ANEFAC Grupo Técnico de Processos e Riscos Adoção à Abordagem de Auto Avaliação de Controles (AAC) São Paulo, 09/08/2016

(1)

ANEFAC Grupo Técnico de Processos e Riscos

Adoção à Abordagem de Auto Avaliação de Controles – (AAC) São Paulo, 09/08/2016

Gemau Halla – gemau.halla@toshiba.com.br gemau.halla@hotmail.com

(2)

AGENDA

• DEFINIÇÃO DE AAC

• HISTÓRIA DO AAC – Da criação até de consolidar no mercado • BENEFÍCIOS DA AAC

• POTENCIAIS INCONVENIENTES

• COMPARATIVO AUDITORIA TRADICIONAL X AUTO AVALIAÇÃO • PASSO A PASSO PARA IMPLEMENTAÇÃO

(3)

DEFINIÇÃO DE AAC

The IIA

AAC é um processo através do qual a eficácia do controle interno é examinada e avaliada. Este objetivo é prover segurança razoável de que todos os objetivos de negócio serão alcançados.

Outra Definição

AAC é uma técnica onde os empregados são treinados para identificar e avaliar riscos, bem como propor controles para mitiga-los.

(4)

HISTÓRIA

Robert

Maxwell

Adrian

Cadbury

Bruce

McCuaig

(5)

DEMANDA HISTÓRICA POR AAC

Fonte: Google Trend

(6)

BENEFÍCIOS DA AAC

PARA ORGANIZAÇÃO

• Processo de negócios mais eficazes e eficientes

• Melhores controles Internos • Melhor avaliação e gestão de

riscos

PARA AUDITORIA INTERNA

• Maior capacidade para testar controles informais ou soft

• Papel destacado do departamento de Auditoria Interna

• Maior capacidade para focar em áreas de alto risco

• Utilização mais eficaz dos recursos de auditoria

(7)

POTENCIAIS INCONVENIENTES

Resistência a utilização da AAC

Falha na continuidade dos resultados e recomendações

Planejamento e treinamentos inadequados Falta de direção ou foco

Custos potenciais

(8)

TRADICIONAL X AAC

RESPONSABILIDADES ABORDAGEM TRADICIONAL

ABORDAGEM DE AAC

Definição dos objetivos de negócio Administração Administração

Avaliação de riscos Administração /

Auditores Administração Adequação dos controles internos Administração Administração Avaliação dos riscos e controles Auditores Equipes de

Trabalho

Relatório Auditores Equipes de

Trabalho Validação da avaliação de riscos e

controles Auditores Auditores

(9)

PASSO A PASSO

POR ONDE COMEÇAR????

A.S.5 – Auditor deve se basear em seu julgamento para

determinar a materialidade

(10)

1 • DEFINIR MATERIALIDADE ET - Erro Tolerável B A SE D E C Á L C U L O LAIR Conservador <4% Recomendado 5% Risco Baixo >6% Faturamento 0,5% - 1% Margem Bruta 1% - 2% Patrimônio Liquido 1% - 5% EBITDA 2% - 5%

Ativo Total Percentual abaixo dos ativos totais (0,25% - 0,5%) Definição de 5% de Materialidade Demonstrações financeiras - R$ 31/12/xx Empresa Unidade de Negócios 1 (a) Unidade de Negócios 2 (b) Unidade de Negócios 3 (c) Unidade de Negócios 4 (d) Consolidado ∑(a+b+c+d) Venda Bruta 3.543.678,43 2.484.377,00 1.564.700,00 351.000,00 7.943.755,43 Participação no Total 45% 31% 20% 4% 100%

Erro tolerável - (ET) 177.183,92 124.218,85 78.235,00 17.550,00 397.187,77

(11)

1 • DEFINIR MATERIALIDADE

Materialidade Unidade de Negócios 1 3.543.678,43 177.183,92

Demonstração dos resultados 31/12 Processo correspondente

Recita de vendas 3.543.678,43 Sim Vendas / Faturamento Impostos s/Vendas 637.862,12 Sim Fiscal

Vendas Liquidas 2.905.816,31

Custo de produção 1.240.287,45 Sim Custos

Despesas de vendas 177.183,92 Não Contas a pagar Despesas com pessoal 531.551,76 Sim Folha de pagamento Despesas administrativas 177.183,92 Não Administração

