Risk Tecnologia 1
Série Risk Management
AUDITORIA BASEADA
EM RISCOS
Como implementar a ABR nas
organizações: uma abordagem inovadora
AMOSTRA do Manual
REVISÃO TÉCNICA:
Francesco De Cicco – Diretor-Executivo do QSP – Centro da Qualidade, Segurança e Produtividade para o Brasil e América Latina.
Todos os direitos reservados. É expressamente proibida a reprodução total
ou parcial desta publicação, sem a prévia autorização do editor.
Copyright 2007 by Risk Tecnologia Editora Ltda. Fone: (11) 3704-3200.
Risk Tecnologia 2
Índice
__________________________________________________________________________________________________________
O que é Auditoria Baseada em Riscos? ... Implementação da ABR ...
Estágio 1 – Avaliação da maturidade de riscos da organização ... Estágio 2 – Elaboração de um plano de auditorias periódicas ... Estágio 3 – Realização de uma auditoria individual de garantia ...
Benefícios e dificuldades da ABR ... Glossário ... Leituras complementares... Apêndices ...
Diretrizes para a implementação dos aspectos principais da metodologia ABR
A. Avaliação do grau de maturidade de riscos da organização ... B. Diretrizes para relatar as conclusões da auditoria ...
Ilustrações de como se pode documentar partes do arcabouço de gestão de riscos e da ABR
C. Cadastro de riscos ... D. Universo de Auditorias... E. Universo de Riscos e de Auditorias... F. Plano de Auditorias... G. Base de dados de auditoria individual de despesas com compras ...
05 07 09 11 21 26 30 32 34 34 36 37 38 39 40 41
Risk Tecnologia 3
O que é Auditoria Baseada em Riscos?
__________________________________________________________________________________________________________
O IIA – The Institute of Internal Auditors - define Auditoria Baseada em Riscos (ABR) como uma metodologia que associa a auditoria interna ao arcabouço global de gestão de riscos de uma organização. A ABR possibilita que uma auditoria interna dê garantia ao conselho diretivo de que os processos de gestão de riscos estão gerenciando os riscos de maneira eficaz em relação ao apetite por riscos.
A ABR tem como base o próprio arcabouço (ou estrutura /
framework) de gestão de riscos da organização, e busca em cada um
de seus estágios reforçar as responsabilidades da direção e do conselho em relação à gestão de riscos. Se o arcabouço de gestão de riscos não for robusto ou não existir, a organização não está pronta para a ABR. Mais importante ainda, significa que o sistema de controles internos da organização é fraco. Os auditores internos em tal organização devem promover a boa prática da gestão de riscos para melhorar o sistema de controles internos.
Quando a ABR é nova para uma organização, o responsável pela auditoria interna precisará promover o conceito para a direção e conquistar seu apoio, especialmente porque isso pode significar para a direção uma mudança em seu ponto de vista sobre riscos. Este guia contém uma seção sobre os benefícios da ABR para ajudar nesse processo. A ABR também traz desafios para a atividade de auditoria interna em si, porque ela é um processo dinâmico. Sua gestão é mais difícil do que a de metodologias tradicionais, e monitorar o progresso em relação a um plano anual que está em constante mudança é um desafio. O estabelecimento de metas e a avaliação de funcionários podem tornar-se mais complexos.
Mas as vantagens são muito maiores. Seguindo a ABR, a auditoria interna deve poder concluir que:
A direção identificou, avaliou e respondeu aos riscos acima e abaixo de seu apetite por riscos;
As respostas aos riscos são eficazes, mas não excessivas na gestão dos riscos inerentes, dentro do apetite por riscos;
Quando os riscos residuais não estão alinhados ao apetite por riscos, são tomadas ações para reparar isso;
Os processos de gestão de riscos, incluindo a eficácia das respostas e a conclusão de ações, estão sendo monitorados pela direção para garantir que continuem a operar de maneira eficaz; e
Riscos, respostas e ações estão sendo classificados e relatados adequadamente.
Isso possibilita que a auditoria interna dê ao conselho a garantia necessária em relação a três áreas:
Risk Tecnologia 4
Processos de gestão de riscos, tanto em relação ao seu desenho quanto à qualidade de seu funcionamento;
A gestão dos riscos classificados como “chave”, incluindo a eficácia dos controles e de outras respostas a eles; e
Relatos e classificações completos, precisos e apropriados dos riscos.
