PMBOK. Auditoria Baseada em Riscos - ABR. Prof. Francisco Chaves. Adaptado de: Francesco de Cicco (Risk Management, 2007)

Auditoria Baseada em Riscos - ABR

Prof. Francisco Chaves

Adaptado de:

Francesco de Cicco (Risk Management, 2007)

Instituto de Auditores do Reino Unido e Irlanda – IIA

▪

Atividade Profissional de Auditoria Interna (AI): alcançar sua missão como

alicerce da governança;

▪

Atuação no contexto do próprio arcabolço (framework) de gestão de riscos

da organização.

“Abordagem conhecida como

Auditoria Baseada em Riscos - ABR

” (IIA, 2003).

ABR – questões abordadas:

▪

Por que a ABR deve ser introduzida;

▪

Como a ABR pode ser implementada; e

▪

As vantagens da ABR.

Foco:

“Áreas para as quais a ABR requer

ações que diferem

de outras metodologias de AI”

“Toda organização é diferente: com atitude diferente em relação aos riscos; estrutura

diferente; processos diferentes ; e linguagem diferente”.

IIA - The Institute of Internal Auditors

▪

Define ABR como “metodologia que associa a Auditoria Interna (AI) ao

arcabolço global de gestão de riscos de uma organização.

▪

A ABR possibilita que uma AI dê garantia ao Conselho Diretivo de que

os processos de gestão de riscos estão gerenciando os riscos de maneira

eficaz em relação ao apetite por riscos”.

“O estabelecimento de metas e a avaliação de funcionários

podem tornar-se aspectos mais complexos”.

Gestão de Riscos

Alguns Conceitos

Risco:

Condição com potencial para causar danos.

Perigo:

Caracteriza uma relativa exposição ao risco.

Dano:

Severidade de lesar ou perda física, funcional ou econômica,

que pode resultar da “materialização” de um risco.

PARADOXO ARRISCADO

▪

Não se consegue combater o risco, porque vive-se do risco;

▪

A razão do ser humano na terra é o próprio risco;

▪

Inovar, empreender e arriscar são sinônimos

.

Adaptado de: Prof. Dr. Paulo R. A. de Oliveira

IIA - The Institute of Internal Auditors

Na ABR a AI deve poder concluir que:

▪

A direção identificou, avaliou e respondeu aos riscos acima e abaixo de

seu apetite por riscos;

▪

As respostas aos riscos são eficazes, mas não excessivas na gestão dos

riscos inerentes;

▪

Quando os riscos residuais não estão alinhados ao apetite por riscos, são

tomadas ações para reparar isso;

▪

Os processos de gestão de riscos, incluindo a eficácia das respostas e a

conclusão das ações, estão sendo monitorados pela direção para garantir

que continuem a operar de maneira eficar; e

▪

Riscos, respostas e ações estão sendo classificados e relatados

Auditoria Baseada em Riscos (ABR)

●

Uma evolução da auditoria convencional;

●

Auditoria convencional: foco na avaliação do sistema de

controle interno da organização;

●

A Auditoria Baseada em Riscos (ABR): foco na avaliação da

postura da administração perante os riscos –

o apetite por

riscos;

●

A auditoria deixa de ser reativa e passa a ser preventiva;

●

Gerenciamento

de

riscos:

considerado

como

função

Auditoria Convencional

versus

Auditoria Baseada em Riscos (ABR)

Área de Auditoria

Auditoria Convencional

(AC)

Auditoria Baseada em Riscos

(ABR)

Foco da auditoria

Sistema de controle interno

Risco do negócio

Foco de teste

Atividades de controle

Atividades de mitigação dos

riscos

Foco de relatório

Adequação e eficácia do

controle interno

Adequação e eficácia da

mitigação dos riscos

Resultados de

auditoria

Controle novo ou melhoria

Mitigação de risco apropriada

Auditoria convencional:

Focada nos processos operacionais

Auditoria Convencional

versus

Auditoria Baseada em Riscos (ABR)

Enfoque Tradicional (AC)

Foco nos controles

Enfoque em Riscos (ABR)

Foco nos riscos

Testes com base em programa de trabalho

-

endereçando

objetivos

de

controle

padrão

Testes com base nos riscos de negócio,

identificados

no

levantamento

de

informações

Testes de todos os controles

Testes focalizados - somente dos controles

que minimizam os riscos relevantes

Inspecionar, detectar e reagir aos riscos de

negócios

Antecipar e prevenir riscos de negócios

na origem

Maior parte do tempo gasto em testes,

validação e consolidação

Maior

parte

do

tempo

gasto

em

levantamento e análise de informação.

