auditoría basada en riesgo: metodología y aplicación … · respuesta al riesgos actividades de...

Arnaldo Ribeiro, CCSA

Auditor Federal de Control Externo

Auditoría basada en riesgo: Metodología y

aplicación práctica

Junio 2015

¿Por qué auditoría basada en riesgo?

Metodología

Aplicabilidad

Etapas, técnicas y procedimientos

Estructura de la Matriz de riesgo

Auditorías llevadas a cabo

Resultados y ventajas del enfoque

Preguntas

Normas de Auditoría del TCU – NAT (www.tcu.gov.br)

Normas Internacionales para el ejercicio professional de la AuditoríaInterna - IIA Global

Modelo COSO ERM - Enterprise Risk Management

http://www.tcu.gov.br/

Metodología

“...un enfoque sistemático y disciplinado para evaluar y mejorar laeficacia de los procesos de gestión de riesgos, control y gobierno.”,estructurada con base en cinco componentes del Coso ERM:

Fijación de Objetivos

Identificación de Eventos

Evaluación de Riesgos

Respuesta al Riesgos

Actividades de Control

Etapas y procedimientos

Etapa 1

Obtención del conocimiento del objeto de fiscalización:

Identificación y análisis del objetivo de la actividad

Comprender y mapear los procesos de trabajo

Identificación y documentación de los controles existentes


Etapa 1

Productos:

Diagramas de Flujos/mapas de proceso

Descripciones narrativas


Etapa 2

Identificación de riesgos:

Uso de la Matriz de Riesgos por Proceso (MRP)

Identificación y análisis de riesgos

Análisis y evaluación del diseño de los controles

Definición del alcance de la auditoría

Etapa 2: Procedimientos

Estructura de la Matriz de Riesgos por Proceso

Avaliação RI

ControlesAvaliação

CIRisco

ResidualReferênciaTeste de CI

Ob

jetivo

Fase 1

Fase 2

Fase n

RiscosRiesgos

Identificación de riesgos


Avaliação RI


CIRisco


Ob

jetivo

Fase 1

Fase 2

Fase n

RiscosRiesgos EvaluaciónRI

Evaluación de riesgo inherente



Evaluación de riesgos: Matriz Impacto y Probabilid


Escala de Probabilidad


Avaliação RI


CIRisco


Ob

jetivo

Fase 1

Fase 2

Fase n


ControlesEvaluación

CI

Relacionar

CI a los

riesgos,

evaluar

controles



Classificaciones Significado

Inexistente Inexistente o no funcional/implementado.

DébilControle não institucionalizado, depositado na esfera de conhecimento pessoaldos operadores do processo, em geral realizado de maneira manual.

MedianoControle razoavelmente institucionalizado e operante, em geral realizado demaneira manual ou automática como parte do quotidiano da gestão (...)

SatisfactorioControle institucionalizado, normatizado, operante e atualizado, realizado demaneira eletrônica ou manual (...)

FuerteControle institucionalizado, normatizado, operante e atualizado, realizado demaneira eletrônica (exceto se inviável) (...)

Escala de Evaluación del Control


Resultados hasta aquí:

Controles con riesgo asociado

Riesgos sin control

Control sin riesgo


Avaliação RI


CIRisco


Ob

jetivo

Fase 1

Fase 2

Fase n



CIRiesgo

Residual



Tabla de riesgo residual estimado


Avaliação RI


CIRisco


Ob

jetivo

Fase 1

Fase 2

Fase n



CIRiesgo

Residual



Diseño de procedimientos de prueba de controles

Ref. Procedimientos

PA - 1 Comparar los saldos .....

PA - 2 Verifique la exactitud...

PA - 3 Cotejar los...

PA - N ...


Avaliação RI


CIRisco


Ob

jetivo

Fase 1

Fase 2

Fase n



CIRiesgo

ResidualReferência

Proc. prueba

PA - 2

N/A

PA - N

PA – X, Y, Z

N/A

PA – 1 e 2

PA – N

PA – N


Etapas posteriores

Aprobación del Planeamiento de Auditoría

Fase de Ejecución

Aplicación de los procedimientos, obtener las evidencias de auditoría...

Revisión de la MRP (reavaliación del riesgo ihnerente y/o de control, etc.)

Elaboración del Informe


2013 - Renuncia de los ingresos públicos

Producir y estructurar conocimiento acerca del gobierno corporativo,

gestión de riesgos y desempeño

5 políticas públicas

1,8 Billón de dólares

gastos en investigaciones y desarrolo


47.36

41.45

57.64

36.55

43.90

58.14

44.39

61.60

42.20

55.59

- 10 20 30 40 50 60 70

Lei de Informática da ZFM

Inovar-Auto

Lei do Bem

PADIS e PATVD

Lei de Informática

ÍNDICES DE RIESGOS/CALIDAD DE LA GESTIÓNNAI NAR


2014 - Contratos de gestión de servicios públicos

contratos de gestión con seis entidades privadas

Organización pública hace la supervisión

Autoevalución de control (CSA)


Avaliação RI


CIRisco


Ob

jetivo

Fase 1

Fase 2

Fase n



CIRiesgo

Residual



I

m

p

a

c

t

o

Probabilidad

R1

R3

R6

R4

R2

R17

R13

R11

R10R16

R12

R22

R24

R5

Distribución de los riesgos residuales

R19

R20

R7

R8

R9

R10R14

R15

R18

R21

R23

Juicio: 3.304/2014-TCU-Plenário

9.1. determinar à Secretaria-Executiva do Ministério da Ciência, Tecnologia eInovação (SE/MCTI) que:

...

9.1.4. apresente, em 180 (cento e oitenta) dias a contar da ciência destadeliberação, plano de ação contendo medidas para o aperfeiçoamento doscontroles internos relativos aos eventos de risco 5, 10, 16, 18, 19, 20 e 24,evidenciados na presente auditoria (v. itens 4.2 e 4.6 do Relatório precedente),bem como os respectivos responsáveis e os prazos de conclusão;

...

Vision estructurada del objeto fiscalizado, con informaciones

sobre:

Objetivos, procesos, Riesgo inherente, controles internos, riesgo residual,

calidad de la gestión

Enfoque en riesgos

Contribución para el alcance de los objetivos organizacionales

Enfoque en el processo

Envuelve diversos sectores de la organización en una sola acción de

fiscalización

Muchas gracias!

Tribunal de Cuentas de la Unión

Secretaria de Dessarrollo Económico

Arnaldo Ribeiro, CCSA

Auditor Federal de Control Externo

Teléfono: +55 (61) 3316.7751

[email protected]

mailto:[email protected]

auditoría basada en riesgo: metodología y aplicación … · respuesta al riesgos actividades de...

Documents