Risk Tecnologia 5
Implementação da ABR
__________________________________________________________________________________________________________
A implementação e a operação contínua da ABR constituem-se de três estágios:
1. Avaliação da maturidade de riscos(*) – obtenção de um panorama do quanto o conselho e a direção determinam, avaliam, manejam e monitoram os riscos. Isso dá uma indicação da confiabilidade do cadastro de riscos para fins de planejamento da auditoria.
2. Planejamento de auditorias periódicas – identificação de auditorias de garantia e consultorias para um período específico, através da identificação e priorização de todas as áreas nas quais o conselho requer a garantia objetiva, incluindo os processos de gestão de riscos, o manejo dos riscos-chave e o registro e relato dos riscos.
3. Auditorias individuais – realização de tarefas individuais baseadas em riscos, para dar garantias sobre partes do arcabouço de gestão de riscos, incluindo a mitigação de riscos individuais ou de grupos de riscos.
A figura 1 mostra a relação entre esses estágios. (...)
Nota do revisor técnico: “Maturidade de riscos” é um termo utilizado de forma simplificada nesta publicação para designar a Maturidade da Gestão de Riscos de uma organização.
Risk Tecnologia 6
Estágio 1 – Avaliação da maturidade de riscos da organização
O primeiro estágio da ABR é analisar criticamente o nível de maturidade de riscos. Este estágio possui três objetivos. São eles:
Avaliar a maturidade de riscos da organização.
Relatar tal avaliação à direção e ao comitê de auditoria.
Definir uma estratégia de auditoria.
1. Discutir com diretores e gerentes seniores o entendimento que existe sobre a maturidade de riscos. Determinar o que já foi feito para melhorar a maturidade de riscos da organização como, por exemplo: treinamentos, workshops sobre riscos, enquetes sobre riscos e entrevistas com gerentes. Determinar se os gerentes acreditam que o cadastro de riscos é abrangente. Discutir se o entendimento sobre gestão de riscos está arraigado de tal forma que os gerentes se sentem responsáveis não somente pela identificação, avaliação e mitigação dos riscos, mas também pelo monitoramento do arcabouço e das respostas aos riscos.
2. Obter documentos, quando disponíveis, que detalhem:
- Os objetivos da organização.
- Como os riscos são analisados, por exemplo pontuando seu
impacto e probabilidade.
- Uma definição, aprovada pela diretoria, que estabeleça seu
apetite por riscos, em termos do sistema de pontuação utilizado para riscos inerentes e residuais.
- Os processos seguidos para identificar riscos que ameaçam os
objetivos da organização.
- Como a gerência considera os riscos como parte de sua
tomada de decisão. Por exemplo, incluindo os riscos e as respostas a eles em documentos de aprovação de projetos.
- Os processos seguidos para o relato dos riscos em níveis
diferentes da direção.
- As fontes de informação utilizadas pela direção e pelo
conselho para se certificarem de que o arcabouço está funcionando de maneira eficaz para gerenciar os riscos dentro do apetite por riscos.
- O cadastro de riscos da organização, incluindo os tipos de
informação descritos na seção anterior.
- Quaisquer outros documentos que indiquem o
comprometimento em relação à gestão de riscos.
3. Chegar a uma conclusão em relação à maturidade de riscos. Usando os documentos e informações coletadas, avaliar o grau de maturidade de riscos da organização como: habilitado,
gerenciado, definido, consciente e ingênuo. O Apêndice A traz
essas definições e sugere os fatores que podem ser levados em consideração para essa avaliação. Também sugere testes de
Introdução
Ações para atingir os objetivos
Risk Tecnologia 7
auditoria que podem ser realizados para fornecer evidências que embasem essa avaliação.
4. Relatar as conclusões sobre a maturidade de riscos para a direção e para o comitê de auditoria. Este estágio fornecerá uma garantia inicial de alto nível sobre os processos de gestão, o manejo dos riscos-chave e o registro e relato dos riscos.
Ao relatar as conclusões e suas implicações, deve-se observar que um grau de maturidade de riscos ingênuo ou consciente implica que o sistema de controles internos da organização e a capacidade da direção de avaliá-lo pode ser ineficaz. O IIA acredita que organizações com um grau de maturidade de riscos ingênuo ou
consciente não estão em conformidade com as Diretrizes de
Turnbull nem com o Código de Governança Corporativa.
