Controlo interno

Da Thinkfn

O controlo interno é um conjunto de procedimentos implementados pela gestão, com o objectivo de valorar e planear a organização e todos os métodos e medidas adoptados numa entidade a fim de reforçar e melhorar a eficácia e eficiência na utilização de recursos, salvaguardar os activos, verificar a fiabilidade, exactidão e fidedignidade da informação financeira, o cumprimento das leis e normas contabilísticas e promover a eficácia operacional. Ou seja, é uma actividade que procura garantir as boas práticas de gestão e procedimentos e o cumprimento das políticas estabelecidas pela gestão.

Objectivos do controlo interno

Controlo interno administrativo e contabilístico

Em 1972, o American Institute of Certified Public Accountants (AICPA), redefiniu o conceito de controlo interno, nomeadamente do controlo administrativo e do controlo contabilístico através da “Statement on Auditing Procedure” (SAP) n.º 54, intitulado “The auditor’s study on evaluation of internal control”. [1]

A SAP nº 54 define:

  • Controlo administrativo como um plano de organização, procedimentos e registos relacionados com os processos de decisão que conduz à autorização das transacções pela gestão.
  • Controlo contabilístico como um plano da organização, procedimentos e registos relacionados com a salvaguarda dos activos e a confiança nos registos financeiros que, consequente, são elaborados no sentido de proporcionar um certeza razoável acerca de:
    • As transacções executadas de acordo com uma autorização geral ou específica da gestão;
    • As transacções são registadas de forma 1) a permitir a preparação das demonstrações financeiras em conformidade com os princípios contabilísticos geralmente aceites; e 2) a manterem o registo contabilístico dos activos.
    • O acesso aos activos é apenas permitido através de autorizacao da gestão; e
    • O registo contabilístico dos activos é comparado, em intervalos de tempos razoáveis, com os activos existentes e medidas apropriadas são tomadas sempre que quaisquer diferenças sejam verificadas.

Controlo interno de acordo com o IIA

O Institute of Internal Auditors (IIA) preconiza nas Standards for the Professional Practice of Internal Auditing(Normas):

  • Norma 100 - Independência - “Os auditores internos devem ser independentes da actividade que auditam”;
  • Norma 200 – Proficiência profissional – “A auditoria interna deve ser realizada com a devida proficiência e cuidado profissional”.
  • Norma 300 – Âmbito de trabalho – “O âmbito da auditoria interna deve conter a examinação e avaliação da adequação e eficiência do sistema de controlo interno da entidade e a qualidade do desempenho na realização das actividades atribuídas”.
    • Dentro deste âmbito, a IIA identificou cinco objectivos primordiais do controlo interno:
      • “Confiança e integridade na informação” – deve ser adequada, segura e oportuna;
      • “Conformidade com as políticas, planos, procedimentos, leis e regulamentos”;
      • “Salvaguarda dos activos”;
      • ” Utilização económica e eficiente de recursos”;
      • ” Realização dos objectivos estabelecidos para as operações ou programas”.
  • Norma 400 – Desempenho do trabalho – “O trabalho de auditoria deve incluir um plano de auditoria, exame e avaliação da informação, comunicação dos resultados e posterior acompanhamento”.
  • Norma 500 - Gestão do departamento de auditoria interna – “O director da auditoria interna deve controlar adequadamente o departamento de auditoria interna”.

Em Julho de 1983, o IIA, adicionalmente, avançou com o entendimento do controlo através da Statement on Internal Auditing Standards (SIAS) N.º 1 - "Control: Concepts and Responsibilities". A SIAS N.º 1 é interpretação suplementar das Normas, fornecendo uma definição para controlo interno e clarificando as regras dos intervenientes no estabelecimento, manutenção e avaliação do controlo.

Posteriormente, em 1985, o IIA publicou um “white paper” criado pela “Task Force on Control” (o mesmo grupo que desenvolveu a aludida SIAS N.º 1). Essa monografia, “Control: Its Meaning and Implications for the Professional Pratice of Internal Auditng”, proporcionou uma maior fundamentação lógica dos principais conceitos emanados pela SIAS N.º1, assim como uma maior definição das definições e conceitos de controlo.