✓ Ênfase na base e amplitude dos testes, ações;

Auditoria Tradicional (AC)

Auditoria Moderna(ABR)

Foco

Foco

nas

demonstrações

financeiras

Foco no

negócio

Direção

Conformidade

Desempenho

Enfoque

Transações

Risco e

processo

- em trabalho contínuo

Equipe

Basicamente de auditores

Equipe

multidisciplinar

Relatório

Parecer,

carta

de

recomendações

Parecer, business Model, Análise de

riscos, GAP analysis e sugestões de

melhoria.

Auditoria Baseada em Riscos (ABR) como Auditoria Moderna

Auditoria Convencional (AC)

versus

Auditoria Baseada em Riscos (ABR)

(Condução dos Trabalhos)

Auditoria antiga...(AC)

Auditoria moderna...(ABR)

Diz o que deve ser feito para a emissão de

um Parecer

Diz como fazer uma auditoria para emissão

de um Parecer

Utiliza uma linguagem voltada ao mundo

da auditoria

Descreve como atingir os objetivos por

meio da análise dos processos do negócio

do cliente

(inclui relação cliente/fornecedor)

Enfoca

a

auditoria

como

uma

administração de um projeto

Apresenta ferramentas e técnicas que

podem ser utilizadas em um trabalho de

auditoria

Descreve políticas para obtenção da

qualidade consistente

Descreve como realizar um trabalho –

conforme auditoria moderna

A AC é departamentalizada – por setores

A ABR vê a empresa como sistema

integrado – um risco pode permear por

diversos setores

AC:

o quê

o auditor deve fazer para alcançar os resultados

Auditoria Baseada em Riscos (ABR)

(Vantagens/Benefícios)

Auditoria moderna (ABR) fornece...

Por meio de...

Uma forma incomum e detalhada de

entender os negócios do cliente

Foco nos negócios e na indústria que

atua

Diminuição dos riscos

Foco nos riscos do negócio do cliente

Eficiência efetiva de auditoria

Análise específica dos negócios

Benefício

da

experiência

obtida

no

passado

Uso de banco de dados e oportunidade

de novas experiências e aplicabilidade

em outros casos.

Oportunidade

de

desenvolvimento

profissional de cada membro da equipe

Enfoque de equipe, fornecendo serviços

de forma a atuar em sinergia

Relacionamento de longo prazo com os

clientes – passo para a fidelização

Foco contínuo no negócio – correlação

com os relatórios e resultados.

AC:

controles, por si só, não garantem sucesso, pois são pontuais

ABR:

agrega valor à organização – negócios e tendências

Auditoria Baseada em Riscos (ABR)

(Desvantagens)

Aspecto

Comentário

Auditoria convencional (AC) interna é

mais fácil de praticar

Base em padrões objetivos (controles

internos,

metas,

legislação,

normas,

políticas internas etc.

A ABR requer especialização do auditor

nas áreas afins

Na maior parte do tempo a ABR é

realizada

com

base

em

padrões

subjetivos

(estratégias,

negócios,

clientes, gestão de riscos etc)

Os resultados da AC são mais palpáveis

Tem caráter investigativo, corretivo,

reativo.

Já,

“As

medidas

de

prevenção (na ABR) embaçam

seus

resultados

pela

Estágios da Implementação da ABR

1. Avaliação da maturidade dos riscos

Obtenção de um panorama do quanto o Conselho determina, avalia, maneja e

monitora os riscos. Isso dá uma indicação da confiabilidade do cadastro de riscos

para planejamento da auditoria.

2. Planejamento de auditorias periódicas

Identificação de auditorias de garantia e consultorias para um período específico,

por meio da identificação e priorização de todas as áreas nas quais o Conselho

requer a garantia objetiva, incluindo os processos de gestão de riscos, o manejo dos

riscos-chave e o registro e relato dos riscos.