Resultado operacional 779.609,25

Resultado não operacional 531.551,76 Sim Recebíveis

Lucro antes do imposto de renda 248.057,49

Imposto de renda / Contrib. Social 44.650,35 Não

(12)

PASSO A PASSO

1 • Definir materialidade

2 • Treinamento dos facilitadores e equipes

3 • Mapeamento dos processos 4 • Identificação de riscos

5 • Identificação dos controles 6 • Elaboração de questionários

7 • Aplicar questionários e solicitar evidências 8 • Avaliar das respostas

(13)

2 • TREINAMENTO DOS FACILITADORES E EQUIPES

A prática 2120.A1-2 do IIA: Define o AAC como um processo formal,

Documentado, projetado para permitir que a administração e as equipes de trabalho compostas de indivíduos de unidades, funções ou processos de negócio, possam de forma Colaborativa

• Identificar

_riscos

e exposições

• Avaliar os processos de

controle

que reduzem ou administram esses riscos

• Desenvolver planos de ação para reduzir riscos em

níveis aceitáveis

• Determinar a

_{probabilidade}

de alcançar os objetivos de negócio.

(14)

2 • TREINAMENTO DOS FACILITADORES E EQUIPES

De acordo com o IIA, as organizações frequentemente combinam uma ou mais das três formas primárias de AAC que seguem

1. SESSÕES FACILITADAS DE EQUIPE

• Dinâmicas de grupo • Workshop

2. PESQUISAS

(15)

PASSO A PASSO

3 • Mapeamento dos processos

4 • Identificação de riscos

(16)

3 • MAPEAMENTO DOS PROCESSOS

Fluxograma

Narrativa

Segregação de Funções Matriz de riscos e controles

Definir processos Documentar o processo

Realizar testes de validação

(17)

PASSO A PASSO

(18)

4 • IDENTIFICAÇÃO DE RISCOS

TIPOS DE RISCO

PARA A SOX 404 QUAIS RISCOS SÃO IMPORTANTES?

DEFINIÇÃO DE RISCO

Possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos.

Reporte

(19)

EXEMPLO DE RISCOS

Risco potencial

Riscos Reporte

financeiro Operacional Compliance

Notas fiscais de fornecedores registradas em duplicidade no contas a receber

Ingresso de pessoas não autorizadas nas dependências da companhia

Atraso no envio da declaração do imposto de renda

(20)

EXEMPLO DE RISCOS

Risco potencial

Notas fiscais de fornecedores registradas em

duplicidade no contas a receber

P

Ingresso de pessoas não autorizadas nas

dependências da companhia

Atraso no envio da declaração do imposto de renda

(21)

EXEMPLO DE RISCOS

Risco potencial

P

Atraso no envio da declaração do imposto de

(22)

EXEMPLO DE RISCOS

Risco potencial

P

Atraso no envio da declaração do imposto de

(23)

EXEMPLO DE RISCOS

Risco potencial

Divergência no pagamento de tributos

Divergência na folha de pagamento

Divergência no relatório de Headcount

Registro de contabilização em conta errada

(24)

EXEMPLO DE RISCOS

Risco potencial

P

(25)

EXEMPLO DE RISCOS

Risco potencial

P

(26)

EXEMPLO DE RISCOS

Risco potencial

P

(27)

EXEMPLO DE RISCOS

Risco potencial

P

(28)

EXEMPLO DE RISCOS

Risco potencial

P

(29)

AVALIAÇÃO DE RISCO

Classificação do Impacto do Risco

Nível Descrição Materialidade Pontuação

BB Baixo baixo Menor que 1% 0,5 B Baixo 1,1% a 2% 1,0 MB Médio Baixo 2,1% a 3% 1,5 M Médio 3,1 a 4% 2,0 MA Médio alto 4,1 a 4.9% 2,5 A Alto 5% ou Mais 3,0

Probabilidade

de ocorrer

Histórico de

Ocorrências

Histórico de

perdas

• Automatização do processo • Supervisão

• Experiência do dono do processo • Ultima Auditoria no processo (nota) LAIR Faturamento Margem Bruta Patrimônio Liquido EBITDA Ativo Total

(30)