Controlo interno de acordo com a COSO

Em 1992, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) elaborou um estudo extensivo sobre o controlo interno. COSO definiu o controlo interno como “um processo, efectuado por pessoas da direcção, da gestão e outro pessoal, designado para fornecer uma razoável certeza acerca do cumprimento dos objectivos” em três categorias:

  • Eficiência e eficácia (rendimento) das operações;
  • Confiança nas demonstrações financeiras
  • Conformidade com as leis e regulamentos.

Posteriormente, a COSO estabeleceu que o controlo interno consiste nos seguintes objectivos:

  • Ambiente de controlo;
  • Avaliação de risco;
  • Actividades de controlo, informação e comunicação e motorização dos controlos.

Controlo interno de acordo com a AICPA

Nos Estados Unidos da América, em 1995, a AICPA estabeleceu esta definição de controlo interno na SAS n.º 78 (AICPA 1995).[2]

Controlo interno de acordo com a ISA

A ISA 315, que vem estabelecer normas relativamente à obtenção de compreensão sobre a entidade e o seu ambiente, nomeadamente "o seu controlo interno e avaliar os riscos de distorção material numa auditoria de demonstração financeira", compreende, quanto ao controlo interno, os seguintes cinco componentes:

  • O ambiente de controlo;
    • "O ambiente de controlo inclui as atitudes, conhecimento, e acções da gerência e dos encarregados da governação respeitantes ao controlo interno da entidade e a sua importância na entidade. O ambiente de controlo também inclui as funções de governação e de gerência e estabelece o tom de uma organização, ao influenciar a consciência de controlo das suas pessoas. É o fundamento para controlo interno eficaz, proporcionando disciplina e estrutura." (Apêndice 2 - ISA 315)
    • Engloba os seguintes elementos:
      • Comunicação e reforço de integridade e valores éticos;
      • Compromisso de competência;
      • Participação pelos encarregados da governação;
      • Filosofia da gerência e estilo operacional;
      • Estrutura organizacional;
      • Atribuição de autoridade e responsabilidade;
      • Políticas de recursos humanos e práticas.
  • O processo de avaliação de risco da entidade;
    • "O processo de avaliação do risco da entidade é o seu processo para identificar e responder a riscos e a respectivas consequências. Para finalidades de relato financeiro, o processo de avaliação de risco da entidade inclui como a gerência identifica os riscos relevantes à preparação de demonstrações financeiras que apresentem uma imagem verdadeira e apropriada (ou apresentem apropriadamente, em todos os aspectos materiais) de acordo com a estrutura de relato financeiro aplicável à entidade, estime o seu significado, avalie a probabilidade da sua ocorrência e decida sobre as acções para geri-las. (...) Os riscos relevantes ao relato financeiro incluem eventos e circunstâncias externos e internos que possam ocorrer e adversamente afectar a capacidade de uma entidade iniciar, registar, processar e relatar dados financeiros consistentes com as asserções da gerência nas demonstrações financeiras." (Apêndice 2 - ISA 315)
    • Os ricos podem surgir ou alterar-se devido a: Alterações no ambiente operacional; novo pessoal; sistemas de informação novos ou revistos; rápido crescimento; tecnologia nova; modelos de negócio, produtos ou actividades novos; reestruturações de sociedades; expansão de unidades operacionais no estrangeiro; novas tomadas de posição contabilísticas.
  • O sistema de informação, incluindo os processos de negócio relacionados, relevantes ao relato financeiro e comunicação;
    • "O sistema de informação relevante aos objectivos de relato financeiro, que inclui o sistema de relato financeiro, consiste dos procedimentos e registos estabelecidos para iniciar, registar, processar e relatar as transacções da entidade (assim como eventos e condições) e para manter responsabilidade perante, pelos activos relacionados, passivos e capital próprio (...) A comunicação envolve proporcionar compreensão dos papéis individuais e responsabilidades relacionados com o controlo interno para além do relato financeiro. Isso inclui a extensão até que o pessoal compreende como as suas actividades no sistema de informação de relato financeiro se relacionam com o trabalho de outros e os meios de relatar excepções a um nível mais elevado apropriado dentro da entidade. Canais de comunicação abertos ajudam a assegurar que excepções são relatadas e sobre as quais se agiu." (Apêndice 2 - ISA 315)
    • Os manuais de políticas, contabilidade e de relato, memorandos e acções da gestão, são um forma de comunicação que seja feita seja electrónica, oralmente ou pelas próprias acções da gestão.
  • Actividades de controlo;
    • "As actividades de controlo são as políticas e procedimentos que ajudam que as directivas da gestão sejam levadas a efeito." (Apêndice 2 - ISA 315)
    • As mais relevantes podem ser classificadas como políticas e procedimentos que se relacionam com revisões de desempenho; processamento de informação; controlos físicos; e segregação de deveres.
  • Monitorização de controlos.
    • "A monitorização de controlos é um processo de avaliar a qualidade do desempenho do controlo interno no decorrer do tempo. Envolve avaliar a concepção e operação de controlos numa base tempestiva e tomar acções correctivas necessárias. A monitorização é feita para assegurar que os controlos continuam a operar com eficácia (...) As actividades de monitorização podem incluir usar informação provinda de comunicações de partes externas que podem indicar problemas ou salientar áreas com necessidade de melhoramento. Os clientes corroboram implicitamente os dados de facturação ao pagar as suas facturas ou reclamar acerca dos seus encargos. Adicionalmente, os reguladores podem comunicar com a entidade no que respeita a questões que afectem o funcionamento do controlo interno, por exemplo, comunicações respeitantes a exames por agências reguladoras de bancos. Também, a gerência pode considerar comunicações relacionadas com o controlo interno provindas de auditores externos ao executarem actividade de monitorização." (Apêndice 2 - ISA 315)

