4 Analyse og resultat
4.3 Utforming av undervisning
Conforme previamente mencionado, a empresa responsável pela auditoria externa da instituição em análise no presente estudo de caso utiliza uma metodologia global baseada em riscos (risk-based audit) desenhada tendo como base as Normas Internacionais de Auditoria (International Standards on Auditing ou ISAs), sendo complementada localmente com o intuito de obedecer a normativos e legislações locais de cada país.
Desta forma, de acordo com o modelo de auditoria de risco, os profissionais são responsáveis por exercer seu julgamento profissional para:
a) identificar e endereçar riscos de distorções relevantes, devido à fraude ou erro, tendo como embasamento o entendimento da entidade auditada e seu ambiente, incluindo seus controles internos;
b) responder aos referidos riscos por meio da determinação de que testes de controle, se existentes, e procedimentos substantivos serão realizados para obter evidências de auditoria suficientes e apropriadas.
O objetivo de tais etapas é limitar os riscos de auditoria a um nível baixo aceitável.
Quando da definição das estratégias de auditoria financeira da instituição para a data-base 30 de junho de 2015, tendo em vista os riscos identificados e detalhados no tópico anterior (crédito, liquidez, mercado, operacional e regulatório), foram definidos os controles que previnem, detectam ou corrigem distorções nas demonstrações financeiras da entidade. Conforme previamente explanado e detalhado em figura que segue, uma auditoria baseada em riscos busca, primeiramente, identificar os riscos significativos relacionados à operação da entidade auditada, analisando, em seguida, os controles que esta possui para mitigar tais riscos. O fluxo simplificado de auditoria segue demonstrado na Figura 1:
Figura 1 – Fluxo simplificado de procedimentos de auditoria
Vale ressaltar que tais controles podem ser classificados em 4 categorias, sendo estas:
a) controles manuais: são testados como parte da auditoria financeira e podem ser categorizados como preventivos, detectivos ou corretivos. São aqueles controles desenvolvidos pela companhia que não dependem, em nenhuma instância, de TI ou de aplicativos. Como exemplo, pode-se citar um processo de aprovação manual de liberação de um empréstimo para determinado cliente acima do seu limite de crédito estabelecido.
b) controles manuais dependentes de TI: também são testados como parte da auditoria financeira e podem ser categorizados como preventivos, detectivos ou corretivos. São aqueles controles que possuem etapas manuais e outras dependentes de TI ou de aplicativos. Como exemplo, pode-se citar a realização de conciliações periódicas de saldos contábeis. O referido processo pode ser realizado manualmente por determinado funcionário, mas este terá como base relatórios extraídos de aplicativos.
c) controles aplicativos: também são testados como parte da auditoria financeira e podem ser categorizados como preventivos, detectivos ou corretivos. São aqueles que dependem, em sua totalidade, de TI ou de aplicativos, não havendo intervenção manual. Como exemplo, pode-se citar um bloqueio automático de determinado sistema para cadastro em duplicidade de fornecedores, o que previne o risco de efetivação de pagamentos indevidos em contas bancárias erradas. d) controles gerais de TI: são testados por especialistas como parte da auditoria de sistemas de informação e serão detalhados, portanto, no próximo tópico. Somente fazem parte do escopo da auditoria independente quando a entidade auditada possui controles suportados por TI ou por aplicativos, ou seja, quando a entidade auditada possui controles manuais dependentes de TI ou controles aplicativos. Neste caso, devem ser identificados, testados e avaliados os controles gerais que conferem razoável conforto quanto à inexistência de riscos significativos no ambiente de TI.
Figura 2 – Detalhamento de controles testados como parte da auditoria financeira e de sistemas
Fonte: Elaborada pela autora.
