sessao vii - auditoria baseada nos riscos do negocio
Post on 04-Aug-2015
93 Views
Preview:
TRANSCRIPT
Gestão do Risco em Auditoria Auditoria Baseada nos riscos de negócio
Docente: Nuno Castanheira 19 de Outubro de 2012
Auditoria externa baseada no RDM
Etapas do processo de auditoria
O enfoque nos riscos de distorção material ao nível das DF
Limitações da auditoria baseada no RDM
Auditoria externa baseada em conceitos de “gestão de risco”
Conceito
Objectivo
Âmbito de avaliação
O paradigma da “gestão de risco” em Auditoria interna
Introdução
Objectivos do processo de auditoria interna baseada no risco de negócio
Revisão de literatura
Plano Anual de Auditoria Interna – Macro level
Ciclo de Auditoria – Micro level
Consequências da mudança de paradigma no processo de auditoria interna
Auditoria interna baseada no risco de negócio – “Best Practices”
Papel da auditoria interna na Gestão de Risco
2
Agenda
Sessão nº7 – 19OUT2012
Auditoria Externa baseada
no RDM
4
Etapas do processo de Auditoria
O objectivo do auditor aquando da realização de uma auditoria consiste em obter
uma segurança razoável de que as demonstrações financeiras não se encontram
afectadas por distorções materialmente relevantes, motivadas por erros ou fraudes.
Tal envolve as seguintes etapas:
• Avaliação do risco de distorções materialmente relevantes (combinação do risco
inerente e risco de controlo) ao nível das demonstrações financeiras;
• Concepção e realização de procedimentos de auditoria para resposta aos riscos
identificados, de modo a reduzir os riscos de distorção materialmente relevantes nas
demonstrações financeiras, a níveis aceitáveis;
• Emissão de um relatório de auditoria, cuja redacção traduza os resultados do
trabalho realizado.
Auditoria externa baseada no RDM
A realização de uma auditoria baseada no RDM requer que o auditor inicie o
processo de auditoria adquirindo conhecimento sobre a entidade, de forma a que
posteriormente possa avaliar os riscos de distorção materialmente relevantes
(combinação do risco inerente e risco de controlo) ao nível das demonstrações
financeiras. Tal permitirá ao auditor identificar e responder aos riscos significativos,
tais como:
Possibilidade de saldos, classes de transacções ou divulgações poderem
encontrar-se incompletas, indevidamente relevadas ou omitidas nas demonstrações
financeiras;
Áreas vulneráveis nas quais os responsáveis da gestão possam derrogar os
controlos internos e ocorrerem manipulações nas demonstrações financeiras;
Outras fraquezas do sistema de controlo interno, que caso não sejam corrigidas
possam motivar erros nas demonstrações financeiras.
O enfoque nos riscos de distorção material ao nível das DF
5
Auditoria externa baseada no RDM
6
Limitações da Auditoria Externa (baseada no risco de distorção material)
A auditoria externa, tradicionalmente, limita-se a avaliar os riscos de
distorção material ao nível das demonstrações financeiras, centrando-se no
relato financeiro, preocupando-se com o risco de auditoria, ou seja, com a
emissão de uma opinião apropriada sobre as demonstrações financeiras .
Neste contexto, claramente que os stakeholders pretendem uma auditoria
orientada para a estratégia da empresa, com enfoque no conjunto global de
riscos que ameaçam a concretização dos objectivos propostos (Marques de
Almeida, 2001).
Auditoria externa baseada no RDM
Auditoria externa baseada em
conceitos de “Gestão de Risco”
A auditoria externa baseada em conceitos de “gestão de
risco” consiste em incorporar na metodologia de
“auditoria baseada no RDM” o enfoque nos objectivos
estratégicos e nos riscos de os mesmos não serem
alcançados.
8
Conceito
Auditoria externa baseada em conceitos de “Gestão de Risco”
De acordo com alguns autores, a integração da auditoria com os
conceitos desenvolvidos pelo COSO relativos à gestão do risco
empresarial levará à auditoria baseada na gestão do risco, tendo a
mesma como principal objectivo:
Prestar um serviço que acrescente efectivamente valor aos utentes
das demonstrações financeiras, garantindo não só a qualidade do
relato financeiro, mas a capacidade de prosseguir os objectivos
definidos.
9
Objectivo
Auditoria externa baseada em conceitos de “Gestão de Risco”
No contexto de uma “auditoria baseada na gestão do risco”, para
além de avaliar os riscos de distorção material ao nível das
demonstrações financeiras, os auditores devem avaliar a qualidade
do trabalho realizado internamente ao nível da gestão do risco do
negócio pelos diferentes intervenientes (responsáveis pela
governação, gestão operacional, colaboradores e auditores internos)
garantindo que possuem o conhecimento adequado sobre esta
matéria para reportarem junto da Comissão de Auditoria ou órgão
competente, bem como junto dos accionistas.
10
Âmbito de Avaliação
Auditoria externa baseada em conceitos de “Gestão de Risco”
O paradigma da “Gestão de
Risco” em Auditoria Interna
• A gestão é em última análise responsável por identificar riscos e
desenvolver uma estrutura para mitigar riscos inaceitáveis e assim se obter
um nível de tolerância ao risco aceitável. A implementação de processos
específicos para mitigar riscos é a base da gestão de risco.
• Os auditores têm a oportunidade de fornecer conhecimento na eficácia
dos processos através da auditoria baseada no risco de negócio.
