projeto de auditoria baseada em riscos (abr) · pdf filedo paint, na definição...

de 18

PROJETO DE

AUDITORIA BASEADA

EM RISCOS (ABR)

de 18

1. INTRODUÇÃO

O conceito de risco está diretamente relacionado aos objetivos da

instituição, pois são os possíveis eventos negativos que podem ocorrer durante o

percurso traçado e impactar, direta ou indiretamente, no alcance dos objetivos

delineados. A análise de risco inerente traz consigo grande complexidade pelos

fatores subjetivos envolvidos, tais como o julgamento de quem o avalia, a

influência do momento econômico, a incerteza do que pode nos trazer o futuro.

O processo de avaliação de riscos compreende a identificação das áreas

que devem ser auditadas e a vulnerabilidade pertinente a cada uma delas.

Mesmo considerando a impossibilidade de uma percepção completa do risco, a

estimativa dele é considerada importante subsídio ao planejamento e

direcionamento dos trabalhos de auditoria interna. Segundo a Codification of

Standards for The Professional Practice of Internal Auditing (Codificação de

Normas para a Prática da Função de Auditoria Interna), a elaboração de um

programa de auditoria eficaz deve se basear na utilização de um processo de

avaliação de riscos.

Nesse sentido, os auditores internos possuem a vantagem adicional de

conhecer as atividades desenvolvidas pela instituição, bem como dispõem de

acesso a informações gerais, diagnósticos de trabalhos anteriores, documentação

etc., detendo conhecimento de elementos essenciais para balizar duas

importantes decisões:

1ª - estabelecer a que processos se direcionarão os esforços e os recursos

de auditoria (planejamento);

2ª - determinar que aspectos devem ser avaliados (planejamento

detalhado) em cada auditoria programada.

de 18

2. JUSTIFICATIVA

Diante da necessidade de fortalecer o sistema de controle da

Administração Pública Federal (APF), o estímulo à implementação de uma gestão

de riscos e à utilização dos controles internos têm sido abordagem recorrente dos

órgãos de controle, a exemplo da Controladoria Geral da União (CGU) e do

Tribunal de Contas da União (TCU).

Atualmente, com integração e disponibilidade de informações, as

instituições ficaram mais expostas aos riscos do ambiente no qual estão inseridas,

por isso basear as ações de auditoria conforme os riscos institucionais demonstra

ser uma prática cada vez mais salutar, proporcionando uma melhor relação custo-

benefício na aplicação dos recursos disponíveis às auditorias internas. Assim, a

Auditoria Baseada em Riscos (ABR) atua como um mecanismo de avaliação dos

riscos, cujo resultado esperado é a racionalização do planejamento de auditoria.

Necessário se faz, porém, diferenciar a Gestão de Riscos (GR) da Auditoria

Baseada em Riscos (ABR). A Gestão de Riscos é uma política de nível

institucional a qual, quando implementada, possibilita que todas as atividades e

ações da instituição sejam planejadas, calculadas, executadas e monitoradas de

acordo com a mensuração dos riscos a elas inerentes. Por sua vez, a ABR pode

ser realizada de acordo com o nível de maturidade da instituição no que se refere

à mensuração de riscos.

A atuação da Auditoria Interna (Audin) da Universidade Federal do ABC

(UFABC) está estritamente ligada a essa diferenciação: se a Universidade tivesse

uma Gestão de Riscos implementada, formalizada, institucionalizada, com a

devida cultura de riscos disseminada, a Audin poderia avaliar tal política e se os

controles para sua efetivação são adequados. Contudo, no caso em que ainda

não há uma GR implementada, como na UFABC, a ABR consiste em avaliar o

grau de riscos das áreas, objetivando a priorização dos processos a serem

auditados.

de 18

3. OBJETIVO

Assim que mensurados os riscos das unidades administrativas, será

construída uma Matriz de Riscos (MR) com a classificação das áreas segundo

sua vulnerabilidade, instrumento que subsidiará a elaboração do Plano Anual de

Auditoria Interna (PAINT), no qual será apresentada a relação de áreas e

processos contemplados com os exames de auditoria no exercício subsequente.

A avaliação de riscos permitirá também ao auditor, no momento do

planejamento específico de cada ação do PAINT, delinear um programa de

auditoria capaz de identificar os pontos de controles e de avaliar sua eficiência e

eficácia.