Conforme se pode verificar a partir da análise da figura acima, os controles gerais de TI suportam o contínuo e correto funcionamento de aspectos automáticos dos controles manuais dependentes de TI e dos controles aplicativos, ou seja, quanto maior a dependência da entidade em relação à TI, maior a quantidade de controles manuais dependentes de TI e aplicativos e maior importância ganham os controles gerais de TI. Vale lembrar que os controles manuais dependentes de TI e aplicativos são operacionais, estritamente relacionados com as áreas de negócio e, por consequência, testados pela auditoria financeira, enquanto os controles gerais de TI são avaliados pela auditoria de sistemas.
Para a instituição financeira em análise, conforme previamente mencionado, foram identificados os controles de responsabilidade da auditoria financeira, dentre manuais, manuais dependentes de TI e aplicativos. Estes estão associados aos seguintes processos identificados como mais significativos em termos de riscos, conforme Quadro 5:
Quadro 5 – Processos da instituição analisados pela auditoria financeira
Processos testados
Tesouraria - títulos públicos, privados e Certificados de Depósitos Bancários (CDBs)
Crédito - fomento e sustentação (banco e FNE) Provisão para crédito de liquidação duvidosa (PCLD) -
Processos testados
Provisão para crédito de liquidação duvidosa (PCLD) - crédito FNE
Operações de câmbio (crédito) Teste de controle de depósitos (captações)
Letras de Crédito do Agronegócio (LCA) Folha de pagamento
Compras (despesas administrativas) Disponibilidades
Fonte: Elaborada pela autora.
Identificados os processos mais significativos no contexto operacional da entidade auditada, bem como os riscos a eles associados, foram, em seguida, obtidos os controles que a companhia possui para mitigar os referidos riscos, sendo estes subdivididos em controles aplicativos, detalhados no Quadro 6:
Quadro 6 – Controles aplicativos identificados e testados
Identificação Controle Tipo
1 O sistema S320 possui trava para pagamentos sem contratos acima de R$ 8.000 realizados pelas agências. Aplicativo
2 O sistema S320 informa automaticamente quando há pendências de entrega das certidões de débitos negativos dos fornecedores antes de permitir pagamento. Aplicativo
3 A contabilização é feita através de interface entre o sistema S776 e o sistema da contabilidade. Aplicativo
4 O cálculo da rescisão é efetuado automaticamente pelo sistema FPW (S776), e, após isso, conferido pela gerente do ambiente. Aplicativo
5 O SIP gera automaticamente o número da matrícula do funcionário, não permitindo a inserção manual de um novo número de matrícula. Aplicativo
6
O cálculo da folha de pagamento e das provisões contábeis é feito automaticamente pelo sistema S776 ou FPW, e conferido pela gerência do
ambiente. Aplicativo
7 Apenas os consultores da célula de pagamentos com permissão de acesso podem fazer alterações nas bases de cálculo e/ou bases para impostos do sistema S776. Aplicativo
8
Contratos renegociados ou recuperados e registrados melhores que o do momento da negociação atendem às exigências da resolução do Bacen nº 2.682,
de 22 de dezembro de 1999, no seu art. 8º, parágrafo 1º. Aplicativo 9 Valorização e registro são efetuados automaticamente pelo Sistema Integrado de Administração de Crédito (SIAC). Aplicativo
Identificação Controle Tipo 10 Cálculo de amortizações e registro de liberações são efetuados automaticamente pelo sistema SIAC. Aplicativo
11 O sistema SIAC calcula automaticamente o bônus de adimplência com base nos contratos adimplentes. Aplicativo
12 O sistema não reconhece receitas e encargos de operações de crédito com atraso igual ou superior a 60 dias. Aplicativo
13 fixado acima do limite de R$ 5.000.000, fazendo-se necessária a solicitação via O sistema S493 não permite que seja registrada uma operação de CDB pré-
mesa de operações. Aplicativo
14 O sistema S253 pontua o rating do cliente para cálculo da PCLD de acordo com o critério de arrasto por contágio, autorizado pelo Bacen. Aplicativo
15 O sistema S253 aponta para as agências quando do vencimento de uma avaliação de risco. Aplicativo
16 As operações são monitoradas pelo ambiente de gestão de risco em planilha para identificar a necessidade de reavaliação de risco elaborada pelas centrais de
crédito. Aplicativo
17 Provisionamento de 100% do saldo das operações com saldo devedor acima de R$35.000 que não tiverem avaliação de risco confeccionada pelas agências. Aplicativo Fonte: Elaborada pela autora.