• A auditoria baseada no risco de negócio é um modelo que incorpora a
relação do risco com os objectivos do negócio. Este tipo de auditoria é
desenhada para aumentar a eficiência e eficácia das auditorias e é
utilizada para determinar o nível apropriado de cobertura da auditoria para
a organização. A metodologia de avaliação deverá fornecer à gestão e aos
auditores informação objectiva para prioritizar correctamente a alocação
dos recursos de auditoria.
12
Introdução
O paradigma da “Gestão de Risco” em Auditoria Interna
Uma metodologia de auditoria baseada no risco de negócio geralmente inclui:
Descrição de operações significativas e os seus riscos de negócio associados e
características de controlo, resultando num documento que descreve a estrutura de
risco e controlos em toda a organização;
Utilização de um sistema de medida ou pontuação que avalie e hierarquize os
riscos de negócio e controlo;
Aprovação da gestão (possivelmente da conselho ou comité de auditoria) das
avaliações de risco e planos anuais de auditorias baseadas no risco que
estabelecem o calendário das auditorias e alocação de recursos para cada área
auditada;
Um processo que monitoriza regularmente a avaliação de risco e a actualiza
periodicamente para todas as operações significativas.
13
O paradigma da “Gestão de Risco” em Auditoria Interna
Introdução
Objectivos do processo de auditoria interna baseada no risco de negócio
A auditoria interna baseada no risco tem como objectivo fornecer segurança
razoável que:
Os processos de Gestão de Risco que a Gestão implementou na
Organização estão a funcionar conforme planeado;
Os processos de Gestão de Risco são adequados;
As técnicas de mitigação dos riscos que ameaçam os objectivos são
adequadas e efectivas na redução dos riscos para um nível aceitável;
Está implementado um modelo adequado para mitigar com razoabilidade
os riscos que ameaçam os objectivos (IIA-UK & Ireland, 2003).”
14
O paradigma da “Gestão de Risco” em Auditoria Interna
“A AIBR é um processo que se inicia com os objectivos do negócio e que depois se
focaliza nos riscos que ameaçam os referidos objectivos (IIA-UK and Ireland, 2003).”
“Em vez de focalizar os controlos do sistema depois da avaliação dos riscos, a nova
abordagem mantém a focagem do risco ao longo de todo o processo de auditoria
(Mcnamee, 1997).”
“A auditoria baseada no risco em vez de assumir enfoque em todas as áreas com o
mesmo vigor, deve identificar as áreas de maior risco e focalizar-se exclusivamente
nessa áreas (Scott, 2002).”
Revisão de literatura
15
O paradigma da “Gestão de Risco” em Auditoria Interna
“Tem sido convencional que a auditoria de várias organizações é levada a cabo
numa base cíclica. Contudo, o processo cíclico de auditoria não enfoca
necessariamente nos principais riscos materiais e consequentemente a informação
reportada à gestão não enfoca nas principais áreas estratégicas, o que implica que
determinadas áreas onde existam riscos consideráveis possam ter menor atenção,
face a outras áreas de menor risco (Dittenhofer, 2001).”
Por outro lado,
“na transição para um planeamento de auditoria baseada no risco de negócio,
conforme requerido pelas normas actuais, algumas actividades poderão nunca ser
suficientemente importantes para receber a atenção da auditoria interna, pelo que
será importante maximizar a eficiência e eficácia da cobertura da auditoria interna
(Parkinson, 2004).”
“um planeamento de auditoria baseada no risco de negócio deverá considerar
sempre a necessidade de adequadamente cobrir todo o universo de auditoria. Para
o efeito, em determinadas áreas fundamentais, poderá ser necessário combinar
metodologias baseadas no risco com abordagens cíclicas (O´Regan, 2002).” 16
Revisão de literatura
O paradigma da “Gestão de Risco” em Auditoria Interna
MISSÃO
PLANEAMENTO
ANUAL DE
AUDITORIA
UNIVERSO DE
AUDITORIA
PLANEAMENTO
ESTRATÉGICO
MODELO DE
RISCO
Conceitos chave/Cultura Corporativa
Valor
Acrescentado
PLANEAMENTO
BASEADO NO
RISCO
PROGRAMA DE
AUDITORIA
BASEADO NO
RISCO
RELATÓRIO DE
AUDITORIA
BASEADO NO
RISCO
Fonte: David McNamee (RISK MANAGEMENT: Changing the Internal Auditor’s Paradigm, IIA)
Fluxo do Processo de auditoria interna baseada no risco de negócio
17
O paradigma da “Gestão de Risco” em Auditoria Interna
Plano Anual de Auditoria Interna
(Macro Level)
MISSÃO
PLANEAMENTO
ANUAL DE
AUDITORIA
UNIVERSO DE
AUDITORIA
PLANEAMENTO
ESTRATÉGICO
MODELO DE
RISCO
Conceitos chave/Cultura Corporativa
Fonte: David McNamee (RISK MANAGEMENT: Changing the Internal Auditor’s Paradigm, IIA)
19
Plano de Auditoria Introdução
O universo da auditoria deve incluir componentes do plano estratégico da Organização. Ao incorporar
componentes do plano estratégico da Organização o universo da auditoria considerará e reflectirá os
objectivos de negócio globais.
O planeamento anual da auditoria deve ser extraído do universo de auditoria, utilizando para o efeito
um modelo de risco. O modelo de risco deverá estar intimamente relacionado com os objectivos
expressos nos principais documentos da organização (Missão, Propósito, etc.). Tal assegura que os
riscos do negócio que constam do modelo são os riscos de maior importância para o sucesso da
organização.
