Auditoria Baseada em Riscos - ABR
Prof. Francisco Chaves
Adaptado de:
Francesco de Cicco (Risk Management, 2007)
Instituto de Auditores do Reino Unido e Irlanda – IIA
▪
Atividade Profissional de Auditoria Interna (AI): alcançar sua missão como
alicerce da governança;
▪
Atuação no contexto do próprio arcabolço (framework) de gestão de riscos
da organização.
“Abordagem conhecida como
Auditoria Baseada em Riscos - ABR
” (IIA, 2003).
ABR – questões abordadas:
▪
Por que a ABR deve ser introduzida;
▪
Como a ABR pode ser implementada; e
▪
As vantagens da ABR.
Foco:
“Áreas para as quais a ABR requer
ações que diferem
de outras metodologias de AI”
“Toda organização é diferente: com atitude diferente em relação aos riscos; estrutura
diferente; processos diferentes ; e linguagem diferente”.
IIA - The Institute of Internal Auditors
▪
Define ABR como “metodologia que associa a Auditoria Interna (AI) ao
arcabolço global de gestão de riscos de uma organização.
▪
A ABR possibilita que uma AI dê garantia ao Conselho Diretivo de que
os processos de gestão de riscos estão gerenciando os riscos de maneira
eficaz em relação ao apetite por riscos”.
“O estabelecimento de metas e a avaliação de funcionários
podem tornar-se aspectos mais complexos”.
Gestão de Riscos
Alguns Conceitos
Risco:
Condição com potencial para causar danos.
Perigo:
Caracteriza uma relativa exposição ao risco.
Dano:
Severidade de lesar ou perda física, funcional ou econômica,
que pode resultar da “materialização” de um risco.
PARADOXO ARRISCADO
▪
Não se consegue combater o risco, porque vive-se do risco;
▪
A razão do ser humano na terra é o próprio risco;
▪
Inovar, empreender e arriscar são sinônimos
.
Adaptado de: Prof. Dr. Paulo R. A. de Oliveira
IIA - The Institute of Internal Auditors
Na ABR a AI deve poder concluir que:
▪
A direção identificou, avaliou e respondeu aos riscos acima e abaixo de
seu apetite por riscos;
▪
As respostas aos riscos são eficazes, mas não excessivas na gestão dos
riscos inerentes;
▪
Quando os riscos residuais não estão alinhados ao apetite por riscos, são
tomadas ações para reparar isso;
▪
Os processos de gestão de riscos, incluindo a eficácia das respostas e a
conclusão das ações, estão sendo monitorados pela direção para garantir
que continuem a operar de maneira eficar; e
▪
Riscos, respostas e ações estão sendo classificados e relatados
Auditoria Baseada em Riscos (ABR)
●
Uma evolução da auditoria convencional;
●
Auditoria convencional: foco na avaliação do sistema de
controle interno da organização;
●
A Auditoria Baseada em Riscos (ABR): foco na avaliação da
postura da administração perante os riscos –
o apetite por
riscos;
●
A auditoria deixa de ser reativa e passa a ser preventiva;
●
Gerenciamento
de
riscos:
considerado
como
função
Auditoria Convencional
versus
Auditoria Baseada em Riscos (ABR)
Área de Auditoria
Auditoria Convencional
(AC)
Auditoria Baseada em Riscos
(ABR)
Foco da auditoria
Sistema de controle interno
Risco do negócio
Foco de teste
Atividades de controle
Atividades de mitigação dos
riscos
Foco de relatório
Adequação e eficácia do
controle interno
Adequação e eficácia da
mitigação dos riscos
Resultados de
auditoria
Controle novo ou melhoria
Mitigação de risco apropriada
Auditoria convencional:
Focada nos processos operacionais
Auditoria Convencional
versus
Auditoria Baseada em Riscos (ABR)
Enfoque Tradicional (AC)
Foco nos controles
Enfoque em Riscos (ABR)
Foco nos riscos
Testes com base em programa de trabalho
-
endereçando
objetivos
de
controle
padrão
Testes com base nos riscos de negócio,
identificados
no
levantamento
de
informações
Testes de todos os controles
Testes focalizados - somente dos controles
que minimizam os riscos relevantes
Inspecionar, detectar e reagir aos riscos de
negócios
Antecipar e prevenir riscos de negócios
na origem
Maior parte do tempo gasto em testes,
validação e consolidação
Maior
parte
do
tempo
gasto
em
levantamento e análise de informação.