Em controles manuais dependentes de TI, especificados no Quadro 7:
Quadro 7 – Controles manuais dependentes de TI identificados e testados
Identificação Controle Tipo
1 As LCAs emitidas são custodiadas pela Central de Custódia e Liquidação de Títulos Privados (CETIP). dependente de Manual TI 2
A célula de administração de carteira e custódia acompanha mensalmente a conciliação automática pelos sistemas S231 das informações no mapa de estoque
(sistema S493) com o sistema contábil (sistema S220), resolvendo as possíveis diferenças até a data do fechamento do balanço.
Manual dependente de
TI 3 O analista do ambiente de mercado de capitais insere manualmente no sistema S493 os indexadores dos títulos e depósitos, registrados na carteira, e
diariamente são revisados pelo gestor do ambiente.
Manual dependente de
TI 4 Todo contrato possui um número de identificação no sistema S430, o mesmo fornecido no cadastro do contrato no Bacen. dependente de Manual
TI 5 conciliação no sistema S493 entre os saldos no contábil e no mapa de estoque de A célula de administração de carteira e custódia realiza, mensalmente, a
ações, resolvendo as possíveis diferenças em até 5 dias úteis.
Manual dependente de
TI 6
Diariamente, o ambiente de contabilidade realiza a conciliação dos saldos dos sistemas envolvidos na conta caixa com o sistema S220, da contabilidade, por intermédio do sistema S231, sendo as divergências informadas à agência para
serem regularizadas até o encerramento do balancete.
Manual dependente de
Identificação Controle Tipo 7
Diariamente é feita a conciliação dos saldos dos sistemas S048, S410, S159 com o S220, da contabilidade, por intermédio do sistema S231, sendo as divergências informadas à agência, no caso dos depósitos à vista e poupança, ou ao ambiente
de mercado de capitais, no caso dos depósitos a prazo, para que sejam tomadas as devidas providências.
Manual dependente de
TI
8 Efetuado o cálculo da PCLD, o ambiente de operações de crédito efetua a conciliação com o saldo contábil. dependente de Manual TI 9
Mensalmente, é realizada a conferência da inexistência de operações classificadas simultaneamente como renegociadas pelas leis nº 11.775, de 17 de
setembro de 2008, e nº 11.322, de 13 de julho de 2006, dentro do mesmo mês, por meio da ferramenta Access.
Manual dependente de
TI 10 Mensalmente, é realizada a consulta de verificação de novos programas na base de operações em atraso, por meio da ferramenta Access. dependente de Manual
TI 11 Mensalmente, é efetuada a verificação do cálculo do número de dias em atraso das parcelas das operações FNE, por meio do Access.
Manual dependente de
TI 12
Mensalmente, é realizada a conferência de operações adquiridas ou renegociadas com parcelas em atraso, que deveriam ser provisionadas por este critério, mas que não ultrapassam os valores já provisionados segundo o critério das leis, por
meio da ferramenta Access.
Manual dependente de
TI 13 Mensalmente, é realizada a conferência do cálculo do valor líquido da parcela, por meio da ferramenta Access. dependente de Manual
TI Fonte: Elaborada pela autora.
E em controles manuais, listados no Quadro 8:
Quadro 8 – Controles manuais identificados e testados
Identificação Controle Tipo
1 É feita a comparação das notas fiscais com o valor lançado no sistema S320 e/ou no contábil. preventivo Manual
2 O ambiente de logística emite a autorização de pagamento após o recebimento da nota fiscal. preventivo Manual
3 A documentação entregue pela proposta vencedora do pregão é conferida e revisada por meio de check-list de conferência. detectivo Manual
4
As compras com dispensa de licitação deverão ter cotações de mercado (pesquisadas pela célula de compras) e aprovadas de acordo com as alçadas de
aprovação.
