Fases do Processo de Auditoria Interna
De acordo com Morais e Martins (2013), a equipa de Auditoria Interna deverá compreender e avaliar os controlos internos existentes (que minimizem os riscos) em cada área a auditar, com o objectivo de avaliar o existente e assegurar uma razoável confiança nos mesmos, podendo determinar o alcance, limitando os procedimentos de Auditoria interna, isto é, antes de se dar inicio a um trabalho de Auditoria Interna é necessário ter um profundo conhecimento dos processos internos da empresa, da estrutura da mesma, assim como de todo o Sistema de Controlo Interno. Qualquer Trabalho de Auditoria Interna, deve ter as seguintes fases:
- Planeamento;
- Execução;
- Comunicação;
- Follow-up;
Planeamento
Corresponde a fase de preparação precedente á execução do trabalho de campo de cada Auditoria. De acordo com Morais e Martins (2013), deve-se planear uma Auditoria interna porque é necessário planear as diferentes avaliações do controlo interno, gestão de risco e Governance a realizar ao longo do ano, determinar a amplitude, alcance e frequência, para não deixar que a realização de Auditorias fique à mercê da ocorrências de algum acontecimento que seja necessário investigar. Segundo as autoras o facto de planear antecipadamente o trabalho a realizar é um factor determinante para o êxito do trabalho da equipa de Auditoria Interna, porque o principal objectivo do planeamento é de estabelecer prioridades face às áreas ou operações a auditar, também rendibilizar os processos, determinar a profundidade dos testes e identificar os recursos necessários e adequados. As Normas para a prática de auditoria Interna do IPAI (2009), diz que, o responsável pela auditoria tem que estabelecer planos baseados no risco, para determinar as prioridades da actividade da auditoria interna consistentes com os objectivos da organização.
De acordo com Castanheira as actividades desenvolvidas nesta fase são:
Preparação da Auditoria e Reunião Inicial. Segundo o autor, durante a actividade de Preparação da Auditoria deve-se:
- Definir os objectivos e âmbito da acção da auditoria;
- Recolher e analisar as informações;
- Recolher e analisar as matrizes de risco e controlos actualizados;
- Elaborar o programa de auditoria à organização;
- Proceder a comunicação da auditoria que já se encontra planeada;
Antes da recolha e análise de informações a equipa de Auditoria deve apreender, confirmar e ampliar conhecimentos sobre o âmbito da auditoria e o respectivo envolvente. De seguida, procede – se a recolha e analise das informações de forma a avaliar potenciais impactos no âmbito da auditoria.
De acordo com o autor deve-se ter as seguintes informações:
- Organograma detalhado com informações das unidades de estrutura, incluindo a descrição das respectivas funções/tarefas;
- Ordens de Serviços, politicas, procedimentos formalmente definidos, relacionados com o âmbito da auditoria;
- Manuais de utilização dos sistemas que suportam actividades no âmbito da auditoria;
- Leis e regulamentos aplicáveis às actividades no âmbito da auditoria;
As matrizes de riscos e controlos constituem uma fonte de informação de elevada relevância para o trabalho da equipa de auditoria, uma vez que permite, a identificação de riscos e análises dos resultados da sua avaliação no sentido de identificar os riscos com maior nível de exposição, permite ainda a identificação dos controlos que se encontram implementados nos diversos processos da organização, com o objectivo de mitigar os riscos identificados.
Na fase do planeamento a equipa de auditoria deve identificar os riscos adicionais não considerados nas matrizes de riscos e de controlos. A equipa de auditoria deve preparar o programa de auditoria tendo por base, a recolha e análise de informações das matrizes de riscos e controlos e a identificação de outros riscos e objectivos de controlo não documentado.
Execução
De acordo com Castanheira, esta fase tem como objectivo a execução dos procedimentos de auditoria programados, de forma a poder concluir acerca da qualidade dos controlos existentes ao nível das actividades no âmbito da auditoria, e deverá ser realizada de forma eficiente e eficaz garantindo a adequada identificação de todas as conclusões significativas.
Segundo o autor as actividades realizadas nesta fase são: O Trabalho de Campo e o Relatório preliminar de auditoria. Durante o trabalho de campo deverá ser realizadas reuniões de levantamento/confirmação das actividades no âmbito da auditoria, tendo como objectivo o levantamento e entendimento dos procedimentos de controlos, actualizar o programa de auditoria tendo por base a informação recolhida nas reuniões efectuadas, e executar os procedimentos de auditoria programados e documentar os resultados.
De seguida, deverá ser elaborado o relatório preliminar com principais conclusões e recomendações resultantes do trabalho de campo, tendo como objectivo a recolha de comentários.
Comunicação
De acordo com Castanheira, esta fase tem como objectivo a apresentação, divulgação e aprovação das conclusões e recomendações resultantes da auditoria realizada, em que deverá ser realizada após a finalização do trabalho e fecho de todas as conclusões e recomendações pela equipa de Auditoria. De acordo com o autor, as actividades desenvolvidas nesta fase são:
- Apresentação e discussão das conclusões, em que são realizadas reuniões de apresentação e discussão das conclusões e recomendações resultante do trabalho realizado;
- Preparação do relatório final;
- Divulgação e apresentação das conclusões e recomendações do relatório final da auditoria aos órgãos de Administração;
Os relatórios das auditorias devem estar livres de erros e distorções, sendo fiéis aos factos analisados, assegurando clareza, objectividade e imparcialidade. Os relatórios como parte do processo de comunicação de risco, deverão transmitir as conclusões de gestão de risco e as recomendações para minimizar as exposições e para que a gestão entenda o grau de exposição, é imprescindível que os relatórios de auditoria identifiquem qual a situação crítica e consequência da actividade de risco para alcançar os objectivos (Castanheira, 2007).
Follow-up
De acordo com Morais e Martins (2013), a Auditoria considera-se bem sucedida quando as suas recomendações são efectivamente implementadas e avaliada a sua eficácia, neste contexto, de acordo com as autoras, o Follow-up é um processo através do qual os auditores internos avaliam a adequação, a eficácia e oportunidade das medidas tomadas pelo Órgão de Gestão em relação às observações e recomendações relatadas, incluindo as efectuadas pelos auditores externos e outros.
Segundo Castanheira, esta fase tem como objectivo o acompanhamento da implementação das recomendações efectuadas pela equipa de auditoria e deverá ser realizada após a finalização da auditoria, apoiando-se num repositório de recomendações que permite identificar a antiguidade e prioridade das recomendações.
Segundo o autor, as actividades desenvolvidas nesta fase são: Registo de deficiências e recomendações e acompanhamento de implementação das recomendações. Durante a actividade de Registo de deficiências e recomendações, deverão ser documentadas as conclusões e recomendações da auditoria num repositório específico, que permita acompanhar a implementação das recomendações, tendo por base a antiguidade das mesmas, e a sua prioridade e a identificação dos responsáveis pela sua implementação, actualizando o repositório de recomendações no sentido identificar todas as recomendações que já se encontram em curso, por implementar ou implementadas.
De acordo com Morais e Martins (2013; p.173), os objectivos do Follow-up são o efeito das recomendações de Auditoria, o Follow-up das decisões de gestão e uma avaliação da correcta implementação das recomendações.