Elaborado por: Audin.

de 18

4. PESSOAL ENVOLVIDO

A equipe responsável por este projeto é composta pelos seguintes

integrantes, sob a coordenação do primeiro:

Adriana Maria Couto – Chefe da Auditoria Interna

Leandro Gomes Amaral - Economista

Patrícia Alves Moreira – Administradora

Rodrigo Panzica – Técnico em Contabilidade

Entretanto, no decorrer de sua execução, todos os membros da equipe da

Auditoria Interna serão consultados para responder o questionário constante do

item 8.b deste documento.

5. AVALIAÇÃO DE RISCO

Um pré-requisito para a gestão de riscos é o estabelecimento de objetivos,

uma vez que aquela pressupõe a identificação, análise e tratamento de condições

relevantes que podem interferir no alcance dos objetivos pretendidos.

A partir da ABR, se disseminada uma Política de Riscos na UFABC e,

posteriormente, implementada uma GR, a Universidade se conscientizará dos

riscos a serem geridos, sendo possível trata-los adequadamente, de maneira a

reposicionar a instituição nos trilhos de seus objetivos. O processo de

identificação e análise do risco, porém, é contínuo e componente vital de um

sistema de controle interno eficaz, envolvendo competências muito além das

exercidas pela Audin.

Não obstante, por ora o enfoque está na classificação das áreas da

instituição mais sensíveis a riscos, no intuito de consignar no PAINT ações para o

fortalecimento dos controles internos envolvidos nos processos chaves e críticos

da instituição. Mesmo que não contemplado por uma política, um bom ambiente e

de 18

procedimentos de controle contribuem para a gestão dos riscos organizacionais,

em face dos objetivos a serem alcançados.

6. RESULTADOS ESPERADOS

Espera-se da ABR que, por meio da tabulação dos números obtidos das

avaliações de riscos, seja estimado um parâmetro sobre o grau de risco relativo

de determinada unidade administrativa. A hierarquização desses riscos, porém,

não pretende ser uma última posição para fins de planejamento, mas sim nortear

a ação do auditor, constituindo-se em uma das fontes de informação que deverá

ser por ele utilizada.

Conforme mencionado em seção anterior, o procedimento realizado pela

Audin resultará em uma matriz que se propõe a:

Subsidiar o planejamento dos trabalhos de auditoria, quando da elaboração

do PAINT, na definição do escopo da análise e no direcionamento geral

dos trabalhos;

Contribuir para a análise da gestão;

Prover informações gerenciais;

Subsidiar a tomada de decisões; e

Promover um melhor conhecimento sobre o sistema de controle interno da

UFABC.

de 18

7. METODOLOGIA

A metodologia a ser aplicada para a percepção do risco inerente às áreas

considera a necessidade de aperfeiçoamento contínuo dos critérios utilizados,

procura reduzir o viés que envolve julgamentos individuais e melhora a

compreensão relativa da vulnerabilidade correspondente a cada unidade

analisada, propiciando oportunidade de melhoria nos controles internos e a

tomada de decisão dos gestores quanto a aceitar, modificar, evitar ou transferir o

risco identificado.

7.1. Modelo de Avaliação de Risco

Os riscos devem ser avaliados da seguinte forma:

identificação das unidades administrativas da UFABC passíveis de

auditoria;

avaliação do risco correspondente a cada área, segundo as visões do

gestor e do auditor;

estabelecimento de classificação em função do grau de risco;

identificação de processos chaves e críticos geridos pelas unidades

administrativas;

elaboração do plano anual de auditoria baseado na avaliação de riscos.

Dessa forma, a avaliação de risco será obtida mediante dados

provenientes dos gestores das áreas, nos níveis estratégico, tático e operacional,

e da percepção dos auditores, informações cuja finalidade é respaldar a tomada

de decisões referente ao escopo dos trabalhos de auditoria no exercício

subsequente.

de 18

7.2. Fatores de risco considerados

Existem diversas formas de classificar os riscos inerentes aos processos

organizacionais da instituição. Os fatores de risco utilizados neste projeto foram

baseados em questionário formulado pelo Tribunal de Contas da União (TCU),

convencionados de maneira a proporcionar amplitude e generalidade. Desse

modo, o padrão de questões adotado permite sua aplicação junto aos gestores, a

fim de que se conheça a magnitude do grau de risco relativo a cada área da

UFABC segundo a ótica da própria gestão.