A maioria dos modelos de risco utiliza factores para estabelecer prioridades de trabalho de auditoria
tais como: materialidade monetária; liquidez dos activos; competência da gestão; qualidade dos controlos
internos; grau de modificação ou de estabilidade; altura da realização da última auditoria, complexidade
das operações, relações laborais e governamentais, etc. (IIA, 2004).
Plano de Auditoria Fases e Abordagem de Elaboração do Plano de AI
• O diagrama seguinte apresenta uma síntese das fases que precedem a implementação do Plano de
Auditoria Interna e a abordagem metodológica de suporte à preparação.
Rever Prioritização
e Definir Plano
Detalhado
Definir o Universo
Auditável
Prioritizar os
Segmentos
Auditáveis
Aprovar e Divulgar
o Plano de
Auditoria
Auditoria a Processo
Auditoria a Agências
Universo Auditável
Auditoria Especiais/ ad hoc
Segmentos Auditáveis
Auditoria ao Processo 1
Auditoria de TI – Tecnologia A
Auditoria ao Processo 1
Auditoria ao Processo 2
Prioritização dos Segmentos
Auditáveis segundo uma
abordagem de risco
Revisão das prioridades e
calendarização dos segmentos
(acções de auditoria)
Aprovação do Plano de Auditoria Interna
e Divulgação
Tipos de Auditoria
Processos/
Sistemas
Sociedades
SPGM
Agências
Segmentos Auditáveis
Fases de Elaboração do Plano de Auditoria Interna
1 2 3 4
Abordagem Metodológica
Critérios de
Prioritização dos
Segmentos
(Factores de Risco)
Critério A
Critério B
Critério C
Critério D
Âmbito do
Documento
20
Plano de Auditoria Monitorização a efectuar ao nível do Sistema de Controlo Interno
Co
mp
on
en
tes
do
Sis
tem
a d
e
Co
ntr
olo
In
tern
o a
an
ali
sa
r
Componentes a Analisar do Sistema de Controlo Interno
Ambiente de Controlo Interno
Sistema de Gestão de Riscos
Ambiente de Controlo Interno
• Monitorização das actividades de identificação,
avaliação, acompanhamento e controlo de riscos;
• Avaliação do nível de envolvimento da gestão;
• Avaliação da documentação, adequação e eficácia
dos procedimentos de controlo;
• Avaliação das decisões tomadas.
• Adequação de políticas e procedimentos;
• Segregação de Funções e Independência das Linhas de Reporte;
• Dimensionamento das áreas e Competências dos Recursos;
• Respeito por Códigos de Ética e de Conduta;
• Atitude face ao risco e ao controlo interno;
• Adequação das actividades aos objectivos estratégicos.
Estrutura Organizacional
Cultural Organizacional
Planeamento Estratégico
EO
CO
PE
Identif.
de Riscos
Avaliação
de Riscos
Acomp.
de Riscos
IR AR AC
Controlo de RiscosC
R. Estratégico (RE)
R. Negócio (RN)
R. Mercado (RM)
R. Crédito (RCr)
R. Concentração
(RC)
R. Liquidez (RL)
R. Operacional (RO)
R. Reputação (RR)
Sistema de
Informação
de Gestão
SIG • Responsabilidades pela informação de gestão;
• Adequação da informação e dos canais para a sua distribuição;
• Captação e tratamento da informação;
• Alterações e actualização da informação.
Informação e Comunicação
21
• Exemplo de universo auditável:
Plano de Auditoria Universo Auditável
Ambiente de
Controlo Interno
Sistema de Gestão de Riscos Informação
e Comunicação
Gestão de
Recursos
Humanos
Estrutura
Organizativa
Gestão
Documental e
Arquivo
Gestão de
Tesouraria
Serviços
Jurídicos
Acomp. da
Carteira
Gestão de
Relação com
os Accionistas
Assessoria
Jurídica Compras
Imobilizado
Contabilidade
Geral
Cumprimento
de Obrigações
de Supervisão
Informação de
Gestão
Monitorização
Gestão de
Riscos
Compliance
Sistema
Controlo
Interno Sistemas
Informáticos
Gestão e
Controlo da
Actividade
Gestão e
Controlo da
Actividade
Acompanham
ento e
Recuperação
de Crédito
22
Pressupostos de Elaboração do Plano de AI (1/3)
• Na elaboração do Plano de Auditoria Interna devem ser considerados alguns pressupostos,
relativamente ao Período de Implementação e Cobertura de Processos:
Período de Implementação
ANO 1 ANO 2 ANO 3
• De forma a garantir uma cobertura de 100% do universo
auditável, o plano de implementação é muitas vezes
operacionalizado durante 3 anos.
Evolução da Cobertura de Processos
•Aumento gradual do âmbito de cobertura dos
processos, de acordo com o seu nível de risco
ANO 1 ANO 2 ANO 3
Nível de Criticidade dos Processos:
Elevada Média Baixa
23
Pressupostos de Elaboração do Plano de AI (2/3)
Alocação de Recursos
•Contratação gradual de recursos com o objectivo de
garantir a sua completa integração na Função de
Auditoria Interna
ANO 1 ANO 2 ANO 3
Outsourcing/ Co-sourcing
• A Alocação de Recursos e Critérios de Prioritização são pressupostos à elaboração do Plano de
Auditoria Interna:
24
Pressupostos de Elaboração do Plano de AI (3/3)
Critérios de Prioritização
B. Aplicáveis às Auditorias de Processos e SI
Nº de áreas func. interv.
