Avaliação do controle interno

então eu estiver apresentando aqui é o que a gente pratica lá é a forma como nós avaliamos o controle interno e nós somos obrigados a avaliar o controle interno tem uma legislação a lei sarbanes oxley saber se ela está registrada na sec ela tem ações negociadas na bolsa de nova york nós somos obrigados a atender a lei sarbanes oxley por essa lei o diretor presidente e diretor financeiro anualmente eles têm que declarar em que atestar que os controles internos são bons bom de que maneira que eles vão atestar isso com base nessa metodologia mas é

só a lei sarbanes oxley agora sociedades de economia mista e as empresas públicas eu sei que estamos tratando aqui de outro mundo não mas talvez seja é possível traçar um paralelo às sociedades de economia mista com a lei 13 303 e com vigência agora 30 de junho as empresas terão que estar preparadas elas devem avaliar o controle interno de que maneira que elas vão avaliar o controle interno isso não está escrito na lei mas está aqui uma metodologia uma forma que possibilita essa avaliação bom começando controle interno não estou tratando de uma unidade administrativa não

é um departamento de controle interno e algumas empresas têm departamentos de controle interno as instituições financeiras são obrigadas a ter departamento de controle interno estou tratando de um processo estou tratando de um sistema tão conjunto de elementos que estão ligados com objetivos comuns a gente vai falar que um processo nós vamos avaliar um processo tem pessoas várias pessoas ligadas a várias unidades diferentes ligadas a um processo executado por pessoas têm aqui o pessoal do do órgão de governança do conselho de administração da diretoria executiva de outras unidades da área de controle interno da área de

auditoria na área de gestão de riscos da área de conformidade são pessoas por serem pessoas está escrito aqui também o controle interno não é infalível portanto nós não teremos nós não teremos certeza absoluta e não podemos escrever dessa forma não teremos certeza absoluta sobre a eficácia do controle interno mas basta de acordo com essa metodologia termos uma segurança razoável muito a um processo que depende de pessoas são várias atividades encadeadas e nós os auditores internos o pessoal de controle interno nós teremos que dizer ao final existe uma probabilidade razoável de que os objetivos sejam alcançados

e quais são os objetivos também é importante e conceitual isso aqui quais são os objetivos de um controle interno estamos tratando de eficiência e eficácia das operações bom nós em uma empresa nós temos bem claro processos que têm objetivos se existe a probabilidade de que o processo não atinjam os seus objetivos estão o controle interno não está sendo eficaz eficiência e eficácia das operações aderência às regras nós temos leis mas não só leis exigências normativas e políticas procedimentos as regras corporativas as regras da organização o controle interno ele tem o objetivo de dar uma segurança

razoável de que essas regras estão sendo seguidas então eficácia das operações aderência às regras e confiabilidade das informações esse modelo aqui foi criado lá atrás principalmente com esse objetivo confiabilidade das informações só que lá atrás isto foi em 1985 em 1985 algumas entidades cinco entidades cinco entidades norte americanas o instituto dos auditores internos então ficou à vontade para falar desse assunto porque o iata lá desde o começo desde 1985 o instituto dos auditores internos o instituto dos auditores independentes uma um instituto dos executivos financeiros todas as entidades norte-americanas instituto de contabilistas associação de gestores e

executivos de contabilidade com cinco entidades se juntaram com o objetivo em 1985 era um objetivo combater fraudes contábeis era esse o ponto 1985 eles trabalharam trabalharam trabalharam é terminar um framework em 1992 esse prêmio porque eu vou apresentar aqui controle interno estrutura integrada em 1992 com o objetivo principal de combater fraudes contábeis bom nesses anos a esses anos iniciais eles perceberam que o controle interno pode ir muito além disso deve ir muito além disso eles ampliaram ao invés de só se concentrar em fraudes contábeis eles ampliaram para as operações ampliaram para confiabilidade da informação e

ampliaram para aderência às regras assim começou em 1992 mãe de 92 até 2013 muita coisa aconteceu no mundo a gente tinha lá atrás uma preocupação com tecnologia da informação sim mas até 2013 muita coisa mudou em tecnologia da informação a gente tem a preocupação com fraudes fraude gerais sim mas até 2013 as fraudes mudaram o ambiente de negócios mudou os riscos mudar em 2013 eles atualizar o modelo que eu vou mostrar que o modelo mais recente que está vigente e alguns não vamos fazer essa confusão alguns confundem o cozido em 2017 ele atualizou o outro