3. Auditorias individuais

Realização de tarefas individuais baseadas em riscos, incluindo a mitigação de

riscos individuais ou de grupos de riscos.

Os Três Estágios da Auditoria Baseada em Riscos (ABR)

Estágios

Objetivos

Etapas

1º Estágio: Avaliação

da maturidade dos

riscos – obtenção do

panorama em função do

conselho/direção par o

planejamento

▪ Avaliar a maturidade de riscos da

organização;

▪ Relatar tal avaliação à direção e

ao comitê de auditoria;

▪ Definir estratégia de auditoria.

▪ Discutir (diretores/gerentes) o

entendimento e maturidade de

riscos existente;

▪ Obter documentos refs. à gestão de

riscos na organização;

▪ Concluir sobre maturidade e relatar

à direção e comitê;

▪ Trabalhar com direção sobre ações

propostas em função da avaliação;

▪ Decidir estratégia de auditoria p

avaliação e obter aprovação

(direção/comitê)

2º Estágio:

Planejamento

auditorias periódicas –

identificação de

auditorias de garantia e

consultorias. Priorização

das áreas em que o

conselho requer garantia

objetiva (manejo,

riscos-chave registro e relato)

▪ Harmonizar todas as respostas de

gestão de riscos e processos para

os quais é exigida garantia

objetiva da Auditoria Interna;

▪ Elaborar plano de auditoria com

enumeração de todas a serem

realizadas no período/ano

▪ Identificar as respostas e processos

de gestão de riscos que requerem

garantia objetiva;

▪ Categorizar e priorizar riscos;

▪ Associar riscos a tarefas de

auditoria;

▪ Elaborar plano específico de

auditoria;

▪ Relatar à direção e ao comitê de

auditoria.

Os Três Estágios da Auditoria Baseada em Riscos (ABR)

(Continuação…)

Estágios

Objetivos

Etapas

3º Estágio: Auditorias

individuais– execução

de tarefas individuais

baseadas em riscos para

obter garantias sobre

partes do arcabouço de

gestão, com mitigação

de riscos individuais ou

de grupos de riscos

▪ A direção identificou, avaliou e

respondeu aos riscos - acima e

abaixo do apetite por riscos;

▪ As respostas aos riscos são

eficazes, mas não em excesso, no

gerenciamento dos riscos

inerentes;

▪ Se os riscos individuais não são

compatíveis com o apetite por

riscos – tomar ações para

remediação;

▪ Os processos de gestão de riscos

são monitorados pela direção

garantindo sua operação eficaz;

▪ Riscos, respostas e ações estão

sendo classificados e relatados

adequadamente.

▪ Definição do escopo planejado da

tarefa;

▪ Avaliação da maturidade de riscos

da unidade que está sendo auditada;

▪ Conclusões sobre a maturidade de

riscos da unidade auditada;

▪ Confirmação do escopo da tarefa;

▪ Discussão e observação dos

controles de monitoramento;

▪ Verificação das evidências,

explicações, retrabalhos etc.;

▪ Documentação dos resultados da

auditoria;

▪ Análise da avaliação dos riscos

residuais – pela direção;

▪ Conclusões sobre respostas e

processos de gestão de riscos

cobertos pela tarefa;

▪ Relato e realimentação (feedback);

▪ Sumário das conclusões da

auditoria para o comitê de

auditoria.

Estágios da ABR

_Legenda

Fluxo trabalho de auditoria

Fonte quando possível

Relatórios de AI

1

.

Avaliação da

Maturidade de

Riscos

Estratégia Global

das Auditorias

2

.

Planejamento

de Auditorias

Periódicas

Plano de

Auditorias

Requisitos de

Garantia

Comitê

de

Auditoria

3

.

Auditorias

Individuais

Cadastro de

Riscos

Resultados das

Auditorias

Comitê

de

Auditoria

Organização

Risco

de

Mercado

Risco

de

Crédito

Risco

Legal

Risco

Operacional

Estágio 1: Ações para atingir os objetivos

1.