Rotatividade da equipa
Nível de Risco
Existência de outsourcing
Alterações previstas
Complexidade do Processo
5%
25%
5%
5%
5%
+
+
+
+
+
+ –
Risco
Baixo
Risco
Elevado –
–
–
Número
menor
Número
maior
Não Sim
Sim Não
Baixa
Complex.
Elevada
Complex. –
– Menor
rotatividade
Maior
rotatividade
Nº de intervenientes 5% + – Número
menor
Número
maior
5%
Alterações efectuadas 5% + – Não Sim
A. Comuns a todas as Auditorias
Classif. Última Auditoria
Implem. Recomendações
25%
10%
Resultados
negativos
Recom. Não
Implement.
Resultados
positivos
Recom.
Implement.
Última Auditoria 5% Não Sim +
+
+
–
–
–
C. Aplicáveis às Auditorias a Agências
Dimensão (nº pax) 5% +
Variação Volume Carteira 15% + Baixa
Variação –
Volume de Carteira 15% + Baixo
Volume –
–
Volume de Sinistralidade 20% + – Baixo
Volume
Menor
Dimensão
Alterações de Estrutura 5% + – Não Sim
Elevada
Variação
Elevado
Volume
Elevado
Volume
Maior
Dimensão
25
Gestão do Ciclo de Auditoria
Interna (Micro Level)
27
Ciclo de Auditoria Introdução
De acordo com Mcnamee & Selim (1998), “no actual paradigma,
todo o processo de auditoria é baseado em conceitos de gestão de
risco:
O objectivo de auditoria é avaliar a forma como a Gestão lida
com o risco na unidade de negócio;
A auditoria é desenvolvida para testar as técnicas de gestão de
risco (90% das quais são actividades de controlo);
As auditorias são reportadas em termos de princípios de gestão
de risco e com referências ao framework de risco da organização.”
Auditoria Interna baseada no Controlo (sequência original COSO):
Auditoria Interna baseada no Risco: (revisão da sequência COSO)
Avaliar como
são geridos os
riscos de
negócio
Controlar
Partilhar/transferir
Evitar
Diversificar
Aceitar
Avaliar os
riscos de
negócio face
aos objectivos
Avaliar como
funcionam os
controlos
internos
Robustez
Custo / benefício
Eficiência
Eficácia
Avaliar os
riscos de
negócio face
aos objectivos
Objectivos
do Processo
ou da Unidade
de Negócio
Objectivos
do Processo
ou da Unidade
de Negócio
A sequência COSO apoia o novo paradigma, ao mudar a ênfase da
determinação dos controlos necessários para a gestão de risco, conforme se
demonstra nas figuras da página seguinte.
28
Ciclo de Auditoria Introdução
Ciclo de Auditoria Fases do Ciclo de Auditoria
Fase de preparação precedente à execução do trabalho de campo de
cada auditoria.
O ciclo de auditoria corresponde ao período decorrente entre o início e o fim de cada projecto de auditoria
realizado no âmbito da monitorização de cada segmento auditável, composto pelas fases que se apresentam
em seguida:
Realização do projecto de
auditoria.
Reporte de resultados com as principais conclusões sobre o trabalho
realizado.
Acompanhamento das
recomendações efectuadas
Ciclo
de
Auditoria
Planeamento
Execução
Comunicação
Follow-up
Preparação da
auditoria
1
Reunião de
Kick-off
2
Trabalho de
Campo
3
Relatório
Preliminar de
Auditoria
4
Apresentação
e Discussão de
Conclusões
5
Relatório Final
de Auditoria
6
Divulgação do
Relatório Final
7
Registo de
Deficiências e
Recomendações
8
Acomp., de
Implementação
Recomendações
9
Ciclo de Auditoria Actividade das Fases do Ciclo de Auditoria
Ciclo
de
Auditoria
Planeamento
Execução
Comunicação
Follow-up
Planeamento
• Fase do ciclo de vida da auditoria que tem como objectivo planear as
actividades a desenvolver no âmbito da auditoria às Organizações.
• Esta fase deverá ser realizada com a antecedência necessária de modo a
assegurar actividades que se apresentam em seguida.
Preparação da
Auditoria
1
Reunião de
Kick-Off
2
• Definição dos objectivos e âmbito da acção de auditoria;
• Recolha e análise de Informação;
• Recolha e análise das matrizes de riscos e controlos actualizadas;
• Elaboração do Programa de Auditoria à Organização;
• Comunicação da auditoria que se encontra planeada e agendamento de uma Reunião
inicial.
• Elaboração de Documento que inclui os objectivos e âmbito da auditoria. O âmbito deve
contemplar as actividades a considerar na auditoria, bem como o período a analisar;
• Realização de Reunião de Kick-off;
• Identificar interlocutores chave e agendar reuniões de levantamento / confirmação das
actividades no âmbito da auditoria.
Ciclo de Auditoria Planeamento – Actividades Desenvolvidas
Planeamento
• Previamente ao início da fase de execução da auditoria, a equipa deve apreender, confirmar e ampliar
conhecimentos sobre o âmbito da auditoria (e.g., planeamento estratégico, estrutura organizacional,
cultura organizacional, sistema de gestão de risco, Organização como um todo) e o respectivo contexto
envolvente (e.g., entidade, sector);
• Para tal, deve ser recolhida e analisada informação de forma a avaliar potenciais impactos no âmbito da
auditoria:
Organograma detalhado com informação das Unidades de Estrutura, incluindo a descrição das
respectivas funções/ tarefas;
Ordens de Serviço, políticas, procedimentos formalmente definidos, relacionados com o âmbito
da auditoria;
Manuais de utilização dos sistemas que suportam as actividades no âmbito da auditoria;
Leis e regulamentação aplicáveis às actividades no âmbito da auditoria;
Informação orçamental e resultados operacionais das áreas no âmbito da auditoria;
Detalhe sobre as modificações recentes nas actividades no âmbito da auditoria.