Manual preventivo
5 As despesas administrativas feitas com licitações devem estar dentro da alçada de valores, conforme lei nº 8.666, de 21 de junho 1993. preventivo Manual
Identificação Controle Tipo 7 Os materiais, bens e serviços com dispensa de licitação são comprados após aprovação do ambiente de estratégia de suprimentos de logística. preventivo Manual
8
O Comitê Gestor da Superintendência (COGES) e o Comitê de Investimentos em Tesouraria (COMIT) aprovam em ata as condições de negociação para emissão de LCAs pelo banco, as quais são divulgadas por meio da intranet da
instituição.
Manual preventivo
9 A célula de administração da carteira e custódia realiza, diariamente, de forma manual, a conciliação das informações no mapa de estoque com a CETIP. detectivo Manual
10 É efetuada a conferência da documentação para o arquivamento do instrumento de crédito por meio de um check-list. detectivo Manual
11 A agência realiza pesquisa cadastral e restritiva antes de efetivar o cadastro do cliente, com o aval do gerente da agência. preventivo Manual
12 Todo contrato possui a assinatura do cliente. preventivo Manual
13 Mensalmente, é realizada uma conciliação manual entre os saldos da contabilidade do S430 e a contabilidade do banco. detectivo Manual
14 Todos os clientes possuem limite de crédito pré-aprovado para as operações de financiamento de câmbio. preventivo Manual
15 subordinados, bem como registra no Sistema Integrado de Pessoal (SIP ou S849) Gestor imediato confere e rubrica a folha individual de presença dos seus as ocorrências funcionais.
Manual preventivo
16 Mensalmente, é liberada uma prévia de folha de pagamento para todos os funcionários, para que possam analisar todas as ocorrências. preventivo Manual
17 As rescisões devem ser previamente assinadas pelos funcionários desligados. preventivo Manual
18 Status do funcionário no SIP é alterado para demitido após a confirmação da vigência do ato administrativo. preventivo Manual
19 A nomeação de candidatos para cargos do banco depende de aprovação prévia em concurso público regulamentado em edital. preventivo Manual
20 Demissões por justa causa são analisadas por comitê específico após instauração de processo administrativo para verificar a participação do funcionário em irregularidades.
Manual preventivo
21
É efetuada a conferência do registro do novo funcionário no SIP por um funcionário que não tenha efetuado o cadastro, sendo esta formalizada por
assinatura.
Manual preventivo
22 Os pagamentos dos tributos do Instituto Nacional da Seguridade Social (INSS) e Fundo de Garantia por Tempo de Serviço (FGTS) devem ser previamente autorizados.
Manual preventivo
Identificação Controle Tipo 24
Diariamente, o ambiente de operações financeiras elabora o relatório para a diretoria a fim de demonstrar que as operações de tesouraria ocorridas no dia
estão em compliance com as políticas de tesouraria vigentes.
Manual detectivo
25 informações no mapa de estoque (S493) com o Sistema Especial de Liquidação e A célula de administração de carteira e custódia realiza a conciliação diária das Custódia (SELIC), resolvendo as possíveis diferenças em até 5 dias úteis.
Manual detectivo
26
A célula de administração de carteira e custódia realiza a conciliação diária das informações no mapa de estoque (S493) com a CETIP, resolvendo as possíveis
diferenças em até 5 dias úteis.
Manual detectivo
27 O setor de reservas bancárias realiza conciliação entre os relatórios emitidos pelo sistema SPB e o contábil diariamente, resolvendo as possíveis diferenças em até 5 dias úteis.
Manual detectivo
28
Diariamente, o ambiente de operações financeiras realiza a conciliação manual entre os saldos solicitados para suprimento e/ou alívio via SPB para outras
instituições com os saldos registrados na agência, sendo as divergências informadas à agência para serem regularizadas em até 5 dias úteis.