Discutir com diretoria, o entendimento sobre maturidade de riscos. Ver o que já

foi feito: treinamentos, entrevistas, workshops;

2.

Obter documentos que detalhem: objetivos/política da organização, definição do

“apetite” por riscos, se há metodologia de riscos e na tomada de decisão, o

cadastro dos riscos, outros documentos que registrem comprometimento da

direção em relação à gestão de riscos;

3.

Avaliar e concluir sobre o grau de maturidade de riscos: habilitado, gerenciado,

definido, consciente e ingênuo (ex. Testes de auditoria);

4.

Relatar as conclusões e implicações. O IIA considera que organizações com

grau de maturidade ingênuo ou consciente, não estão em conformidade com as

Diretrizes e Código de governança Corporativa;

5.

Discutir com a Direção, quais ações propostas - p. ex., consultoria para AI;

6.

Definir estratégia de auditoria, com aprovação da Diretoria e Comitê de

Elementos potenciais em uma estratégia de auditoria ABR

1.

Tipo de

garantia

que se espera dar;

2.

Arcabolço

que será utilizado para o

planejamento

da auditoria;

3.

Tipo de

consultoria

que se espera fornecer.

Organizações com grau de maturidade de riscos ingênuo ou consciente

não conseguirão implementar a ABR imediatamente. Mas, os benefícios

podem ser alguns aspectos, p. ex., a AI pode ajudar a melhorar os processos

de gestão, relatando à direção e ao comitê de auditoria, e promovendo a

Variedade de estratégias de auditoria

GRAU

DE

MATURIDADE

DE

RISCOS

DA

ORGANIZAÇÃO

Ing

ênuo

Estratégia (I):

Registro – não há gestão de riscos

Consultoria , promover gestão de riscos

Plano de auditoria

(arcabolço alternativo)

Garantia de processos de controle

Estratégia (C)

Relatos de gestão de riscos fraca

Consultoria,

promover

gestão

de

riscos

Plano auditoria

(arcabolço alternativo)

Garantia dos processos de controle

Estratégia (D)

Relatos de deficiências na gestão de

riscos

Consultoria para integrar gestão de

riscos

Corrigir/adequar a visão da direção

sobre riscos

Garantia das políticas de gestão de

riscos

Estratégia (G)

Visão da direção impulsiona plano

auditoria

Garantia de gestão de riscos e

mitigação

Consultoria para melhorar gestão de

riscos

Estratégia (H)

Visão da direção impulsiona plano

auditoria

Garantia

de

gestão

de

riscos

e

mitigação

Avaliação do grau de maturidade de riscos da organização

Ingênuo

Consciente

Definido

Gerenciado

Habilitado

Exs. de Testes

de Auditoria

Características-chave Nenhuma abordagem formal p gestão riscos Abordagem p gestão de riscos dispersa Estratégias, políticas implementadas. Apetite por riscos

definido Abordagem corporativa p gestão riscos desenvolvida e comunicada Gestão de riscos e controles incorporados às operações

Processo

Objetivos da organização definidos

Possivelmente Sim – mas abordagem pode não ser consistente

Sim Sim Sim Checar se objetivos são definidos e comunicados pelo

conselho Direção foi treinada p

compreender riscos e responder por eles

Não Algum treinamento - limitado

Sim Sim Sim Entrevistar gerentes – confirmar entendimentos

sobre riscos

Sistema pontuação para avaliar riscos foi

definido

Não Improvável – sem definição de

abordagem consistente

Sim Sim Sim checar se o sistema de pontuação foi

aprovado, comunicado e se está sendo usado Apetite por riscos da

organização foi definido em termos

do sistema de pontuação

Não Não Sim Sim Sim Checar documento

no qual grupo de controle aprovou “apetite” por riscos

Avaliação do grau de maturidade de riscos da organização

(continuação…)