Ciclo de Auditoria Planeamento – Recolha e análise de Informação
• As matrizes de riscos e controlos constituem uma fonte de informação de elevada relevância para o
trabalho da equipa de auditoria, uma vez que permitem:
A identificação dos riscos e análise dos resultados da sua avaliação no sentido de identificar os
riscos com maior nível de exposição;
A identificação dos controlos que se encontram implementados nos diversos processos da
Organização, com o objectivo de mitigar os riscos identificados.
• No entanto a equipa de auditoria deverá, no contexto da fase de planeamento, identificar riscos
adicionais não considerados nas matrizes de riscos e controlos.
Abordagem das Matrizes de Riscos e Controlos
Ciclo de Auditoria Planeamento – Matrizes de Riscos e Controlos (1/2)
Processo
Actividade
Risco
Controlo
Processo 1.1 Actividade 1.1.1 Risco III A.A.A
Risco III A.A.B
Risco III A.A.C
Actividade 1.1.2
Actividade 1.1.3
Processos Críticos Identificação
de Riscos
Processo Actividade Risco III
Controlo A
Controlo B
Identificação
de Controlos
Controlo X
Avaliação Risco A.A.A
Avaliação Risco A.A.B
Avaliação Risco A.A.C
Documentação da
Avaliação do Risco
Avaliação do Risco
Identificação e Avaliação dos Riscos
Identificação dos Controlos
Avaliação de
riscos
Riscos A Matriz de Riscos e Controlos inclui a identificação dos riscos associados ao processos das Organizações.
Nível Exposição
Elevado
Médio
Baixo
Caracterização
do controlo
Controlo Os controlos encontram-se associados aos riscos potenciais que visam mitigar. A sua descrição deve ser
suficientemente detalhada de forma a assegurar um adequado entendimento do controlo, fornecendo as bases
para a sua avaliação e preparação dos programas de auditoria.
Natureza
Categoria
Frequência
Responsável
O controlo poderá ser manual (requer intervenção
manual) ou automático (não requer intervenção manual).
Atributo que caracteriza o controlo
Periodicidade de execução do controlo
Unidade de Estrutura e Posição/Função responsável
pelo controlo
Ciclo de Auditoria Planeamento – Matrizes de Riscos e Controlos (2/2)
A equipa de auditoria deve preparar um Programa de Auditoria de forma a estabelecer a natureza e
extensão dos procedimentos de auditoria. O Programa de Auditoria deve incluir os seguintes tipos de
conteúdos:
Objectivos Riscos Controlos Procedimentos de Auditoria
Teste à Eficácia Operacional
do Controlo
Avaliação do Desenho
do Controlo
Objectivos dos
processos/ actividades
no âmbito da auditoria
Descrição dos eventos
que podem ocorrer e
colocar em causa o
cumprimento dos
objectivos
estabelecidos
Práticas e procedimentos estabelecidos para
mitigar os eventos de risco identificados
garantindo o cumprimento dos objectivos de
controlo
Procedimentos a realizar pela equipa
de auditoria no sentido de confirmar a
existência/ implementação de
controlos e avaliar se o desenho dos
mesmos garante a cobertura dos
riscos identificados
Procedimentos a realizar pela equipa
de auditoria no sentido testar se os
controlos com um desenho adequado,
funcionaram de forma eficaz durante o
período considerado no âmbito da
auditoria
Objectivos
de Controlo
Objectivos a atingir
para garantir a
mitigação do risco
identificado
• A equipa de auditoria deve preparar o Programa de Auditoria, tendo por base, a recolha e análise de informação das
matrizes de riscos e controlos (caso existam matrizes para as actividades a auditar) e a identificação de outros riscos e
objectivos de controlo não documentados;
• Nas situações em que não existe matrizes de riscos e controlos, devem ser agendadas reuniões de levantamento,
entendimento e confirmação da existência de controlos, sendo os procedimentos de teste aos controlos definidos
posteriormente.
Aspectos a Considerar
Ciclo de Auditoria Planeamento – Programa de Auditoria
Kick-Off da
Auditoria • O Kick-Off tem como objectivo comunicar e acertar com as Organizações os objectivos, âmbito, abordagem e
planeamento das auditorias à estratégia, através da realização de uma reunião de abertura da auditoria.
Programa de
Auditoria • O Programa de Auditoria consiste no conjunto de procedimentos que deverão ser realizados pela equipa de
auditoria com o objectivo de avaliar o desenho dos controlos e testar a sua eficácia operacional.
Período da
Auditoria • O Período da auditoria deve ser determinado aquando da definição do âmbito da auditoria, consistindo no
período de tempo que será considerado nos procedimentos de auditoria a realizar.
Processo • Conjunto de actividades encadeadas de forma lógica e sequencial.
Controlo • Conjunto de práticas e procedimentos estabelecidos para monitorizar e mitigar potenciais eventos de risco.
• A existência de um controlo pressupõe uma acção ou conjunto de acções executadas para assegurar com
uma segurança razoável o cumprimento dos objectivos de controlo identificados.
Risco • Possibilidade que um evento venha a ocorrer e afectar adversamente o cumprimento dos objectivos da
Organização.
