Auditoria Interna e Controlo Interno

AUDITORIA INTERNA E
CONTROLO INTERNO
Sónia A Cristina
Um sistema integrado de informação de controlo de gestão é um processo que
deve atravessar toda a empresa, desde a simples recolha de dados até ao
planeamento estratégico.
Cada vez mais a informação é um fator chave para o sucesso de qualquer

empresa. No entanto, sendo ela cada vez mais abundante, a problemática que
surge é: quais as melhores práticas a aplicar no tratamento de dados?
Um sistema integrado de informação de controlo de gestão, vulgarmente

conhecido como Controlo de Gestão, é um conjunto de métodos, técnicas e
ferramentas que visam resolver este problema.
Trata-se de propor um meio para a recolha e análise coerente da grande

quantidade de dados gerados todos os dias no ambiente da empresa.
P003
A elaboração de relatórios de gestão é um aspeto. Mas apenas um aspeto, já
que o controlo deve estender-se a toda a empresa. Apesar de uma das
características do controlo ser o “domínio”, o controlo de gestão não deve ser
entendido como a capacidade de impor regras coercivas à organização, mas
como um meio para detetar – com a maior brevidade possível – qualquer
anomalia no funcionamento da empresa para que se possa agir imediatamente,
aplicando medidas corretivas.
P003
Regras básicas para a implementação de um sistema de controlo de gestão numa organização:
• Estimular os gestores;
• Enriquecer as suas decisões;
• Dar-lhes apoio na análise dos resultados e na preparação dos planos.
O controlo de gestão pode ser exercido de variadas formas numa organização, mas importa refletir no quão
importante é não deixar nenhuma área da empresa de forma deste âmbito: stocks, produção, vendas, etc
não podem, nem devem deixar de ser monitorizadas consistentemente. Contudo, para que se possa
monitorizar (controlar) é necessário poder comparar (benchmark). É aqui que entram as noções
indissociáveis do sistema de controlo, planeamento, previsões e orçamento – Quem é responsável
(responsabilização)?
Confira as características de um Controlo de Gestão eficaz:

Definir os indicadores relevantes a cada área da empresa;
Escolher os responsáveis que terão que responder pelos desvios;
Definir (de forma realista) quais os valores de comparação e os desvios aceitáveis;
Estabelecer um meio de informar rapidamente o responsável para que ele possa atuar.
P003
Relatório COSO II - Enterprise Risk Management
Em 2004, o COSO publicou o COSO II -Enterprise Risk

Management (ERM), com a colaboração da Price Water
House Coopers com vista ao desenvolvimento de um
modelo que permitisse ajudar os gestores na avaliação e
melhoria da gestão de risco das suas organizações.
O ERM vai para além do sistema de controlo interno (CI),

promovendo uma focalização mais forte e abrangente na
Gestão de Risco Empresarial, aumentando assim a
segurança e a credibilidade do mercado.
Contudo, não substitui o modelo de CI desenvolvido pelo

COSO I, mas incorpora-o, proporcionando que as
organizações utilizem este modelo com vista a
satisfazerem as necessidades do seu sistema de CI,
progredindo para um processo com a integração da
gestão de risco no controlo interno.
No quotidiano, as organizações enfrentam uma multiplicidade de riscos,
desafios e incertezas, sendo o grande desafio da Gestão determinar qual o
nível de risco que a empresa está disposta a aceitar (risco aceitável).
Nem todos os riscos têm o mesmo nível de importância/criticidade. A ERM

permite aos gestores identificar, avaliar e gerir os riscos de acordo com as
incertezas, focando-se nos riscos cujo impacto seja maior (positivo ou
negativo), com o objetivo de criar valor para os stakeholders.
Há uma interligação direta entre os objetivos, que uma organização está

disposta a alcançar, e os componentes da ERM,que representam aquilo
que é indispensável para a sua consecução. Esta interligação é
apresentada através de uma matriz tridimensional em forma de cubo,
podendo ser ilustrada na forma de um cubo, como apresenta a
Figura.
Modelo de Gestão de Riscos
COSO 2004
Fonte: COSO, 2007.
As quatro categorias de objetivos empresariais
(estratégicos, operacionais, de comunicação e
conformidade) estão exibidas no topo do cubo.
Os oito componentes são apresentados nas

linhas horizontais (mais 3 componentes, que o
COSO I, sendo estas:
Definição de objetivos;
Identificação de eventos e Resposta ao risco)
e a estrutura organizacional na terceira
dimensão.
Essa representação ilustra a capacidade de

manter o enfoque na totalidade da ERM de uma
organização, ou na categoria de objetivos,
componentes, estrutura organizacional ou
qualquer um dos subconjuntos (COSO, 2007).
De acordo com este modelo, os componentes de gestão
caracterizam-se por:
Ambiente Interno
Contexto ou ambiente em que as organizações funcionam,

com objetivos a atingir e meios a serem utilizados para esse
fim. Abrange a filosofia de gestão de risco, o apetite pelo risco,
a integridade e os valores éticos.
Definição de Objetivos
Os objetivos devem existir antes que a administração possa

identificar os eventos negativos ou positivos. É uma pré-
condição para a identificação dos riscos, para a sua avaliação
e formulação das respostas possíveis de serem
implementadas.
Identificação de Eventos
Consiste na identificação dos fatores internos e externos, com

capacidade para afetar a estratégia e os seus objetivos e
serem identificados como oportunidades ou riscos.
Avaliação de Riscos
Os riscos são avaliados, considerando-se a sua probabilidade e o impacto como base para
determinar o modo pelo qual deverão ser tratados. A gestão avalia a situação como risco inerente
ou risco residual.
Risco Inerente: aquele em que a organização incorre na ausência de medidas preventivas ou de

correção, e que varia de acordo com a natureza das operações.
Risco Residual: nível do risco remanescente, após as ações empreendidas pela gestão com o intuito
de minimizar o impacto e a probabilidade de uma ocorrência adversa, incluindo as atividades de
controlo para face ao risco (IIA,2009).
Os riscos são considerados mediante a probabilidade de ocorrência de acontecimentos e as suas

consequências ou impactos.
Na análise dos riscos, é possível utilizar uma
análise quantitativa ou uma análise qualitativa.
Análise Qualitativa: ordenação dos riscos

através da avaliação e combinação da
probabilidade de ocorrência e impacto.
Análise Quantitativa: observação numérica dos

efeitos dos riscos identificados nos objetivos
gerais.
Resposta aos Riscos
A resposta deve ser dada considerando a probabilidade

de ocorrência, e o efeito/impacto do risco, assim como os
respetivos custos e benefícios. A resposta pode ser:
Evitar: descontinuar as atividades que geram riscos,

podendo envolver o abandono de linhas de produção ou
segmentos de mercado;
Reduzir: adotar medidas para reduzir a probabilidade ou o

impacto dos riscos;
Transferir: redução da probabilidade ou do impacto dos

riscos pela transferência ou partilha de uma fração do
risco, através, por exemplo, de seguros, operações de
cobertura, outsourcing;
e
Aceitar: nenhuma medida é adotada para afetar a
probabilidade ou o grau de impacto dos riscos.
Aceitar indica que nenhuma opção de resposta foi encontrada
para minimizar o impacto e a probabilidade a um nível
aceitável. Reduzir e partilhar diminuem o risco residual a um
nível compatível com as tolerâncias desejadas de risco, por
sua vez, evitar aponta para que o risco inerente já esteja
dentro da tolerância ao risco.
Controlo das atividades
Constituída pelas políticas (o que deve ser feito) e

procedimentos (a forma como deve ser feito) estabelecidos e
implementados para assegurar que as respostas aos riscos
sejam executadas com eficácia.
Informação e comunicação
As informações pertinentes deverão ser identificadas e

comunicadas, no devido prazo.
Monitorização
A monitorização é realizada através de atividades de gestão

contínuas ou avaliações independentes ou de ambas as
formas.
Criticas ao COSO ERM 2004
• Não há a mínima atenção às partes

interessadas externas e às suas necessidades e/ou
expectativas; o COSO ERM parece estar voltado
principalmente para o público interno, mas as partes
interessadas externas são fundamentais;
• O COSO ERM confunde processo de gestão de

risco com a estrutura de gestão de risco, facto que explica
a difícil compreensão e aplicação da norma;
• A norma refere os riscos cuja evolução é

rápida e discrimina os riscos considerados em evolução
mais lenta, como por exemplo as mudanças demográficas
da população;
• O risco é associado a um aspeto negativo cuja

ocorrência trará desvantagens não sendo dada grande
relevância aos riscos que poderão ser positivos,
nomeadamente em oportunidades de negócios
inexploradas ou em ascensão.
COSO ERM - Integrating with Strategy and
Performance
Em junho de 2017 é apresentada uma nova

versão, o relatório COSO ERM - Integrating with
Strategy and Performance, em que se destaca a
importância de considerar os riscos, tanto no
processo de definição da estratégia, quanto na
condução no desempenho da sua execução pela
organização.
Esta nova publicação advém da evolução do

risco para atender às demandas de um
ambiente de negócios em evolução.
As organizações necessitam de se adaptar à

constante volatilidade e complexa ambiguidade
global.
Na definição de um processo estratégico, quanto
maior é a dimensão da organização mais difícil se
torna em delinear a sua aplicabilidade, pois este é
um processo complexo.
Dado que as organizações com maiores

oportunidades de crescimento enfrentam maior
incerteza, é requerida uma gestão do risco mais
cuidada para controlar os riscos com que se
deparam, mas também para orientar o seu
crescimento na direção apropriada, com base no
impacto das várias oportunidades associadas ao
risco.
Na decomposição dos objetivos estratégicos em

objetivos operacionais, é necessário atribuir
responsabilidades, mas também recorrer a uma
entidade independente, para avaliar e garantir que
esses objetivos definidos estão de acordo e vão ao
encontro da estratégia definida.
O relatório COSO (2017) esclarece que a ERM não é uma função ou departamento.
É constituído pela cultura, capacidades e práticas que a organização integra com a

definição de estratégia e aplicam-se quando são desenvolvidas nessa estratégia, com
objetivo de a gestão de risco criar, preservar e realizar valor.
COSO ERM - Integrating with Strategy and Performance Fonte: COSO, 2017
Governação e Cultura
A cultura incide sobre os valores éticos, comportamentos

desejados e compreensão do risco na entidade. A
organização estabelece a importância de instituir
responsabilidades de supervisão para a gestão de risco.
Estratégia e definição de objetivos
Gestão de risco, estratégia e definição de objetivos de

trabalho em conjunto no processo de planeamento
estratégico. O apetite pelo risco estabelecido é alinhado
com a estratégia de negócio.
Desempenho
Riscos que podem afetar a realização da estratégia e

negócio. Os riscos são ordenados por gravidade no
contexto do apetite pelo risco. A organização seleciona as
respostas a dar ao risco.
Análise e Revisão
Ao analisar o desempenho da organização, uma

organização pode considerar os componentes de gestão
de risco, ao longo do tempo e à luz de mudanças
substanciais, em que são necessárias revisões.
Informação, Comunicação e Relatórios
A gestão de risco é um processo contínuo de obtenção e

partilha de informações necessárias, tanto de fontes
internas como externas, por toda a organização.
As cinco componentes do quadro foram complementadas

por um conjunto de 20 princípios, que descrevem práticas
que podem ser aplicadas de maneiras diferentes, para os
diferentes tipos de organização, independentemente do
seu tamanho, tipo ou sector.
Conceitos e importância da Auditoria
Evolução histórica da Auditoria Interna
Modalidades e funções da auditoria
Objetivos e alcance da auditoria interna