Esta divisão nestes cinco componentes permite ao auditor considerar como é que cada um destes cincos aspectos do controlo interno de uma entidade pode afectar a auditoria.

Limitações e distorções do controlo interno

Por muito bem que esteja implementado, estruturado, desenvolvido e mantido o processo de controlo interno não significa que o mesmo permita oferecer uma razoável certeza acerca do cumprimento dos objectivos acima enunciados, nomeadamente no que respeita a eficiência e eficácia (rendimento) das operações, confiança nas demonstrações financeiras e conformidade com as leis e regulamentos. Isto porque o risco de ocorrência de irregularidades, fraudes e distorções não deixa de existir apenas porque foi estabelecido um sistema de controlo interno, na medida em que existem diversos factores que podem distorcer e limitar todo o processo; tais como:

  • Fraude;
    • O conluio de diversas pessoas (internas ou externas à empresa), nomeadamente aquelas com cargos de maior responsabilidade na gestão, na prática de actos fraudulentos podem ser difíceis de detectar, principalmente quanto maior for o nível hierárquico dos intervenientes.
    • A falta de integridade moral e idoneidade não pode ser suprimida por nenhum sistema de controlo.
  • A existência de erros humanos;
    • A falta de competência, compreensão e capacidade dos colaboradores para desenvolver a actividade controlo interno torná-lo-á falível, independentemente da sua robustez e sofisticada tecnologia.
  • Falta de cultura de gestão relativamente à necessidade de controlo interno;
    • Por vezes a gestão, mais preocupada com a contenção de custos e na ausência de uma cultura de gestão de controlo, não encontra motivação para a implementação de um bom sistema de controlo interno e nem promove acções nesse sentido, outras vezes é porque a própria gestão não esta interessada em garantir que a informação prestada aos accionistas e restantes [stakeholder]s não seja integra, verdadeira e apropriada de forma a que eles não possam fazer um juízo fundamentado sobre o valor da entidade.
  • Rácio custo/benefício
    • A implementação de um sistema de gestão representa, necessariamente, um custo, que é preciso balancear com o benefício que pode trazer. Por vezes pode-se correr o risco de implementar um sistema em que o custo seja muito maior que o benéefício ou vice-versa. É importante pensar que é preferível correr certos riscos pela não implementação de determinados processos de controlo interno, quando estes se traduzem num custo maior que o benefício que podem trazer, do que incorrer em faltas de eficiência financeira por esta razão.
    • É necessário haver uma relação directa entre os objectivos de benefícios que a entidade pretende atingir com a implementação de um sistema de controlo interno e a segurança razoável que este poderá proporcionar.
    • Neste caso deverá fazer um juízo sobre a materialidade, complexidade das operações, dimensão e natureza da entidade e a própria natureza do negócio, para além de eventuais exigências legais e refutatórias.
  • Transacções pouco comuns à entidade;
    • Nas transacções pouco comuns à entidade, por não serem usuais, podem fugir ao crivo de um sistema de controlo interno que pode não estar preparado para lidar com as mesmas, uma vez que está pensado para outro tipo de transacções.
  • Risco informático.
    • O acesso indevido ou falhas nos meios de informática pode constituir uma falha no sistema de controlo interno.

