23/09/2013
Técnicas para Elaboração de um Plano de
Auditoria a partir de um Universo de
Auditoria Abrangente e Confiável
Marco Andre Figuerôa Tassinari Rocha
Gerente de Auditoria de Processos e Negócios
Murilo Fray Villar
• Marco Andre Figuerôa Tassinari Rocha
• Gerente de Auditoria de Processos e Negócios
• 11 Anos de experiência em Auditoria em empresas como Oi e Ernst & Young
• Certificação CISA
Palestrantes
• Murilo Fray Villar
• Gerente de Auditoria de TI e Operações
• 10 Anos de experiência em Auditoria em empresas como Walmart, EDP e Brasil Telecom
• Visão Geral Oi
• Plano de Auditoria – Modelo Conceitual • Universo de Auditoria
• Entrevista com Executivos • Radar da Auditoria Interna
• Validação do Plano Anual de Auditoria • Benefícios
• Pontos de Atenção na Elaboração do Plano de Auditoria
• Segundo maior grupo de Telecomunicações do Brasil (atuação nacional)
• Receita Líquida R$25B, EBITDA R$8B, Lucro Líquido R$1,8B (2012) • Primeiro operador “Quadruple Play” (fixa, móvel, banda-larga e TV
por assinatura) do país, 74MM UGRs
• ~20mil funcionários próprios, mais de 160mil prestadores de serviço • Empresas listadas na BOVESPA e NYSE
Nível 1 de Governança Corporativa e Índice de Sustentabilidade Empresarial (ISE) da BM&F Bovespa
• Responsabilidade Social Corporativa – Oi Futuro (Cultura, Sustentabilidade e Educação)
Fonte: Relatório da Administração Oi S.A. 2012
Controladoria Fábrica CAAT 3 TI e Operações 9 Processos e Negócios 9 Presidência (CEO) Conselho de Administração Compliance 7
Estrutura da Auditoria Interna
Auditoria Interna
UNIVERSO DE
AUDITORIA
ENTREVISTA COM
EXECUTIVOS
Plano de Auditoria – Modelo Conceitual
UNIVERSO DE
RADAR A.I.
Plano de Auditoria – Modelo Conceitual
UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS
Plano de Auditoria – Modelo Conceitual
UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.Plano de Auditoria – Modelo Conceitual
UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.Plano de Auditoria – Modelo Conceitual
UNIVERSO DE
AUDITORIA
VAMOS FALAR AGORA SOBRE COMO CRIAR UM
UNIVERSO DE AUDITORIA BASEADO EM
MÚLTIPLOS FATORES, QUE DENOMINAMOS
“DIMENSÕES”
Abordagem Tradicional do Universo de Auditoria • Baseado em Riscos e Processos
• Utilização de “Requisitos Cíclicos” e “Rotação de Ênfase”
• Entrevista com Executivos é um insumo importante para coleta de informações e na priorização dos riscos • Processos com maior nível de riscos são a prioridade
neste tipo de Universo de Auditoria
• Dificuldades:
Companhia precisa ter um gerenciamento de riscos maduro e um detalhado e atualizado mapa de processos
Adequado para trabalhos de Auditoria de Processos, mas deficiente para trabalhos de Auditoria de TI
Pode deixar de captar aspectos importantes, que não são suficientemente priorizados quando a visão fica restrita à processos. Ex.: sistemas, infra de TI, contratos, ...
Universo de Auditoria
• Baseado em múltiplas Dimensões
• Uma Dimensão procura trazer critérios de avaliação de determinado aspecto, relevante do ponto de vista de negócio para a Companhia
• Dimensão Processo tem papel relevante, mas divide o peso de “alimentar” o Universo de Auditoria com
outras Dimensões
• “Requisitos Cíclicos” e “Rotação de Ênfase” também são utilizados
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Mapa de Processos da Cia. Atualmente
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
Critérios: Foram definidos critérios, com pesos específicos e
pontuação correspondente, utilizados para priorizar os Processos. Exemplos:
SOX Impacto no Serviço ao Cliente Avaliação de Riscos Histórico de Fraudes
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Mapa de Sistemas da Cia. Atualmente
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
Critérios: Foram definidos critérios, com pesos específicos e
pontuação correspondente, para priorizar os Sistemas.
