AVALIAÇÃO DA MATRIZ DE RISCO NO PROCESSO DE AUDITORIA

A metodologia adotada pela Auditoria Interna do Banco X para a avaliação da área, bem como da respectiva matriz de risco segue as seguintes fases:

a) Planejamento da Auditoria: nesta fase são levantadas informações importantes para o entendimento do Negócio/Ambiente Computacional a partir do qual será elaborado o Planejamento da Auditoria em questão;

b) Reunião de Abertura: a reunião de abertura irá abordar os seguintes itens:

discutir objetivos e escopo da auditoria, informar aos gerentes e estabelecer a provável duração dos trabalhos em campo, discutir a comunicação interna durante a auditoria, discutir qualquer assunto, ou qualquer preocupação a respeito das entrevistas;

c) Trabalho em Campo: nesta etapa, são feitos testes do ambiente de controle interno, verificando se as políticas e procedimentos estabelecidos pelo Grupo estão realmente funcionando na prática. A Auditoria utilizará seus programas para avaliar a conformidade com os padrões homologados pela empresa. Para auxiliar no processo, a Auditoria também utiliza Técnicas de Auditoria Auxiliada por Computador, as quais possibilitam, entre outras informações, a extração de dados dos sistemas e/ou ambientes para testes de integridade. Toda documentação necessária é retirada para permitir a fundamentação do trabalho de auditoria. A conclusão da análise dos controles e do sistema ou ambiente documentará: as fraquezas de controles e as não conformidades com as políticas e procedimentos estabelecidos pelo Grupo. Qualquer fraqueza nos controles, identificada durante o curso da auditoria, será levantada no IPD (Interim Progression Document). Os IPD´s especificarão as constatações, riscos e recomendações da Auditoria e serão apresentados à gerência responsável;

d) Encerramento do Trabalho em Campo: é política da Auditoria Interna

efetuar Reunião de Encerramento com os administradores ao término de

todas as Auditorias realizadas e, objetiva: informar à Direção e as

conclusões da Auditoria; acordar a distribuição do Relatório e reiterar o

processo de auditoria em relação ao Relatório de Auditoria;

e) Distribuição e Controle de Resposta do Relatório: o Processo de Distribuição e controle de respostas dos relatórios de auditoria possuem as seguintes fases:

- Distribuição: Os relatórios de auditoria serão emitidos em formato eletrônico sempre que possível. Lista de Distribuição constantemente criticada e revisada para assegurar que somente o público “verdadeiro”

receba uma cópia do relatório.

- Carta de Encaminhamento: Com relação às auditorias de Agências e de Crédito, duas cartas de encaminhamento serão requeridas. A primeira será endereçada ao Gerente da Agência (juntamente com cópia do relatório) e irá incluir instruções para o “auditado” com relação a certificação da implementação ao “Monitoring Authority”. Uma segunda carta será também endereçada ao “Monitoring Authority”

contendo instruções em relação às suas responsabilidades e também será usada como forma para comunicação/envio de quaisquer assuntos de natureza sensitiva ou de compliance, fora dos limites do relatório de auditoria. Em todos os outros casos, somente uma carta de encaminhamento será emitida ao “Monitoring Authority” contendo instruções com relação às suas responsabilidades e também será usada como forma de comunicar/enviar quaisquer assuntos de natureza sensitiva ou de compliance, fora dos limites do relatório de auditoria. O “Monitoring Authority” deverá enviar o relatório ao auditado (eletronicamente) com instruções para implementação, certificação etc.

- Respostas dos relatórios de Auditoria: Os auditados deverão confirmar

com o “Monitoring Authority” de que todas as recomendações

levantadas no relatório foram implementadas. Quando algum item não

tiver sido concluído no prazo padrão, deverá ser detalhado o seu não

atingimento e ser fornecida uma data alvo para sua finalização. Caso a

unidade tenha solicitado dispensa para algum item, isto deverá ser

mencionado.). O “Monitoring Authority” então fornecerá uma

confirmação relevante ao Departamento de Auditoria apropriado. Será

missão do “Monitoring Authority” contatar com o auditado a fim de obter

a segurança e a confirmação apropriada. Com relação à auditoria de

Agências e de Crédito, a resposta deverá seguir o formato padrão, e irá

requerer a aprovação do Gerente Regional de Serviços (para a Agência) ou Gerente Regional de Negócios (para Crédito) e do Diretor Regional de Operações para as auditorias classificadas com graduação de risco Satisfatória ou melhor. Para graduações Abaixo do Padrão ou pior, será requerida a aprovação do Gerente Regional de Serviços (para Operações) ou Gerente Regional de Negócios (para Crédito), Diretor Regional de Operações e do Diretor Regional de Agências. Em todos os outros casos, o “Monitoring Authority” deverá assegurar que todas as recomendações de auditoria foram implementadas e fornecer a certificação apropriada à Auditoria Interna.

- Acompanhamento das Recomendações de Auditoria: Enquanto é responsabilidade do auditado assegurar que todas as recomendações foram implementadas é também função do “Monitoring Authority”

acompanhar as recomendações pendentes até a sua finalização, quando então Auditoria Interna deverá ser informada a fim de que a auditoria possa ser tratada como encerrada.

- Conclusão: Todos os relatórios de auditoria serão emitidos para o

“Monitoring Authority” que tem autoridade sobre a unidade que está sendo auditada. Isto significa que o “Monitoring Authority”, tem total responsabilidade pela implementação e resposta das recomendações, e não o auditado. Será função do “Monitoring Authority” contatar com o auditado a fim de obter a segurança e as recomendações apropriadas e então fornecer um certificado apropriado a Auditoria (dentro do cronograma acordado) detalhando a posição com relação à auditoria.

Dentro das etapas mencionadas, a avaliação da matriz de risco se dá através da análise dos dados compilados pela área de Revisão de Processos, sendo que no momento da auditoria, todos os riscos identificados na matriz são avaliados, todavia o foco são os riscos graduados como de alto impacto, ou seja, aqueles que comprometem a continuidade da operação/atividade.

Depois de identificadas as ações que a área adotou e ferramentas/controles

que foram implementados, a Auditoria Interna fará a validação dos mesmos

verificando a eficácia para mitigar o risco analisado.

Caso seja constatado que a ferramenta/controle que a área adotou não tenha

sido eficaz para mitigar o risco, a Auditoria Interna apontará a deficiência no relatório

devendo a área providenciar novas ações no tratamento desta, conforme

recomendações da Auditoria Interna.