Por sua vez, cada um dos cinco fatores de risco (ambiente de controle,

avaliação de risco, procedimentos de controle, informação e comunicação e

monitoramento) se subdivide em afirmações a serem analisadas, às quais serão

atribuídos pesos iguais na avaliação.

8. AVALIAÇÃO DO GRAU DE RISCO

8.1. Avaliação do grau de risco pelo gestor

A avaliação do risco pelo gestor ocorrerá por meio da aplicação do modelo

descrito a seguir. Cumpre ressaltar que serão analisadas as unidades

administrativas em nível tático (coordenações, divisões acadêmicas e

administrativas dos centros e pró-reitorias ligadas à atividade finalística), devido a

dificuldades associadas à subdivisão em unidades menores (divisões e seções).

Entretanto, a pontuação será atribuída por três avaliadores, quais sejam:

gestor nível estratégico ao qual a unidade avaliada está subordinada;

gestor nível tático responsável pela unidade administrativa avaliada;

um gestor nível operacional responsável por seção ou divisão subordinada

à unidade avaliada.

de 18

FATORES A SEREM AVALIADOS AVALIAÇÕES

AMBIENTE DE CONTROLE GESTOR NÍVEL ESTRATÉGICO

GESTOR NÍVEL TÁTICO

GESTOR NÍVEL OPERACIONAL

1. Os mecanismos gerais de controle instituídos pela área são percebidos por todos os servidores e funcionários nos diversos níveis da estrutura da área.

2.Os procedimentos e as instruções operacionais são padronizados e estão formalizados.

3. Há mecanismos que garantem ou incentivam a participação dos servidores dos diversos níveis da estrutura da área na elaboração dos procedimentos das instruções operacionais.

4. As delegações de autoridade e competência são acompanhadas de definições claras das responsabilidades.

5. Existe adequada segregação de funções nos processos e atividades de competência da área.

6. Os controles internos adotados contribuem para a consecução dos resultados planejados pela área.

SUBTOTAL POR FATOR DE RISCO

AVALIAÇÃO DE RISCO GESTOR NÍVEL ESTRATÉGICO



7. Os objetivos e metas da área estão formalizados.

8. Há clara identificação dos processos críticos para a consecução dos objetivos e metas da área.

9. É prática da área o diagnóstico dos riscos (de origem interna ou externa) envolvidos nos seus processos estratégicos, bem como a identificação da probabilidade de ocorrência desses riscos e a consequente adoção de medidas para mitigá-los.

10. Os riscos identificados são mensurados e classificados de modo a serem tratados em uma escala de prioridades e a gerar informações úteis à tomada de decisão.


PROCEDIMENTOS DE CONTROLE GESTOR NÍVEL ESTRATÉGICO



11. Existem políticas e ações, de natureza preventiva ou de detecção, para diminuir os riscos e alcançar os objetivos da área, claramente estabelecidas.

12. As atividades de controle adotadas pela área são apropriadas, funcionam consistentemente e possuem custo apropriado ao nível de benefícios que possam resultar de sua aplicação.

de 18


INFORMAÇÃO E COMUNICAÇÃO GESTOR NÍVEL ESTRATÉGICO



13. A informação relevante para área é devidamente identificada, documentada, armazenada e comunicada tempestivamente aos interessados.

14. As informações consideradas relevantes pela área são de qualidade suficiente para permitir ao pessoal da área tomar as decisões apropriadas.

15. A comunicação das informações perpassa todos os níveis hierárquicos da área, em todas as direções, por todos os seus componentes e por toda a sua estrutura.


MONITORAMENTO GESTOR NÍVEL ESTRATÉGICO



16. O sistema de controles internos da área é constantemente monitorado para avaliar sua validade e qualidade ao longo do tempo.

17. O sistema de controles internos da área tem sido considerado adequado e efetivo pelas avaliações realizadas.

18. O sistema de controles internos da área tem contribuído para a melhoria de seu desempenho.


PONTUAÇÃO TOTAL

Valores da avaliação (adaptação da escala de Likert sem o elemento central):

(0) Concordo totalmente

(1) Concordo parcialmente

(2) Não concordo, mas parcialmente

(3) Não concordo, totalmente

Concordo totalmente: significa que o fundamento descrito na afirmativa é

integralmente aplicado ou válido no contexto da área avaliada;

Concordo parcialmente: significa que o fundamento descrito na afirmativa é

parcialmente aplicado ou válido no contexto da área avaliada, porém, em

sua maioria;

de 18

Não concordo, mas parcialmente: significa que o fundamento descrito na

afirmativa é parcialmente aplicado ou válido no contexto da área avaliada,

porém, em sua minoria; e

Não concordo, totalmente: significa que o fundamento descrito na

afirmativa é integralmente não aplicado no contexto da área avaliada.

