projeto de auditoria baseada em riscos (abr) · pdf filedo paint, na definição...
TRANSCRIPT
Página 1 de 18
1. INTRODUÇÃO
O conceito de risco está diretamente relacionado aos objetivos da
instituição, pois são os possíveis eventos negativos que podem ocorrer durante o
percurso traçado e impactar, direta ou indiretamente, no alcance dos objetivos
delineados. A análise de risco inerente traz consigo grande complexidade pelos
fatores subjetivos envolvidos, tais como o julgamento de quem o avalia, a
influência do momento econômico, a incerteza do que pode nos trazer o futuro.
O processo de avaliação de riscos compreende a identificação das áreas
que devem ser auditadas e a vulnerabilidade pertinente a cada uma delas.
Mesmo considerando a impossibilidade de uma percepção completa do risco, a
estimativa dele é considerada importante subsídio ao planejamento e
direcionamento dos trabalhos de auditoria interna. Segundo a Codification of
Standards for The Professional Practice of Internal Auditing (Codificação de
Normas para a Prática da Função de Auditoria Interna), a elaboração de um
programa de auditoria eficaz deve se basear na utilização de um processo de
avaliação de riscos.
Nesse sentido, os auditores internos possuem a vantagem adicional de
conhecer as atividades desenvolvidas pela instituição, bem como dispõem de
acesso a informações gerais, diagnósticos de trabalhos anteriores, documentação
etc., detendo conhecimento de elementos essenciais para balizar duas
importantes decisões:
1ª - estabelecer a que processos se direcionarão os esforços e os recursos
de auditoria (planejamento);
2ª - determinar que aspectos devem ser avaliados (planejamento
detalhado) em cada auditoria programada.
Página 2 de 18
2. JUSTIFICATIVA
Diante da necessidade de fortalecer o sistema de controle da
Administração Pública Federal (APF), o estímulo à implementação de uma gestão
de riscos e à utilização dos controles internos têm sido abordagem recorrente dos
órgãos de controle, a exemplo da Controladoria Geral da União (CGU) e do
Tribunal de Contas da União (TCU).
Atualmente, com integração e disponibilidade de informações, as
instituições ficaram mais expostas aos riscos do ambiente no qual estão inseridas,
por isso basear as ações de auditoria conforme os riscos institucionais demonstra
ser uma prática cada vez mais salutar, proporcionando uma melhor relação custo-
benefício na aplicação dos recursos disponíveis às auditorias internas. Assim, a
Auditoria Baseada em Riscos (ABR) atua como um mecanismo de avaliação dos
riscos, cujo resultado esperado é a racionalização do planejamento de auditoria.
Necessário se faz, porém, diferenciar a Gestão de Riscos (GR) da Auditoria
Baseada em Riscos (ABR). A Gestão de Riscos é uma política de nível
institucional a qual, quando implementada, possibilita que todas as atividades e
ações da instituição sejam planejadas, calculadas, executadas e monitoradas de
acordo com a mensuração dos riscos a elas inerentes. Por sua vez, a ABR pode
ser realizada de acordo com o nível de maturidade da instituição no que se refere
à mensuração de riscos.
A atuação da Auditoria Interna (Audin) da Universidade Federal do ABC
(UFABC) está estritamente ligada a essa diferenciação: se a Universidade tivesse
uma Gestão de Riscos implementada, formalizada, institucionalizada, com a
devida cultura de riscos disseminada, a Audin poderia avaliar tal política e se os
controles para sua efetivação são adequados. Contudo, no caso em que ainda
não há uma GR implementada, como na UFABC, a ABR consiste em avaliar o
grau de riscos das áreas, objetivando a priorização dos processos a serem
auditados.
Página 3 de 18
3. OBJETIVO
Assim que mensurados os riscos das unidades administrativas, será
construída uma Matriz de Riscos (MR) com a classificação das áreas segundo
sua vulnerabilidade, instrumento que subsidiará a elaboração do Plano Anual de
Auditoria Interna (PAINT), no qual será apresentada a relação de áreas e
processos contemplados com os exames de auditoria no exercício subsequente.
A avaliação de riscos permitirá também ao auditor, no momento do
planejamento específico de cada ação do PAINT, delinear um programa de
auditoria capaz de identificar os pontos de controles e de avaliar sua eficiência e
eficácia.
Elaborado por: Audin.
Página 4 de 18
4. PESSOAL ENVOLVIDO
A equipe responsável por este projeto é composta pelos seguintes
integrantes, sob a coordenação do primeiro:
Adriana Maria Couto – Chefe da Auditoria Interna
Leandro Gomes Amaral - Economista
Patrícia Alves Moreira – Administradora
Rodrigo Panzica – Técnico em Contabilidade
Entretanto, no decorrer de sua execução, todos os membros da equipe da
Auditoria Interna serão consultados para responder o questionário constante do
item 8.b deste documento.