Ingênuo

Consciente

Definido

Gerenciado

Habilitado

Exs. Testes de

Auditoria

Processo

Riscos não analisados pela organização regularmente

Não Alguns riscos são analisados criticamente, não frequentemente Análises críticas regulares, provavelmente anuais Análises críticas regulares, provavelmente trimestrais Análises críticas regulares, provavelmente trimestrais Buscar evidências de análise crítica -regularmente pela diretoria Administração relata riscos para diretores quando as respostas

não conduziram riscos para nível aceitável pelo

Conselho

Não Não Sim, mas pode não ser um processo

formal

Sim Sim Para riscos acima de “aceitáveis” – verificar se o Conselho foi informado sobre tais riscos Novos projetos significativos são avaliados quanto a risco, rotineiramente

Não Não Maioria dos

Projetos

Todos os projetos Todos os projetos Examinar propostas de projeto para uma análise dos riscos

que possam ameaça-los Responsabilidade

pela determinação avaliação e manejo

dos riscos está incluída nas descrições de cargos

não não limitada Maioria das

descrições de cargos Sim Examinar descrições de cargos. Verificar instruções para estabelecer descrições de cargos

Avaliação do grau de maturidade de riscos da organização

(continuação…)

Ingênuo

Consciente

Definido

Gerenciado

Habilitado

Exs. Testes de

Auditoria

Processo

Gerentes dão garantia da eficácia de sua gestão de riscos

Não Não Não Alguns gerentes Sim Examinar a

garantia fornecida. Para iscos-chave, verificar se os controles e o sistema de gestão de monitoramento estão operando Gerentes são avaliados quanto ao seu desempenho na gestão de riscos

Não Não Não Alguns gerentes Sim Examinar amostra de avaliações, buscando evidências sobre avaliação dos gerentes -adequação quanto ao seu desempenho em relação à gestão de riscos Abordagem de Auditoria Interna Promove a gestão de riscos e se baseia em método alternativo de planejamento de auditorias Promove abordagem corporativa de gestão de riscos e se baseia em método alternativo de planejamento de auditorias Facilita a gestão de riscos ou se relaciona com a gestão de riscos e usa a avaliação dos

riscos pela direção quando apropriado

Audita os processos de gestão

de riscos e utiliza a avaliação dos riscos pela direção

conforme apropriado Audita os processos de gestão de riscos e utiliza a avaliação dos riscos pela direção

conforme apropriado

---A ---Auditoria Interna (---AI) e o Comitê de ---Auditoria

A Auditoria Interna (AI)

O Comitê de Auditoria

Deve analisar criticamente os requisitos de

garantia do comitê de auditoria e o cadastro de

riscos, e enumerar as respostas para as quais é

necessária a garantia objetiva – e informações

sobre riscos aos quais estão relacionadas.

Pode rejeitar a garantia objetiva da AI para o

manejo

de

todos

os

riscos.

Motivos:

a

quantidade de garantia de outras fontes; as

habilidades e competências da atividade de AI

em área específica; e a disponibilidade de

garantia objetiva de outras fontes.

Deve

fornecer

garantias

em

partes

do

arcabouço de gestão de riscos em si – nos

processos utilizados para identificar e avaliar os

riscos e para decidir quais são as respostas

apropriadas; nos processos para relatar os

riscos para toda organização; e controles de

monitoramento desses processos.

Pode priorizar riscos para a direção, para os

quais gostaria de ter a garantia objetiva,

favorecendo riscos inerentes maiores. Pode não

ser necessária a garantia objetiva para todos os

riscos, todos os anos.

Pode desejar analisar criticamente (detalhes) os

requisitos de garantia do comitê, para garantir

que não se deixe uma lacuna na garantia.

---Não tem que dar garantia em relação a todos os

---Estágio 2: Elaboração do plano de auditoria

Legenda

Fluxo trabalho de auditoria

Fonte quando possível

Relatórios de AI

Estratégia Global

das Auditorias

Cadastro

de Riscos

Requisitos

de Garantia

Identificar

respostas que

exigem garantia

Priorizar e

categorizar

respostas

Associar

respostas a

auditoria

Elaborar Plano

de Auditorias

Periódicas

Relatórios

Direção

Comitê de

Auditoria

Plano

de Auditorias

Lista de respostas por

categoria e dados de

prioridades e riscos

Lista de auditorias:

dados, respostas,

riscos e prioridades

Perfil dos auditores que utilizam a ABR

▪

Premissa: conhecimento da entidade;

▪

Uso de técnicas não relacionadas à sua formação acadêmica tradicional;

Processo de Implantação da ABR

Visão dos Modelos Básicos

AUDITORIA CONVENCIONAL

ABR (Foco em Riscos)

Foco nas políticas e procedimentos

existentes

Foco nos riscos estratégicos

Detecção de problemas e falhas

Identificação dos riscos e otimização

de processos

Restrito a linhas funcionais

Compartilha o conhecimento com a

organização

Abordagens e orientações mais

reativas.