Planeamento, recolha e registo dos sistemas de controlo interno

Um dos primeiros requisitos que o trabalho de campo requer é ser adequadamente planeado. Nesse sentido, o auditor deve efectuar um estudo e avaliação apropriada aos sistemas de controlo internos afim de determinar o grau de confiança nos mesmos. Deve considerar os métodos que a entidade usa para processar a informação contabilística no seu plano de auditoria porque esses métodos influenciam a função do controlo interno (N.º 9 da AU Section 311A - SAS nº22).

De acordo com a ISA 315, torna-se necessário ao auditor proceder ao levantamento e recolha de documentos relativamente aos elementos chave da compreensão obtida com respeito a cada um dos aspectos do controlo interno de forma a poder avaliar “os riscos de distorção material nas demonstrações financeiras, as fontes de informação das quais a compreensão foi obtida e os procedimentos de avaliação do risco, pelo que, conforme orienta a ISA 230, deverá começar por analisar:

  • Informação obtida na compreensão da entidade e do seu ambiente, incluindo o seu controlo interno, tal como o que se segue:
    • Informações respeitantes à estrutura legal e organizacional da entidade.
    • Extractos ou cópias de documentos legais, acordos ou actas importantes.
    • Informações respeitantes ao sector, ao ambiente económico e ao ambiente legislativo dentro do qual a entidade funciona.
    • Extractos do manual de controlo interno da entidade.
    • Prova do processo de planeamento incluindo programas de auditoria e quaisquer alterações a eles.
  • Prova da consideração do auditor do trabalho de auditoria interna e conclusões atingidas.
  • Análises de transacções e saldos.
  • Análises de rácios e tendências significativos.
  • Os riscos identificados e avaliados de distorção material a nível de demonstração financeira e de asserção.
  • Um registo da natureza, oportunidade e extensão dos procedimentos de auditoria de contas executados em resposta aos riscos a nível de asserção e os resultados de tais procedimentos.
  • Prova de que o trabalho executado pelos auxiliares foi supervisionado e revisto.
  • Indicação de quem executou os procedimentos de auditoria e quando os mesmos foram executados.
  • Pormenores dos procedimentos aplicados com respeito aos componentes cujas demonstrações financeiras sejam examinadas por outro auditor.
  • Cópias das comunicações trocadas com outros auditores, peritos ou terceiras entidades.
  • Cópias das cartas ou notas referentes a assuntos de auditoria comunicados a ou discutidos com a gerência ou com encarregados da governação, incluindo as condições do compromisso e os pontos fracos materiais do controlo interno.
  • Cartas de declarações recebidas da entidade.
  • As conclusões a que o auditor chegou relativas a aspectos significativos da auditoria, incluindo, se for caso disso, como foram resolvidas ou tratadas excepções ou assuntos não usuais, se existirem, divulgados pelos procedimentos do auditor.
  • Cópias das demonstrações financeiras e do relatório do auditor.