✓ Ênfase na base e amplitude dos testes, ações;
Auditoria Tradicional (AC)
Auditoria Moderna(ABR)
Foco
Foco
nas
demonstrações
financeiras
Foco no
negócio
Direção
Conformidade
Desempenho
Enfoque
Transações
Risco e
processo
- em trabalho contínuo
Equipe
Basicamente de auditores
Equipe
multidisciplinar
Relatório
Parecer,
carta
de
recomendações
Parecer, business Model, Análise de
riscos, GAP analysis e sugestões de
melhoria.
Auditoria Baseada em Riscos (ABR) como Auditoria Moderna
Auditoria Convencional (AC)
versus
Auditoria Baseada em Riscos (ABR)
(Condução dos Trabalhos)
Auditoria antiga...(AC)
Auditoria moderna...(ABR)
Diz o que deve ser feito para a emissão de
um Parecer
Diz como fazer uma auditoria para emissão
de um Parecer
Utiliza uma linguagem voltada ao mundo
da auditoria
Descreve como atingir os objetivos por
meio da análise dos processos do negócio
do cliente
(inclui relação cliente/fornecedor)
Enfoca
a
auditoria
como
uma
administração de um projeto
Apresenta ferramentas e técnicas que
podem ser utilizadas em um trabalho de
auditoria
Descreve políticas para obtenção da
qualidade consistente
Descreve como realizar um trabalho –
conforme auditoria moderna
A AC é departamentalizada – por setores
A ABR vê a empresa como sistema
integrado – um risco pode permear por
diversos setores
AC:
o quê
o auditor deve fazer para alcançar os resultados
Auditoria Baseada em Riscos (ABR)
(Vantagens/Benefícios)
Auditoria moderna (ABR) fornece...
Por meio de...
Uma forma incomum e detalhada de
entender os negócios do cliente
Foco nos negócios e na indústria que
atua
Diminuição dos riscos
Foco nos riscos do negócio do cliente
Eficiência efetiva de auditoria
Análise específica dos negócios
Benefício
da
experiência
obtida
no
passado
Uso de banco de dados e oportunidade
de novas experiências e aplicabilidade
em outros casos.
Oportunidade
de
desenvolvimento
profissional de cada membro da equipe
Enfoque de equipe, fornecendo serviços
de forma a atuar em sinergia
Relacionamento de longo prazo com os
clientes – passo para a fidelização
Foco contínuo no negócio – correlação
com os relatórios e resultados.
AC:
controles, por si só, não garantem sucesso, pois são pontuais
ABR:
agrega valor à organização – negócios e tendências
Auditoria Baseada em Riscos (ABR)
(Desvantagens)
Aspecto
Comentário
Auditoria convencional (AC) interna é
mais fácil de praticar
Base em padrões objetivos (controles
internos,
metas,
legislação,
normas,
políticas internas etc.
A ABR requer especialização do auditor
nas áreas afins
Na maior parte do tempo a ABR é
realizada
com
base
em
padrões
subjetivos
(estratégias,
negócios,
clientes, gestão de riscos etc)
Os resultados da AC são mais palpáveis
Tem caráter investigativo, corretivo,
reativo.
Já,
“As
medidas
de
prevenção (na ABR) embaçam
seus
resultados
pela
Estágios da Implementação da ABR
1. Avaliação da maturidade dos riscos
Obtenção de um panorama do quanto o Conselho determina, avalia, maneja e
monitora os riscos. Isso dá uma indicação da confiabilidade do cadastro de riscos
para planejamento da auditoria.
2. Planejamento de auditorias periódicas
Identificação de auditorias de garantia e consultorias para um período específico,
por meio da identificação e priorização de todas as áreas nas quais o Conselho
requer a garantia objetiva, incluindo os processos de gestão de riscos, o manejo dos
riscos-chave e o registro e relato dos riscos.
3. Auditorias individuais
Realização de tarefas individuais baseadas em riscos, incluindo a mitigação de
riscos individuais ou de grupos de riscos.
Os Três Estágios da Auditoria Baseada em Riscos (ABR)
Estágios
Objetivos
Etapas
1º Estágio: Avaliação
da maturidade dos
riscos – obtenção do
panorama em função do
conselho/direção par o
planejamento
▪ Avaliar a maturidade de riscos da
organização;
▪ Relatar tal avaliação à direção e
ao comitê de auditoria;
▪ Definir estratégia de auditoria.