Manual detectivo
29 O caixa é conferido diariamente, porém, pelo menos duas vezes ao mês o gerente da agência deve assinar o termo de conferência de caixa, evidenciando que o caixa foi adequadamente encerrado.
Manual preventivo
30
Diariamente, o ambiente de operações financeiras realiza a conciliação manual entre os saldos solicitados ao custodiante via SPB com os saldos registrados na agência, sendo as divergências informadas à agência para serem regularizadas
em até 5 dias úteis.
Manual detectivo
31
Toda solicitação via sistema SPB de suprimento ou alívio de numerários realizada ao custodiante deve ter uma autorização de um segundo gestor da
agência.
Manual preventivo
32
Todo transporte de numerário ocorrido nas agências (abastecimento e recolhimento) é documentado por meio da guia de transporte de valores da
prestadora de serviços, arquivado na agência e pago conforme contrato de licitação.
Manual detectivo
33 Propostas, projetos ou vistorias são analisados pelos técnicos, aprovadas pelos colegiados e arquivados no dossiê do cliente. preventivo Manual
34 Para todas as operações, existe no dossiê de crédito, a análise de restrição financeira do cliente ou empresa. preventivo Manual
35 Conciliação, mensal, entre os sistemas SIAC e S220 (sistema contábil) realizada pelo ambiente de operações de crédito. detectivo Manual
36 Conferência do contrato devidamente assinada pelo cliente com as informações registradas no sistema SIAC. preventivo Manual
37 Para todas as operações de créditos é necessária a aprovação e despacho das alçadas competentes conforme política de alçada e enquadramento. preventivo Manual
38 As operações contratadas com prazo superior a 12 meses são lastreadas por garantias reais, de acordo com a política interna do banco. preventivo Manual
39 nota de risco a ser atribuída à nova operação e, caso esta nota seja igual ou pior a Ao contratar novas operações é realizada uma simulação prévia do arrasto da "D", não é feita a contratação.
Manual preventivo
Identificação Controle Tipo 40 Contratos assinados e registrados em cartório, quando aplicável, são arquivados no dossiê do cliente. preventivo Manual
41 Documentos de formalização de garantias são arquivados no dossiê do cliente. preventivo Manual
42
O banco realiza todas as consultas de restrição financeiras antes de abrir a conta corrente do cliente e as mantém arquivadas no dossiê, com exceção das contas
poupança e contas CrediAmigo.
Manual preventivo
43 abertura de conta (corrente, depósito, prazo e investimento), e arquivam em Todas as agências realizam a verificação da documentação dos clientes, na dossiês, com exceção das contas poupança judiciais.
Manual preventivo
44 Análise mensal das oscilações discrepantes nos volumes de provisões e perdas, pelo ambiente de gestão de risco, evidenciadas em relatórios detalhados (relatório de PCLD).
Manual detectivo
45 Para as operações acima de R$ 35.000, são realizadas avaliações de risco pela agência ou central de crédito. preventivo Manual
46 tabela de apuração da PCLD, que é assinada pelo gerente executivo do ambiente. Mensalmente, é realizada uma conferência dos lançamentos do sistema com a detectivo Manual
47 Mensalmente, os lançamentos contábeis são efetuados por um usuário e aprovados pelo gestor do ambiente de controladoria. detectivo Manual Fonte: Elaborada pela autora.
Conforme informações apresentadas nos quadros acima, pode-se verificar que os controles aplicativos dependem exclusivamente do funcionamento dos sistemas utilizados pela companhia. Já aqueles manuais dependentes de TI possuem etapas manuais e automáticas, enquanto os controles manuais não dependem, em nenhuma instância, do funcionamento de aplicativos.
Tendo em vista que o presente estudo objetiva verificar a relação da auditoria de sistemas de informação e da auditoria financeira, as análises a seguir apresentadas serão direcionadas para os controles manuais dependentes de TI e aplicativos, objeto da auditoria de sistemas, cujo detalhamento segue no tópico seguinte.