ENQUADRAMENTO DA AUDITORIA INTERNA
Conceito
De acordo com a definição do Institute of Internal Auditors (IIA), “a auditoria interna é uma atividade
independente, de avaliação objetiva e de consultoria, que tem como objetivo acrescentar valor e
melhorar as operações de uma organização.
Ela pretende ajudar a organização na prossecução dos seus objetivos através de uma abordagem
sistemática e disciplinada, na avaliação da eficácia da gestão de risco, do controlo e dos processos
de governação”.
Existem diversos tipos de auditoria, os quais de um modo geral têm a designação constante do quadro
abaixo consoante o seu objeto, a finalidade, o âmbito, a extensão, a periodicidade e o agente
executante.
Função
A auditoria interna é uma função contínua, completa e independente, desenvolvida
na organização, por pessoal desta ou não, baseada na avaliação do risco, que
verifica a existência, o cumprimento, a eficácia e a otimização dos controlos internos
e dos processos de governação, ajudando-a a atingir os seus objetivos.
Resumindo, a auditoria interna assume a função primordial de supervisão da gestão

de risco, dos controlos e dos processos de governação. É uma atividade de grande
importância estratégica que contribui diretamente para o fortalecimento da gestão
organizacional.
A organização possui um conjunto de necessidades às quais apenas a auditoria pode dar a resposta
adequada como, por exemplo:
• Informar periodicamente a Direção do grau de execução dos objetivos e metas da organização;

• Dar a conhecer à Direção se os controlos internos estabelecidos são suficientes para reduzir o
risco de ocorrência de distorções materialmente relevantes, assim como salvaguardar os bens
patrimoniais da organização e a sua utilização adequada;
• Garantir à Direção que as políticas, procedimentos, planos e controlos estabelecidos são os
adequados e estão efetivamente a ser implementados;
• Analisar de forma sistemática se todas as transações ocorridas estão devidamente relevadas
contabilisticamente e se os registos efetuados correspondem efetivamente a transações realizadas;
• Saber se a informação, obtida através do sistema de informação da entidade, é útil, oportuna,
completa, precisa e fiável;
• Garantir que a gestão do risco é suficientemente eficaz para a concretização dos objetivos
fixados para a organização.
As principais funções da auditoria interna podem ser subdivididas
em:
Função de apoio à Função de apoio à

Função de vigilância do gestão de risco e
Direção sistema de controlo processos de
• Reconhece-se
expressamente que a governação
função auditoria •A atividade de auditoria interna •a auditoria interna deverá
deve proporcionar à Direção
interna acrescenta informação sobre a eficácia do
verificar se a metodologia
adoptada para implementar o
valor à organização controlo interno. O auditor processo de gestão de risco é
interno converte-se num entendida pelos diferentes
elemento chave de grupos de interesses envolvidos
monitorização deste sistema. na governação da entidade.
•A sua principal
responsabilidade é dotar a
Direção de uma ferramenta de
controlo, mediante a
identificação dos pontos fracos
da entidade, emitindo um
relatório de diagnóstico.
A atividade de auditoria interna tem uma visão integrada, focalizada na:
• Concretização das práticas de boa gestão

• Sustentabilidade da entidade;
• Salvaguarda da sua imagem
• Aferição da eficácia dos procedimentos de gestão de risco e das
metodologias aplicadas para a sua valorização.
A auditoria interna visa entre outros
aspetos:
• Analisar e avaliar a segurança, adequação e aplicação de todos os sistemas de

controlo, não só existentes mas também que venham a ser propostos no quadro da
organização;
• Verificar o nível de concordância das operações e programas com as políticas
estabelecidas, planos e legislação relevante;
• Determinar a eficácia com que os ativos estão salvaguardados de perdas;
• Verificar a exatidão e segurança da informação estratégica para a gestão;
• Verificar a integridade e fiabilidade dos sistemas estabelecidos para assegurar a
observância das políticas, metas, planos, procedimentos, leis, normas e regulamentos,
assim como a sua efetiva utilização;
• Analisar as operações do ponto de vista da economia, eficácia e eficiência.
A atividade de auditoria interna
deve pautar a sua atuação pelas
seguintes linhas orientadoras:
Ser prospetiva – ter uma visão para o futuro e encarar a
organização como um meio onde existe um conjunto de relações,
que visa atingir os objetivos organizacionais;
Ser dinâmica – não adotar uma atitude de passividade, gerindo o

plano de auditoria em função dos riscos identificados;
Ser participativa – deve participar no sentido de partilhar as

recomendações e as propostas de melhoria dos procedimentos
de controlo, para redução do risco inerente e melhoria da gestão;
Ser evolutiva – deverá evoluir na forma de execução das ações,

tanto na forma de abordagem como na utilização dos meios para
atingir os objetivos preconizados para a atividade.
Ser pedagógica – deverá encarar a sua atividade como parte

integrante da organização e respeitar a opinião dos funcionários,
formulando recomendações úteis e implementáveis;
Controlo Interno
O controlo interno é um processo integrado,

efetuado pela gestão ou outra entidade da
organização, e é concebido para a adequada
Controlo gestão do risco organizacional e para
proporcionar um grau de confiança razoável na
Interno
concretização da missão da entidade e dos
seguintes objetivos:
• Eficácia e eficiência das operações;

• Fiabilidade da informação financeira;
• Cumprimento das leis e normas
estabelecidas
O controlo interno é um processo integrado na medida em que é
constituído por um conjunto de ações que envolve todas as atividades e tarefas
da entidade, utilizado como um meio para atingir um fim e não um fim em si
mesmo.
É, também, um processo integrado, dinâmico e permanentemente adaptável às

alterações com que a organização se venha a deparar.
A gestão e os colaboradores a todos os níveis têm que estar envolvidas neste

processo para lidar com o risco e assegurar a concretização da missão da
entidade e dos seus principais objetivos.
É concebido e realizado por pessoas, não constituindo apenas um conjunto de
políticas e documentos mas, também, de pessoas em cada nível da organização
pelo que afeta a atuação de todos os elementos da organização.
Mesmo estando bem concebido, o controlo interno não confere a garantia absoluta
à gestão acerca da concretização da missão e dos objetivos traçados, pois visa
assegurar uma confiança razoável, assumindo um risco tolerável pela organização.
É implementado para contribuir para a concretização de todos os objetivos, tanto

gerais como específicos, os quais devem ser coerentes e consistentes, nas
diferentes categorias.
O sistema de controlo interno deve gerar um ambiente de controlo interno forte, o qual
assenta em três fatores essenciais:
• Integridade;
• Valores éticos;
• Competência das pessoas.
Para a criação de um ambiente de controlo interno sólido é, também, fundamental
que exista:
• Uma definição clara dos objetivos e planos da organização;
• Uma estrutura organizativa sólida que:
Possua uma adequada segregação de funções;
Facilite o fluxo de informação;
Possua uma estrutura orgânica adequada para um controlo eficaz.
• Procedimentos efetivos e documentados;
• Um sistema de autorização e de registo que defina claramente o limite das
autoridades e responsabilidades associadas ao controlo interno e os níveis de
reporte;
• Um compromisso de qualidade e competência, através da definição clara das
tarefas, da formação e da supervisão;
• Integridade e divulgação dos valores éticos;
• Definição e implementação de metas realistas e incentivadoras;
• Empenho em combater práticas incorretas e comportamentos reprováveis ou
nocivos para a organização.
São vários os tipos de controlo que devem fazer parte de qualquer sistema de
controlo interno, os quais se adequam às necessidades de controlo das organizações.
Neste sentido, pode dizer- se que existem controlos de prevenção, que são controlos a
priori, uma vez que têm como objetivo prevenir a ocorrência de fatos ou
acontecimentos indesejáveis. Já os controlos de deteção são controlos a posteriori, ou
seja, a sua finalidade é detetar qualquer tipo de fato indesejável que já tenha ocorrido
e corrigir os seus efeitos negativos.
Além destes, existem também os chamados controlos diretivos cuja missão é

contribuir ativamente para a ocorrência de fatos desejáveis, ou seja, encorajar, fazer
com que esses fatos aconteçam, isto porque uma orientação positiva evita que
ocorram fatos indesejáveis.
Existem, também, os controlos corretivos que servem para proceder à retificação de

qualquer tipo de problema identificado. Finalmente, existem os controlos
compensatórios, os quais, como o próprio nome indica, funcionam como forma de
compensação em relação a eventuais fraquezas ao nível do sistema de controlo que
possam existir em outras áreas de atividade.
Além destes tipos de controlos internos, existe também um conjunto de métodos de
controlo interno que podem ser implementados aquando da criação e/ou
reformulação do sistema de controlo interno e que são basicamente os seguintes:
• Controlos administrativos: exercício de autoridade, estrutura orgânica, poder de

decisão e descrição de tarefas;
• Controlos operacionais: planeamento, orçamento, contabilização e
sistemas de informação, documentação, autorização, políticas, procedimentos e
métodos;
• Controlos para a gestão dos recursos humanos: recrutamento e seleção,
orientação, formação e desenvolvimento e supervisão;
• Controlos de revisão e análise: avaliação do desempenho, análise interna das
operações e programas, revisões externas e outros;
• Controlos das instalações e equipamentos: inspeção das instalações e
equipamentos.
Avaliação do Controlo Interno
Qualquer entidade que pretenda ser bem sucedida tem que identificar,
acompanhar e controlar a realização dos seus objetivos, criando um sistema de
controlo interno eficaz, sujeito a permanente avaliação, a qual está sempre
associada à avaliação do risco. Esta poderá permitir:
• Estabelecer prioridades de controlo das atividades;

• Apresentar o custo efetivo;
• Evitar que a avaliação do controlo se envolva em processos morosos de
análises e verificações inúteis.
É fundamental proceder a uma avaliação do controlo interno para se poder

elaborar um plano ou programa de auditoria e para que se possa aferir o grau de
confiança dos registos e respetiva documentação de suporte, a fim de determinar:
• A natureza ou seleção dos procedimentos de auditoria a utilizar;

• O período em que estes deverão ser aplicados;
• O alcance ou extensão dos procedimentos.
A avaliação do controlo interno por parte do auditor é constituída pelas seguintes
fases:
• Descrição do sistema, para verificar a sua eficácia e se os procedimentos de
controlo instituídos são os mais adequados;
Verificação da descrição do sistema, ou seja, obter prova de que o sistema descrito

pelo auditado corresponde à realidade, especialmente porque:
• Pode ter sido feita, pelo auditor, uma interpretação indevida das informações
recebidas acerca da descrição dos subsistemas;
• O auditor pode ter sido induzido em erro pelos funcionários da organização;
• O auditor pode ter recebido apenas uma informação parcial sobre o sistema.
• Execução dos testes de conformidade, que são a avaliação preliminar da
existência efetiva do controlo interno estabelecido em cada um dos subsistemas. É
a partir desta análise que o auditor irá determinar a probabilidade do sistema
auditado produzir dados fiáveis;
• Execução dos testes substantivos, com o objetivo de obter um grau de confiança
razoável de que os procedimentos de controlo estão a ser aplicados de acordo com
o que foi estabelecido e que produzem os efeitos esperados.
O auditor interno procede à avaliação do controlo interno, com a intenção de expressar
uma opinião acerca da eficácia e eficiência da gestão da organização, uma vez que visa
ajudar a Administração nas suas funções de gestão.
A operacionalidade, o relatório, os acordos e a proteção dos objetivos do controlo

interno devem ser devidamente explicados, de forma objetiva e escrupulosa.
A Direção deve estimular que cada unidade orgânica tenha e implemente um programa
de auto avaliação, o qual é um fator fundamental para acompanhar o controlo interno.
A auditoria interna deve auxiliar na implementação deste programa e verificar a

qualidade dos seus resultados.
As auto avaliações realizadas são preparadas e assinadas pelas chefias intermédias,

que devem remeter uma cópia para o auditor também e para a Direção.
A Auditoria Interna e o Controlo Interno
A responsabilidade pela implementação e manutenção do sistema de controlo interno

cabe ao órgão de Gestão.
O ambiente de controlo interno em qualquer organização é iniciado pela própria Direção.
É esta que deve saber transmitir a mensagem de que a integridade e o controlo efetivo
não podem ser colocados em causa e que deve estruturar de forma clara o sistema de
controlo interno e selecionar os tipos e métodos de controlo que privilegia.
É a gestão que deve planear e organizar o controlo interno de tal forma que este possa
garantir razoavelmente que os riscos organizacionais são bem geridos e os objetivos e
metas da organização estão a ser alcançados de forma eficiente e económica. No que
diz respeito ao controlo interno, a auditoria interna apenas intervém na respetiva
avaliação, assumindo neste âmbito o papel de identificar potenciais falhas e desvios ao
nível do sistema de controlo interno e ajudar a Direção através das recomendações de
melhoria que venha a conceber.
Princípios e Normas aplicáveis à Auditoria Interna
A atividade e prática de auditoria interna têm que obedecer a um conjunto de