Ciclo de Auditoria Recordatório de Conceitos
Execução
• Fase do ciclo de vida da auditoria que tem como objectivo a execução dos
procedimentos de auditoria programados, de forma a poder concluir acerca da
qualidade dos controlos existentes ao nível das actividades no âmbito da
auditoria.
• Esta fase deverá ser realizada de forma eficiente e eficaz garantindo a
adequada identificação de todas as conclusões significativas.
Relatório
Preliminar de
Auditoria
Trabalho de
Campo
3
4
• Realização de reuniões de levantamento/confirmação das actividades no âmbito da
auditoria, tendo como objectivo o levantamento e entendimento dos procedimentos de
controlos existentes;
• Actualização do programa de auditoria tendo por base a informação recolhida nas
reuniões efectuadas;
• Execução dos procedimentos de auditoria programados e documentação dos seus
resultados.
• Elaboração do relatório preliminar com principais conclusões e recomendações
resultantes do trabalho de campo, tendo como objectivo a recolha de comentários.
Ciclo de Auditoria Execução – Actividades Desenvolvidas
Execução
• 1a) Inexistência de
controlos (gap desenho);
• 1b) Insuficiência de
desenho dos controlos
existentes (gap desenho);
• 1c) Controlos com
desenho adequado
(necessário teste à
eficácia operacional).
• Entrevista;
• Walkthrough;
• Observação;
• Análise / Examinação
(e.g., dados,
documentação).
1. Avaliar o
Desenho dos
Controlos
2. Testar a
Eficácia
Operacional dos
Controlos
Procedimento de Auditoria
Avaliar o Desenho – confirmar o
funcionamento, existência e
implementação de controlos, de
forma a concluir se possuem um
desenho adequado para garantir o
cumprimento dos objectivos de
controlo e mitigar os riscos
existentes.
Testar a Eficácia Operacional –
confirmar o correcto funcionamento
dos controlos ao longo do período de
auditoria, obtendo evidência da sua
eficácia operacional.
Resultados Técnicas Auditoria
• Entrevista;
• Walkthrough;
• Observação;
• Análise / Examinação
(e.g., dados,
documentação);
• Repetição da
execução do controlo.
• 2a) Controlos ineficazes
operacionalmente ao
longo do período de
auditoria (erros/falhas
detectados);
• 2b) Controlos eficazes
operacionalmente ao
longo do período da
auditoria.
Deficiências identificadas na Auditoria
Ciclo de Auditoria Procedimentos de Auditoria - Síntese
Entrevista /
Questionário
Consistem em entrevistas detalhadas que têm como objectivo fornecer um entendimento pormenorizado do
desenho dos controlos e avaliar a sua eficácia. Deverão ser entrevistados os responsáveis pela execução dos
controlos e ainda outros indivíduos que apesar de não serem responsáveis pelos controlos, estão numa posição
que lhes permite comentar sobre a sua eficácia.
A generalidade das questões deverão focar-se na descrição detalhada dos controlos, nomeadamente quais os
passos envolvidos na sua execução, qual a documentação que os suporta (evidências) e quais os passos
efectuados em caso de excepção ou ausência dos responsáveis pela execução do controlo.
Examinação
de Registos /
Documentos
Examinação de registos e/ou documentos, em formato electrónico ou papel, internos ou externos, que evidenciem
a implementação dos controlos ao longo do período da auditoria, corroborando a informação obtida nas entrevistas
efectuadas. A quantidade de evidências a examinar depende do tamanho da amostra seleccionada.
Adicionalmente, o grau de fiabilidade obtido, depende da natureza e fonte dos registos e documentos obtidos.
Observação
Técnica que consiste em “observar”, para um processo ou procedimento, as acções que estão a ser
desempenhadas pelos executantes dos controlos. A observação proporciona evidência acerca da implementação
de um controlo, no entanto é limitada ao momento em que tem lugar, pelo facto de que a observação da acção
pode afectar a sua forma de execução. Desta forma, a observação deverá, sempre que possível, ser
complementada com a utilização da técnica de repetição da execução dos controlos ou pela examinação dos
registos/ documentos.
Repetição da
execução do
controlo
Esta técnica consiste na realização do controlo pela equipa de auditoria, que deverá assegurar a execução do
mesmo considerando todos os pressupostos que o caracterizam. Para assegurar que esta técnica é conclusiva
acerca da eficácia do controlo, a equipa de auditoria deverá garantir que a fonte dos dados é fidedigna e que são
levantados todas as variáveis que determinam o funcionamento do controlo.
Walkthrough
Técnica que consiste na revisão e acompanhamento presencial de um conjunto de actividades, tipicamente um
processo ou sub-processo, tendo como objectivo a observação e recolha de documentação que evidencie a
execução das mesmas.
Ciclo de Auditoria Procedimentos de Auditoria – Técnicas de Auditoria
• Através da aplicação das técnicas de auditoria, os auditores têm como objectivo a recolha de informação
(evidência) que forneça uma base sólida para as conclusões e recomendações de auditoria.
• A evidência recolhida deverá ser:
• Suficiente – factual e adequada, no sentido em que permita a uma pessoa informada e prudente
chegar às mesmas conclusões que o auditor;
• Fidedigna – obtida de fontes de confiança, através de técnicas de auditoria apropriadas;
• Relevante – suporte as conclusões e recomendações de forma consistente com o objectivo dos
procedimentos de auditoria (testes).
• Todas as evidências recolhidas em forma de papel devem ser digitalizadas, de forma a suportar a
existência de pastas de auditoria totalmente em formato electrónico.
