advogando a funÇÃo da auditoria interna na … · inteligência competitiva pela universidade...

®Brasiliano INTERISK – O valor da Inteligência

Luanda, Angola, 22 de novembro de 2017

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Presidente da Brasiliano INTERISK

ADVOGANDO A FUNÇÃO DA AUDITORIA INTERNA NA PERSPECTIVA DAS 3 LINHAS DE DEFESA: EFICÁCIA NOS RESULTADOS


Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS

Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique ( Ciência e Engenharia da Informação e Inteligência Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializado em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad Pontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha; Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP, Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – Universidad Mackenzie; Certificado em Gestão de Riscos - Certification in Risk Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial– CES pela ABSO. Autor dos livros: Inteligência em Riscos: Gestão Integrada em Riscos Corporativos; Gestão de Risco de Fraudes , Fraud Risk Assessment – FRA, “ Gestão de Continuidade de

Negócios – GCN”; Guia Prático para a Gestão de Continuidade de Negócios, Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro; ” Gestão e Análise de Riscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; ”Análise de Risco Corporativo – Método Brasiliano”; “Manual de Análise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Co-Autor dos Livros: “Dicionário de Crime, Justiça e Sociedade”, lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos" - Noções Anti-Sequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos, Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo – FESP; Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica – ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 25 anos de experiência em Gestão de Riscos, Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão ( convidado pelo Organização PanAmericana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de Redução de Desastres,Yokohama). Experiência internacional em consultoria em GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004 – Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.


14 Dezembro de 2011

Três Linhas de Defesa

Dezembro de 2011 - Adaptação da

Guidance on the 8th EU Company

Law Directive da ECIIA

(Confederação Europeia dos

Institutos de Auditoria Interna) /

/FERMA (Federação Europeia de

Associações de Gerenciamento de

Riscos), artigo 41

Normas imposta pela legislação

europeia aplicáveis às empresas

em toda a União Europeia.


TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR, INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E

INFORMAÇÕES SÃO BRUTAIS


ANTECIPAÇÃO

A GESTÃO DE RISCOS, AUDITORIA, CONTROLES INTERNOS DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE

PODERÁ VIR A ACONTECER, NO FUTURO!


MUDANÇA DA VISÃO DA AUDITORIA INTERNA SAI DO RETROVISOR E VAI PARA A ANTECIPAÇÃO



O conselho de administração é responsável pela

fiscalização da gestão de riscos da empresa e pelo

framework de controle.

O CEO e o CFO possuem a responsabilidade final para o

conselho para a gestão de riscos e o framework de

controle.


A gerência operacional é responsável por manter controles internos eficazes e por conduzir

procedimentos de riscos e controle diariamente.

A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o

desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que

as atividades estejam de acordo com as metas e objetivos. Deve haver controles de gestão e

de supervisão adequados em prática, para garantir a conformidade e para enfatizar colapsos

de controle, processos inadequados e eventos inesperados.

Como primeira linha de defesa, os

gerentes operacionais gerenciam os

riscos e têm propriedade sobre eles.

Eles também são os responsáveis por

implementar as ações corretivas para

resolver deficiências em processos e

controles.

TRÊS LINHAS DE DEFESA


As responsabilidades dessas funções incluem:

1.Apoiar as políticas de gestão, definir papéis e responsabilidades e

estabelecer metas para implementação.

2.Fornecer estruturas de gerenciamento de riscos.

3.Identificar questões atuais e emergentes.

3.Identificar mudanças no apetite ao risco implícito da organização.

4.Auxiliar a gerência a desenvolver processos e controles para

gerenciar riscos e questões.

Como funções de gestão, elas podem

intervir diretamente, de modo a modificar

e desenvolver o controle interno e os

sistemas de riscos.

Portanto, não pode oferecer análises

verdadeiramente independentes aos

órgãos de governança acerca do

gerenciamento de riscos e dos

controles internos.



Função da Segunda Linha

Produtos da Segunda Linha

Produtos da Primeira Linha



Não tem cabimento no século XXI, instituições de porte,

ainda estarem realizando a Gestão de Riscos no Famoso

anacrônico denominado “SAP”.

AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE, TRABALHAREM COM FERRAMENTA DE TI

SAP = Sistema Avançado de Planilha

O que gera inúmeros riscos!

Solução com Ferramenta de TI Com integrações automatizadas


A auditoria interna provê avaliações sobre a eficácia da governança, do

gerenciamento de riscos e dos controles internos, incluindo a forma como a

primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de

riscos e controle

Os auditores internos fornecem ao

órgão de governança e à alta

administração avaliações abrangentes

baseadas no maior nível de

independência e objetividade dentro

da organização.



Padrão 2120 – Gerenciamento de riscos

A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria

do processo de gerenciamento de riscos.

Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é

um julgamento resultante da avaliação do auditor interno de que:

Os objetivos organizacionais apoiam e se alinham com a missão da organização.

São identificados e avaliados riscos significativos.

São selecionadas respostas de riscos apropriadas, com alinhamento do

apetite de riscos.

As informações dos riscos relevantes são capturadas e comunicadas em

tempo hábil em toda a organização, permitindo que o pessoal, a administração

e o conselho executem suas responsabilidades.


®Brasiliano INTERISK – O valor da Inteligência Pg. 9

IPPF - IIA

Consultoria


Avaliação do Processo de GR

O gerenciamento de riscos é um componente crítico do sistema

de controle interno, de forma que os processos deficientes de

gerenciamento de riscos são um indicador de que o sistema de controle

interno da organização pode ser deficiente.