princípios e normas éticas e profissionais.
O trabalho a realizar pelo auditor interno deve pautar-se por princípios éticos, cuja
observação rigorosa é não só uma obrigação individual mas, também, coletiva, no
sentido em que devem ser respeitados pelos auditores enquanto equipa de trabalho.
Os princípios e normas de auditoria são definidos por organismos internacionais

ocidentais e enquadram a prática profissional e ética da auditoria.
Estes organismos, baseados nos seus próprios códigos de ética, preparam as
normas que irão orientar os seus membros no exercício da função.
Uma vez aprovadas, estas normas passam a ser designadas como normas de
auditoria geralmente aceites, representando as regras básicas a respeitar no
planeamento e implementação de uma auditoria, de forma a garantir a
respetiva qualidade.
Documentação Técnica emitida pela Ordem dos Revisores Oficiais de Contas
(OROC), que inclui:
Normas Técnicas de Revisão/Auditoria;
Recomendações Técnicas (RT): destinadas a orientar a execução das diversas

tarefas envolvidas, visando fundamentalmente contribuir para a progressiva e
generalizada harmonização da interpretação dos conceitos e da aplicação dos
procedimentos genéricos e específicos relacionados com a revisão legal, que
embora de observância facultativa a sua não adoção pode colocar em causa o
cumprimento das Normas Técnicas;
Diretrizes de Revisão / Auditoria (DRA): têm como objetivo estabelecer

procedimentos e proporcionar orientação ao revisor / auditor sobre as ações a
desenvolver no âmbito da revisão / auditoria, tendo em conta as Normas Técnicas;
Em termos de auditoria interna, o Institute of Internal Auditors (IIA) criou o
Professional Practice Framework, uma estrutura conceptual que deverá reger
a atividade de auditoria interna e que se compõe dos seguintes documentos
fundamentais:
• Código de Ética;
• Normas Internacionais para a Prática Profissional da Auditoria Interna;
• Práticas Recomendadas.
O Código de Ética tem como objetivo promover uma cultura ética na prática
profissional de auditoria interna.
Está subdividido em duas partes. A primeira parte diz respeito aos Princípios Básicos
que definem os princípios éticos que estruturam a profissão de auditoria interna e
que são:
• Integridade;
• Objetividade;
• Confidencialidade;
• Competência.
A segunda parte contém as Regras de Conduta, que não são mais que um conjunto
de deveres deontológicos que se aplicam ao exercício da auditoria. Cada uma das
regras de conduta aplica- se a um dos princípios éticos referidos anteriormente.
As Normas Internacionais para a Prática Profissional da Auditoria Interna, revistas em
2002, delimitam os princípios básicos que devem orientar a prática da auditoria interna,
proceder ao devido enquadramento das atividades que possuam valor acrescentado,
estabelecer a base para a avaliação do desempenho e promover a melhoria dos
processos e operações das organizações.
Estão divididas em:
A - Normas de Atributo (NA) Série 1000, as quais se relacionam com as caraterísticas

das organizações e dos indivíduos que desenvolvam atividade de auditoria interna;
B - Normas de Desempenho (ND) Série 2000, que descrevem a natureza das atividades
de auditoria interna e proporcionam critérios de avaliação do seu desempenho;
C - Normas de Implementação (NI), que se aplicam às normas de atributo e de

desempenho na execução de trabalhos específicos.
O PROCESSO DE AUDITORIA INTERNA
Implementação
O processo de implementação da auditoria interna é constituído pelo conjunto

das seguintes atividades:
• Avaliação do risco de auditoria;

• Plano anual de auditoria;
• Programas de trabalho;
• Relatórios de auditoria;
• Aplicação dos resultados da auditoria;
• Acompanhamento da execução
Avaliação do Risco de Auditoria
A avaliação do risco é realizada na perspetiva de limitar o risco de auditoria. Tem como

objetivo adotar e executar procedimentos que permitam reduzir o risco da auditoria poder
emitir opiniões inapropriadas e não devidamente fundamentadas.
Podemos assim, definir o risco de auditoria como a suscetibilidade do auditor emitir uma
opinião inapropriada ou baseada em asserções objeto de auditoria que estejam
distorcidas de forma materialmente relevante.
Existem três tipos de risco de auditoria: risco inerente, risco de controlo e risco de
deteção:
• Risco Inerente
O risco inerente é a suscetibilidade de uma asserção ou classe de transações
conter uma distorção que possa ser materialmente relevante, considerada
individualmente ou quando agregada com distorções em outras asserções,
assumindo que não existem os respetivos controlos internos.
A elaboração do plano anual de auditoria exige a realização da avaliação do risco

inerente. Ao fazer essa avaliação, o auditor usa o juízo profissional para avaliar
diversos fatores:
• A experiência e conhecimento dos recursos humanos afetos à contabilidade;
• As circunstâncias que possam influenciar negativamente a atividade regular
dos serviços de contabilidade;
• A probabilidade de distorção das demonstrações financeiras;
• A natureza da atividade das entidades beneficiárias dos apoios, a sua
dispersão geográfica e a idoneidade da respetiva gestão;
• As alterações que possam afetar a área de atividade do Instituto;
• A complexidade das transações e de outros acontecimentos que
requeiram o trabalho de um perito;
• As transações complexas, efetuadas particularmente no final do ano
económico;
• As transações não sujeitas a processamento normal;
• Os ativos sujeitos a perdas ou apropriações indevidas.
• Risco de Controlo
O risco de controlo é a suscetibilidade do sistema de controlo interno da
organização não prevenir, detetar ou corrigir atempadamente qualquer distorção
materialmente relevante que possa vir a ocorrer em qualquer tipo de asserção
ou classe de transações.
Esta avaliação consiste no processo de avaliar a eficácia do sistema de controlo

interno da organização em prevenir, detetar e corrigir distorções materialmente
relevantes.
O objetivo dos procedimentos executados para obter uma compreensão do

controlo interno é proporcionar ao auditor o conhecimento necessário para a
elaboração do plano anual de auditoria.
O auditor pode concluir que os procedimentos levados a efeito para obter a
compreensão do sistema de controlo interno constituem prova de auditoria. Essa
prova de auditoria, desde que suficiente, pode ser usada para suportar uma
avaliação do risco de controlo.
A gestão reage muitas vezes a situações de risco inerente, concebendo um sistema

de controlo interno para prevenir, detetar e corrigir distorções. Assim, em muitos
casos, o risco inerente e o risco de controlo estão profundamente inter-
relacionados. Nestas situações, o auditor não deve avaliar separadamente o risco
inerente e o risco de controlo, sendo mais apropriado fazer uma avaliação
combinada.
• Risco de Deteção
O risco de deteção é a suscetibilidade dos procedimentos substantivos executados

pelo auditor não virem a detetar uma distorção que exista numa asserção ou
classe de transações que possa ser materialmente relevante. Neste sentido, o
nível do risco de deteção relaciona-se diretamente com os procedimentos
substantivos executados pelo auditor.
O risco de deteção pode aumentar na sequência do auditor selecionar

procedimentos inapropriados, executá-los de forma errada ou interpretar
incorretamente as conclusões de auditoria. Este risco pode ser reduzido a um nível
negligenciável através de um planeamento e supervisão adequados e de uma
conduta que respeite as normas de controlo de qualidade.
O risco inerente e o risco de controlo diferem do risco de deteção pelo fato de
aqueles existirem independentemente da auditoria das demonstrações financeiras
ou de outras asserções, enquanto o risco de deteção está relacionado com os
procedimentos do auditor e pode ser alterado ao seu arbítrio, conforme o seu juízo
profissional.
Por exemplo, quando o risco inerente e o risco de controlo forem altos, o risco de
deteção aceitável tem de ser baixo para reduzir o risco de auditoria a um nível
aceitavelmente baixo. Por outro lado, quando o risco inerente e o risco de controlo
forem baixos, o auditor pode aceitar um risco de deteção mais alto e ainda reduzir o
risco de auditoria a um nível aceitavelmente baixo.
Plano Anual de Auditoria Interna
O Plano Anual de Auditoria Interna é um plano detalhado que se destina a

estabelecer a natureza, extensão, profundidade e oportunidade dos procedimentos a
adotar, com vista a atingir o nível de segurança desejável, tendo em conta a
determinação do risco da auditoria e a definição dos limites de materialidade.
Deve ser elaborado no último trimestre do ano imediatamente anterior a que o

mesmo se reporta. Deve definir o âmbito e o universo a auditar, ser consistente com
os objetivos fixados e alicerçado numa avaliação de risco, no sentido de identificar
as prioridades das ações a desenvolver.
Independentemente do objeto da auditoria e da sua dimensão, o auditor deve

planear o seu trabalho desenvolvendo uma estratégia geral e uma metodologia
detalhada no que diz respeito à natureza, tempestividade e extensão das acções a
desenvolver, de forma a alcançar um grau elevado de eficácia.
Este planeamento contribui para que:
• Seja prestada a devida atenção a áreas importantes da auditoria;

• Sejam identificados potenciais problemas;
• A coordenação do trabalho possa ser feita por outros auditores e peritos.
A extensão do planeamento variará de acordo com:
• A dimensão do universo a auditar;

• A complexidade da auditoria;
• A experiência que o auditor tem desse universo ou entidade;
• O seu conhecimento da respetiva atividade e sua envolvência.
O Plano deve ser adaptável às circunstâncias e envolver:
• A fixação de objetivos: os objetivos devem ser mensuráveis e estar de acordo com a
estratégia de gestão e os planos operacionais;
• A avaliação de risco: constitui um elemento chave do plano. Daí a sua importância

fundamental na determinação da prioridade das ações a desenvolver, tendo presente as
áreas com maior risco, que possam afetar a eficiência e eficácia da gestão ou originar
distorções materialmente relevantes;
• O planeamento de ações de auditoria: este planeamento deve atender,

designadamente, ao objecto, ao tempo necessário previsto, à necessidade, ou não, de
recursos externos e às datas de reporte das ações de auditoria;
• A afetação de recursos e orçamentos: cada ação de auditoria deve ser orçamentada,

tendo em consideração a valorização das horas a despender; o custo de formação e treino
dos auditores internos; eventuais custos de deslocação e estadia e o custo com recursos
externos para executar serviços de auditoria interna.
No estabelecimento das prioridades deverão ser considerados os seguintes
aspetos:
• Datas e resultados das últimas auditorias, caso tenham existido;