Exemplos:
Gestão de Acesso Histórico de Fraudes
Recém Implantado Desenvolvido “in-house” Previsão de “phase-off”
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Bancos de Dados e Sistemas Operacionais
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Todos os contratos vigentes da Cia. De forma a
racionalizar os esforços, selecionamos os 200 contratos mais relevantes financeiramente
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
Critérios: Foram definidos critérios, com pesos específicos e
pontuação correspondente, para priorizar os contratos.
Exemplos:
Impacto no Serviço ao Cliente Histórico de Fraude Histórico de Litígio Impacto Regulatório
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Contas Contábeis registradas no Plano de
Contas da Cia. De forma a racionalizar os esforços, selecionamos as 100 Contas mais relevantes
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
Critérios: As Contas Contábeis selecionadas são
associados a um ou mais Processos da Cia., e estes processos sofrem uma priorização
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Localidades Físicas consideradas Críticas,
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Empresas da estrutura societária do Grupo Oi,
mas com administração independente. Exemplo: SEREDE (empresa de Prestação de Serviços de
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Formulário ISE (Índice de Sustentabilidade
Empresarial), que é a base para a construção do
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
BASE: Formulários 20-F (arquivado na SEC), Form. de
Referência CVM 480 (arquivado na CVM) e Carta de Controles do Auditor Externo.
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
Critérios: Os riscos apresentados nestes Formulários e
na Carta de Controles do Auditor Externos são associados à Processos da Cia., e estes processos sofrem uma priorização
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
• Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS RISCOS 20-F RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT.
SUSTENTABILIDADE SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria
Abordagem Multidimensional
APÓS O LEVANTAMENTO DE TODAS AS INFORMAÇÕES, DEFINIÇÃO E PONTUAÇÃO DE CRITÉRIOS, TODAS AS
DIMENSÕES TÊM SEUS ELEMENTOS PRIORIZADOS. ISSO GERA UM UNIVERSO DE AUDITORIA ABRANGENTE E
Plano de Auditoria – Modelo Conceitual
UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.Plano de Auditoria – Modelo Conceitual
ENTREVISTA COM
EXECUTIVOS
AGORA QUE TEMOS UM UNIVERSO DE
AUDITORIA ABRANGENTE E CONFIÁVEL, VAMOS
FALAR SOBRE OUTRA FONTE IMPORTANTE DE
INSUMOS PARA O PLANO DE AUDITORIA: A
• O objetivo da entrevista com os Executivos é identificar os principais riscos, preocupações e problemas da Cia. na visão
destes Executivos, além de capturar sugestões de trabalhos para o Plano de Auditoria.
• Para esta etapa, selecionamos os 60 principais Executivos da Cia. Para facilitar a operação e compilação dos resultados, dividimos os Executivos em 2 grupos:
• 40 Executivos – entrevistas detalhadas e sugestões de trabalhos de Auditoria
• 20 Executivos (Alta Administração) – este grupo de Executivos participa da validação do primeiro Draft do Plano de Auditoria (etapa posterior)
• As Entrevistas de levantamento com os 40 Executivos auxiliam a levantar temas relevantes para análise da Auditoria Interna,
através de algumas perguntas abertas:
• Principais mudanças previstas para o próximo ano (processos, sistemas, organograma, ...)
• Principais desafios da área no próximo ano
• Como a Auditoria Interna pode ajudar a Cia. no ponto de vista do Executivo?
• Todas as entrevistas são documentadas e catalogadas. As sugestões mais relevantes, não consideradas no Universo de Auditoria, são eventualmente agregadas ao Draft do Plano de Auditoria
Plano de Auditoria – Modelo Conceitual
UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.Plano de Auditoria – Modelo Conceitual
RADAR A.I.
FINALMENTE, VAMOS TRATAR DO RADAR DA
AUDITORIA INTERNA, QUE TAMBÉM AUXILIA NA
DEFINIÇÃO DO PLANO DE AUDITORIA.
• O Radar da Auditoria Interna é uma base de dados viva, alimentada ao longo do ano de duas maneiras:
• Pedidos da Administração: pedidos de trabalhos ou avaliações feitos pela Administração
• Auditoria Interna: ao final de cada trabalho, a equipe de Auditoria registra no Radar (i) sub-processos que ficaram fora do escopo de avaliação; (ii) áreas de preocupação que foram identificadas ao longo do trabalho
• No momento do desenvolvimento do Draft do Plano de
Auditoria, todos os itens do Radar são avaliados, sob a ótica de relevância, e incluídos sob forma de trabalho de Auditoria
Plano de Auditoria – Modelo Conceitual
UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.O DRAFT DO PLANO DE AUDITORIA É
RESULTADO DA COMBINAÇÃO DO UNIVERSO DE
AUDITORIA, ENTREVISTA COM EXECUTIVOS E
RADAR DA AUDITORIA.
