ANEFAC Grupo Técnico de Processos e Riscos
Adoção à Abordagem de Auto Avaliação de Controles – (AAC) São Paulo, 09/08/2016
Gemau Halla – gemau.halla@toshiba.com.br gemau.halla@hotmail.com
AGENDA
• DEFINIÇÃO DE AAC
• HISTÓRIA DO AAC – Da criação até de consolidar no mercado • BENEFÍCIOS DA AAC
• POTENCIAIS INCONVENIENTES
• COMPARATIVO AUDITORIA TRADICIONAL X AUTO AVALIAÇÃO • PASSO A PASSO PARA IMPLEMENTAÇÃO
DEFINIÇÃO DE AAC
The IIA
AAC é um processo através do qual a eficácia do controle interno é examinada e avaliada. Este objetivo é prover segurança razoável de que todos os objetivos de negócio serão alcançados.
Outra Definição
AAC é uma técnica onde os empregados são treinados para identificar e avaliar riscos, bem como propor controles para mitiga-los.
HISTÓRIA
Robert
Maxwell
Adrian
Cadbury
Bruce
McCuaig
DEMANDA HISTÓRICA POR AAC
Fonte: Google Trend
BENEFÍCIOS DA AAC
PARA ORGANIZAÇÃO
• Processo de negócios mais eficazes e eficientes
• Melhores controles Internos • Melhor avaliação e gestão de
riscos
PARA AUDITORIA INTERNA
• Maior capacidade para testar controles informais ou soft
• Papel destacado do departamento de Auditoria Interna
• Maior capacidade para focar em áreas de alto risco
• Utilização mais eficaz dos recursos de auditoria
POTENCIAIS INCONVENIENTES
Resistência a utilização da AAC
Falha na continuidade dos resultados e recomendações
Planejamento e treinamentos inadequados Falta de direção ou foco
Custos potenciais
TRADICIONAL X AAC
RESPONSABILIDADES ABORDAGEM TRADICIONAL
ABORDAGEM DE AAC
Definição dos objetivos de negócio Administração Administração
Avaliação de riscos Administração /
Auditores Administração Adequação dos controles internos Administração Administração Avaliação dos riscos e controles Auditores Equipes de
Trabalho
Relatório Auditores Equipes de
Trabalho Validação da avaliação de riscos e
controles Auditores Auditores
PASSO A PASSO
POR ONDE COMEÇAR????
A.S.5 – Auditor deve se basear em seu julgamento para
determinar a materialidade
1 • DEFINIR MATERIALIDADE ET - Erro Tolerável B A SE D E C Á L C U L O LAIR Conservador <4% Recomendado 5% Risco Baixo >6% Faturamento 0,5% - 1% Margem Bruta 1% - 2% Patrimônio Liquido 1% - 5% EBITDA 2% - 5%
Ativo Total Percentual abaixo dos ativos totais (0,25% - 0,5%) Definição de 5% de Materialidade Demonstrações financeiras - R$ 31/12/xx Empresa Unidade de Negócios 1 (a) Unidade de Negócios 2 (b) Unidade de Negócios 3 (c) Unidade de Negócios 4 (d) Consolidado ∑(a+b+c+d) Venda Bruta 3.543.678,43 2.484.377,00 1.564.700,00 351.000,00 7.943.755,43 Participação no Total 45% 31% 20% 4% 100%
Erro tolerável - (ET) 177.183,92 124.218,85 78.235,00 17.550,00 397.187,77
1 • DEFINIR MATERIALIDADE
Materialidade Unidade de Negócios 1 3.543.678,43 177.183,92
Demonstração dos resultados 31/12 Processo correspondente
Recita de vendas 3.543.678,43 Sim Vendas / Faturamento Impostos s/Vendas 637.862,12 Sim Fiscal
Vendas Liquidas 2.905.816,31
Custo de produção 1.240.287,45 Sim Custos
Despesas de vendas 177.183,92 Não Contas a pagar Despesas com pessoal 531.551,76 Sim Folha de pagamento Despesas administrativas 177.183,92 Não Administração
Resultado operacional 779.609,25
Resultado não operacional 531.551,76 Sim Recebíveis
Lucro antes do imposto de renda 248.057,49
Imposto de renda / Contrib. Social 44.650,35 Não
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos 4 • Identificação de riscos
5 • Identificação dos controles 6 • Elaboração de questionários
7 • Aplicar questionários e solicitar evidências 8 • Avaliar das respostas
2 • TREINAMENTO DOS FACILITADORES E EQUIPES
A prática 2120.A1-2 do IIA: Define o AAC como um processo formal,
Documentado, projetado para permitir que a administração e as equipes de trabalho compostas de indivíduos de unidades, funções ou processos de negócio, possam de forma Colaborativa
• Identificar
riscos
e exposições• Avaliar os processos de
controle
que reduzem ou administram esses riscos• Desenvolver planos de ação para reduzir riscos em
níveis aceitáveis
• Determinar aprobabilidade
de alcançar os objetivos de negócio.2 • TREINAMENTO DOS FACILITADORES E EQUIPES
De acordo com o IIA, as organizações frequentemente combinam uma ou mais das três formas primárias de AAC que seguem
1. SESSÕES FACILITADAS DE EQUIPE
• Dinâmicas de grupo • Workshop
2. PESQUISAS
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos
4 • Identificação de riscos
5 • Identificação dos controles 6 • Elaboração de questionários
7 • Aplicar questionários e solicitar evidências 8 • Avaliar das respostas
3 • MAPEAMENTO DOS PROCESSOS
Fluxograma
Narrativa
Segregação de Funções Matriz de riscos e controles
Definir processos Documentar o processo
Realizar testes de validação
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos
4 • Identificação de riscos
5 • Identificação dos controles 6 • Elaboração de questionários
7 • Aplicar questionários e solicitar evidências 8 • Avaliar das respostas
4 • IDENTIFICAÇÃO DE RISCOS
TIPOS DE RISCO
PARA A SOX 404 QUAIS RISCOS SÃO IMPORTANTES?