5. Trabalhar com a direção a fim de identificar quaisquer ações por ela propostas, a serem tomadas como resultado dessa avaliação. A direção pode sugerir atribuições de consultoria para a auditoria interna como, por exemplo, auxiliando os esforços da direção para melhorar os processos de gestão de riscos.
6. Decidir qual a estratégia de auditoria a ser seguida após a avaliação e obter a aprovação da direção e do comitê de auditoria.
A estratégia de auditoria selecionada depende da maturidade de riscos da organização.
Organizações com um grau de maturidade de riscos ingênuo ou
consciente não conseguirão implementar a ABR imediatamente.
Entretanto, tais organizações podem se beneficiar de alguns aspectos das estratégias de auditoria descritos a seguir. Por exemplo, a auditoria interna pode ajudar a melhorar os processos de gestão de riscos e governança, relatando sua avaliação da maturidade de riscos da organização à direção e ao comitê de auditoria, e promovendo a gestão de riscos em todos os trabalhos da atividade de auditoria interna. Pode também conduzir algumas tarefas de consultoria, auxiliando a direção a melhorar a maturidade de riscos da organização.
Há três elementos potenciais em uma estratégia de auditoria ABR: primeiro, o tipo de garantia que se espera dar; segundo, o arcabouço que será utilizado para o planejamento da auditoria; e terceiro, o tipo de consultoria que se espera fornecer.
Variedade de estratégias de auditorias
Risk Tecnologia 8
Estágio 2 – Planejamento periódico da auditoria
A implementação e a operação contínua da ABR constituem-se de três estágios:
Figura 2
Estágio 1 da ABR – Variedade de estratégias de auditoria
Estratégia de Auditoria (I):
Relatar que não há gestão de riscos formal
Consultoria para promover a a gestão de riscos
Plano de auditorias direcionado por arcabouço alternativo
Garantia dos processos de controle
Estratégia de Auditoria (C):
Relatar gestão de riscos fraca
Consultoria para
promover a gestão de riscos
Plano de auditorias direcionado por arcabouço alternativo
Garantia dos processos de controle
Estratégia de Auditoria (H):
Visão da direção sobre riscos impulsiona o plano de auditoria
Garantia dos processos de gestão de riscos e sua mitigação Consultoria conforme necessário In g ên u o Consciente Habilitado D efinin do Estratégia de Auditoria (D):
Relatar deficiências da gestão de riscos
Consultoria para integrar a gestão de riscos
Começar com a visão da direção sobre riscos e suplementá-la
Garantia das políticas de gestão de riscos e dos processos de controle Gere ncia do Gere ncia do Qual é o grau de maturidade de riscos da organização? Estratégia de Auditoria (G):
Visão da direção sobre riscos impulsiona o plano de auditorias
Garantia dos processos de gestão de riscos e sua mitigação
Consultoria para melhorar a gestão de riscos
Risk Tecnologia 9
Para organizações de risco habilitado e risco gerenciado, a conclusão sobre a maturidade de riscos é o primeiro passo para poder dar garantias em relação aos processos de gestão de riscos, manejo dos riscos-chave e relato dos riscos. Sendo assim, a estratégia de garantia da atividade de auditoria interna é dar garantia para essas áreas.
Para outras organizações, a conclusão sobre a maturidade de riscos significa que tais garantias não estão disponíveis. As organizações de
risco definido podem ser capazes de identificar políticas de gestão de
riscos ou compartimentos de excelência de gestão de riscos e conseguirem planejar dar garantia sobre esses elementos. Por outro lado, a auditoria interna deve planejar dar garantia de que os processos de controle estão funcionado de acordo com os objetivos ou padrões estabelecidos previamente.
Para organizações de risco habilitado e risco gerenciado, a ABR significa que o planejamento é direcionado pelo cadastro de riscos da organização e sua necessidade de garantia objetiva. Isso é descrito em mais detalhes no Estágio 2.
Para outras organizações, não existe um cadastro de riscos confiável. Por essa razão, nessas organizações a atividade de auditoria interna precisará planejar seu trabalho de auditoria usando um arcabouço alternativo, por exemplo, sistemas-chave ou unidades de negócio.