NESTE MOMENTO, É HORA DE VALIDAR E
• A Validação do Plano de Auditoria é feita em duas etapas:
alinhamento do Draft de Plano com a Estratégia da Cia e Validação da Alta Administração e Conselho.
(I) ALINHAMENTO DO DRAFT DO PLANO DE AUDITORIA X PLANO ESTRATÉGICO DA CIA.
(II) VALIDAÇÃO DA ALTA ADMINISTRAÇÃO e CONSELHO
• A primeira etapa da Validação do Plano de Auditoria é feito pela própria Auditoria Interna: verificar o alinhamento do Draft de
Plano com a Estratégia da Cia.
• O alinhamento com o Plano Estratégico da Cia. é feito de duas maneiras:
• As métricas de desempenho do Plano são denominadas “Notas Oi”
• As áreas de interesse estratégico e seus componentes são agrupados na “Agenda Estratégica”
Receita
Receita Líquida de Serviços
EBITDA
CHURN
Total exceto pré-pago
CONTACT RATE Ligações indesejáveis RESIDENCIAL EMPRESARIAL CORPORATIVO ATENDIMENTO OPERAÇÕES TI MÓVEL CANAIS REDE NOTAS OI AGENDA ESTRATÉGICA
• O processo de validação consiste em avaliar se o trabalho de Auditoria proposto:
(i) Impacta uma ou mais “Notas Oi”
(ii) Está relacionado a um ou mais itens da Agenda Estratégica
• Trabalhos sem relação com itens da Agenda
Estratégica, ou sem impacto nas “Notas Oi” são reavaliados, e eventualmente, substituídos
• Exemplos do Alinhamento com Plano Estratégico:
TRABALHO DE AUDITORIA NOTAS OI
RECEITA EBITDA CHURN CONTACT RATE
REVISÃO DO PROCESSO DE CONTAS A RECEBER
REVISÃO DO PROCESSO DE RETENÇÃO DO PRODUTO MÓVEL
TRABALHO DE AUDITORIA
AGENDA ESTRATÉGICA
RESIDENCIAL EMPRESARIAL OPERAÇÕES TI ATENDIMENTO
AVALIAÇÃO DA GESTÃO FÍSICA DE MODENS AVALIAÇÃO DA SEGURANÇA NOS BDS ORACLE (SISTEMA SIEBEL)
• Exemplos do Alinhamento com Plano Estratégico:
• A segunda etapa da validação do Draft do Plano de Auditoria é a entrevista com a Alta Administração e membros do Conselho de Administração
• Estas entrevistas têm o objetivo de validar o Draft
apresentado – neste sentido, são muito mais produtivas • Todas as eventuais críticas e sugestões são compiladas, e,
finalmente o Draft do Plano de Auditoria é submetido à aprovação do Comitê de Riscos e Contingências (Conselho de Administração), Conselho Fiscal e Comitê de Auditoria
AGO-NOV DEZ JAN Primeiro DRAFT Plano Auditoria Entrevistas de Validação (Alta Adm.) Segundo DRAFT Plano Auditoria Entrevistas com Membros CA Aprovação do Plano Auditoria (CRC/CF/CAU)
Finalmente, temos um Plano Anual de Auditoria aprovado:
• Captura elementos que uma abordagem tradicional não leva em consideração, garantindo uma
assertividade na priorização dos riscos • Maior Abrangência/Cobertura
• Alinhamento do plano de auditoria com a Estratégia da Cia.
• Assegura a participação efetiva da Alta Administração e Acionistas
• Provê maior Transparência e Confiabilidade ao CRC/CF/CAU
• Informações que suportam a montagem do plano devem ser precisas, tempestivas e confiáveis
• Envolvimento de Alta Administração e Conselho • Tempo e dedicação dos profissionais da Auditoria
Interna
• Estar atento ao que é importante para a Cia. (alinhamento com a direção estratégica)
• Criatividade e Inovação