modelo eu não sei se vocês conhecem mas têm um modelo que é para gerenciamento de riscos e alguns dizem assim até agora tem um coiso de 2017 então o uso de 2013 está abandonado não é verdade cada um tem o seu objetivo tem o curso para gestão de riscos e tem outro para implantação e avaliação de controle interno eu vou falar desse daí implantação e avaliação de controle interno bom conceituamos controle interno agora tá melhor conceituamos controle interno vamos falar do corso 2013 e é esse modelo aqui tem cinco componentes para que a gente diga

que o controle interno e eficaz e como eu disse para vocês algumas empresas algumas organizações são obrigadas a declarar isso para que a gente afirme que o controle interno é eficaz os cinco componentes têm que estar presentes em funcionalmente e alguém vai ter de testar isso aí alguém vai ter que avaliar isso daí bom quem é que vai avaliar isso daí de acordo com o modelo de três linhas de defesa eu não vou tratar aqui não vou passar rapidamente de acordo com o modelo de três linhas de defesa quem avalia isso aqui é a auditoria

interna de acordo com a lei 13 303 quem avalie isso daqui de forma independente é a auditoria interna de acordo com o novo regulamento do novo mercado que é dhabi 3 aí eu sei que definitivamente não tem nada a ver com vocês mas novamente podemos conhecer as referências e traçar alguns paralelos de acordo com a abt e 3 quem avalia de forma independente isso daqui é auditoria interna significa que as outras áreas não são importantes de maneira alguma de jeito nenhum nós precisamos de controles coordenados e integrados e as áreas têm que trabalhar em conjunto

bom os cinco componentes tem que estar preso sentes e em funcionamento alguém vai lá e se alguém normalmente é da auditoria interna e vai verificar está prevista a atuação da contabilidade do gestor de compras ou do gestor financeiro é efetuando alguma conferência efetuando alguma aprovação nós temos limites de alçada claramente estabelecidos e formalizados nós temos a atuação do comitê de algum órgão de governança que supervisione os atos que supervisione os controles bom tem uma série de perguntas aí que nós teremos que fazer e aí com as respostas com as respostas feitas de forma é bem

organizada e com base em evidências com base em fatos objetivos nós vamos ao final concluir o controle é eficaz ou não é eficaz cinco componentes têm que estar presentes em operação para atestar que os componentes estão em operação nós vamos em alguns casos precisar de documentos de amostras nos precisar de testes e avaliações quem é que faz isso auditoria interna com os objetivos já falamos eficácia das operações confiabilidade das informações lá atrás era informação pra fora eram demonstrações financeiras no modelo de 2013 deixou de ser só para fora são as informações de maneira geral as

informações usadas para a gestão as informações usadas no dia a dia as informações usadas de forma cotidiana nos negócios elas são confiáveis elas são precisas elas estão íntegras alguém vai ter que avaliar isso aí é bom e aderência às regras dispensa comentários e isso em toda a organização nas várias unidades nos vários processos por nós temos aqui 17 princípios os cinco componentes são obrigatórios todos os 17 princípios são obrigatórios se um princípio não estiver presente se um princípio estiver presente mas não operando de forma efetiva nós não poderemos afirmar que o controle interno efetivo é

eficaz bom de que maneira que a gente vai buscar essas informações nós precisamos das respostas o controle interno é eficaz o primeiro princípio a organização demonstram comprometimento um compromisso com integridade e valores éticos vocês acham que isso é relevante para um sistema de controle interno nós temos em 2013 1º de agosto de 2013 a lei 12 846 se não me engano vigência a partir de 29 de janeiro de 2014 bom ela lembra alguns chamam de lei da empresa limpa outro chama de lei brasileira anticorrupção bom trata disso daqui entre outras coisas isso aí faz parte

do controle interno de acordo com o pouso faz na 13 303 não está escrito isso daí mas aí cabe a cada organização tomar a sua decisão se nós conseguirmos um modelo como modelo aceito mundialmente nós vamos tratar também nesse princípio bom na 303 fala do código de ética não é falar do código de conduta integridade fala do programa de integridade e de alguma maneira tangencia nesse assunto a organização demonstra o comprometimento com integridade e valores éticos o qq tipo de informação que nós vamos coletar quem nós vamos entrevistar o que a gente vai ter que

analisar que tipo de documento que a gente vai pedir ou na sequência eu não vou ler aqui todos os princípios na sequência vou passar em cada um deles eu vou dar um peso maior o destaque maior para alguns princípio número 1 e se é fundamental quando a gente entra nos com mentes o componente principal todos são importantes a gente já percebeu que se unam estiver presente o controle não é eficaz mas o componente principal porque ele é base para os demais é o ambiente de controle o ambiente de controle tem cinco princípios esse componente serve