A pontuação para os itens contemplados em cada fator de risco poderá

variar no intervalo de 0 (zero) a 3 (três), considerando as graduações da escala

de Likert sem o elemento central. Assim, os pontos deverão ser atribuídos de

acordo com a percepção do avaliador quanto à resposta apropriada para cada

afirmação.

A consolidação dos dados para analise de risco será realizada em planilhas

a serem desenvolvidas pela Auditoria Interna, atentando para os critérios

evidenciados no Item 9 deste projeto – Matriz de Riscos.

8.2. Avaliação do grau de risco pela Auditoria Interna

O segundo componente do processo de avaliação das áreas é a percepção

do auditor, a qual consiste no estabelecimento de 7 (sete) questões pertinentes à

atuação da Audin, que serão analisadas conforme critérios de pontuação pré-

definidos, podendo o somatório variar de 0 (zero) até 100 (cem). Com fundamento

na Seção II do Capítulo VI do Manual do Sistema de Controle Interno do Poder

Executivo Federal, as variáveis básicas utilizadas para a planificação dos

trabalhos de auditoria são: materialidade, relevância e criticidade.

Materialidade: leva em consideração o montante dos recursos orçamentos

e financeiros envolvidos;

Relevância: importância relativa ou papel desempenhado por determinada

questão, situação ou unidade; e

Criticidade: refere-se aos elementos de vulnerabilidade ou riscos

potenciais.

de 18

Questões:

1) A área executa processos críticos (volume financeiro) ou chaves

(relacionados com atividades finalísticas da instituição)?

(0) Não

(10) Sim

2) Quando foi a última vez que a área foi auditada?

(0) Nos últimos 6 (seis) meses

(5) No intervalo de 6 (seis) a 12 (doze) meses

(10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses

(15) Há mais de 2 (dois) anos

(20) Nunca

3) Qual o montante em recursos orçamentários movimentado pela área?

(0) De R$ 0,00 a R$ 100.000,00

(5) De R$ 100.000,01 a R$ 1.000.000,00

(10) De R$ 1.000.000,01 a R$ 10.000.000,00

(15) De R$ 10.000.000,01 a R$ 50.000.000,00

(20) Acima de R$ 50.000.000,00

4) Com base nos conhecimentos/experiência dos auditores, como são

avaliados os controles internos da área?

(0) Ótimos

(5) Bons

de 18

(10) Razoáveis

(15) Frágeis

(20) Muito frágeis

5) Com base nos conhecimentos/experiência dos auditores, as

informações disponibilizadas pela área, nos mais variados meios, são

dotadas de qualidade e propiciam uma comunicação adequada com

interessados?

(0) Frequentemente

(5) Algumas vezes

(10) Raramente

6) Qual a probabilidade e o impacto de riscos à imagem da UFABC nos

processos executados pela área?

(0) Baixa probabilidade e baixo impacto

(5) Alta probabilidade e baixo impacto

(10) Baixa probabilidade e alto impacto

(15) Alta probabilidade e alto impacto

7) A área costuma acatar/implementar recomendações feitas pela

Auditoria Interna e pelos órgãos de controle (CGU e TCU)?

(0) Não houve recomendação

(1) Sempre acata

(2) Frequentemente acata

(3) Algumas vezes acata

de 18

(4) Raramente acata

(5) Nunca acata

9. MATRIZ DE RISCO

A Matriz de Risco contém a pontuação correspondente ao grau de risco

das unidades administrativas avaliadas, apresentada de forma ordenada de

acordo com os percentuais apurados. O modelo proposto prevê a consolidação

das avaliações realizadas pelos gestores de cada área da UFABC e pela

Auditoria Interna.

Os valores atribuídos pelo gestor em nível estratégico serão convertidos

em porcentagem do referencial máximo de pontuação, no caso, o grau 3 (três)

multiplicado por 18 (dezoito), ou seja, pela quantidade de afirmativas. Deve-se

proceder do mesmo modo no que diz respeito às avaliações dos gestores tático e

operacional, com a finalidade de se obter as respectivas percentagens.