• Nível de implementação das recomendações, na sequência das auditorias
anteriores;
• Avaliação atualizada dos riscos e eficácia da gestão de risco e processos de
controlo;
• Mudanças significativas verificadas nas operações, nos sistemas e nos
procedimentos de controlo;
• A globalidade do universo auditável nas ações de auditoria;
• Solicitações da Direção Superior
Relatórios de Auditoria
A atividade de auditoria interna e os respetivos resultados são reportados a diferentes

níveis hierárquicos da entidade.
É através de relatórios que a auditoria interna comunica o trabalho realizado, as

conclusões a que chegou, as recomendações a serem implementadas e as ferramentas
necessárias a essa implementação.
O formato do relatório de auditoria standard deverá conter um Sumário Executivo, que

inclui o objetivo, âmbito e principais observações/recomendações, descritas de forma
sintética, e um Relatório Detalhado que descreva a metodologia seguida, a equipa de
trabalho envolvida e todas as observações e respetivas recomendações.
Antes da emissão do relatório de auditoria, as observações e recomendações devem ser

discutidas com o auditado, no sentido de verificar a sua adequação.
Para o efeito, o auditor interno deve enviar ao auditado, previamente à reunião, um

rascunho do relatório ou da parte que lhe diz respeito, onde este deverá responder a
cada observação e recomendação reportada
Se o auditor interno e o auditado discordarem acerca dos resultados da auditoria, o
relatório deve expressar ambas as posições e as razões de discordância, as quais
podem ser incluídas em anexo ao relatório de auditoria.
Determinada informação pode não ser apropriada para comunicar a todos os

destinatários do relatório, por ser confidencial, particular ou relacionada com atos
impróprios ou ilegais.
Tal informação deve, contudo, ser revelada em relatórios separados, a discutir no

grau de hierarquia apropriado. No relatório deverão estar definidos os planos de
ação para implementação das medidas corretivas sugeridas. Os planos de ações
devem ser objeto de concordância do auditado e devem identificar o prazo de
regularização e o responsável pela sua execução.
Os relatórios não devem conter erros ou distorções e ser fiéis aos fatos apresentados.
A forma como os dados e a evidência são coligidos, avaliados e resumidos para uma
apresentação, deverá ser efectuada com cautela e precisão. Os relatórios devem ser:
• Claros – de entendimento fácil e lógico. A clareza pode ser melhorada evitando

linguagem técnica desnecessária e proporcionando informação de suporte suficiente.
• Concisos – indo diretos ao assunto e evitando uma elaboração desnecessária,

detalhes supérfluos, redundância e verbosidade. São elaborados através de uma
prática persistente de revisão e reedição da apresentação. O objetivo é de que cada
pensamento seja compreendido mas expresso sucintamente.
• Construtivos – ajudando o auditado e a Organização e conduzindo a melhorias,
quando necessário. O conteúdo e o tom da apresentação deverão ser úteis,
positivos, com significado, e devem contribuir para o objetivo da entidade.
• Completos – não carecendo de nada que seja essencial para o auditado e

incluindo toda a informação relevante e observações que sirvam de suporte às
recomendações e conclusões.
• Oportunos – sendo emitidos em tempo adequado, e entregues para uma

avaliação cuidadosa daqueles que podem atuar sobre as recomendações. Assim, o
prazo para apresentação dos resultados de um trabalho tem de ser breve e de
forma a permitir uma ação imediata e eficaz.
• Imparciais – não sendo tendenciais, sendo antes o resultado de uma visão

clara e equilibrada de todos os factos e circunstâncias relevantes. As observações,
conclusões e recomendações deverão ser expressas sem preconceito,
partidarismos, interesses pessoais e influência de terceiros.
De forma geral, existe uma estrutura comum a todos os relatórios de controlo
interno que contempla 5 requisitos base:
1. Controlos Relevantes: menção dos controlos associados à obtenção de

operações eficazes e eficientes, demonstrações financeiras, cumprimento de leis e
regulamentos bem como a salvaguarda dos ativos;
2. Prazo: indicação do período avaliado;
3. Pontos fracos importantes: divulgação dos pontos fracos materialmente

relevantes, o seu impacto e as ações corretivas tomadas e/ou planeadas, assim
como as recomendações apresentadas;
4. Processo de auditoria interna: descrição da estrutura utilizada para planear o

processo de auditoria interna e avaliar se o controlo interno é adequado, incluindo
o processo de agregação de auditorias individuais, para permitir formar uma
opinião global;
5. Alcance e conclusões: especificação clara do alcance e das conclusões, assim

como identificação das limitações inerentes.
■
Missão
O Departamento de auditoria interna presta, de uma forma independente e objetiva, serviços de avaliação e
de consultoria, os quais visam acrescentar valor e melhorar a operacionalidade da atividade bancaria.
■ O Departamento de auditoria ajuda os Bancos a cumprir os seus objetivos através da utilização de um

enfoque sistemático e disciplinado para avaliar e contribuir para a
■ melhoria da eficácia dos processos de gestão de risco, de controlo e de governação interna do Banco.
■ Todas as atividades, operações e processos dos Bancos podem ser objeto de avaliação por parte da auditoria
interna.
■ O Departamento de auditoria, na sua atividade de avaliação, deverá assegurar de forma isenta e numa ótica
preventiva, a eficácia, operacionalidade, segurança e conformidade dos serviços, sistemas, processos e
atividades que configurem maior risco potencial, de forma a dar prioridade à prevenção dos riscos inerentes
à complexidade dos processos e dinâmica de mudança que caracterizam a missão e o contexto da atividade
do Banco.
■ O DAI, na sequência de decisão da Administração, pode participar em comissões e grupos de trabalho,

realizar averiguações, inquéritos, estudos, investigações e trabalhos de consultoria e ainda desenvolver
iniciativas e ações de promoção da cultura e das boas práticas em áreas relacionadas com a gestão do risco,
o controlo, a conformidade, a segurança e a governação, com participação eventual da comunidade
financeira.
Auditoria interna é uma função permanente e independente de qualquer outra função ou
unidade, que tem como missão proporcionar ao conselho de administração e à alta
direção garantia independente sobre a qualidade e eficácia dos processos e
sistemas de controle interno, de gestão dos riscos (atuais ou emergentes) e de
governança, contribuindo assim para a proteção do valor da organização, sua
solvência e reputação.
Para isso, a auditoria avalia:
■ a eficácia e a eficiência dos processos e sistemas supra citados;

■ o cumprimento do regulamento aplicável, e os requerimentos dos supervisores;
■ a fiabilidade e integridade da informação financeira e operativa.
■ a integridade patrimonial.
Área de atuação
A área de atuação de auditoria interna inclui:
todas as entidades que formam parte do Banco sobre as quais se mantenha um

controle efetivo.
os patrimónios separados (por exemplo, fundos de investimento) administrados
pelas entidades competentes.
toda entidade (ou património separado) não incluída, com respeito à qual exista um
acordo para o desenvolvimento da função de auditoria interna por parte do banco.
A área definida subjetivamente nas seções anteriores inclui, em todos os casos, as
atividades, negócios e recessos desenvolvidos (seja de forma direta ou através de
externalização), a organização existente e as redes comerciais.
Adicionalmente, e também cumprindo com a missão estabelecida, auditoria interna

poderá realizar auditorias em outras entidades participadas não incluídas nos pontos
anteriores quando o Grupo se tenha reservado a este direito como acionista.
■
Independência e Objetividade.
O DAI reporta diretamente à Administração.
■ Entre os auditores e os restantes trabalhadores com quem aqueles tenham de contactar no decorrer das ações de auditoria, incluindo os
responsáveis pelos órgãos de gestão, não existe qualquer relação de dependência hierárquica, reportando uns e outros apenas aos
órgãos de gestão das unidades orgânicas em que se encontram integrados.
■ Os auditores não podem deter poderes ou assumir responsabilidades diretas sobre as atividades objeto da auditoria, devendo em geral
evitar conflitos de interesses no desempenho das suas tarefas.
■ Os auditores não podem participar em ações de auditoria envolvendo unidades de estrutura ou serviços em que tenham trabalhado há
menos de um ano, nem em quaisquer atividades de avaliação em que a sua objetividade possa ser comprometida por outras
circunstâncias especiais.
■ Quaisquer factos ou circunstâncias que possam comprometer a independência e objetividade do DAI ou de um auditor em particular
devem ser reportados ao Diretor do DAI, o qual, se tal se mostrar necessário, informa o Administrador do Conselho de Administração
responsável pelo respetivo pelouro.
■
Responsabilidades
O DAI realiza as ações de auditoria constantes de um plano anual de ações de auditoria aprovado pelo Conselho de Administração.
As alterações substantivas ao plano carecem da aprovação da Administração. A realização de ações de auditoria não incluídas no
plano anual ou de averiguações “ad hoc” pode ser determinada pelo Membro do Conselho de Administração responsável pelo
pelouro do DAI.
O DAI deve:
a) Preparar o plano anual de ações de auditoria do Banco, suportado em adequada metodologia de avaliação de risco;
b) Apresentar ao Conselho de Administração o plano anual de ações de auditoria e outras atividades com vista à sua aprovação;
c) Programar e controlar a execução do seu plano de atividades e comunicar superiormente as alterações substantivas ocorridas;
d) Comunicar os resultados das ações realizadas à Administração, aos diretores ou responsáveis dos departamentos ou de outras
estruturas autónomas envolvidas e ao Conselho de Auditoria;
e) Reportar regularmente ao Conselho de Administração, através do membro do mesmo Conselho com o pelouro do DAI, sobre a
realização do plano anual de ações de auditoria do Banco e sobre outras atividades e assuntos relevantes, designadamente sobre
os aspetos mais significativos analisados durante o ano relativamente a questões de controlo interno, exposição do Banco ao risco e
exercício da função de auditoria interna;
f) Monitorizar e avaliar o estado de implementação das recomendações emitidas pelo DAI, reportando ao Conselho de Administração
sobre esta avaliação.
g) Coordenar trabalhos e troca de informações com o auditor externo do Banco, tendo em vista uma melhor satisfação das
responsabilidades mútuas, a cobertura adequada da atividade do Banco e a eliminação de trabalhos duplicados.
A AUDITORIA BASEADA EM RISCOS (A B R)
O foco do trabalho dos auditores internos de sistemas de gestão pode mudar
consideravelmente com a publicação das novas normas ISO 9001:2015, ISO
14001:2015 e ISO 45001:2016, entre outras. Por causa dos novos requisitos dessas
normas e por razões de custo e eficácia, espera-se que seja dada especial ênfase à
Auditoria Baseada em Riscos (ABR).
Auditoria Baseada em Riscos é um termo bastante utilizado no mundo todo, mas ainda
muito mal compreendido.
Este paper tem por objetivo apresentar a abordagem do QSP para a ABR Aplicada a
Sistemas de Gestão, bem como visa fornecer diretrizes básicas sobre como abordá-la e
colocá-la em prática.
A NBR ISO 19011:2012 - Diretrizes para auditoria de sistemas de gestão - introduziu o
conceito de risco para essas auditorias. O enfoque adotado se relaciona com o risco do
processo de auditoria em não atingir seus objetivos e com o risco da auditoria interferir com
os processos e atividades da organização auditada.
A nova NBR ISO 19011 não fornece diretrizes específicas sobre o Processo de Gestão de
Riscos da organização (nem sobre Auditoria Baseada em Riscos), mas reconhece que as
organizações podem focar o esforço da auditoria em assuntos de importância para o
sistema de gestão.
Existem muitos riscos diferentes associados ao estabelecimento, implementação,

monitoramento, análise crítica e melhoria de um programa de auditoria que podem afetar o
alcance dos seus objetivos. A NBR ISO 19011:2012 recomenda que a pessoa que gere o
programa de auditoria considere esses riscos no seu desenvolvimento.
Tais riscos podem estar relacionados a:
- planeamento (por exemplo, falha em estabelecer os objetivos pertinentes da

auditoria e determinar a abrangência do programa de auditoria);
- recursos (por exemplo, tempo insuficiente para desenvolver o programa de

auditoria ou para realizar a auditoria);
- seleção da equipe de auditoria (por exemplo, a equipe não tem a competência

coletiva para realizar auditorias de forma eficaz);
- implementação (por exemplo, comunicação ineficaz do programa de auditoria);
- registros e seus controles (por exemplo, falha em proteger de forma adequada

os registros de auditoria para demonstrar a eficácia do programa de auditoria);
- monitoramento, análise crítica e melhoria do programa de auditoria (por

exemplo, monitoramento ineficaz dos resultados do programa de auditoria).
ISO 9001:2015 - Sistemas de gestão da qualidade - Requisitos, por exemplo, o conceito de
risco no contexto da nova norma irá se referir à incerteza da organização em alcançar os
seguintes objetivos:
- proporcionar confiança na sua capacidade de fornecer consistentemente aos clientes

bens e serviços conformes;
- aumentar a satisfação dos clientes.