No passado, auditores internos faziam suas próprias avaliações dos riscos enfrentados por suas organizações. É tentador pegar tais avaliações e começar a considerá-las como o cadastro de riscos da organização. Entretanto, isso pode ser negativo para o objetivo maior da melhoria da maturidade de riscos da organização, uma vez que isso provavelmente reforçará o conceito errado de que as auditorias internas são responsáveis pela gestão de riscos. A metodologia ABR leva os auditores internos a facilitar a melhoria do arcabouço de gestão de riscos. Por isso, o uso de nomes enganosos, tais como necessidades de auditoria e avaliações ou análises de riscos, devem ser descontinuados, dando lugar ao termo genérico ‘arcabouço de planejamento de auditorias’. Estratégias de garantia Arcabouço para o planejamento de auditorias
Risk Tecnologia 10
Em organizações com maturidade de riscos menor, a auditoria interna pode optar por alocar tempo para promover a introdução e a melhoria dos processos de gestão de riscos. O objetivo dessa atividade de consultoria é melhorar a maturidade de riscos da organização. A auditoria interna deve ter uma abordagem de trabalho de tal forma que a direção mantenha um senso de posse dos processos que estão sendo desenvolvidos.
As Normas Internacionais4 do IIA definem as atividades de
consultoria como serviços de aconselhamento, cuja natureza e escopo são acordados com o cliente e não pressupõem que o auditor interno deva assumir a responsabilidade pela gestão. A declaração de posicionamento do IIA sobre o Papel do Auditor Interno na Gestão Corporativa de Riscos traz orientações adicionais sobre os papéis que se pode assumir e aqueles que não se pode5.
Em organizações de risco habilitado e risco gerenciado, a necessidade de melhorar os processos de gestão de risco exerce pressão menor do que nas organizações com menor maturidade de riscos e pode ser parte integrante do arcabouço em si. Conseqüentemente, podem ser necessários menos recursos para a tarefa de consultoria.
É possível que uma parte de uma organização tenha um grau de
maturidade de riscos gerenciado e outra consciente.
Alternativamente, uma organização pode ter um grau gerenciado quando se trata de um tipo de risco, por exemplo, risco de mercado em um banco, mas consciente para outro tipo de risco.
Nesse caso, a auditoria interna não deve concluir que a organização toda é de risco gerenciado. Deve relatar os perigos de se ter uma colcha de retalhos de maturidades de riscos e criar estratégias de auditoria separadas para partes diferentes da organização.
4
International Standards for the Professional Practice of Internal Auditing (Normas Internacionais para a Prática Profissional da Auditoria Interna). Instituto de Auditores Internos: ‘Serviços de Consultoria - Aconselhamento e atividades relacionadas a serviços de atendimento ao cliente, cuja natureza e escopo são acordados com o cliente e que têm a finalidade de agregar valor e melhorar a governança, gestão de riscos e processos de controle da organização, sem que o auditor interno assuma a responsabilidade pela gestão. São exemplos disso pareceres, conselhos, facilitação e treinamento.’
5
Declaração de posicionamento sobre o Papel do Auditor Interno na Gestão Corporativa de Riscos, publicada em 2004 pelo Instituto de Auditores Internos – Reino Unido e Irlanda.
Estratégias de consultoria
Maturidades de riscos mistas
Risk Tecnologia 11
continua
Apêndices
__________________________________________________________________________________________________________
Apêndice A – Avaliação do grau de maturidade de riscos da organização
Ingênuo Consciente Definido Gerenciado Habilitado Exemplos de testes de
amostra de auditoria Características- chave Nenhuma abordagem formal desenvolvida para a gestão de riscos Abordagem para a gestão de riscos dispersa em “silos” Estratégia e políticas implementadas e comunicadas. Apetite por riscos definido Abordagem corporativa para a gestão de riscos desenvolvida e comunicada Gestão de riscos e controles internos totalmente incorporados às operações Processo Objetivos da organização definidos Possivelmente Sim – mas abordagem pode não ser consistente
Sim Sim Sim
Verificar se os objetivos da organização são determina-dos pelo conselho e se foram
comunicados para todos os funcionários. Verificar se outros objetivos e metas são
consistentes com os objetivos da organização Direção foi treinada
para compreender os riscos e sua
respon-sabilidade por eles
Não Algum treinamento
limitado Sim Sim Sim
Entrevistar gerentes para confirmar seu entendimento sobre riscos e o quanto eles o
gerenciam Sistema de pontuação
para avaliar riscos foi definido Não Improvável, sem definição de abordagem consistente
Sim Sim Sim
Verificar se o sistema de pontuação foi aprovado, comunicado e se está sendo
utilizado
Apetite por riscos da organização foi definido em termos
do sistema de pontuação
Não Não Sim Sim Sim
Verificar o documento no qual o grupo de controle aprovou o apetite por riscos.