Três formas de processos de avaliação que podem ser utilizados na avaliação de um

processo de gerenciamento de riscos:

• Abordagem dos elementos do processo

• Abordagem dos princípios chave

• Abordagem do modelo de maturidade

IPPF – IIA


Plano de Auditoria Baseada em Riscos - ABR

Primeira Linha de Defesa Segunda Linha de Defesa Terceira Linha de Defesa

Gestores das Áreas Gestão de Riscos Corporativos

Auditoria Interna

Buscar dados: Processo críticos

Riscos, fatores, controles Análise de riscos inerentes e residuais

Fluxo da Auditoria Baseada em Riscos, considerando a aplicação

das Três Linhas de Defesa



3. Identificação dos Processos Críticos

1.

Com

unic

ação e

Consulta

2. Contexto Estratégico

5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves

8.

Monitora

mento

e A

nálise C

rítica

Processo de Avaliação de Riscos

6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos

7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização



1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica







Divulgação dos trabalhos antes, durante e depois!!! Para Quem? Primeira Linha

Segunda Linha

Diretoria Executiva

Conselho de Administração

1. Comunicação e Consulta





1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica








Cadeia de Valor

Planejamento Estratégico

Objetivos Estratégicos

Cenários Prospectivos

Projetos / Iniciativas




1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica






Seleção pelos critérios: Impacto x Tempo Informações obtidas através da Segunda Linha

- Gestão de Riscos

3. BIA - Identificação dos Processo Críticos: Listagem de todos os processos das áreas de negócio da empresa e a seleção da criticidade frente ao negócio.





1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica






BIA - Criticidade dos Processos

4. Avaliação de Riscos Inerente - Críticos: Conforme o resultado da avaliação dos processos críticos, obter as análises dos riscos inerentes críticos, realizadas pela primeira linha e supervisionada pela segunda.



Auditar a PROBABILIDADE do

risco ocorrer e o IMPACTO caso o risco

se concretize

Avaliação dos Riscos Inerentes

4. Avaliação de Riscos Inerente - Críticos: Auditar a avaliação da inerência dos riscos críticos: fragilidades e controles (sem levá-los em consideração nas avaliações).




4. Avaliação de Riscos Inerente - Críticos

Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas – Fraude

Estudo de Caso


Parecer do Auditor


4. Avaliação de Riscos Inerente - Críticos

Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas – Fraude

Estudo de Caso


6. Plano de Auditoria Baseada em Riscos - ABR


1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica






Walkthrough: Avaliação dos

controles efetuada pela primeira linha (Eficaz ou Ineficaz)

Avaliação dos Riscos Residuais Avaliação dos Riscos Inerentes

5. Avaliação de Riscos Residuais - Críticos, Médios e Baixos: Auditar a avaliação dos riscos residuais considerando a eficácia dos controles, por parte da primeira linha, com o aval da segunda linha.




5. Avaliação de Riscos Residuais - Críticos, Médios e Baixos

Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas - Fraude

Estudo de Caso




1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica






6. Testes de Controles: Criar um painel com as informações obtidas nas etapas anteriores: BIA, Riscos inerentes Críticos, Controles Chaves e Riscos Residuais.


Risco inerente crítico x risco residual crítico = verificar porque o plano de ação não

foi implantado! Elaborar um parecer

escrito sobre os resultados dos testes realizados nos controles!

1

Risco inerente crítico x risco residual médio e baixo = testar os controles chaves existentes e os a

serem implantados. Elaborar um parecer escrito sobre o reporte da primeira e segunda linha sobre

os planos de ação não implantados!

2


REAVALIAÇÃO DOS RISCOS COM BASE NOS

RESULTADOS DOS CONTROLES (TERCEIRA

LINHA)

Avaliação dos Riscos Residuais Após Teste dos Controles

Avaliação dos Riscos Residuais

6. Testes de Controles: Se for o caso, efetuar a reavaliação dos riscos com base nos testes dos controles (terceira linha), apresentando em uma nova matriz, o cenário real dos riscos após o parecer sobre a eficácia dos controles.




6. Testes de Controle


Estudo de Caso

Realização dos controles pelo

Auditor. Justificativa no próximo slide

Revisão: Refere-se a revisão do risco pelo Auditor na

matriz, frente a avaliação

dos controles.


Estudo de Caso


6. Testes de Controle


Gestor

Auditor




1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica






7. Respostas aos Riscos: Elaborar sugestões para:


Controles avaliados como ineficazes durante os testes de controles.

Plano para implantação de novos controles sugeridos.

Controles que ainda não foram implantados.




1.

Com

unic

ação e

Consulta



8.

Monitora

mento

e A

nálise C

rítica






8. Monitoramento e Análise Crítica: Realizar o monitoramento e a análise dos processos críticos, riscos inerentes críticos, riscos residuais críticos, médios e baixos, implantação de controles chaves, projetos críticos, alinhamento da Política de Gestão de Riscos e do Processo de Gestão de Riscos.


Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco

Residual dentro do Apetite ao Risco


Resultado:

1. Valida o Processo de GRC

2. Testa a eficácia dos controles chaves

3. Sugere plano de ação para

o Gestor, tendo em vista a ineficácia do controle

4. Comunica e relaciona com os Comitês, Conselho e Diretoria

5. Assessora as Gerências da

primeira e segunda linha

Cic

lo A

nu

al

PRODUTOS:

Processos Críticos

Especiais

Contínuas



Conclusão REFLEXÃO


Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS

Presidente Brasiliano INTERISK

email: [email protected]

Telefone: 11 983507758

11 55316171

advogando a funÇÃo da auditoria interna na … · inteligência competitiva pela universidade...

Documents