de base para todos os outros bom estabelece o tom no topo isso daqui onde está escrito lá o número 1 o número 1 é o princípio que está ligado ao componente ambiente de controle princípio número 1 o ambiente o componente é obrigatório o princípio é obrigatório e aqui nós temos a metodologia está estruturada dessa forma aqui nós temos o que eles chamam de pontos de foco componente obrigatório princípio obrigatório ponto de foco não é obrigatório mas serve como um guia serve para embasar para fundamentar as suas respostas para essa questão aqui será que a organização

está demonstrando esse comprometimento o que nós vamos perguntar bom nós temos aqui uma mensagem clara da alta administração imagino que nas organizações em outras organizações seja possível traçar esse paralelo nós temos uma mensagem clara que vem de cima nós temos um exemplo que vem de cima bom eu sei que o gerente lá o gerente de compras ele tem que tomar uma série de cuidados ele não pode fazer besteira ok o superintendente também tem que tomar uma série de cuidados e também não pode fazer besteira ok o diretor da mesma forma se alguém encontra algum problema

cometido pelo diretor se não acontece absolutamente nada é qual que a conclusão o exemplo não está vindo de cima aí a gente tem toda a estrutura comprometida controle interno não é efetivo estabelece o tom no topo o exemplo vem de cima com as as práticas padrões de conduta regras de conduta formalizados formalizados aí talvez não seja o ponto principal regras de conduta que sejam de domínio de todos regras de conduta que os empregados que os colaboradores das pessoas que estão lá dentro da organização entendam e concordem regras de conduta disseminados vale só para as pessoas

que estão dentro pessoal meus amigos alguém diga favor se vale só para as pessoas que estão dentro da organização não não não não não não não não não caso da siemens um grande caso da siemens 2008 pagaram multas milionárias milionárias no caso da sims descumprimento ifpi uma lei norte-americana muito parecida com a lei brasileira de corrupção bom quem cometeu o grande erro lá foram os representantes comerciais é alguém que está tratando em nome da organização é não importa não importa prefeitos aqui do comprometimento com a integridade com valores éticos é tá tudo no mesmo barco

tudo no mesmo balaio então todos têm que concordar em entender e praticar esses valores essas regras de conduta aderência aos padrões de conduta bom tem que ter mecanismos e processos para capturar se alguém pisou na bola se alguém fez algo que não devia eu tenho que é algo pra me distraí algo para tratar isso daí é bom por exemplo um canal de denúncias canal de denúncias a lei brasília além das estatais trata de um canal de denúncias canal de denúncias passou a ser obrigatório a lei brasileira anticorrupção trata de um canal de denúncias o decreto

8 420 de março de 2015 que regulamenta 12 846 trata de canal de denúncias a o ministério da transparência seja 1 em setembro de 2015 eles emitiram dois guias guia para a implantação do programa unidade da empresas públicas e o guia para a implantação do programa integridade para empresas do setor privado é bom nos dois guias e não haveria outra forma nos dois dias estão previstos instalar a organização precisa de um mecanismo para capturar informações se existe alguma coisa errada acontecendo e quer a gente queira quer não as coisas erradas elas podem acontecer as coisas

erradas em alguns casos acontecem então se elas acontecem eu tenho que aumentar a probabilidade de tomar conhecimento dessas coisas erradas como é que o aumento essa probabilidade uma das formas é com o canal de denúncias bom e uma vez constatada a irregularidade confirmada a irregularidade confirmada a autoria autoria o que mesmo a gente fala autoria e materialidade bom confirmei lá aconteceu mesmo não tem dúvidas de quem foi o responsável não precisamos de uma resposta porque senão todo o sistema todo o sistema toda a estrutura caiu em descrédito e que é algo que vai chegar à

conclusão controle interno efetivo e eficaz meus amigos nós temos mais 16 princípios eu não vou mergulhar agora em cada um desses princípios mas eu gostaria quando alguém tem alguma dúvida ou queira fazer alguma observação o que era se aprofundar em algum dos tópicos por favor levante a mão e vamos conversar eu acho que esta é uma oportunidade boa para a gente trocar experiências princípio número 2 bom eu tenho aqui pra para organizar a empresa se isso é muito claro empresas eu tenho lá os acionistas eu tenho os donos desses aí detém a propriedade mas nós

temos os gestores são aqueles que estão no dia a dia estão na execução estão tomando decisões cada vez que o mundo te atrapalha aqui né obrigado é que eu não consigo ficar só naquele lugar mas vai dar tudo certo vai dar tudo certo bom não empresa tem aos acionistas são os donos mas tem aqueles que estão no dia a dia tomando decisões isso tem um nome e ensimec escreveram sobre isso em 1976 o manual de teoria da agência está dividindo aí a propriedade e controle propriedade e gestão quando tem essa divisão podemos ter conflitos de

