computadores;
l) telecomunicações.

10
 martinelli
auditores

2.8 Relação Custo x Benefício

O controle interno adequado é aquele estruturado pela administração e que possa

propiciar uma razoável margem de garantia que os objetivos e metas serão atingidos
de maneira eficaz, eficiente e com a necessária economia.

Razoável margem de garantia traduz-se na definição de um conjunto de medidas

efetivas e a custos razoáveis, estabelecidas para evitar desvios ou restringi-los a um
nível tolerável.

Isso significa que erros e procedimentos ilegais ou fraudulentos serão evitados e, na

sua ocorrência, serão detectados e corrigidos dentro de curto prazo, pelos
funcionários, como parte de suas funções habituais.

Medidas de efetividade e de custos razoáveis são a decorrência do conceito de

comparar o valor do risco ou da perda potencial contra o custo do controle
respectivo.

Controles eficientes permitem cumprir os objetivos de maneira correta e tempestiva

com a mínima utilização de recursos.

2.9 Erro e Fraude

A eficiência do sistema de controle interno deve permitir detectar não somente

irregularidades ou atos intencionais, como também, erros ou atos não intencionais.

Esses erros podem ser:

a) de interpretação;
b) de omissão;
c) de má aplicação de norma ou procedimento.

As fraudes classificam-se em:

a) não encobertas (controle interno fraco);

b) encobertas temporariamente (registros auxiliares alterados);
c) encobertas permanentemente (registros auxiliares e contábeis alterados)

Ao realizarem seus exames, os auditores internos devem estar conscientes da

possibilidade de existirem fraudes ou erros nos registros que examinam. Devem,
portanto, examinar com acurado zelo profissional os meios usados para proteger o
patrimônio contra os diversos tipos de danos decorrentes de roubo, fraude,
atividades ilegais ou atentatórias a esse patrimônio, assim como sua segurança
contra mau uso, intempéries, incêndios e situações similares.

11
 martinelli
auditores

Os auditores internos devem ter conhecimentos técnicos sobre os sistemas e

procedimentos da organização, bem como sobre os tipos e características básicas
de fraude ou erros possíveis de ocorrerem na área de atividades de seus exames.
Devem, ainda, ser capazes de identificar os indícios de possíveis ocorrências de
fraudes ou riscos de atos atentatórios, aqui incluídos os erros, ao patrimônio da
organização.

A NBC T 12, item 12.1.4, conceitua fraude e erro, como segue:

“O termo ‘fraude’ aplica-se a atos voluntários de omissão e

manipulação de transações e operações, adulteração de
documentos, registros, relatórios e demonstrações contábeis, tanto
em termos físicos quanto monetários.

O termo ‘erro’ aplica-se a atos involuntários de omissão, desatenção,

desconhecimento ou má interpretação de fatos na elaboração de
registros e demonstrações contábeis, bem como de transações e
operações da Entidade, tanto em termos físicos quanto monetários.”

A prevenção desses riscos compreende as medidas tomadas pela administração por

meio de um sistema contábil adequado e um controle interno eficaz, a fim de
desencorajar sua perpetração e limitar sua possibilidade de ocorrência. A adoção de
controles que previnam a ocorrência de fraudes contra o patrimônio, ou permitam
detectá-las quando ocorrem, é responsabilidade tanto gerencial quanto diretiva. A
constatação da existência de fraudes contra o patrimônio é responsabilidade da
administração, mediante a estrutura de controle por ela determinada.

Os exames da Auditoria Interna têm, entre outros, o escopo de assessorar a

administração na prevenção de fraudes, porquanto são efetuados com bases em
testes, de tamanho e periodicidade apropriados. Se o auditor tivesse a
responsabilidade específica de descobrir todas as fraudes, teria de ampliar seu
trabalho a tal ponto que seu custo poderia vir a se tornar proibitivo. Assim mesmo,
ele não poderia garantir que todos os tipos de fraude teriam sido descobertos, ou
que nenhuma outra existisse, porque as transações não-contabilizadas, as fraudes
em custeio e as falsificações não seriam necessariamente descobertas.

O erro decorre de atos involuntários de omissão, desatenção, desconhecimento ou

má interpretação de fatos na elaboração dos registros contábeis e demonstrações
contábeis, bem como da deficiência no cumprimento dos controles internos.

12