A forma e a extensão como estas questões são documentadas, depende da natureza, dimensão, complexidade da entidade, do seu controlo interno e da leitura que o auditor faça em função do seu juízo profissional. No entanto, independente da maneira como estas questões são documentadas, o auditor deve efectuar, entrevistas a quem considere necessário nas diversas secções, observar como é que se processam e são executadas as tarefas e como a documentação é tratada.

Importa, atendendo ao ¶73 da ISA 330, que o auditor documente “as respostas globais para tratar os riscos avaliados de distorção material ao nível de demonstração financeira e a natureza, tempestividade e extensão dos procedimentos de auditoria adicionais, a ligação desses procedimentos com os riscos avaliados ao nível de asserção, e os resultados dos procedimentos de auditoria.”; ou seja, é fundamental ficar com a prova (audit evidence) desse trabalho, conseguidas através de algumas técnicas comuns usadas só ou em combinação e que incluem questionários padronizados (listas de verificações) , descrições narrativas, fluxogramas e forma mista.

Fluxograma

Por exemplo, a documentação da compreensão de um sistema complexo de informação que envolva um grande volume de transacções pode incluir fluxogramas, de forma a permitir ao auditor recolher informações que lhe dêem a conhecer de uma forma geral e sintética, o modelo de sistema implantado.

Um fluxograma (flowchart) não é nada mais do que uma representação gráfica de um processo, com o recurso a uma simbologia predefinida, conhecida e geralmente aceite, em que os vários símbolos, distribuídos de forma esquemática, dispõem e representam os procedimentos contabilísticos e de controlo interno existentes em cada área operacional da empresa para determinadas transacções.

Existem dois tipos de fluxogramas, os horizontais e os verticais, cada um com as suas vantagens e desvantagens. Os primeiros dão ênfase as secções envolvidas no processo e os segundos aos documentos.

Exemplo de parte de um fluxograma vertical de procedimentos contabilísticos

Questionários padronizados

Um questionário padronizado é uma lista de controlo organizada sobre os procedimentos contabilísticos e medidas de controlo interno que se esperam cobertos numa empresa minimamente organizada.

Nessa lista de controlo (checklist) regista-se, numeradamente, a descrição do procedimento contabilístico e/ou a medida de controlo interno e verifica-se a existência do procedimento ou medida descrita, marcando, conforme o caso, a coluna “Sim” ou “Não” ou “Não aplicável” (N/A). Por fim, o auditor pode ainda fazer as observações em cada procedimento que entenda necessárias anotar.

Este tipo de questionários são apenas importantes para permitir ao auditor aferir se a empresa esta minimamente organizada, já que a forma de registo é a menos vantajosa pela falta de uma visão rapida e global.

Narrativa

Uma narrativa é uma descrição relativamente detalhada dos procedimentos contabilísticos e das medidas de controlo interno existentes em cada uma das áreas operacionais da empresa.

Esta forma de descrição se por um lado permite um registo mais pormenorizado por outro tem tendência para uma demasiada pormenorização e consequente perda de uma visão rápida e global do conjunto da área descrita e dos seus aspectos mais significativos.

Começa-se por preencher o lado esquerdo da folha que serve para registar os procedimentos e medidas em vigor à data do levantamento do sistema. O lado direito da folha só será preenchido quando forem registadas alterações ao procedimento indicado no lado esquerdo, que será rasurado, dando a seguinte redacção: “A partir da data de --/--/---- o procedimento adoptado passou a ser: …

Forma mista

A forma mista surge da necessidade de relevar determinada operação que por vezes é difícil representar apenas por fluxogramas (normalmente no caso dos fluxogramas verticais (como o apresentado em cima), ou que, mesmo que possível, o mesmo resultaria de tal forma confuso que a sua interpretação seria difícil.

O fluxograma, como apresentado na imagem acima, tem uma coluna para observações, que será utilizada para indicar a página da narrativa da respectiva descrição, quando a operação seja demasiado complexa. Assim, a operação em causa é “cortada” e descrita numa narrativa feita em folha à parte após a conclusão do fluxograma.