Compreensão do negócio e

orientação pró ativa.

Metodologia de Auditoria Interna Baseada em Riscos

▪

_{Abordagem top-down (“de cima para baixo”)}

▪

_{Enfoque nos riscos estratégicos;}

▪

_{Direciona os recursos de Auditoria Interna para áreas de maior importância}

e valor.

Norma ABNT NBR ISO 9001:2015

Sistema de Gestão da Qualidade - Requisitos

Generalidades (0.1 da Norma)

▪

Ajudar, por decisão estratégica, uma organização a melhorar seu desempenho

global;

▪

Prover uma base sólida para iniciativas de desenvolvimento sustentável.

Benefícios potenciais

▪

Prover produtos/serviços que atendam aos requisitos dos clientes e aos requisitos

regulamentares aplicáveis;

▪

Aumentar a satisfação dos clientes;

▪

Abordar os riscos e oportunidades associados;

▪

Demonstrar conformidades com requisitos de SGQ.

“A norma emprega a abordagem de processo (interações), que incorpora o ciclo PDCA (recursos,

melhorias), e a mentalidade de risco (fatores de desvios)”.

Norma ABNT NBR ISO 9001:2015

A Mentalidade de Risco (0.3.3 da Norma)

▪

É essencial para se conseguir um SGQ eficaz;

▪

Conceito correlato às ações preventivas para eliminar não conformidades

potenciais;

▪

Análise de não conformidades para tomada de ação para prevenir recorrências;

Abordagem de Riscos e Oportunidades

▪

A organização precisa planejar e implementar ações para abordar riscos e

oportunidades;

▪

Estabelece base para aumento da eficácia do SGQ, para conseguir resultados

melhorados e para prevenção de efeitos negativos.

Exemplos de Mapeamento de Riscos via ABR

Fonte: Adaptado de - Sebrae/CE (2010)

#

RISCO

1

Falta de engajamento de equipes para desenvolver ações no interior do

país

2

Restrição em inovação por falta de maturidade dos clientes e dos

colaboradores

3

Cadastro com deficiências técnicas (insuficiente)para atender as reais

necessidades dos clientes

4

Deficiência no monitoramento/acompanhamento da execução dos

projetos – subutilização de ferramentas e indicadores de gestão

5

Comunicação interna inadequada – falta de integração entre ações

6

Descumprimento

de

obrigações

(contrapartida

financeira)

-comprometimento de planos propostos

7

Limitação no atingimento de estratégias de atuação pela restrição do

portfólio de produtos

8

Falta de foco de atuação e visão de médio/longo prazo dos empresários

(cultura individualista)

9

Tomada de decisão equivocada por influência de informações

Referências

CCPS. Center for Chemical Process Safety. Diretrizes para segurança de processo baseada

em riscos. Tradução Petrobras/Recursos Humanos/Universidade Petrobras. – 1. ed. – Rio de

Janeiro

: Interciência, 2014.

De Cicco. F. Auditoria baseada em riscos - como implementar a ABR nas organizações:

uma abordagem inovadora. Centro da Qualidade, Segurança e Produtividade para Brasil e

América Latina, QSP. Série Risk Management. 2007.

POMMARENING

EDVAN

JR.;

BENCKE

FERNANDO

FANTONI.

Auditoria

convencional e auditoria baseada em riscos; contribuições à gestão organizacional.

Unoesc & Ciência – ACSA, Joaçaba/SC, v.2, n.1., p. 15-26, jan./jun.2011.

PINTO, R.C.S. & BEZERRA,L.B. Implantação da auditoria baseada em risco em uma

entidade do sistema S”: o caso Sebrae/CE. Revista Ambiente Contábil. Universidade