5. AVALIAÇÃO DE RISCO
Um pré-requisito para a gestão de riscos é o estabelecimento de objetivos,
uma vez que aquela pressupõe a identificação, análise e tratamento de condições
relevantes que podem interferir no alcance dos objetivos pretendidos.
A partir da ABR, se disseminada uma Política de Riscos na UFABC e,
posteriormente, implementada uma GR, a Universidade se conscientizará dos
riscos a serem geridos, sendo possível trata-los adequadamente, de maneira a
reposicionar a instituição nos trilhos de seus objetivos. O processo de
identificação e análise do risco, porém, é contínuo e componente vital de um
sistema de controle interno eficaz, envolvendo competências muito além das
exercidas pela Audin.
Não obstante, por ora o enfoque está na classificação das áreas da
instituição mais sensíveis a riscos, no intuito de consignar no PAINT ações para o
fortalecimento dos controles internos envolvidos nos processos chaves e críticos
da instituição. Mesmo que não contemplado por uma política, um bom ambiente e
Página 5 de 18
procedimentos de controle contribuem para a gestão dos riscos organizacionais,
em face dos objetivos a serem alcançados.
6. RESULTADOS ESPERADOS
Espera-se da ABR que, por meio da tabulação dos números obtidos das
avaliações de riscos, seja estimado um parâmetro sobre o grau de risco relativo
de determinada unidade administrativa. A hierarquização desses riscos, porém,
não pretende ser uma última posição para fins de planejamento, mas sim nortear
a ação do auditor, constituindo-se em uma das fontes de informação que deverá
ser por ele utilizada.
Conforme mencionado em seção anterior, o procedimento realizado pela
Audin resultará em uma matriz que se propõe a:
Subsidiar o planejamento dos trabalhos de auditoria, quando da elaboração
do PAINT, na definição do escopo da análise e no direcionamento geral
dos trabalhos;
Contribuir para a análise da gestão;
Prover informações gerenciais;
Subsidiar a tomada de decisões; e
Promover um melhor conhecimento sobre o sistema de controle interno da
UFABC.
Página 6 de 18
7. METODOLOGIA
A metodologia a ser aplicada para a percepção do risco inerente às áreas
considera a necessidade de aperfeiçoamento contínuo dos critérios utilizados,
procura reduzir o viés que envolve julgamentos individuais e melhora a
compreensão relativa da vulnerabilidade correspondente a cada unidade
analisada, propiciando oportunidade de melhoria nos controles internos e a
tomada de decisão dos gestores quanto a aceitar, modificar, evitar ou transferir o
risco identificado.
7.1. Modelo de Avaliação de Risco
Os riscos devem ser avaliados da seguinte forma:
identificação das unidades administrativas da UFABC passíveis de
auditoria;
avaliação do risco correspondente a cada área, segundo as visões do
gestor e do auditor;
estabelecimento de classificação em função do grau de risco;
identificação de processos chaves e críticos geridos pelas unidades
administrativas;
elaboração do plano anual de auditoria baseado na avaliação de riscos.
Dessa forma, a avaliação de risco será obtida mediante dados
provenientes dos gestores das áreas, nos níveis estratégico, tático e operacional,
e da percepção dos auditores, informações cuja finalidade é respaldar a tomada
de decisões referente ao escopo dos trabalhos de auditoria no exercício
subsequente.
Página 7 de 18
7.2. Fatores de risco considerados
Existem diversas formas de classificar os riscos inerentes aos processos
organizacionais da instituição. Os fatores de risco utilizados neste projeto foram
baseados em questionário formulado pelo Tribunal de Contas da União (TCU),
convencionados de maneira a proporcionar amplitude e generalidade. Desse
modo, o padrão de questões adotado permite sua aplicação junto aos gestores, a
fim de que se conheça a magnitude do grau de risco relativo a cada área da
UFABC segundo a ótica da própria gestão.
Por sua vez, cada um dos cinco fatores de risco (ambiente de controle,
avaliação de risco, procedimentos de controle, informação e comunicação e
monitoramento) se subdivide em afirmações a serem analisadas, às quais serão
atribuídos pesos iguais na avaliação.
8. AVALIAÇÃO DO GRAU DE RISCO
8.1. Avaliação do grau de risco pelo gestor
A avaliação do risco pelo gestor ocorrerá por meio da aplicação do modelo
descrito a seguir. Cumpre ressaltar que serão analisadas as unidades
administrativas em nível tático (coordenações, divisões acadêmicas e
administrativas dos centros e pró-reitorias ligadas à atividade finalística), devido a
dificuldades associadas à subdivisão em unidades menores (divisões e seções).