agência o interesse do dono nem sempre será igual ao interesse do gestor vocês concordam com isso que eu posso ter um executivo que quer aumentar muito lucro o ano seguinte no exercício seguinte no curto prazo que ele vai ganhar um percentual disso ele vai ter uma remuneração variável só que o acionista não quer o lucro no curto prazo não necessariamente ele quer a sustentabilidade ele quer que a empresa ela se mantenha saudável forte durante o tempo nem no tempo da responsabilidade corporativa bom nós temos lá uma divisão como é que a gente faz para minimizar

esse conflito de agência ou esses conflitos de agência uma forma clássica e o ibgc trata desse assunto há muito tempo também uma forma clássica os acionistas os proprietários escolhem elege em os seus representantes que vão colocar em qual órgão vão colocar no conselho de administração tem alguém que está lá se reunindo periodicamente analisando as informações supervisionando definindo diretrizes e estratégias e que vai cobrar os executivos os executivos estão o de no dia a dia lá eles estão acompanhando eles estão vendo cada detalhe não existe uma assimetria mas ok temos temos algum controle o conselho de

administração supervisor a esse princípio número dois diz o seguinte eu preciso de um conselho que seja efetivo atuante crítico não quer dizer que ele vá contra o executivo não o contrário mas eu tenho que ter alguém que questione alguém que desafio alguém que pergunte se aquela é a melhor decisão mesmo o conselho de administração a princípio o número 3 nós temos aí processos temos a estrutura a organização precisa estar preparada com limites claramente estabelecidos de autoridade e responsabilidade princípio número 4 não falamos de processos agora chegamos talvez seja o mais importante mas como eu disse

todos os princípios do componente 1 são importantes demais agora são as pessoas a gente tem lá na área financeira a gente tem na área de suprimentos de contratações nós temos pessoas precisamos de pessoas íntegras não é isso aí já não se discute mais precisamos de pessoas que respeitem os valores éticos isso não se discute mais mas precisamos de pessoas competentes e preparadas habilitadas é disso que se trata vou colocar a pessoa certa no lugar certo e vou treinar essa pessoa princípio número 5 os americanos chamam de accountability mas aqui é o seguinte tem alguém que

é responsável por aquele processo ele tem que assumir isso daí ele é o responsável por aquele processo por gerenciar aqueles riscos por executar aqueles controles que isso daí fique claramente que a regra do jogo fica muito clara para todos a princípio o número 6 só mudamos de componentes saímos do ambiente do controle agora entramos na avaliação de riscos o cara mas ficou confuso né estamos tratando de controle interno certo o assunto aqui é a avaliação do controle interno de acordo com essa metodologia para que o controle interno seja efetivo vamos pensar pra vc faz sentido

sair de acordo com essa metodologia para que o controle interno seja efetivo nós precisamos a organização precisa conhecer os seus riscos se identificar os riscos precisa avaliar esses riscos que precisa tomar decisões respostas a esses riscos será que faz sentido dependendo do risco talvez a decisão seja preciso mitigar esse risco como a forma clássica de mitigar um risco implantando atividades de controle assim que a gente vai pra outro componente mas vamos com calma avaliação de riscos a organização identifica os riscos levando em conta forças fraquezas oportunidades e ameaças estima o impacto e definir a resposta

quais são as respostas possíveis para um risco vamos pensar juntos aqui daqui vale para a organização está aqui vale pro pro nosso dia a dia vai pra nossa vida pessoal quais são as respostas para gerenciar um risco respostas possíveis a primeira resposta é mais simples eu vou aceitar esse risco eu vou conviver com esse risco porque a probabilidade é baixa e se acontecer o impacto não é tão alto assim faz sentido sair eu vou conviver com esse risco ok deixa ele do jeito que ele está mesmo outra resposta é comum eu vou compartilhar esse risco

uma probabilidade não é tão alta assim mas se acontecer eu tô ferrado desde vai ser um problemão e pode comprometer a saúde ea viabilidade a sustentabilidade da organização bom eu vou compartilhar para compartilhar o risco que a gente faz pessoal contratamos um seguro esse é o clássico é contratamos um head eu toco tem uma dívida alta em dólar sei que para vocês têm um mundo é diferente mas em uma empresa tem uma dívida alta em dólar é se o dólar estourar está acontecendo na história estourar a empresa tá perdida tá com um problema grave o

que ela faz tem um mecanismo que protege ela protege ela mas tá eu estou trazendo um parceiro pra ao meu lado tentar gerenciar esse isso isso é compartilhar uma outra resposta evitar o risco evitar é quando eu mudo eu mudo sistema eu mudo o processo eu mudo o procedimento aí eu evito ea quarta resposta ea que mais nos interessa para a conversa de hoje precisa participar já que estamos falando de controle interno a quarta resposta é nítida a me xingar eu vou mitigar o risco de que maneira colocando controles lá colocando uma pessoa mais uma