Após conversão dos três resultados a termos percentuais, calcula-se a

média aritmética simples das avaliações dos gestores pela seguinte fórmula:

Grau de risco Gestor = Média aritmética = (% A1 + % A2 + % A3) / 3 (1)

Sendo:

% A1 - percentual calculado a partir da avaliação do gestor estratégico;

% A2 – percentual calculado a partir da avaliação do gestor tático; e

% A3 – percentual calculado a partir da avaliação do gestor operacional.

Por sua vez, o procedimento de avaliação pela equipe da Auditoria Interna

ocorrerá com base nas questões expostas na seção 8.2, sendo que o somatório

de 18

alcançado deverá ser dividido por 100 (cem), que representa o total de pontos

possíveis.

Grau de risco Audin (%) = % A4 = (somatório dos pontos do item 8.2.) / 100 (2)

Uma vez concluídas as etapas (1) e (2), temos os elementos para o cálculo

da média aritmética ponderada final:

Média final = (Grau de risco Gestor (%) * 4 + Grau de risco Audin (%) * 6) / 10 (3)

Ressalte-se que os pesos das avaliações foram atribuídos de acordo com

as seguintes premissas:

Avaliação do gestor - obtida por entrevista conduzida pela Audin,

pressupondo-se que ele não dispõe do embasamento teórico necessário

para a atribuição de pontos sem auxílio. Portanto, vale peso 4, por

vivenciar a rotina da atividade e considerar outros aspectos de um mesmo

fato, embora não seja um especialista em controles internos; e

Avaliação do auditor - vale peso 6, por ser um especialista em controle

interno e por deter visão holística da instituição.

Dessa forma, a média aritmética ponderada possibilitará ordenar as áreas

segundo o grau de risco, pois quanto maior for o percentual calculado, mais

vulnerável será determinada unidade administrativa, exigindo, portanto, maior

atenção aos processos sob a sua responsabilidade. Além disso, a matriz

demonstrará se o grau de risco das áreas é baixo ou desprezível, médio, alto ou

altíssimo (crítico).

de 18

É pertinente salientar que, na teoria, a análise de determinado risco

considera o impacto e a probabilidade associados ao evento específico, nos

moldes dos eixos x e y de um plano cartesiano. Todavia, em razão de a

metodologia ora proposta tratar da avaliação de fatores tais como ambiente,

controles internos, informação, comunicação, optou-se pela utilização das

gradações da escala de Likert, cujo aspecto também é mais simples e didático no

julgamento das questões.

Sendo assim, não se pretende posicionar o valor resultante da média

ponderada das avaliações do gestor e do auditor nas coordenadas do plano

cartesiano (probabilidade x impacto), mas sim classificar as áreas do maior para o

menor grau de risco, bem como adotar os intervalos e cores descritos no gráfico a

seguir.

Portanto, deverão ser priorizadas as áreas que apresentarem o maior grau

de risco, de modo a proporcionar um melhor embasamento à definição das ações

constantes do PAINT 2015.

de 18

10. CARGA HORÁRIA

Período: de 18 de agosto a 17 de outubro.

Quantidade de dias úteis: 45

Número de auditores: 4

Quantidade de horas diárias (média): 2

de 18

11. CONSIDERAÇÕES FINAIS

O Projeto de Auditoria Baseada em Riscos iniciado pela Audin é uma etapa

preliminar do mapeamento de riscos na UFABC, a qual tem a importante função

de auxiliar o planejamento das ações de auditoria e, simultaneamente, iniciar um

processo de disseminação da cultura de riscos na UFABC.

Argumenta-se que gestores cientes dos riscos de suas unidades poderão

direcionar melhor os recursos aos controles internos de suas áreas,

proporcionando tratamento mais adequado às possíveis dificuldades a serem

enfrentadas no decorrer do planejamento traçado. Dessa forma, a compreensão

dos riscos relacionados a cada atividade e a melhoria contínua nos controles

internos resultará em um melhor funcionamento de todos os setores da

Universidade, influenciando todo o processo de implantação de políticas de

gestão na UFABC.

Santo André, 05 de setembro de 2014.

À apreciação superior,

Leandro Gomes Amaral Rodrigo Panzica Economista Técnico em Contabilidade De acordo.

Adriana Maria Couto Chefe da Auditoria Interna

projeto de auditoria baseada em riscos (abr) · pdf filedo paint, na definição...

Documents