Os auditores internos podem implementar uma abordagem baseada em riscos compatível
com a abordagem adotada por suas organizações.
Há muitos enfoques que podem ser utilizados, dependendo de quanto a auditoria interna é
capaz de se apoiar no Processo de Gestão de Riscos da organização.
Isso possibilita ao auditor evitar a duplicação dos processos já realizados pela organização
e questionar os processos e as conclusões da direção/gerência sobre os riscos que podem
afetar (positiva ou negativamente) os objetivos do sistema de gestão.
Pode ser que os auditores internos digam que sempre concentraram seus esforços nas
áreas e temas de maiores riscos para o sistema de gestão e para a organização.
Contudo, a experiência mostra que essa abordagem tem sido direcionada pela Avaliação de
Riscos efetuada pela própria equipe de auditoria.
A principal diferença é que o foco da ABR é entender e analisar a Avaliação de Riscos

realizada pela direção/gerência e basear os esforços de auditoria em torno dessa avaliação.
Os objetivos da ABR - Auditoria Baseada em
Riscos
O principal objetivo da ABR é fornecer garantia independente para a direção/gerência da
organização de que:
• O Processo de Gestão de Riscos relacionado aos sistemas de gestão (da Qualidade,

Ambiental, da Segurança e Saúde no Trabalho, etc.) está operar conforme o planeado;
• O tratamento que a direção/gerência tem dado aos riscos é adequado e eficaz em

tornar os níveis de risco aceitáveis ou toleráveis para a organização;
• Existe uma estrutura sólida de controles para modificar suficientemente os riscos que
a direção/gerência deseja tratar.
A ABR começa com os objetivos do negócio, passando pelos objetivos da Qualidade,
Ambientais, etc., e se concentra nos riscos que foram identificados pela
direção/gerência e que podem afetar, positiva ou negativamente, a consecução desses
objetivos.
O papel da auditoria interna é avaliar até que ponto uma abordagem planeada e robusta
de Gestão de Riscos é adotada e aplicada em toda a organização pela
direção/gerência, para tornar os níveis de risco aceitáveis ou toleráveis (conforme os
Critérios de Risco da organização).
A prática da ABR - Auditoria Baseada em Riscos
Aspectos gerais importantes a serem considerados:
• O esboço/corpo da ABR pode incluir riscos estratégicos, riscos do negócio e riscos

operacionais, incluindo os relacionados aos sistemas de gestão da organização.
• O ponto de partida é determinar se a organização estabeleceu objetivos

apropriados, e então determinar se a empresa tem ou não um processo adequado
para identificar, analisar, avaliar, tratar e comunicar os riscos que afetam, positiva ou
negativamente, esses objetivos.
• Em um ambiente maduro de Gestão de Riscos, o foco da auditoria interna pode

ser:
o Auditar a estrutura para gerenciar riscos como, por exemplo, recursos,

documentação, métodos e relatórios;
o Auditar o sistema de controles de toda a organização e de cada área, divisão,
departamento ou processo;
o
Realizar auditorias individuais que visem predominantemente o gerenciamento de riscos
específicos.
Caso vários riscos sejam controlados através de um Sistema Integrado de Gestão ou

processo comum, talvez seja apropriado realizar uma auditoria combinada desse
sistema ou processo.
• Em ambientes menos maduros de Gestão de Riscos, caso as auditorias individuais

focalizem predominantemente todo um sistema, processo ou unidade de negócio, a
auditoria interna deve analisar criticamente os objetivos estabelecidos e o Processo de
Gestão de Riscos, dentro de cada uma dessas partes auditáveis.
• Se o Processo de Gestão de Riscos estiver adequado e enraizado, a auditoria

interna, sempre que possível, deve se apoiar na própria visão da organização com
relação aos riscos, a fim de determinar o trabalho de auditoria que ela necessita
conduzir.
Quando ela não puder se basear no Processo de Gestão de Riscos, a auditoria
interna deve realizar sua própria Avaliação de Riscos (em conjunto com a direção,
gerência, etc., e preferencialmente utilizando como referência a norma internacional
e brasileira NBR ISO/IEC 31010 - Gestão de riscos - Técnicas para o processo de
avaliação de riscos), para determinar o nível preciso do trabalho necessário, e então
focalizar a maneira como a direção/gerência se assegura de que as atividades de
Gestão de Riscos estão sendo praticadas conforme o planeado.
• O resultado final de cada auditoria individual deve ser o de assegurar que os

riscos estão sendo gerenciados dentro de um nível aceitável ou tolerável, (conforme
definido nos Critérios de Risco da organização), ou facilitar e/ou definir melhorias
conforme necessário.
Graus de Maturidade de Riscos
Grau de Maturidade de Características Principais Abordagem da Auditoria
Riscos Interna
Nenhuma abordagem formal Promove a Gestão de Riscos e se baseia

Ingênuo desenvolvida para a na Avaliação de
Gestão de Riscos. Riscos da própria auditoria.
Promove a abordagem corporativa da

Abordagem para a Gestão de Riscos Gestão de Riscos e se baseia na
Consciente dispersa em “silos”. Avaliação de Riscos realizada
pela própria auditoria.
Estratégia e políticas implementadas Facilita a Gestão de Riscos/ Relaciona-se

e comunicadas, Critérios de Risco com a Gestão de Riscos, e usa a Avaliação
Definido definidos. de Riscos realizada pela direção/
gerência quando apropriado.
Abordagem corporativa para a Audita o Processo de Gestão de Riscos e

Gestão de Riscos, desenvolvida e utiliza a Avaliação de Riscos realizada
Gerenciado comunicada. pela
direção/gerência conforme
apropriado.
Gestão de Riscos e controles Audita o Processo de Gestão de Riscos e

internos totalmente incorporados utiliza a Avaliação de Riscos realizada
Habilitado às operações. pela direção/gerência conforme
apropriado.
Conclusão
A Auditoria Baseada em Riscos é uma abordagem que focaliza as questões que realmente
importam para a organização, em qualquer área: Finanças, Qualidade, Meio Ambiente,
Segurança e Saúde no Trabalho, Responsabilidade Social, Compliance, etc.
A ABR fornece garantias em relação à estrutura para gerenciar riscos da empresa,

possibilitando que a auditoria interna se ligue diretamente a essa estrutura e, dessa
forma, potencialize as sinergias.
A INVESTIGAÇÃO EM AUDITORIA
• Áreas temáticas
• Maiores obstáculos
• Metodologias
• Investigações em curso
• Investigações em Portugal
• Revistas de referência
• Artigos de referência
• Caminhos futuros
Áreas temáticas
Sendo estas as de maior relevo para

a área de Contabilidade
…
Áreas / temas de ligação:
Contabilidade Financeira
Fiscalidade
Governo das Sociedades
Finanças
Informática
Mas há temas novos que também se podem ligar, nomeadamente

Impression Management
Áreas temáticas
Auditoria Financeira (AF)
Alguns dos temas estudados:
• O processo de AF propriamente dito
• O planeamento (por ex. quais os seus determinantes)
• Os procedimentos de auditoria aplicados
• A amostragem
• …
• A qualidade da auditoria
• Os determinantes da própria qualidade da auditoria
• É um “chapéu” debaixo do qual se pode estudar a influência /efeito da
auditoria num vasto conjunto de aspetos:
• Na cotação das ações, no tipo de opinião, no Impression
Management, no governo das sociedades, …
• Os honorários do auditor
• O relatório de auditoria: determinantes do tipo de opinião, efeito do
relatório em diferentes tipos de decisão (ex. na concessão de empréstimos),
efeito no audit expectation gap, …
• A fraude
Áreas
Auditoria Interna (AI)
temáticas
• O seu papel dentro da organização
• A sua ligação ou importância para a AF
• O processo de auditoria interna propriamente dito
• Os efeitos da sua ação na qualidade percecionada dos utentes da
informação financeira
• …
Controlo Interno (CI)

• O seu papel para: a organização, gestão, AF, AI, Governo das Sociedades, …
• A sua ligação com a auditoria contínua ou continuous assurance
• A sua aplicação a diferentes realidades
• …
Maiores obstáculos
Acesso à informação
Auditoria Financeira Auditoria Interna

Controlo Interno
Informação pública, Informação interna sem

mas reduzida divulgação pública
Obriga
Recolha por Questionário

Maiores barreiras
No caso da Auditoria Financeira
- O relatório é sintético e muito standardizado, não permite conhecer os

pormenores do trabalho associado
- O acesso ao relatório nem sempre é fácil: as empresas não o disponibilizam, a IES
apenas refere (na certidão de contas anuais) se é opinião com reservas e/ou com
ênfases, as bases de dados não incluem a informação sobre o relatório de auditoria
Os ROC, em regra, não respondem

Questionário A OROC disponibiliza o questionário numa área
própria
Maiores barreiras
No entanto, há vários estudos nomeadamente de verificação do efeito:

- Do tipo de opinião na cotação das ações
- Da qualidade da auditoria na cotação das ações
- Da qualidade da auditoria nos accruals Auditoria,
- De determinados fatores nos honorários Relatório de
- Da existência da AI no tipo de opinião de AE Gestão,
Governo das
- …
Sociedades…
Em que
Apenas são necessários dados que se recolhem dos relatórios, tais como:
tipo de opinião, rotação do auditor, dimensão da empresa de auditoria,
existência de AI, …
Metodologias
Análise de
De recolha de dados
conteúdo
Estudo de efeitos/relações
Análise das características de AI Inquérito por
… questionário
e/ou entrevista
Estudo do processo de AF ou AI
Estudo do papel da AI, CI, …
Método
experimental
Conhecer qual o efeito do relatório de AF para a concessão de empréstimos
Conhecer os determinantes da inclusão de reservas e ênfases
…
Metodologias
De tratamento de dados
Análise de conteúdo Descritiva

Análise
quantitativa
Inquérito por questionário Estatística, em regra, regressão
Método experimental Análise

qualitativa
Inquérito por entrevista

Investigações em curso
Efeito da qualidade da auditoria, medida pela proxy BIG4, na rendibilidade das
ações e se essa relação se altera em função da natureza dos resultados do período
Análise comparativa, entre Portugal e Espanha, dos fatores determinantes dos

honorários dos auditores
Efeito da qualidade da auditoria na mitigação das estratégias de impression

management na Mensagem da Administração em análise comparativa entre
Portugal e Brasil
Propor um modelo para distinguir demonstrações financeiras com e sem indícios

de fraude, tendo por base características das empresas, mecanismos de
governação e controlo e caraterísticas do gestor e ambientais
Investigações em Portugal
Na área de Auditoria Financeira
Objetivo Metodologia Conclusões

Determinar a influência das Provou-se que, na realização de auditorias a
características das PME na aplicação Inquérito com teste PME, a utilização dos procedimentos analíticos
dos procedimentos analíticos pelo de hipóteses encontra-se influenciada pelas características
auditor que envolvem este tipo de empresas
Analisar as mudanças na opiniãode Análise de As CLC espelham o aumento de qualidade pela
auditoria após as alterações conteúdo da CLC e redução das reservas e ênfases.
normativas dos relatórios de O controlo de qualidade atesta que os auditores
controlo de cumprem com as normas exigidas.
qualidade
Identificar os fatores que Inquérito por Os principais indicadores de referência
influenciam o julgamento questionárioe utilizados pelos auditores são o volume de
profissional do auditor, na entrevista negócios, o total do ativo e o total do capital
determinação da materialidade,na próprio. Os principais fatores qualitativos que
fase de planeamento. influenciam a determinação da materialidade
são o conhecimento do negócio e da entidadee
as necessidades dos utilizadores.
Investigações em Portugal
Nas áreas de AI e CI
A abordagem da AI focada no risco proporciona
Aplicação prática do modelo de um conhecimento exato dos processos de
Aplicação prática
risco ao processo de compra negócio, subprocessos e atividades permitindo
uma gestão mais eficaz dos riscos.
Perceber se as recomendações da Análise do Portugal está alinhado com as melhorespráticas
CMVM, por si só, terão provocado conteúdo dos internacionais de governo das sociedades,
um desenvolvimento na AI relatórios de bom sendo percetível o reforço das competências da
governo AI
O CI está diretamente relacionado com o tipode
Avaliar a importância atribuída aoCI Inquérito por sociedade, a dimensão e a existência de ROC. A
pelos empresários da Grande Lisboa questionário segregação de funções identifica-se como o
elemento mais importante do CI
Investigações em
Portugal
Outros
Inquérito por Encontramos evidência de um contributo
Analisar o contributo do CI paraa
questionárioe positivo do CI para a qualidade daauditoria
qualidade da auditoria
entrevista
Analisar o efeito da estruturade Regressão A concentração de propriedade, a
propriedade e de determinadas independência do conselho de administração, a
características de governos das presença de um comité de auditoria e o ráciode
sociedades nos pareceres de liquidez são fatores que influenciam
auditoria positivamente a opinião de auditoria
Determinar, na ótica dos AI, a Questionário Evidência de fraca partilha e coordenaçãoentre
utilização do seu trabalho pelosAE as duas auditorias
Determinar, na ótica dos AE, a Questionário Evidência de consideração do trabalho de AI
utilização por estes do trabalhode pelo AE, sendo valorizada a experiência e a
AI independência do AI
Demonstrou-se que a utilização adequada de
Papel da auditoria tributária na
procedimentos analíticos e o correto
deteção de esquemas complexos de Estudo de caso planeamento e execução da auditoria tributária
planeamento fiscal abusivo.
permitem a deteção daqueles esquemas
Revistas de referência
Algumas das principais revistas na área de auditoria:
Nº Artigos
Revista SJR
Auditing Audit
Journal of Accounting & Economics 6.834 150 201
Journal of Accounting Research 5.733 202 225
The Accounting Review 4.478 680 767
Contemporary Accounting Research 2.594 417 499
Accounting, Organizations and Society 2.515 289 341
Auditing: A Journal of Practice and Theory 1.652 1.107 909
Considerando o período de 2010 a 2016 e uma pesquisa na B-on pelas palavras-chave