pessoa independente para conferir a conferência é uma atividade de controle sim colocando alguém para a provar como a autoridade competente para isso a aprovação é um controle sim colocando alguém pra fazer uma conciliação supondo que seja lá na contabilidade o que vai conferir base independentes a conciliação é um controle sim bom é disso que a gente está tratando bom em 2013 e só em 2013 92 não estava assim em 2003 eles quiseram da e acho que é importante que quiseram dar um destaque para um assunto que é fraude fraude fraude fraude que preocupa todos nós

preocupa o brasil inteiro preocupa o mundo fraude combate a fraudes deram destaque a colocar um princípio só pra ele nós precisamos avaliar os riscos de fraude e eles recorreram uma outra associação norte americana tem várias ainda é a cf association of certified fraud examiners uma associação que cuida tem os especialistas em combate identificação e combate de fraudes e essa associação foi uma classificação quais são as fraudes cíveis eles quiseram simplificar um pouco criaram alguns critérios e chamaram de árvore da fraude os três ramos principais nós vamos parar no primeiro nível os três campos principais são

desvio de ativos desvio de ativos tem que ser combatido com o controle interno sim é um desvio de ativos nos interessa e o control sistema de controle interno tem que estar preparado pra identificar a probabilidade de desvio de ativos desvio de ativos nos interessam muito fraude contábil é uma classificação também dentro de fraude laudo contábil nos interessa muito também e o terceiro tipo corrupção caramba pró cef e corrupção é um tipo de fraude sim sim eles tratam dessa forma e o coso beber dessa fonte coso trata dessa forma também temos que ter mecanismos para identificar

esses três tipos de fraude identificar e tratar esses três tipos bom além disso aí eles que criaram lá uma sistemática a metodologia pra avaliar esses riscos e recorreram ao total de triângulo da fraude não tem nada muito novo aqui né triângulo da fraude está em uma teoria de da década de 60 é bastante antigo eu sou da década de 60 o triângulo da fraude para que a fraude aconteça é segundo essa teoria precisamos de 3 três fatores que atuem em conjunto triângulo da fraude uma pessoa que vai cometer a fraude ela vai receber uma pressão

para isso aí uma pressão ou incentivo vocês conseguem imaginar isso no dia a dia de vocês bom em uma empresa o exemplo que me vem à mente é o seguinte tem alguém que tem uma meta que ele tem que atingir aquela meta e e têm o superior dele está cobrando muito e ele vai fazer o que precisar e hora que chega nesse ponto é fazer o que precisar talvez ele ultrapassa um limite e ele vai fazer o que tiver ao alcance dele pra atingir e aquela meta isso é pressão mas só isso aí não é

o suficiente de acordo com essa teoria e vamos aceitar por enquanto a teoria só isso não é suficiente ele vai racionalizar ele vai começar a pensar ele vai justificar aquele ato vai começar a dizer assim puxa vida até que eu mereço isso daí eu trabalhei tanto eu trabalho tanto e um esforço tanto eu não sou reconhecido então eu mereço isso daí ele começa a acreditar que aquilo que ele está fazendo não é tão errado assim e já que ele merece então ele pode fazer aquilo lá é bom mas isso não é o suficiente então vamos

lá vamos voltar ele está recebendo uma pressão ou um forte incentivo ele racionalizou mas qualquer a terceira variável e aí que a gente entra e é aí que a gente tem que entrar e aí que a gente tem que atuar pressão racionalização a terceira é a oportunidade ea oportunidade ele vai encontrar os amigos quando a porta estiver aberta a oportunidade ele vai encontrar quando aquela aprovação quando aquele pagamento não passar por uma aprovação oportunidade ele vai encontrar quando não tiver alguém conferindo quando não tiver alguém fazendo uma revisão independente oportunidade ele vai encontrar quando não

tiver alguém lá no final do processo confirmando conciliando vendo que qual foi o efeito qual foi o impacto na conta por exemplo a conta bancária meus amigos pressão a racionalização e oportunidade onde é que a gente entra para verificar se os controles se as atividades de controle estão operando de acordo com o previsto 9 10 9 ele vai buscar as mudanças que estão acontecendo porque elas podem mudar a avaliação de riscos e 10 aqui a gente tem um esqueminha que vocês vão ver depois com calma mas é o processo nosso identificou avaliou e em alguns

casos vai controlar vai controlar de que forma com atividades de controle que nós vamos testar avaliação de controle interno está aqui nós vamos testar controles todos os controles meus caros têm que ser automáticos seria bom se fosse mas não existe isso aí nenhuma organização então nós teremos um mix nós temos aí um equilíbrio entre controles automáticos controles manuais os controles manuais a gente tem que tomar um cuidado adicional controles preventivos mas também controles detecte vos se acontecer o problema tem que ter alguém lá em algum momento que perceba isso aí que levante a bandeira para