• As evidências recolhidas não podem ser alteradas pelo auditor, uma vez que deixariam de ter validade
para constituir prova das conclusões de auditoria.
Ciclo de Auditoria Procedimentos de Auditoria – Características das Evidências
Comunicação
• Preparação do Relatório Final da Auditoria.
• Fase do ciclo de vida da auditoria que tem como objectivo a apresentação,
divulgação e aprovação das conclusões e recomendações resultantes da
auditoria realizada.
• Esta fase deverá ser realizada após a finalização do trabalho e fecho de todas
as conclusões e recomendações pela equipa de auditoria.
Apresentação
e Discussão de
Conclusões
Relatório Final
de Auditoria
5
6
Divulgação do
Relatório Final
7
• Realização de reunião de apresentação e discussão das conclusões e recomendações
resultantes do trabalho realizado.
• Divulgação e apresentação das conclusões e recomendações do Relatório Final da
Auditoria aos Órgãos de Administração.
Ciclo de Auditoria Comunicação – Actividades Desenvolvidas
Comunicação
Os Relatórios das Auditorias devem estar livres de erros e distorções, sendo fieis aos factos analisados. As sua elaboração deverá ser efectuada com cuidado e precisão, assegurando:
• Clareza – os relatórios devem permitir um entendimento fácil e lógico das conclusões da auditoria. A clareza pode ser melhorada evitando linguagem técnica e proporcionando informação de suporte suficiente (e.g., utilização de gráficos).
• Objectividade – os relatórios devem ser directos e evitar elaborações desnecessárias, detalhes supérfluos, redundâncias e verbosidade. A sua objectividade deverá ser assegurada através de uma adequada revisão dos conteúdos. As conclusões devem ser apresentadas de forma sucinta de modo a serem facilmente compreendidas.
• Valor acrescentado – as conclusões e recomendações apresentadas devem ajudar a Organização a efectuar as correcções necessárias nos seus procedimentos e funcionamento, conduzindo a melhorias quando necessário. O conteúdo e tom da apresentação deve ser útil e positivo, contribuindo para o cumprimentos dos objectivos da Organização.
• Totalidade – os relatórios devem incluir toda a informação relevante e observações que sirvam de suporte às conclusões e recomendações apresentadas.
• Oportunidade – os relatórios devem ser entregues atempadamente, de forma a permitir uma actuação imediata e eficaz sobre as recomendações efectuadas, sempre que possível.
• Imparcialidade – os relatórios devem apresentar um visão equilibrada de todos os factos e circunstâncias relevantes. As conclusões e recomendações devem ser expressas sem preconceito, interesses pessoais e influências de terceiros.
Ciclo de Auditoria Relatório Final de Auditoria
Follow Up
• Fase do ciclo de vida da auditoria que tem como objectivo o acompanhamento da
implementação das recomendações efectuadas pela equipa de auditoria.
• Esta fase deverá ser realizada após a finalização da auditoria, apoiando-se num
repositório de recomendações que permita identificar a antiguidade e prioridade
das recomendações.
Registo de
Deficiências e
Recomendações
Acomp. de
Implementação
Recomendações
8
9
• Documentação das conclusões e recomendações da auditoria num repositório
específico, que permita acompanhar a implementação das recomendações, tendo por base
a antiguidades das mesmas, a sua prioridade e a identificação dos responsáveis pela sua
implementação.
• Acompanhamento da implementação das recomendações e actualização do repositório
de recomendações no sentido de identificar todas as recomendações que já se encontram
em curso, por implementar ou implementadas.
Ciclo de Auditoria Follow-up – Actividades Desenvolvidas
Follow-up
• Todas as recomendações de Auditoria devem ser documentadas num repositório específico, que
permita efectuar o acompanhamento da sua implementação – Follow-Up;
• Utilizando o repositório de recomendações, a auditoria deve filtrar as recomendações cuja data de
implementação atingiu a data actual e inquirir os responsáveis de cada recomendação sobre o estado
da sua implementação.
Ref.
Auditoria
Ref.
Deficiência Recomendação
Data proposta
Implement.
Referência da auditoria
a que respeita a
recomendação
Referência da
Deficiência ou
observação detectada
e documentada no
Relatório de Auditoria
Recomendação efectuada pela equipa de
Auditoria com vista à mitigação dos riscos
associados à deficiência detectada como
resultado do trabalho de auditoria
Observações resultantes do
Follow-up efectuado pela
equipa de Auditoria.
Justificação de desvios e
identificação de novas datas de
implementação
Designação
Deficiência
Designação da
Deficiência á qual
está relacionada a
recomendação
Estado Observações
Follow-up
Data proposta / aceite para
a implementação da
recomendação. Estado da
implementação (A iniciar,
Em curso, Implementada)
Ciclo de Auditoria Documentação das Recomendações e Acompanhamento
Ao mudar o foco e o vocabulário do auditor interno de “controlo” para “risco”, ocorrem várias
alterações profundas. Algumas alterações incluem:
• Linguagem de comunicação comum: A gestão pensa em termos de risco (explícita ou
implicitamente), e a gestão raramente pensa em termos de controlo. Auditores e gestores
podem começar a utilizar a mesma linguagem;
• Menor fricção durante o processo de auditoria: Focar no controlo dá a impressão de se
restringirem acções e decisões; focar no risco evita essa conotação negativa;
• Um fluir mais natural do objectivo da auditoria para o relatório: Ao ter o risco como foco de
auditoria, o relatório também se pode focar no risco;
• Planeamento de auditoria enriquecido: Questionar a gestão sénior sobre quais os riscos que
a preocupam em oposição a perguntar-lhes quais os controlos que a preocupam.