Certificar-se de que é consistente com o sistema de
pontuação e de que tenha sido comunicado Processos foram definidos para determinar os riscos e os mesmos foram seguidos Não Improvável
Sim, mas ainda não se aplica à organização toda
Sim Sim
Examinar os processos para certificar-se de que são suficientes para garantir a
identificação de todos os riscos. Verificar se estão implementados examinando
os resultados de workshops
Todos os riscos foram compilados em
uma lista. Os riscos foram alocados a cargos específicos.
Não Pode haver uma lista incompleta
Sim, mas ainda não se aplica à organização toda
Sim Sim
Examinar o Cadastro de Riscos.Certificar-se de que
está completo, é analisado criticamente com regulari-dade e usado para gerenciar
os riscos. Riscos são alocados para os gerentes Todos os riscos
foram avaliados de acordo com o sistema
de pontuação definido
Não Pode haver uma lista incompleta
Sim, mas ainda não se aplica à organização toda
Sim Sim
Verificar se a pontuação aplicada para a seleção de riscos é consistente com a política. Buscar consistência
(isto é, riscos semelhantes têm pontuação semelhante) Respostas para os
riscos foram selecionadas e implementadas
Não Algumas respostas identificadas
Sim, mas ainda não se aplica à organização toda
Sim Sim
Examinar o Cadastro de Riscos para certificar-se de
que foram identificadas respostas apropriadas A direção estabeleceu métodos para monitorar a operação adequada dos processos-chave,
das respostas e dos planos de ação
(“controles de monitoramento”)
Não Alguns controles de monitoramento
Sim, mas ainda não se aplica à organização toda
Sim Sim
Para uma seleção de respos-tas, processos e ações, examinar o(s) controle(s) de monitoramento e
certificar-se de que a direção saberia se as respostas ou processos não estivessem funcionando,
ou se as ações não estivessem implementadas
Risk Tecnologia 12
Apêndice A – Avaliação do grau de maturidade de riscos da organização (continuação)
Ingênuo Consciente Definido Gerenciado Habilitado Exemplos de testes de
auditoria Processo
Riscos são analisados pela organização
regularmente
Não
Alguns riscos são analisados critica-mente, mas não frequentemente Análises críticas regulares, provavelmente anuais Análises críticas regulares, provavelmente trimestrais Análises críticas regulares, provavelmente trimestrais
Buscar evidências de que um processo minucioso de
análise crítica é realizado regularmente Administração relata
riscos para diretores quando as respostas não manejaram os riscos para um nível
aceitável para o conselho
Não Não
Sim, mas pode não ser um processo
formal
Sim Sim
Para os riscos acima do apetite por riscos, verificar
se o conselho foi informado formalmente sobre a existência de tais
riscos Todos os projetos
novos significativos são avaliados quanto a riscos rotineiramente
Não Não Maioria dos projetos Todos os projetos Todos os projetos
Examinar propostas de projeto para uma análise
dos riscos que possam ameaçá-los Responsabilidade
pela determinação, avaliação e manejo dos riscos está
incluída nas descrições de cargos
Não Não Limitada
Maioria das descrições de
cargos
Sim
Examinar descrições de cargos. Verificar instruções para estabelecer descrições
de cargos
Gerentes dão garantia da eficácia de sua
gestão de riscos
Não Não Não Alguns gerentes Sim
Examinar a garantia fornecida. Para
riscos-chave, verificar se os controles e o sistema de gestão de monitoramento estão operando Gerentes são avaliados quanto ao seu desempenho na gestão de riscos
Não Não Não Alguns gerentes Sim
Examinar uma amostra de avaliações, buscando evidências de que os gerentes foram avaliados adequadamente quanto ao seu desempenho em relação à gestão de riscos
Abordagem de Auditoria Interna Promove a gestão de riscos e se baseia em método alternativo de planejamento de auditorias Promove abordagem corporativa de gestão de riscos e se baseia em método alternativo de planejamento de auditorias Facilita a gestão de riscos/se relaciona com a gestão de riscos e usa a avaliação dos riscos pela direção quando
apropriado
Audita os processos de gestão de riscos e utiliza a
avaliação dos riscos pela direção
conforme apropriado
Audita os processos de gestão de riscos e utiliza a avaliação
dos riscos pela direção conforme
apropriado