“auditing” e “audit” o nº de artigos é muito mais elevado nas revistas The Accounting
Review e Auditing: A Journal of Practice and Theory
Artigos de referência
Qualidade de auditoria
Artigo de base:
DeAngelo, L. (1981). Auditor size and audit quality. Journal of Accounting and Economics,
3(3), 183–199.
Define a qualidade da auditoria como sendo a probabilidade

conjunta do auditor detetar uma distorção e reportá-la,
associando à qualidade da auditoria a capacidade técnica
(detetar) e a independência (relatar)
Artigos mais recentes e interessantes:

DeFond, M. e Zhang, J. (2014). A review of archival auditing research . Journal of
Accounting and Economics, 58, 275–326.
Knechel, W. , Krishnan, G., Pevzner, M., Shefchik, L. e Velury, U. (2013). Audit Quality:
Insights from the Academic Literature . Auditing: A Journal of Practice and Theory, 32, Spl
385–421.
Artigos de referência
Audit expectation gap
Artigos de base:
Porter, B. (1993). An empirical study of the audit expectation-performance gap.
Accounting and Business Research, 24(93), 49-68
Divide o audit expactation gap em diferenças

de desempenho e diferenças de razoabilidade
Liggio, C. (1974). The Expectation Gap: The Accountant’s Legal Waterloo.

Journal of Contemporary Business, 3(3), 27–44
Diferença entre o nível de desempenho previsto pelo auditor e o

desempenho que o utilizador das DF espera do auditor
Artigos mais recentes e interessantes:

Gray, G., Turner, J., Coram, P., e Mock, T. (2011). Perceptions and misperceptions
regarding the unqualified auditor’s report by financial statement preparers, users, and
auditors. Accounting Horizons, 25(4), 659-684.
Artigos de
Honorários de auditoria
referência
Artigos de base:
Simunic, D. (1980). The Pricing of Audit Services: Theory and evidence. Journal of
Accounting Research. 18(1), 161-190.
Criou um modelo de determinação dos honorários do auditor

assumindo que a empresa auditada procura maximizar os
resultados esperados das DF e o auditor procura maximizar os
resultados esperados da empresa de auditoria
Palmrose, Z. (1986). Audit fees and auditor size: further evidence. Journal of Accounting
Research. 24(1), 97-110
Testa e expande a análise da relação entre os honorários e a

qualidade da auditoria
Artigos de
referência
Auditoria Interna
Autores de referência: Robert Moeller e Spencer Pickett
Têm essencialmente livros
Controlo Interno
Não se pode fugir aos frameworks existentes, nomeadamente um dos mais

utilizados o COSO
Caminhos
futuros
DeFond, M. e Francis, J. (2005), Audit research after Sarbanes-Oxley, Auditing: A Journal of Practice & Theory, 24,
Supl., 5-30
Objetivo
Identificar algumas áreas chave em auditoria nas quais foram efetuadas

reformas
Discutir algumas alternativas de investigação identificadas
Fornecer sugestões aos investigadores
Num primeiro momento apresentam sugestões

ligadas ao efeito da SOX, mas num segundo
momento
Caminhos futuros
DeFond, M. e Francis, J. (2005), Audit research after Sarbanes-Oxley, Auditing: A Journal of Practice & Theory,
24, Supl., 5-30
• Outras alternativas de investigação na área da qualidade de auditoria:
• Dimensão das empresas de auditoria e medidas de nivelamento da

qualidade de auditoria pela SEC
• Efeito da prudência do auditor na qualidade
• Efeito do justo valor na auditoria
• “Qual o nível ótimo de auditoria?”
Ênfase na Qualidade da Auditoria

DeFond, M. e Zhang, J. (2014). A review of archival auditing research . Journal of Accounting and Economics, 58,
275–326
Objetivo
Resumir e criticar a pesquisa recente em auditoria e fornecer caminhos futuros
Bases Resultados
- Investigar os incentivos e competências que
- Estudos publicados entre 1996 e 2013
criam a procura por auditoria
- Partiram das seguintes questões:
- Investigar o efeito das competências do
-O que é a qualidade de auditoria? auditor na qualidade de auditoria
-O que leva à procura da qualidade de auditoria?
-Analisar características como o ceticismo
-O que leva ao fornecimento de qualidade de
-Analisar o efeito dos serviços de não
auditoria?
auditoria
-Quais são as preocupações dos reguladores
quanto à qualidade de auditoria? -Analisar o efeito na qualidade da auditoria
do novo enquadramento da regulação da
auditoria
Maijoor, S. e Vanstraelen, A. (2012), Research Opportunities in Auditing in the EU,’’ Revisited, Auditing: A Journal
of Practice & Theory, 31(1), 115-126
Identificaram 2 grandes campos de investigação: Regulação e Mercado de auditoria

Regulação
Partindo do facto que se alterou profundamente a estrutura regulamentar da
informação financeira e da auditoria, temos:
• Qual a eficácia desta regulamentação?
• As alterações institucionais e regulamentares afetam os incentivos e
comportamento dos auditores e, se sim, aumentam a qualidade da
auditoria?
• Que regras funcionam, quais as que não funcionam e em que
circunstâncias?
• Porque funcionarão nestas circunstâncias?
• Quais são os custos e benefícios da nova regulamentação?
• Quais as consequências inesperadas da regulamentação?
Mercado de auditoria
• Concentração
• Qualidade da auditoria
• Estrutura de propriedade das empresas de auditoria
• Estruturas operacionais das empresas de auditoria
• Governo das sociedades das empresas de auditoria
• Responsabilidade do auditor
Concluíram
• Analisar a relação entre a transparência, competitividade, e a qualidade

da auditoria
• Avaliar indicadores potenciais da qualidade da auditoria
• Analisar a relação entre as práticas de bom governo, estrutura de
propriedade e práticas operacionais das empresas de auditoria com o
comportamento do auditor e a qualidade da auditoria
• Investigar o papel das comissões de auditoria na supervisão da função de
auditoria e quando o seu envolvimento afeta a qualidade da auditoria
• Governo das sociedades das empresas de auditoria
• Avaliar a eficácia das várias formas de supervisão pública
Humphrey, C. (2008), Auditing research. A review across the disciplinary divide, Accounting, Auditing &
Accountability Journal, 21(2), 170-203
Salienta a importância de estudar a prática de auditoria de per si
Substituir o método experimental por informação que nos permita

conhecer efetivamente o processo de tomada de decisão dos
auditores em diversas fases do seu trabalho
Obriga a uma relação de

colaboração diferente entre
investigação e prática
Relembras alguns conceitos …
Características essenciais: É um recurso controlado pela
empresa como resultado de acontecimentos passados e do qual
se espera que fluam para a empresa benefícios económicos
futuros.
Activo
Outras características:
• Propriedade legal;
• Forma de obtenção;
• Existência física;
Características essenciais: É uma obrigação presente da

empresa proveniente de acontecimentos passados, da
liquidação da qual se espera que resulte um exfluxo ( saída) de
recursos da empresa incorporando benefícios económicos
futuros.
Passivo
• Obrigação legal: Irrelevante se a obrigação é
legal ou construtiva;
• Valor de liquidação certo;
• Data da liquidação certa.
Relembras alguns conceitos …
Rendimentos: Aumento na forma de influxos / aumentos dos
activos / diminuição de passivos que resultem em aumentos no
capital próprio e não sejam entradas dos sócios.
Engloba:
Rendimentos • Réditos: originados no decurso da actividade corrente
(venda, honorários, juros, dividendos, royalties, rendas
e outros);
• Ganhos: podem, ou não, provir do decurso das
actividades correntes de uma empresa (alineação de
activos fixos, entre outros.
Gastos: Diminuição na forma de exfluxos / depreciamento de

activos / assumpção de passivos que resultem em diminuições
do capital próprio, que não sejam distribuições aos sócios.
Gastos
• Gastos: inclui o custo das vendas, dos salários,
as depreciações, etc;
• Perdas: podem, ou não surgir no decurso das
actividades correntes da empresa (inclui os
incêndios, inundações, alineações de activos
fixos, bem como as perdas não realizadas.
ISA – Internacinal Standards on
Auditing
3
ISA – International Standards on Auditing
Normas Internacionais de Auditoria
❑ O que são as ISA ?
➢ As ISA (international Standards on Auditing) são normas de auditoria

emitidas pelo International Auditing and Assurance Standards Board
(IAASB) que tem como finalidade ajudar o auditor a realizar uma
auditoria correta e com o mínimo de duvidas possível, dado que é o
guia neste processo de elevada complexidade.
❑ Procedimentos de Auditoria e Amostragem
➢ ISA 530 Amostragem de auditoria - Aplica-se quando o auditor

decidiu usar a amostragem de auditoria na execução de
procedimentos de auditoria. Aborda o uso pelo auditor de amostragem
estatística e não estatística quando concebe e selecciona a amostra,
executa testes aos controlos e testes de detalhe e avalia os resultados
da amostra.
➢ ISA 505 Confirmações externas - Aborda a utilização pelo auditor dos

procedimentos de confirmação externa para obter prova de auditoria de
acordo com os requisitos da ISA 330 e da ISA 500.
➢ ISA 520 Procedimentos analíticos (a execução de testes

substantivos) - Aborda a utilização pelo auditor de procedimentos
analíticos como procedimentos substantivos na fase da execução da
auditoria.
➢ ISA 540 Auditar estimativas contabilísticas, incluindo estimativas

contabilísticas de justo valor e respectivas divulgações - Aborda
as responsabilidades do auditor relacionadas com estimativas
contabilísticas, incluindo as estimativas contabilísticas ao justo valor e
respectivas divulgações numa auditoria de demonstrações
financeiras.)
➢ ISA 500 Prova de auditoria - Explica o que constitui prova de

auditoria numa auditoria de demonstrações financeiras e aborda a
responsabilidade do auditor em conceber e executar procedimentos de
auditoria para obter prova de auditoria suficiente e apropriada que o
habilite a extrair conclusões razoáveis sobre as quais baseia a sua
opinião.
➢ ISA 550 Partes relacionadas - Aborda as responsabilidades do auditor

respeitantes aos relacionamentos e transacções com partes
relacionadas quando executa uma auditoria de demonstrações
financeiras.
➢ ISA 220 Controlo de qualidade para uma auditoria de
demonstrações financeiras - aborda as responsabilidades
específicas do auditor no que se refere aos procedimentos de controlo
de qualidade para uma auditoria de demonstrações financeiras
➢ ISA 501 Prova de Auditoria – considerações específicas para itens

selecionados.
Procedimentos de Auditoria e Amostragem
➢ ISA 260 Comunicação com os encarregados da governação -
Aborda a responsabilidade do auditor em comunicar com os
encarregados da governação numa auditoria de demonstrações
financeiras.
➢ ISA 265 Comunicar deficiências no controlo interno aos

encarregados da governação e à gerência - Aborda a
responsabilidade do auditor em comunicar de forma apropriada aos
encarregados da governação e à gerência deficiências no controlo
Fiscalização
interno que tenha identificado da Auditoria
numa e Relato
auditoria de demonstrações
financeiras.
❑ Fiscalização da Auditoria e Relato
➢ ISA 450 Avaliação de distorções identificadas durante a auditoria -