Efeito das tecnologias de informação no controlo interno

Como vimos, em todas as auditorias, o auditor deve ter um entendimento suficiente do controlo interno para poder planear a auditoria através da realização de procedimentos que lhe permitam entender a concepção e funcionamento dos controlos relevantes para uma auditoria às demonstrações financeiras e determinar qual o seu lugar na operação. Dentro deste entendimento, o auditor deve considerar em que medida e como é que a entidade usa as tecnologias de informação (TI)[3] e os procedimentos manuais podem afectar os controlos relevantes da auditoria.

Tal entendimento cabe na SAS N.º 94, assim como na ISA 315, que estipula que o auditor deve procurar entender os procedimentos tanto das tecnologias de informação como dos sistemas manuais, através de que forma a entidade usas as TI para iniciar, gravar, processar, corrigir quando necessário, transferir para o [livro razão] reportar as transacções para as demonstrações financeiras.

Obviamente que o propósito da auditoria não se vai alterar apenas porque esta é efectuada em ambiente de tecnologias de informação. No entanto, a verdade é a entidade que usa as TI pode ser afectada em qualquer um dos cincos elementos do controlo interno já mencionados e que são relevantes para consecução das demonstrações financeiras, operações ou cumprimento dos objectivos da entidade e das suas unidades operacionais ou funções de negocio.

O uso das IT também afecta a base e a maneira na qual as transacções são iniciadas, gravadas, processadas e reportadas. Num sistema manual, a entidade usa procedimentos manuais e registo em formato papel, que num sistema de tecnologias de informação são substituídos por procedimentos, registos, processos e relato das transacções de forma automática e electrónica.

O uso das IT permite obter potenciais benefícios de eficácia e eficiência para o controlo interno das entidades porque permite à entidade:

  • Aplicar consistentemente as regras predefinidas do negócio e realizar complexos cálculos no processamento de largos volumes de transacções ou dados;
  • Melhorar a oportunidade, disponibilidade e a exactidão da informação;
  • Facilitar análises adicionais de informação;
  • Melhorar a habilidade e capacidade para monitorizar o desempenho as actividades da empresa e as suas politicas e procedimentos.
  • Reduzir o risco que esse controlo seja logrado;
  • Melhorar a habilidade e capacidade para atingir uma efectiva segregação de funções através da implementação de controlos de segurança nas aplicações, bases de dados e sistemas operativos.

Por outro lado, o uso das IT também comporta riscos específicos para o controlo interno da entidade, incluindo:

  • Confiança em sistemas ou programas que estão a processar dados incorrectamente, a processar dados incorrectos, ou ambos;
  • Acesso não autorizado a dados que possa resultar na destruição dos dados ou alteração inapropriada dos mesmos, incluindo gravar transacções não autorizadas, inexistentes ou incorrectas;
  • Alteração não autorizada aos dados dos ficheiros principais;
  • Alteração não autorizada aos sistemas ou programas,
  • Falhas na realização de alterações necessárias aos sistemas ou programas;
  • Intervenção humana inapropriada;
  • Potencial perda de dados.

A natureza e a extensão destes riscos e benefícios para o controlo interno vão depender muito da natureza e características do sistema de informação da entidade, que o auditor deve tomar sempre em consideração.

Notas

  1. Committee on Auditing Procedure, AICPA, Statement on Auditing Procedure" N.º 54. A FCPA estabeleceu "the accounting control provisions" na SAP N.º 54.
  2. Auditing Standards Board, AICPA, Statement on Auditing Standards N.º 78, "Consideration of Internal Control in a Financial Statement Audit: An Amendment to SAS No. 55" (1995).
  3. De acordo com a SAS 94, "as tecnologias de informação envolvem os meios automáticos de originar, processar, armazenar e comunicar informação e inclui dispositivos de registo, sistema de comunicação, sistemas de computador (incluindo componentes de hardware e software e dados), e outros dispositivos electrónicos. O uso das TI por uma identidade pode ser vasto; no entanto, o auditor esta primeiramente interessado em saber como é que a entidade usa as IT para iniciar, gravar, processar e reportar as transacções ou outro tipo de dados financeiros."

Fontes