DEFINIÇÃO DE RISCOPossibilidade de que um evento ocorra e afete adversamente a realização dos objetivos.
Reporte
4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Notas fiscais de fornecedores registradas em duplicidade no contas a receber
Ingresso de pessoas não autorizadas nas dependências da companhia
Atraso no envio da declaração do imposto de renda
4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Notas fiscais de fornecedores registradas em
duplicidade no contas a receber
P
Ingresso de pessoas não autorizadas nasdependências da companhia
Atraso no envio da declaração do imposto de renda
4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Notas fiscais de fornecedores registradas em
duplicidade no contas a receber
P
Ingresso de pessoas não autorizadas nasdependências da companhia
P
Atraso no envio da declaração do imposto de4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Notas fiscais de fornecedores registradas em
duplicidade no contas a receber
P
Ingresso de pessoas não autorizadas nasdependências da companhia
P
Atraso no envio da declaração do imposto de4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Divergência no pagamento de tributos
Divergência na folha de pagamento
Divergência no relatório de Headcount
Registro de contabilização em conta errada
4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Divergência no pagamento de tributos
P
Divergência na folha de pagamentoDivergência no relatório de Headcount
Registro de contabilização em conta errada
4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Divergência no pagamento de tributos
P
Divergência na folha de pagamentoP
Divergência no relatório de HeadcountRegistro de contabilização em conta errada
4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Divergência no pagamento de tributos
P
Divergência na folha de pagamentoP
Divergência no relatório de Headcount
P
Registro de contabilização em conta errada4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Divergência no pagamento de tributos
P
Divergência na folha de pagamentoP
Divergência no relatório de Headcount
P
Registro de contabilização em conta erradaP
4 • IDENTIFICAÇÃO DE RISCOS
EXEMPLO DE RISCOS
Risco potencial
Riscos Reporte
financeiro Operacional Compliance
Divergência no pagamento de tributos
P
Divergência na folha de pagamentoP
Divergência no relatório de Headcount
P
Registro de contabilização em conta erradaP
4 • IDENTIFICAÇÃO DE RISCOS
AVALIAÇÃO DE RISCO
Classificação do Impacto do Risco
Nível Descrição Materialidade Pontuação
BB Baixo baixo Menor que 1% 0,5 B Baixo 1,1% a 2% 1,0 MB Médio Baixo 2,1% a 3% 1,5 M Médio 3,1 a 4% 2,0 MA Médio alto 4,1 a 4.9% 2,5 A Alto 5% ou Mais 3,0
Probabilidade
de ocorrer
Histórico de
Ocorrências
Histórico de
perdas
• Automatização do processo • Supervisão• Experiência do dono do processo • Ultima Auditoria no processo (nota) LAIR Faturamento Margem Bruta Patrimônio Liquido EBITDA Ativo Total
4 • IDENTIFICAÇÃO DE RISCOS
ASSERTIVAS
1. EXISTÊNCIAAtivo ou passivo Existe
2. OCORRÊNCIA
Transação realmente ocorreu no período
3. VALORAÇÃO / MENSURAÇÃO
Valor ou montantes estão corretos
4. INTEGRIDADE (TUDO)
Todas transações ou eventos ocorreram no período
5. APRESENTAÇÃO E DIVULGAÇÃO
Item será divulgado na demonstração financeira
5. DIREITO E OBRIGAÇÕES
Ativos refletem os diretos e os passivos refletem as obrigações da entidade
Perigo
Assertivas
Risco SOX
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos
4 • Identificação de riscos
5 • Identificação dos controles
6 • Elaboração de questionários
7 • Aplicar questionários e solicitar evidências 8 • Avaliar das respostas
DEFINIÇÃO DE CONTROLE
Ações estabelecidas por politicas ou procedimentos que ajudam a assegurar a mitigar os riscos.