▪ Discutir (diretores/gerentes) o
entendimento e maturidade de
riscos existente;
▪ Obter documentos refs. à gestão de
riscos na organização;
▪ Concluir sobre maturidade e relatar
à direção e comitê;
▪ Trabalhar com direção sobre ações
propostas em função da avaliação;
▪ Decidir estratégia de auditoria p
avaliação e obter aprovação
(direção/comitê)
2º Estágio:
Planejamento
auditorias periódicas –
identificação de
auditorias de garantia e
consultorias. Priorização
das áreas em que o
conselho requer garantia
objetiva (manejo,
riscos-chave registro e relato)
▪ Harmonizar todas as respostas de
gestão de riscos e processos para
os quais é exigida garantia
objetiva da Auditoria Interna;
▪ Elaborar plano de auditoria com
enumeração de todas a serem
realizadas no período/ano
▪ Identificar as respostas e processos
de gestão de riscos que requerem
garantia objetiva;
▪ Categorizar e priorizar riscos;
▪ Associar riscos a tarefas de
auditoria;
▪ Elaborar plano específico de
auditoria;
▪ Relatar à direção e ao comitê de
auditoria.
Os Três Estágios da Auditoria Baseada em Riscos (ABR)
(Continuação…)
Estágios
Objetivos
Etapas
3º Estágio: Auditorias
individuais– execução
de tarefas individuais
baseadas em riscos para
obter garantias sobre
partes do arcabouço de
gestão, com mitigação
de riscos individuais ou
de grupos de riscos
▪ A direção identificou, avaliou e
respondeu aos riscos - acima e
abaixo do apetite por riscos;
▪ As respostas aos riscos são
eficazes, mas não em excesso, no
gerenciamento dos riscos
inerentes;
▪ Se os riscos individuais não são
compatíveis com o apetite por
riscos – tomar ações para
remediação;
▪ Os processos de gestão de riscos
são monitorados pela direção
garantindo sua operação eficaz;
▪ Riscos, respostas e ações estão
sendo classificados e relatados
adequadamente.
▪ Definição do escopo planejado da
tarefa;
▪ Avaliação da maturidade de riscos
da unidade que está sendo auditada;
▪ Conclusões sobre a maturidade de
riscos da unidade auditada;
▪ Confirmação do escopo da tarefa;
▪ Discussão e observação dos
controles de monitoramento;
▪ Verificação das evidências,
explicações, retrabalhos etc.;
▪ Documentação dos resultados da
auditoria;
▪ Análise da avaliação dos riscos
residuais – pela direção;
▪ Conclusões sobre respostas e
processos de gestão de riscos
cobertos pela tarefa;
▪ Relato e realimentação (feedback);
▪ Sumário das conclusões da
auditoria para o comitê de
auditoria.
Estágios da ABR
Legenda
Fluxo trabalho de auditoria
Fonte quando possível
Relatórios de AI
1
.
Avaliação da
Maturidade de
Riscos
Estratégia Global
das Auditorias
2
.
Planejamento
de Auditorias
Periódicas
Plano de
Auditorias
Requisitos de
Garantia
Comitê
de
Auditoria
3
.
Auditorias
Individuais
Cadastro de
Riscos
Resultados das
Auditorias
Comitê
de
Auditoria
Organização
Risco
de
Mercado
Risco
de
Crédito
Risco
Legal
Risco
Operacional
Estágio 1: Ações para atingir os objetivos
1.
Discutir com diretoria, o entendimento sobre maturidade de riscos. Ver o que já
foi feito: treinamentos, entrevistas, workshops;
2.
Obter documentos que detalhem: objetivos/política da organização, definição do
“apetite” por riscos, se há metodologia de riscos e na tomada de decisão, o
cadastro dos riscos, outros documentos que registrem comprometimento da
direção em relação à gestão de riscos;
3.
Avaliar e concluir sobre o grau de maturidade de riscos: habilitado, gerenciado,
definido, consciente e ingênuo (ex. Testes de auditoria);
4.
Relatar as conclusões e implicações. O IIA considera que organizações com
grau de maturidade ingênuo ou consciente, não estão em conformidade com as
Diretrizes e Código de governança Corporativa;
5.
Discutir com a Direção, quais ações propostas - p. ex., consultoria para AI;
6.
Definir estratégia de auditoria, com aprovação da Diretoria e Comitê de
Elementos potenciais em uma estratégia de auditoria ABR
1.
Tipo de
garantia
que se espera dar;
2.
Arcabolço
que será utilizado para o
planejamento
da auditoria;
3.
Tipo de
consultoria
que se espera fornecer.