Consequências da mudança de paradigma no processo de auditoria interna
49
O paradigma da “Gestão de Risco” em Auditoria Interna
“Focus” nos Clientes
Orientar o serviço para proporcionar valor acrescentado aos clientes
internos.
Alargar a definição de risco de forma a desenvolver um plano de auditoria que
melhore significativamente o desempenho dos processos de negócio.
Participar no processo de identificação e gestão de riscos.
Participar na definição e avaliar os controlos associados aos riscos de
negócio identificados.
Estratégias de Comunicação
Melhorar os processos de comunicação da auditoria, antes e depois da
emissão de relatórios e promover a partilha de conhecimentos.
Auditoria interna baseada no risco de negócio – “Best Practices”
50
O paradigma da “Gestão de Risco” em Auditoria Interna
Skills e formação dos auditores
Não limitar o staff apenas a profissionais com background de
auditoria.
Reengenharia e melhoria contínua do processo de auditoria
Assegurar que o processo de auditoria está permanentemente
alinhado com os processos de negócio e que as necessidades dos
clientes estão a ser satisfeitas optimizando a relação
custo/benefício.
Integrar a tecnologia
O uso da tecnologia possibilita um processo de auditoria mais
rápido e rigoroso e permite alargar o seu âmbito.
51
O paradigma da “Gestão de Risco” em Auditoria Interna
Auditoria interna baseada no risco de negócio – “Best Practices”
A abordagem da auditoria interna deverá ser compatível com o nível de maturidade de gestão de risco da organização:
Maturidade de Risco Características Chave Abordagem de Auditoria Interna
Risco Ingénuo Por desenvolver ERM Promover a Gestão de Risco e utilizar a avaliação do risco feita pela auditoria
Risco Consciente Abordagem tradicional de Gestão de Risco
Promover ERM e utilizar a avaliação do risco feita pela auditoria
Risco Definido
Estratégias e politicas implementadas.
Apetite de Risco (o nível de risco que a Gestão decidiu aceitar) definido.
Facilitar a Gestão de Risco e utilizar a avaliação de risco feita pela Gestão, onde apropriado
Risco Gerido ERM implementado
Auditar o processo de Gestão de Risco e utilizar a
avaliação do risco feita pela Gestão, onde apropriado
Risco Controlado ERM e Controlo Interno totalmente integrado nas operações
Auditar o processo de Gestão de Risco e utilizar a
avaliação do risco feita pela Gestão, onde apropriado
Fonte: IIA UK & Ireland (adaptado)
Papel da auditoria interna na Gestão de Risco
52
O paradigma da “Gestão de Risco” em Auditoria Interna
O principal papel da auditoria interna com respeito ao Processo formal
de Gestão de Risco (ERM) está associado ao desempenho de
serviços tradicionais (assurance) de auditoria, ou seja, avaliação das
actividades de Gestão de Risco. Quando a actividade de auditoria
interna se extende para além do seu papel principal, deverão ser
aplicadas algumas salvaguardas, por forma a não comprometer a
independência e objectividade requerida (IIA, 2004).
53
O paradigma da “Gestão de Risco” em Auditoria Interna
Auditoria interna baseada no risco de negócio – “Best Practices”
A extensão dos serviços de consultoria levados a cabo pela
auditoria interna com respeito a ERM deverá depender dos recursos
e da maturidade de risco da organização. À medida que aumenta a
maturidade do risco, o papel da auditoria interna com respeito a
ERM deve reduzir. Por outro lado, se uma organização recruta
especialistas em Gestão de Risco, é provável que a auditoria se
concentre no seu papel de Assurance (IIA, 2004).
Muitos auditores internos desempenham um papel dinâmico (consultoria), apoiando o estabelecimento inicial do processo de gestão de risco, fundamentalmente nas pequenas empresas, face à escassez de recursos.
54
O paradigma da “Gestão de Risco” em Auditoria Interna
Auditoria interna baseada no risco de negócio – “Best Practices”
55
BIBLIOGRAFIA
• Castanheira et al. (2010), “Factors associated with the adoption of risk-based internal auditing”,
Managerial Auditing Journal, 25/1: 79-98
• Dittenhofer, M. (2001), “Internal auditing effectiveness: an expansion of present methods”,
Managerial Auditing Journal, 16/8: 443-450.
• IIA - The Institute of Internal Auditors (2004), “International Standards for the Professional
Practice of Internal Auditing”, The Institute of Internal Auditors.
• IIA – UK and Ireland (2003), “Risk Based Internal Auditing”. Documento disponível em
www.iia.org.uk.
• Matyjewicz, G. & D´Arcangelo, J. R. (2004), “ERM-based auditing”, The Internal Auditor,
Nov/Dec: 4-18.
• Mcnamee, D. (1997), “Risk Based Auditing”, The Internal Auditor, August: 22-27.
• Mcnamee, D. & Selim, G. (1998), “Risk Management: Changing The Internal Auditor’s
Paradigm”, The Institute of Internal Auditors Research Foundation.
• O´Regan, D. (2002), “The CPA´s transition to the world of internal auditing”, The CPA Journal,
Aug: 11-13.
• Parkinson, M. (2004): “A strategy for providing assurance”, The Internal Auditor, Dec: 63-68.
• Scott, T. (2002), “So long, traditional audit: no more “same as last year” with riskbased
approach, California CPA, Jan: S/P
top related