Aborda a responsabilidade do auditor na apreciação dos efeitos de
distorções identificadas na auditoria e de distorções não corrigidas, se
existirem, nas demonstrações financeiras.
OQUE É AUDITORIA
FINANCEIRA e COMO SE
PODE DEFINIR
3
Auditoria Financeira | Definição
Demonstrações financeiras
Entidade
Conformidade
Estrutura Conceptual de
Relato Financeiro
?
Relevância / Importância
Independência
Credibilidade
Utilizadores externos
4
COMO A TEORIA DA AGÊNCIA EXPLICA A UTILIDAD E .
AUDITORIAFINANCEIRA?
5
Teoria da agência | para discutir
Quem poderia tentar evitar facultar a
E se eu fosse Que informação fiável necessitaria? informaçãoou apresentar
informação incorreta?
Acionista minoritário ? ?
Quotista de uma sociedade

? ?
por quotas e não gerente
Reformado com
? ?
investimentos no fundo
Principal fornecedor da
? ?
empresa
Colaborador da empresa ? ?
Teoria da agência | em síntese
São vários os interessados numa empresa (stakeholders), os quais aportam

recursos à mesma e esperam uma retribuição desses recursos
Os interesses do gestor (agente) e dos stakeholders (principais) podem não

convergir
O gestor (agente), enquanto insider dispõe de mais informação do que os restantes

stakeholders e controla o processo de elaboração e divulgação dessa informação
(assimetria de informação)
O relato financeiro é um dos mecanismos de minimização da assimetria de

informação
Oauditor intervém credibilizando as demonstrações financeiras

Teoria da agência
Órgãos ‘internos’ Órgão ‘externo’ Um
problema
de agência
Órgão de
Fornecedores
Gestão Clientes
Proprietário
Gestor
Empregados
Preparador Auditor
(Contabilista Certificado) (ROC) Público em geral
Comunidade
Credores
: Relações de agência
: Agente
: Parte interessada
Jensen e Meckling (1976)

Teoria da agência
_ Frequência de acesso +
+ B
1 S 3
Trabalhadores A
Clientes C
Fornecedores F
Fornecedores Clientes
Diferenciais de poder
Empregados Proprietário
P
Comunidade Público em geral

Credores N
Trabalhadores
: Relações de agência T
: Agente Clientes
O
: Parte interessada Fornecedores
_ 2 4
Outros Monitorização Demonstrações

meios financeiras
Utilizadores primários: Utilizadores comerciais: Outros:

B Bancos C Clientes N Agências notação
A F T Trabalhadores
Autoridades Fiscais Fornecedores
S Subsidiadores O Investigadores, Imprensa
Económica e Concorrentes
Proprietários e gestores
P Proprietário não gestor
G Gestor
Contextualização teórica | Justificação
regular as relações de agências
salvaguardar outsiders, designadamente credores e minoritários
Alguns exemplos
Incompatibilidades Impedimentos
Geral: Conduta de prestigio e dignidade Impossibilidade de exercer cargo de
Específica: Relações familiares, serviços administração nos 3 anos após a revisão
(art.º 91º EOROC)
remunerados …
(art.º 88º a 91º EOROC+ art.º 414º A do CSC)
Rotação Inamovibilidade
(art.º 54º EOROC)
Em EIP rotação obrigatória após 7 anos de
exercício de funções
(art.º 54º EOROC)
garantir a independência, evitar o opinion shopping

QUAIS AS INSTITUIÇÕES ‘REGULADORAS’ EM
PORTUGAL
11
Contextualização institucional | Regulação da atividade
Regula a
pr ofissão
Refer ir as
nor mas que auditor
emite (ISA)
aspetos técnicos aspetos legais

Contextualização
| Diferentes papéis
• Intervir em situações
LEGAL pontuais, com impacto
na situação patrimonial,
tais como entradas em
espécie, fusões, etc
• Actuar enquanto órgão

de fiscalização –
poderes, deveres e
competências
Código das Sociedades Comerciais
Estatuto da OROC
• Emitir a Certificação
Legal de Contas
Contextualização
| Diferentes papéis
TÉCNICO
• Aplicar as normas de
auditoria
International Standard of Auditing

(ISA)
OBJETIVOS DA REVISÃO
/ AUDITORIA
15
Objectivos da Revisão / Auditoria
“(…) habilitar o revisor / auditor a expressar uma

opinião sobre se as demonstrações financeiras estão
preparadas, em todos os aspectos materialmente
relevantes, de acordo com uma estrutura conceptual
de relato financeiro identificada”
(§11 parágrafo 11 da Estrutura Conceptual das NIR’s)
“A opinião do revisor / auditor aumenta a credibilidade das

demonstrações financeiras ao proporcionar um elevado,
mas não absoluto, nível de segurança.”
(§13 parágrafo 11 da Estrutura Conceptual das NIR’s)
Prestar informações aos Stakeholders / Parceiros

da Empresa
PROCESSOS DA AUDITORIA /
REVISÃO LEGAL DAS CONTAS
21
Controlos e Substantivos Controlos e Substantivos
Fases da Auditoria / Revisão das Contas

1ª Fase – Plano e desenho da 2ª Fase – Testes aos 3ª Fase – Completar a
estratégia de auditoria controlos e substantivos auditoria e emitir relatório
I. Aceitação do cliente e I. Realização de testes à

planeamento inicial; apresentação e
Planear a
II. Conhecimento do negócio e redução do divulgação;
RC avaliado ? não
do sector; II. Avaliação da evidência
III. Avaliação dos riscos de recolhida;
sim
negócio do cliente; III. Emissão do relatório de
Realização de testes ao
IV. Procedimentos analíticos sistema de controlo interno auditoria;
preliminares; IV. Comunicação com a
V. Definir a materialidade; Realização de testes gestão.
VI. Compreensão do Sistema de substantivos às transacções
Controlo Interno e da
Avaliação do Risco de Realização de testes
Controlo Interno; substantivos aos saldos
VII. Desenvolver o plano e o

programa de auditoria;
Processo de prestação de contas | cronograma
31.Dez Data de referência para SA+SQ: [Art.º s 65º-A do CSC]: Admitindo coincidência entre o período
Encerramento dasContas económico e o período civil
1.Mar SA: Convocatória da AG. SA: [Art.º 376 e 377º do CSC]: A convocação compete ao presidente da
SA+SQ: Apresentar as mesa (no caso da AG anual, a pedido do CA), devendo a convocatória ser
contas ao ConselhoFiscal publicada (http:publicções.mj.pt). Quando sejam nominativas todas as
e aoROC acções pode substituir - se a publicação: a] por cartas registadas; ou b]
por correio electrónico com recibo deleitura
15.Mar SQ: Convocatória da AG;

SA+SQ: Disponibilização
Datas limite
SQ: [Art.º 248º do CSC]: A convocação compete a qualquer dos

do Relatório e Contas aos
gerentes e deve ser feita por meio de carta registada, expedida com a
sócios (e no siteda
antecedência mínima de quinze dias
Internet) [263º e 289º do
C.S.C.]
31.Mar
SA+SQ: Data limite AG(s/
consolidação e s/ mep)
SA+SQ: [Art.º s 65 n.º 5 e 376º do CSC]
31.Mai SA+SQ: Data limite AG(c/
consolidação ou c/ mep)
Entrega daM22
15.Jul Entrega da IES e * As datas apresentadas no cronograma são datas limite e, no que respeita a
obrigações fiscais, consideram identidade entre o ano fiscal e o económico.
pagamento dodepósito
O Lugar do Auditor nas Sociedades
Assembleia Geral
Conselho de Administraçãoe
Conselhofiscal
Conselho de
Conselho Fiscal
Administração
Fiscal Único
Conselho Fiscal
Conselho Fiscal e ROC
Assembleia Geral Conselho de Administração,

compreendendo umaComissão de
Auditoria, eROC
Conselho de ROC
Administração
Comissão de
Auditoria
Assembleia Geral
Conselho de Administração
Executivo, Conselho Geral e de
Conselho Geral e de
Comissão p/ matér. Supervisão Supervisão eROC
Financeiras
Conselho de Administração ROC

Executivo
RELATÓRIO DE AUDITORIA
15
Tipologias de Relatórios de Auditoria
Relatório de Gestão
Certificação Legal de Contas
Anexo ao Relatório de Gestão
Acesso público
Balanço
Relatório e Parecer do
Anexo ao Relatório de Gestão Concelho Fiscal
Demonstração de Resultados
Demonstração de Fluxos de
Caixa Instrument
Relatório de Conclusões e o de
Demonstração de alterações
comunicaç
ao capital próprio Recomendações de Auditoria ão com o
Notas órgão de
gestão
Esquema Exemplificativo
Não pudemos examinar as demonstrações financeiras de …

do exercício encerrado em… em conformidade com as
Declaração de Normas Técnicas e as Diretrizes de Revisão / Auditoria da
Impossibilidade de Opinião Ordem dos Revisores Oficias de Contas (ROC), por (não ter
sido facultado o acesso aos documentos de suporte, não
terem sido preparadas as referidas demonstrações
financeiras).
Pode, em alguns casos, ser imposta pela própria entidade -

Opinião com reservas por quando impeça o auditor / revisor de aplicar procedimentos
limitação do âmbito que ele considere indispensáveis ou exclua do seu trabalho
determinadas contas e / ou classes de transacções
Eventuais efeitos das limitações

não possibilitem condições para
expressar opinião sobre as
Demonstrações Financeiras
Dada a relevância e significado dos efeitos das situações

Escusa de Opinião descritas nos parágrafos nºs… acima, não estamos em
condições de expressar, e não expressamos, uma opinião
sobre as referidas demonstrações financeiras.
Pode resultar de erros ou omissões ou de discordâncias

Opinião com reservas por relativamente:
desacordo • À aplicação dos princípios;
• Às asserções incluídas nas Demonstrações
Financeiras;
Os efeitos do desacordo são tão • À aceitabilidade das politicas contabilísticas
profundos e significativos que adoptadas ou ao método de aplicação dessas
afectam de tal modo as políticas, incluindo a sua adequada divulgação.
Demonstrações Financeiras que
estas induzem em erro aos
utilizadores.
Na nossa opinião, e dada a relevância e significado dos efeitos

Opinião Adversa das situações descritas nos parágrafos (nº dos parágrafos)
acima, as referidas demonstrações financeiras não apresentam
…
Opinião sem reserva com Sem afectar a opinião expressa no parágrafo anterior,
ênfases chamamos a atenção para as seguintes situações: (…)
Descrição da
situação com
indicação das
Quantificação do asserções
erro, omissão,
desacordo, Etc.
Referências aos itens das

Demonstrações Financeiras
afectados (linhas) e a sua
influência (sub ou sobre
valorização
RESERVA
ASSERÇÕES DE AUDITORA
21
Asserções de Auditoria
Existência Um activo ou um passivo existente numa determinada data

?
Direitos e Obrigações Um activo ou um passivo respeita à entidade numa determinada

data ?
Não há activos, passivos, transacções ou acontecimentos por

Integralidade
registar, ou elementos por divulgar ?
Ocorrência Uma transacção realizou-se com a entidade e teve lugar no

período ?
Um activo ou um passivo é registado e mantido por uma quantia

Mensuração e Valorização apropriada? Uma transacção é registada pela quantia apropriada
e imputada ao período apropriado ?
Um activo ou um passivo ou uma transacção são adequadamente