Organizações com grau de maturidade de riscos ingênuo ou consciente
não conseguirão implementar a ABR imediatamente. Mas, os benefícios
podem ser alguns aspectos, p. ex., a AI pode ajudar a melhorar os processos
de gestão, relatando à direção e ao comitê de auditoria, e promovendo a
Variedade de estratégias de auditoria
GRAU
DE
MATURIDADE
DE
RISCOS
DA
ORGANIZAÇÃO
Ing
ênuo
Estratégia (I):
Registro – não há gestão de riscos
Consultoria , promover gestão de riscos
Plano de auditoria
(arcabolço alternativo)Garantia de processos de controle
Estratégia (C)
Relatos de gestão de riscos fraca
Consultoria,
promover
gestão
de
riscos
Plano auditoria
(arcabolço alternativo)Garantia dos processos de controle
Estratégia (D)
Relatos de deficiências na gestão de
riscos
Consultoria para integrar gestão de
riscos
Corrigir/adequar a visão da direção
sobre riscos
Garantia das políticas de gestão de
riscos
Estratégia (G)
Visão da direção impulsiona plano
auditoria
Garantia de gestão de riscos e
mitigação
Consultoria para melhorar gestão de
riscos
Estratégia (H)
Visão da direção impulsiona plano
auditoria
Garantia
de
gestão
de
riscos
e
mitigação
Avaliação do grau de maturidade de riscos da organização
Ingênuo
Consciente
Definido
Gerenciado
Habilitado
Exs. de Testes
de Auditoria
Características-chave Nenhuma abordagem formal p gestão riscos Abordagem p gestão de riscos dispersa Estratégias, políticas implementadas. Apetite por riscosdefinido Abordagem corporativa p gestão riscos desenvolvida e comunicada Gestão de riscos e controles incorporados às operações
Processo
Objetivos da organização definidosPossivelmente Sim – mas abordagem pode não ser consistente
Sim Sim Sim Checar se objetivos são definidos e comunicados pelo
conselho Direção foi treinada p
compreender riscos e responder por eles
Não Algum treinamento - limitado
Sim Sim Sim Entrevistar gerentes – confirmar entendimentos
sobre riscos
Sistema pontuação para avaliar riscos foi
definido
Não Improvável – sem definição de
abordagem consistente
Sim Sim Sim checar se o sistema de pontuação foi
aprovado, comunicado e se está sendo usado Apetite por riscos da
organização foi definido em termos
do sistema de pontuação
Não Não Sim Sim Sim Checar documento
no qual grupo de controle aprovou “apetite” por riscos
Avaliação do grau de maturidade de riscos da organização
(continuação…)
Ingênuo
Consciente
Definido
Gerenciado
Habilitado
Exs. Testes de
Auditoria
Processo
Riscos não analisados pela organização regularmenteNão Alguns riscos são analisados criticamente, não frequentemente Análises críticas regulares, provavelmente anuais Análises críticas regulares, provavelmente trimestrais Análises críticas regulares, provavelmente trimestrais Buscar evidências de análise crítica -regularmente pela diretoria Administração relata riscos para diretores quando as respostas
não conduziram riscos para nível aceitável pelo
Conselho
Não Não Sim, mas pode não ser um processo
formal
Sim Sim Para riscos acima de “aceitáveis” – verificar se o Conselho foi informado sobre tais riscos Novos projetos significativos são avaliados quanto a risco, rotineiramente
Não Não Maioria dos
Projetos
Todos os projetos Todos os projetos Examinar propostas de projeto para uma análise dos riscos
que possam ameaça-los Responsabilidade
pela determinação avaliação e manejo
dos riscos está incluída nas descrições de cargos
não não limitada Maioria das
descrições de cargos Sim Examinar descrições de cargos. Verificar instruções para estabelecer descrições de cargos
Avaliação do grau de maturidade de riscos da organização
(continuação…)
Ingênuo
Consciente
Definido
Gerenciado
Habilitado
Exs. Testes de
Auditoria
Processo
Gerentes dão garantia da eficácia de sua gestão de riscosNão Não Não Alguns gerentes Sim Examinar a
garantia fornecida. Para iscos-chave, verificar se os controles e o sistema de gestão de monitoramento estão operando Gerentes são avaliados quanto ao seu desempenho na gestão de riscos
Não Não Não Alguns gerentes Sim Examinar amostra de avaliações, buscando evidências sobre avaliação dos gerentes -adequação quanto ao seu desempenho em relação à gestão de riscos Abordagem de Auditoria Interna Promove a gestão de riscos e se baseia em método alternativo de planejamento de auditorias Promove abordagem corporativa de gestão de riscos e se baseia em método alternativo de planejamento de auditorias Facilita a gestão de riscos ou se relaciona com a gestão de riscos e usa a avaliação dos
riscos pela direção quando apropriado
Audita os processos de gestão
de riscos e utiliza a avaliação dos riscos pela direção
conforme apropriado Audita os processos de gestão de riscos e utiliza a avaliação dos riscos pela direção
conforme apropriado