dizer bom aconteceu o problema vamos tratar atividades de controle sobre tecnologia controles de tecnologia da informação bom para o nosso mundo né pra nossa realidade processos tramitando no sistema informatizado existe a possibilidade de que alguém entre lá e que mexer alguma informação se existe a possibilidade eu tento ter controles é qualquer um que entra lá ó é quando ele faz a operação ficou lobby fica registrado alguém confere depois precisamos de outros tipos de controle tudo formalizado em políticas e procedimentos mas mais importante do que colocar no papel ou no sistema mais importante do que escrever

a regra é disseminar isso daí todos tendo conhecimento de como deve funcionar o controle informação mudamos mudamos de componente informação e comunicação então já passamos pelo ambiente geral passamos pela avaliação de riscos e agora isto é tem que permeará toda organização temos informação relevante dos nossos processos sobre os nossos processos que são de domínio de todos os profissionais informações internamente informações externas chegando a estrutura de governança chegando aqui ao conselho de administração ao comitê ao conselho fiscal bom vamos agora para último componente e lembrando se um componente não estiver presente controle efetivo se um princípio

não estiver presente controle efetivo bola que chegou no nosso princípio no nosso componente alguém tem que monitorar alguém tem que dizer está legal somos nós e tem o princípio só para isso a organização realiza avaliações contínuas está aqui pelos gestores mas também independentes isso aqui é por nós a organização avalia de forma independente os seus controles não é qualquer um que vai avaliar isto aqui nós temos aqui avaliações dos gestores e avaliações feitas por nós com pessoal capacitado com o pessoal proficiente sobre proficiência que cabe um parênteses bastante importante sobre proficiência estamos tratando aqui de

controle interno e do papel da auditoria interna o papel da auditoria interna nós temos um livrinho aqui estrutura internacional para a prática da nossa profissão é o livrinho aqui com as normas têm o código de ética que é obrigatório ontem um passo a passo que a gente tem que cumprir tem uma regra que assim está no código de ética também o auditor interno ele vai se comprometer com um projeto com o trabalho desde que e somente c eles tiveram conhecimento suficiente é parece-me óbvio né eu não vou avaliar aquilo que eu não conheço eu só

vou avaliar aquilo que eu domino um hotel que dominar tanto quanto o gestor não é isso que está tratando aqui eu tenho que ter um domínio tem que ter as informações suficientes para exercer um julgamento ele está atuando de acordo com a política ele está atuando de acordo com o procedimento ele está atuando de acordo com as regras corporativas ou isso está escrito aqui o código de ética nosso ele tenha quatro princípios quais só quatro princípios um deles é competência disse exatamente isso aí vamos nos comprometer com aquilo que a gente sabe que aquilo que

a gente conhece uma forma bom primeiro primeiro recado importante acho que vale a pena conhecer essa estrutura vale a pena conhecer as normas em algumas orientações que são mandatórias um segundo recado se nós queremos nos demonstrar a proficiência é uma forma é através de certificações tem algumas que são do instituto e tem outras são de outros institutos por exemplo tem uma que é o cinza o pessoal de tecnologia da informação uma certificação que se não me engano do isaca a certificação importante e mais e mais nós visitamos várias empresas para tentar aprender um pouquinho tentar

trazer para a nossa gente foi no itaú faz relativamente pouco tempo então eles têm 300 auditores internos vários são os certificados têm o certificado cinza porque porque para um banco por uma instituição financeira ter o domínio da avaliação desse mundo de tiê é fundamental porque o negócio deles é esse negócio deles é tecnologia da informação bom tem outras certificações o instituto dos auditores internos nós temos o pessoal aqui atrás de tudo o que pode tirar mais dúvidas apresentar mais informações o instituto dos auditores internos tem uma certificação que é o cia a certificação do auditor

interno uma maneira de demonstrar essa proficiência esse conhecimento essa competência e que nós somos obrigados aqui nós precisamos disso aí pra afirmar no final que o controle interno é eficaz precisamos disso daqui pessoal que está avaliando pessoal com conhecimento bom e avalia de forma objetiva o que que é avaliar de forma objetiva não é chegar rapidamente na conclusão avaliar de forma o objetivo é com base em fatos fatos objetivos com base em evidências eu vou chegar à conclusão que não está legal se não estiver legal eu vou chegar à conclusão que tá legal se tiver