Apresentação e Divulgação
apresentados e divulgados ?
RISCO NA AUDITORIA
21
Conceito de Risco
Conceito de Risco
CONHECIMENTO DO NEGÓCIO
Conhecimento do Negócio
Exemplo de um caso Real
A Enron Corporation fundada em 1985 foi uma companhia de energia americana, localizada
em Houston, Texas. Empregava cerca de 21 000 pessoas, tendo sido uma das empresas
líderes no mundo em distribuição de energia e comunicações (7ª na lista da Fortune (500)),
mas decretou falência acabando por fechar actividade em 02 de Dezembro de 2001.
Apesar de a empresa ter sido inicialmente constituída para operar no comércio de gás natural
e electricidade, no final da década de 90, era difícil perceber em concreto de onde derivavam
os resultados obtidos.
Pelo facto de este negocio ser complexo e com um elevado nível de incertezas, ajudou a que os
auditores deixassem passar erros, uma vez que facilitou a dissimulação dos mesmos.
Este escândalo financeiro, que arrastou consigo o a empresa de Auditoria Americana Arthur
Andersen, esteve na base da lei de Sarbanes-Oxley.
O conhecimento do negócio da entidade é um dos principais aspectos do planeamento de

Auditoria
ISA 315 – Identificar e avaliar os riscos de distorção material por meio da compreensão da
entidade e do seu meio ambiente
Compreensão da Entidade Risco de

Distorção
Compreensão do Meio
Envolvente
Material
Exemplos Riscos
Propensão para não Sobrevalorização dos Subvalorização dos

pagamento de impostos gastos Rendimentos
Intenção de não devolver Sobrevalorização do Subvalorização do

subsídios activo Passivo
Tentativa de manutenção de Sobrevalorização do Subvalorização do

financiamentos / alvarás activo Passivo
❑ Factores de Risco de Distorção Material
➢ Se o risco é um risco de fraude [ex: negócio que movimenta quantias em dinheiro];

➢ Se o risco está relacionado com desenvolvimentos económicos, contabilísticos ou
recentes e significativos e, por isso, exiga uma atenção especial;
➢ A complexidade das transacções;
➢ Se o risco envolve transacções significativas com partes relacionadas;
➢ O grau de subjectividade na mensuração da informação financeira relacionada
com o risco, especialmente quanto às mensurações com um amplo intervalo de
incerteza;
➢ Se o risco envolve transacções significativas fora do âmbito normal da actividade
da entidade ou de outra forma aparentam não ser usuais .
Condições e Acontecimentos que podem indiciar Riscos de Distorção Material
Condições e acontecimentos Riscos potenciais
➢ Operações em regiões
economicamente instáveis, como por
➢ Possíveis dificuldades de recuperabilidade
exemplo em países com desvalorização
dos activos: imparidade.
monetária significativa ou economias com
altas taxas de inflação.
➢ Possíveis problemas de valorização dos

➢ Operações expostas a mercados
activos;
voláteis, como por exemplo a
➢ Não reconhecimento do justo valor do
negociação de futuros.
contrato de futuros.
➢ Possível reconhecimento inadequado do

➢ Operações sujeitas a um elevado grau rédito;
de regulação complexa. ➢ Possíveis provisões por reconhecer ou
contingências por divulgar.
➢ Possíveis problemas em áreas diversas,

➢ Aspectos relacionados com a
designadamente, sobrevalorização de
continuidade e liquidez, incluindo a
activos e rendimentos e subvalorização de
perda de clientes significativos.
gastos e passivo.
➢ Limitações na disponibilidade de ➢ Possíveis problemas relacionados com

capital e crédito. tentativas de contornar as limitações.
➢ Possíveis problemas relacionados com a

➢ Alterações no sector de actividade em
necessidade de sobrevivência. O risco
que a entidade opera.
dependerá da alteração.
➢ Possíveis problemas de continuidade,

➢ Alterações na cadeia de derivados do estabelecimento de
funcionamento. monopólio (concentração de
fornecedores).
➢ Desenvolvimento ou oferta de novos ➢ Possíveis problemas de capitalização dos

produtos ou serviços ou orientação dispêndios que não satisfazem a definição
para novas linhas de negócio do activo.
➢ Possíveis problemas de capitalização dos

➢ Expansão para novas localizações. dispêndios / possíveis problemas de
integração da informação
➢ Alterações na entidade, tais como

grandes aquisições ou ➢ Possíveis incorreções relacionadas com o
reorganizações, ou outros evento não usual
acontecimentos não usuais.
➢ Entidades ou segmentos de negócio ➢ Possíveis sobrevalorizações para

que irão provavelmente ser vendidos potenciar a venda.
➢ Possíveis riscos de transferência artificial

➢ Transacções significativas com partes
dos resultados. Dificuldade da prova de
relacionadas.
auditoria.
➢ Falta de pessoal com habilitações

apropriadas ao nível da contabilidade ➢ Possíveis erros nas diversas áreas.
e do relato financeiro.
➢ Alterações no pessoal-chave,
➢ Possíveis erros nas diversas áreas
incluindo a saída de executivos-chave.
➢ Deficiências no controlo Interno,

especialmente as não abordadas pela ➢ Possíveis erros nas diversas áreas
gerência.
➢ Alterações no meio informático.

➢ Instalação de novos sistemas
significativos de tecnologias de ➢ Idem. Possíveis problemas de integridade
informação relacionados com o relato
financeiro.
➢ Verificação das operações ou dos

resultados financeiros da entidade por ➢ Possível incorreções relacionadas com a
organismos reguladores ou pressão para cumprir.
governamentais.
➢ Distorções anteriores, historial de

➢ Possível manutenção dos problemas de
erros ou um volume significativo de
exercícios anteriores.
ajustamentos no final do período.
➢ Volume significativo de transacções

não rotineiras ou não sistemáticas,
incluindo transacções com ➢ Possível sobrevalorização do rédito
sociedades relacionadas a grandes
transacções geradoras de rédito no
final do período.
➢ Transacções registadas com base nas

intenções da gerência por exemplo em
➢ Possível incorrecta valorização ou
relação ao refinanciamento da dívida,
apresentação dos activos.
a activos para venda e à classificação
de títulos negociáveis..
➢ Mensurações contabilísticas que

➢ Risco de incorrecta mensuração
envolvam processos complexos.
➢ Acontecimentos ou transacções que

envolvam incerteza significativa de
➢ Risco de incorrecta mensuração.
mensuração, incluindo estimativas
contabilísticas.
➢ Litígios em curso e passivos

contingentes, por exemplo na ➢ Possível ausência de reconhecimento de
concessão de garantias de vendas, passivos.
garantias financeiras e recuperação
ambiental.
❑ Fontes de Informação
➢ Indagações à gestão e a outros colaboradores da entidade;

➢ Observação e inspeção
➢ Publicações relacionadas com o sector
➢ Legislação e regulamentos que afectem significativamente a entidade;
➢ Procedimentos analíticos;
➢ Informação obtida em períodos anteriores;
➢ Visitas às instalações e fabricas da entidade;
➢ Documentos produzidos pela entidade (ex. atas de reuniões, literatura
proporcional, etc).
PROCEDIMENTOS ANALÍTICOS
ADICIONAIS
Procedimentos analíticos iniciais
ISA 520 – Procedimentos analíticos
Balanço e Demonstrações dos Resultados
Objectivos: Identificar áreas de

Rácios risco, nas quais o trabalho
deverá incidir por si só, não
identificam erros monetários
Comparação Sectorial
PROVA DE AUDITORIA
Prova de Auditoria
ISA 500 – Prova de Auditoria
❑ Todas as informações utilizadas pelo auditor que lhe possibilitam

chegar às conclusões sobre as quais se baseia a sua opinião
➢ Inspecção
➢ Observações
➢ Indagação
➢ Conformação Externa
➢ Recálculo
➢ Reenxecução
➢ Procedimentos Analíticos
Prova de Auditoria
ISA 500 – Prova de Auditoria
Obtém-se através de:

➢ Procedimentos de avaliação do risco: conhecimento da entidade
e do seu meio envolvente e sistema de controlo interno de modo
a avaliar os riscos de distorção material;
➢ Procedimentos de auditoria adicionais: testes de conformidade e
substantivos.
Prova de Auditoria
ISA 500 – Prova de Auditoria | Testes
Testes de conformidade
➢ São testes aos controlos de modo a avaliar a sua eficácia
operacional no sentido de prevenirem, detectarem e corrigirem
distorções materiais a nível das asserções.
Ênfase nos Procedimentos Ênfase nos Procedimentos

de Conformidade Substantivos

Auditoria Interna e Controlo Interno

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Interna e Controlo Interno

Caricato da

Copyright:

Formati disponibili

AUDITORIA INTERNA E

Cada vez mais a informação é um fator chave para o sucesso de qualquer

Um sistema integrado de informação de controlo de gestão, vulgarmente

Trata-se de propor um meio para a recolha e análise coerente da grande

Confira as características de um Controlo de Gestão eficaz:

Em 2004, o COSO publicou o COSO II -Enterprise Risk

O ERM vai para além do sistema de controlo interno (CI),

Contudo, não substitui o modelo de CI desenvolvido pelo

Nem todos os riscos têm o mesmo nível de importância/criticidade. A ERM

Há uma interligação direta entre os objetivos, que uma organização está

Os oito componentes são apresentados nas

Essa representação ilustra a capacidade de

Contexto ou ambiente em que as organizações funcionam,

Os objetivos devem existir antes que a administração possa

Consiste na identificação dos fatores internos e externos, com

Risco Inerente: aquele em que a organização incorre na ausência de medidas preventivas ou de

Os riscos são considerados mediante a probabilidade de ocorrência de acontecimentos e as suas

Análise Qualitativa: ordenação dos riscos

Análise Quantitativa: observação numérica dos

A resposta deve ser dada considerando a probabilidade

Evitar: descontinuar as atividades que geram riscos,

Reduzir: adotar medidas para reduzir a probabilidade ou o

Transferir: redução da probabilidade ou do impacto dos

Controlo das atividades

Constituída pelas políticas (o que deve ser feito) e

As informações pertinentes deverão ser identificadas e

A monitorização é realizada através de atividades de gestão

• Não há a mínima atenção às partes

• O COSO ERM confunde processo de gestão de

• A norma refere os riscos cuja evolução é

• O risco é associado a um aspeto negativo cuja

Em junho de 2017 é apresentada uma nova

Esta nova publicação advém da evolução do

As organizações necessitam de se adaptar à

Dado que as organizações com maiores

Na decomposição dos objetivos estratégicos em

É constituído pela cultura, capacidades e práticas que a organização integra com a

A cultura incide sobre os valores éticos, comportamentos

Estratégia e definição de objetivos

Gestão de risco, estratégia e definição de objetivos de

Riscos que podem afetar a realização da estratégia e

Ao analisar o desempenho da organização, uma

Informação, Comunicação e Relatórios

A gestão de risco é um processo contínuo de obtenção e

As cinco componentes do quadro foram complementadas

Evolução histórica da Auditoria Interna

Modalidades e funções da auditoria

Objetivos e alcance da auditoria interna

Resumindo, a auditoria interna assume a função primordial de supervisão da gestão

• Informar periodicamente a Direção do grau de execução dos objetivos e metas da organização;

Função de apoio à Função de apoio à

• Concretização das práticas de boa gestão

• Analisar e avaliar a segurança, adequação e aplicação de todos os sistemas de

Ser dinâmica – não adotar uma atitude de passividade, gerindo o

Ser participativa – deve participar no sentido de partilhar as

Ser evolutiva – deverá evoluir na forma de execução das ações,

Ser pedagógica – deverá encarar a sua atividade como parte

O controlo interno é um processo integrado,

• Eficácia e eficiência das operações;

É, também, um processo integrado, dinâmico e permanentemente adaptável às

A gestão e os colaboradores a todos os níveis têm que estar envolvidas neste

É implementado para contribuir para a concretização de todos os objetivos, tanto

Além destes, existem também os chamados controlos diretivos cuja missão é