IDENTIFICAÇÃO
Geralmente nos fluxos os controles estão associados a tomada de decisões
CONTROLES PODEM SER:
• Preventivos ou; Detentivos
5 • IDENTIFICAÇÃO DOS CONTROLES
Sim
Não Decidir?
TIPOS DE ATIVIDADES DE CONTROLE
• Autorização e aprovação • Verificações
• Controles Físicos
• Reconciliação
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos
4 • Identificação de riscos
5 • Identificação dos controles
6 • Elaborar questionários
7 • Aplicar questionários e solicitar evidências 8 • Avaliar das respostas
6 • ELABORAR QUESTIONÁRIOS
Ter um Conjunto de questões apropriadas e bem escritas é essencial para a eficácia do processo de AAC
Perguntas devem:
• ser formuladas de forma positiva
• ser concisas e declaradas em termos simples
• ser livres de termos ou frases ambíguas ou abstratas
Perguntas Não devem:
• não direcionar os participantes para uma resposta em particular • Não devem ser aplicadas em grandes quantidades
• Banco mundial recomenda que em seu processo de AAC não tenha mais que 35 perguntas
6 • ELABORAR QUESTIONÁRIOS
O coaching da CIA. não corresponde ao meu Job!
A empresa fornece treinamento apropriado para que eu realize meu trabalho!
Qual seu nível de concordância com essa afirmação? • Discordo fortemente
• Discordo
• Discordo de alguma forma • Concordo de alguma forma • Concordo
6 • ELABORAR QUESTIONÁRIOS
As perguntas podem ser classificadas em 3 categorias
• Gerais ou núcleo
• Aplicada a todos os participantes • Função de negócio
• Aplicada a uma área especifica
• Unidade de negócio especifico • Aplicadas por região
6 • ELABORAR QUESTIONÁRIOS
EXEMPLO DE QUESTIONÁRIO
• Os membros da diretoria demonstram preocupação com a integridade e valores éticos da Companhia?
• Existem processos para garantir que a contabilidade tome conhecimento de mudanças nas quais há efeitos nas práticas contábeis da empresa?
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos
4 • Identificação de riscos
5 • Identificação dos controles
6 • Elaboração de questionários
7 • Aplicar questionários e solicitar evidências
8 • Avaliar das respostas 9 • Follow-up
7 • APLICAR QUESTIONÁRIOS E SOLICITAR EVIDÊNCIAS
1 - A Requisição de Compra foi aprovada conforme alçada
definida na instrução de trabalho?
2 - A especificação dos materiais na requisição de compra está
completa, de forma a permitir uma correta contratação?
Requisição de Compra aprovada conforme alçada definida na
instrução de trabalho ou tela do sistema indicando a aprovação.
Requisição de compra
descrevendo o serviço solicitado e contrato assinado.
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos
4 • Identificação de riscos
5 • Identificação dos controles
6 • Elaboração de questionários
7 • Aplicar questionários e solicitar evidências
8 • Avaliar das respostas
8 • AVALIAR DAS RESPOSTAS
A pessoa responsável pelas análises das respostas dos questionários, deve ter domínio na áreas, sabendo diferenciar o certo e do errado.
Deve ser bloqueado o acesso ao sistema e ou pasta que estiver sendo utilizado para AAC.
Devem ser estabelecidas regras no caso de alguma área ou pessoa não responder ao questionário ou anexar as evidências.
PASSO A PASSO
1 • Definir materialidade
2 • Treinamento dos facilitadores e equipes
3 • Mapeamento dos processos
4 • Identificação de riscos
5 • Identificação dos controles
6 • Elaboração de questionários
7 • Aplicar questionários e solicitar evidências
8 • Avaliar das respostas
9 • FOLLOW-UP
ACOMPANHAMENTO
• Do processo de avaliação
• Da implantação das recomendações • Manutenção
EMPRESAS REGULAMENTADAS PARA SOX:
• Auditoria Interna
EMPRESAS NÃO REGULAMENTADAS
Cada empresa define quem será responsável por acompanhar o processo de AAC e garantir a continuidade:
9 • FOLLOW-UP Materialidade Treinar Mapear Avaliar risco Identificar controle Questionários Aplicar questionários Avaliar respostas Follow-up