legal mesmo mas eu preciso de evidências e não é porque o gestor lá não é meu amigo ou porque o gestor lá vai almoçar comigo de final de semana é não é esse o motivo é com base em fatos objetivos com base em evidências bom e dependendo do que encontrar ou aquilo que encontrar eu tenho que reportar que aquilo talvez dependa de um plano de ação auditoria interna funciona assim né estou fazendo avaliação encontra uma oportunidade de melhoria eu tenho que dar seqüência a isso aí alguém vai ter que continuar alguém vai ter que melhorar

implantar as ações corretivas bom aqui pessoal é um slide simples só pra gente ter uma dimensão só pra gente visualizará que lhe farão mais simples como é que os controles como é que as atividades estão interligadas ou podem estar entre interligadas a filosofia que é a seguinte os controles eles têm que atuar de forma coordenada de forma integrada os vários controles a filosofia que é a seguinte as funções têm que atuar de forma integrada de forma coordenada vale a pena reforçar esta época em algumas organizações não é assim que acontece mas assim que deveria acontecer

às funções atuando de forma coordenada um exemplo aqui os gestores o gestor gestor o gerente que cuida da contratação são eu não sei como nas respectivas organizações aqui mas o gerente que cuida da contratação ele tem uma responsabilidade enorme ele tem que ter consciência dessa responsabilidade ele tem que assumir essa responsabilidade isso é a causa bilhete ele tem a noção ele tem a consciência e ele assume isso ele é responsável por aquele risco ele é responsável por aquele controle aquele com aquela atividade de controle aquela conferência não é do auditor interno não é da área

de controles internos alguns acham que é mas não é não é aquela conferência responsabilidade dele e tem que ser importante pra ele porque senão não vai dar certo bom ele executa que o responsável direto pela execução do controle nós temos outras áreas aqui ou podemos ter outras áreas depende do porte da organização depende do setor de atuação mas nós podemos ter uma área que de gestão de riscos podemos ter uma área de conformidade podemos ter uma área de controle interno que ajude aqui na implantação é alguém que vai assessorar alguém que vai sentar do lado

do gestor e que vai trabalhar com ele vai implantar o controle lá vai ajudar a monitorar a eficácia daquele controle então estamos atuando de forma integrada e coordenada e temos aqui ó por fim nesse exemplo é só um exemplo temos aqui auditor interno é alguém que de forma independente chega lá depois e que vai pegar as evidências eu tenho evidências que aquela aprovação aconteceu de acordo com o previsto de acordo com a regra corporativa se tiver as evidências ótimo controle eficaz aqui pessoal eu vou passar rápido porque são as perguntas que nós teremos que responder

depois mas a gente já combinou aqui pra que a gente respira onda eu vou recorrer aqueles pontos de foco que já foram apresentados então nós vamos responder e nós vamos documentar a organização demonstra ter comprometimento com a integridade dos valores éticos como é que a gente vai juntar se juntar essa informação que informação que a gente vai juntar bom tem um código de ética e conduta ele foi disseminado para toda a organização eu tenho lá os certificados os atestados eu tenho comprovante que o terceiro fornecedor ele está de acordo ele recebeu aquele código está de

acordo com aquele código eu tenho um canal de denúncias eu tenho um processo pra aplicar as medidas disciplinares foi dessa forma que a gente vai documentar e dependendo das respostas ao final a gente vai chegar à conclusão controle efetivo o controle efetivo temos aqui para os vários princípios e agora a pessoa só uma curiosidade para aquelas empresas que têm ações negociadas na bolsa de nova york eu disse para vocês que anualmente o presidente o diretor financeiro tem que testar se os controles internos são bons ou não quando ele atesta que o controle interno não é

bom e meus amigos se o controle interno não for bom é melhor que ele atesta que não é bom é melhor é melhor é mais seguro pra ele bom quando é atestar que não é bom ele é obrigado tá escrito da regra essa daí ele é obrigado a divulgar o controle interno não é bom e não é bom porque ele vai apresentar lá ele vai apresentar porque não é bom ele vai apresentar o plano de ação vai estar no relatório quem tiver curiosidade pode procurar no o nome desse relatório chama 20-f procurem na página da

petrobras de 2015 e 2016 é referente a 2015 e refeita 2016 procure na página da petrobras não na seção de relações relações com investidores e relatórios submetidos a cef tem lá todos os 20 r 10 nesse relatório no capítulo 15 e controles e procedimentos vai está escrito lá nosso controle interno não foi eficaz e não foi eficaz eles vão apresentar uma série de motivos uma série de razões eles vão apresentar também os planos de ação com exemplos aqui ausência de um código de conduta efetivo ter um código de conduta pegar no google um código de

conduta mudaram logo não é isso que vai tornar um código de conduta efetivo algumas empresas declararam que não tinham um processo para a disseminação das regras e padrões de conduta um processo efetivo ausência de um comitê de auditoria efetivo é aquele órgão ligado ao conselho de administração aquele órgão que tem que ser independente dos executivos ausência de um programa anti fraude falta de um processo de gestão de riscos puxa vida se eu não tiver uma gestão de riscos bem implantada como é que eu posso ter um controle interno efetivo não dá não casa não como