ASSERTIVAS

1. EXISTÊNCIA

Ativo ou passivo Existe

2. OCORRÊNCIA

Transação realmente ocorreu no período

3. VALORAÇÃO / MENSURAÇÃO

Valor ou montantes estão corretos

4. INTEGRIDADE (TUDO)

Todas transações ou eventos ocorreram no período

5. APRESENTAÇÃO E DIVULGAÇÃO

Item será divulgado na demonstração financeira

5. DIREITO E OBRIGAÇÕES

Ativos refletem os diretos e os passivos refletem as obrigações da entidade

Perigo

Assertivas

Risco SOX

(31)

PASSO A PASSO

5 • Identificação dos controles

6 • Elaboração de questionários

(32)

DEFINIÇÃO DE CONTROLE

Ações estabelecidas por politicas ou procedimentos que ajudam a assegurar a mitigar os riscos.

IDENTIFICAÇÃO

Geralmente nos fluxos os controles estão associados a tomada de decisões

CONTROLES PODEM SER:

• Preventivos ou; Detentivos

5 • IDENTIFICAÇÃO DOS CONTROLES

Sim

Não Decidir?

TIPOS DE ATIVIDADES DE CONTROLE

• Autorização e aprovação • Verificações

• Controles Físicos

• Reconciliação

(33)

PASSO A PASSO

6 • Elaborar questionários

(34)

6 • ELABORAR QUESTIONÁRIOS

Ter um Conjunto de questões apropriadas e bem escritas é essencial para a eficácia do processo de AAC

Perguntas devem:

• ser formuladas de forma positiva

• ser concisas e declaradas em termos simples

• ser livres de termos ou frases ambíguas ou abstratas

Perguntas Não devem:

• não direcionar os participantes para uma resposta em particular • Não devem ser aplicadas em grandes quantidades

• Banco mundial recomenda que em seu processo de AAC não tenha mais que 35 perguntas

(35)

O coaching da CIA. não corresponde ao meu Job!

A empresa fornece treinamento apropriado para que eu realize meu trabalho!

Qual seu nível de concordância com essa afirmação? • Discordo fortemente

• Discordo

• Discordo de alguma forma • Concordo de alguma forma • Concordo

(36)

As perguntas podem ser classificadas em 3 categorias

• Gerais ou núcleo

• Aplicada a todos os participantes • Função de negócio

• Aplicada a uma área especifica

• Unidade de negócio especifico • Aplicadas por região

(37)

EXEMPLO DE QUESTIONÁRIO

• Os membros da diretoria demonstram preocupação com a integridade e valores éticos da Companhia?

• Existem processos para garantir que a contabilidade tome conhecimento de mudanças nas quais há efeitos nas práticas contábeis da empresa?

(38)

PASSO A PASSO

7 • Aplicar questionários e solicitar evidências

8 • Avaliar das respostas 9 • Follow-up

(39)

7 • APLICAR QUESTIONÁRIOS E SOLICITAR EVIDÊNCIAS

1 - A Requisição de Compra foi aprovada conforme alçada

definida na instrução de trabalho?

2 - A especificação dos materiais na requisição de compra está

completa, de forma a permitir uma correta contratação?

Requisição de Compra aprovada conforme alçada definida na

instrução de trabalho ou tela do sistema indicando a aprovação.

Requisição de compra

descrevendo o serviço solicitado e contrato assinado.

(40)

PASSO A PASSO

8 • Avaliar das respostas

(41)

8 • AVALIAR DAS RESPOSTAS

A pessoa responsável pelas análises das respostas dos questionários, deve ter domínio na áreas, sabendo diferenciar o certo e do errado.

Deve ser bloqueado o acesso ao sistema e ou pasta que estiver sendo utilizado para AAC.

Devem ser estabelecidas regras no caso de alguma área ou pessoa não responder ao questionário ou anexar as evidências.

(42)

PASSO A PASSO

8 • Avaliar das respostas

(43)

9 • FOLLOW-UP

ACOMPANHAMENTO

• Do processo de avaliação

• Da implantação das recomendações • Manutenção

EMPRESAS REGULAMENTADAS PARA SOX:

• Auditoria Interna

EMPRESAS NÃO REGULAMENTADAS

Cada empresa define quem será responsável por acompanhar o processo de AAC e garantir a continuidade:

(44)

9 • FOLLOW-UP Materialidade Treinar Mapear Avaliar risco Identificar controle Questionários Aplicar questionários Avaliar respostas Follow-up