não tem um não tem alternativa perfis de acesso e segregação de funções inadequados eu não sei que tipo de sistema que vocês usam na sabesp nós implantamos um rp um sistema integrado de gestão da shp a fabricante alemão nós implantamos só em 2017 o ano passado foi uma briga e foi uma luta foi difícil foi difícil porque estávamos com dificuldades antes porque eram sistemas que tenham interface davam trabalho para controlar a gente foi para o sistema integrado imaginando que seria a maravilha na solução para todos os problemas talvez seja algum dia mas ainda não é

ainda não é nós encontramos um s up e nós tivemos dificuldades com essa questão aqui perfis de acesso segregação de funções nós temos que garantir nossa digo são as organizações depois auditoria interna vai lá para verificar será que eles conseguirão garantir a organização tem que garantir que só têm acesso àquela informação aquela transação quem pode ter acesso e no momento da implantação por uma dificuldade na operacionalização a gente vai concedendo acessos para não parar a empresa gente vai concedendo acessos e quando a gente consegue vários acessos podemos correr o risco de deixar profissionais com acessos

conflitantes isso daí para o auditor interno e produtora independente depois é um pecado no pecado imperdoável ausência de documentação e procedimentos de segurança só isso aqui é bem específica lá no fechamento contábil é algumas empresas trabalham com o excel o que não é um pecado não necessariamente nós precisamos de alguns controles para assegurar que a informação que está no excel é uma informação integrar precisa segura e confiável bom o excel você sabe que é muito fácil a gente vai lá e apaga a gente falar em série a gente vai lá e dita bom a gente

tem que ter alguém que deu uma segurança razoável que o que está lá tá bom é isso aí não é tão simples bom agora nós vamos documentar os testes daquelas atividades de controle eu estou finalizando já e depois vou abrir pra a conversa vamos documentar o teste daquelas a conferências daquelas aprovações daquelas conciliação ações eu tenho que ter isso daqui na minha documentação bom vou colocar no excel olha aqui o excel as informações principais garantindo a integridade delas e é o principal o principal de tudo isso que a gente falou o principal tem alguém que

vá lá que vai dizer se tá legal se não tá legal se tem a oportunidade de melhoria quando a gente chegar nesse ponto aí e isso é o mais importante quando a gente chegar nesse ponto alguém de forma independente a gente foi lá com base em fatos objetivos em evidências e verificou que aquela atividade não aconteceu de acordo com o previsto não aconteceu de acordo com o procedimento bom o que acontece aí a gente emite um relatório vai para o presidente o presidente manda aquele analista embora e resolver o problema imagino que não imagina o

que não necessariamente é não é assim que acontece eu acho que não é assim que deveria acontecer a gente tem que melhorar o processo tem que melhorar o que está acontecendo lá praquele erro e às vezes é só um erro mesmo às vezes é uma falha administrativa para que aquela falha administrativa não volte a acontecer então nós vamos cadastrar isso é fundamental e tem que ter alguém com responsabilidade sobre isso aí talvez com o apoio com a assessoria de uma área de controles internos o especialista no assunto mas tem que ter alguém pra para definir

o que não funcionou bem não funcionou bem por qual razão qual a causa raiz o que tem que ser alterado aqui o que o que tem que ser melhorado é um plano de ação que será provavelmente supervisionado acompanhado cobrado monitorado por um órgão de governança nas empresas normalmente é um comitê de auditoria poderia ser em outros órgãos talvez por áreas de controle interno auditor interno e lá no final o processo que hoje não estava tão bom assim não estava tão bom quanto poderia ele vai ficar melhor é esse objetivo isso é o principal eu acho

que esse é o nosso papel meus amigos eu concluir tem só uma referência depois quem quiser se aprofundar mais eu não coloquei o meu e-mail aqui mas a organização tem os meus contatos e eu estou à disposição e se alguém tiver alguma dúvida observação agora podemos conversar temos mais 15 minutinhos obrigado pessoal obrigado vão ser fechados agora a viagem para aruba eu acho que não é são dois livros por enquanto a viagem vai ficar para mais tarde 2482 sair 2482 nos crachás vizinhos não 2530 número 25 30 25 30 também não 25 97 2 597

também não tá pessoal tá perdendo um livro 2393 2393 2555 número de sorte 2555 aí tá aí 25 69 25 6 mais uma pessoal dentro de dois minutinhos nós vamos dar início a próxima palestra ok para entregar o certificado do senhor marcelo fedor e nós vamos chamar se for amador do trf 3