Entretanto, a pontuação será atribuída por três avaliadores, quais sejam:
gestor nível estratégico ao qual a unidade avaliada está subordinada;
gestor nível tático responsável pela unidade administrativa avaliada;
um gestor nível operacional responsável por seção ou divisão subordinada
à unidade avaliada.
Página 8 de 18
FATORES A SEREM AVALIADOS AVALIAÇÕES
AMBIENTE DE CONTROLE GESTOR NÍVEL ESTRATÉGICO
GESTOR NÍVEL TÁTICO
GESTOR NÍVEL OPERACIONAL
1. Os mecanismos gerais de controle instituídos pela área são percebidos por todos os servidores e funcionários nos diversos níveis da estrutura da área.
2.Os procedimentos e as instruções operacionais são padronizados e estão formalizados.
3. Há mecanismos que garantem ou incentivam a participação dos servidores dos diversos níveis da estrutura da área na elaboração dos procedimentos das instruções operacionais.
4. As delegações de autoridade e competência são acompanhadas de definições claras das responsabilidades.
5. Existe adequada segregação de funções nos processos e atividades de competência da área.
6. Os controles internos adotados contribuem para a consecução dos resultados planejados pela área.
SUBTOTAL POR FATOR DE RISCO
AVALIAÇÃO DE RISCO GESTOR NÍVEL ESTRATÉGICO
GESTOR NÍVEL TÁTICO
GESTOR NÍVEL OPERACIONAL
7. Os objetivos e metas da área estão formalizados.
8. Há clara identificação dos processos críticos para a consecução dos objetivos e metas da área.
9. É prática da área o diagnóstico dos riscos (de origem interna ou externa) envolvidos nos seus processos estratégicos, bem como a identificação da probabilidade de ocorrência desses riscos e a consequente adoção de medidas para mitigá-los.
10. Os riscos identificados são mensurados e classificados de modo a serem tratados em uma escala de prioridades e a gerar informações úteis à tomada de decisão.
SUBTOTAL POR FATOR DE RISCO
PROCEDIMENTOS DE CONTROLE GESTOR NÍVEL ESTRATÉGICO
GESTOR NÍVEL TÁTICO
GESTOR NÍVEL OPERACIONAL
11. Existem políticas e ações, de natureza preventiva ou de detecção, para diminuir os riscos e alcançar os objetivos da área, claramente estabelecidas.
12. As atividades de controle adotadas pela área são apropriadas, funcionam consistentemente e possuem custo apropriado ao nível de benefícios que possam resultar de sua aplicação.
Página 9 de 18
SUBTOTAL POR FATOR DE RISCO
INFORMAÇÃO E COMUNICAÇÃO GESTOR NÍVEL ESTRATÉGICO
GESTOR NÍVEL TÁTICO
GESTOR NÍVEL OPERACIONAL
13. A informação relevante para área é devidamente identificada, documentada, armazenada e comunicada tempestivamente aos interessados.
14. As informações consideradas relevantes pela área são de qualidade suficiente para permitir ao pessoal da área tomar as decisões apropriadas.
15. A comunicação das informações perpassa todos os níveis hierárquicos da área, em todas as direções, por todos os seus componentes e por toda a sua estrutura.
SUBTOTAL POR FATOR DE RISCO
MONITORAMENTO GESTOR NÍVEL ESTRATÉGICO
GESTOR NÍVEL TÁTICO
GESTOR NÍVEL OPERACIONAL
16. O sistema de controles internos da área é constantemente monitorado para avaliar sua validade e qualidade ao longo do tempo.
17. O sistema de controles internos da área tem sido considerado adequado e efetivo pelas avaliações realizadas.
18. O sistema de controles internos da área tem contribuído para a melhoria de seu desempenho.
SUBTOTAL POR FATOR DE RISCO
PONTUAÇÃO TOTAL
Valores da avaliação (adaptação da escala de Likert sem o elemento central):
(0) Concordo totalmente
(1) Concordo parcialmente
(2) Não concordo, mas parcialmente
(3) Não concordo, totalmente
Concordo totalmente: significa que o fundamento descrito na afirmativa é
integralmente aplicado ou válido no contexto da área avaliada;
Concordo parcialmente: significa que o fundamento descrito na afirmativa é
parcialmente aplicado ou válido no contexto da área avaliada, porém, em
sua maioria;
Página 10 de 18
Não concordo, mas parcialmente: significa que o fundamento descrito na
afirmativa é parcialmente aplicado ou válido no contexto da área avaliada,
porém, em sua minoria; e
Não concordo, totalmente: significa que o fundamento descrito na
afirmativa é integralmente não aplicado no contexto da área avaliada.
A pontuação para os itens contemplados em cada fator de risco poderá
variar no intervalo de 0 (zero) a 3 (três), considerando as graduações da escala
de Likert sem o elemento central. Assim, os pontos deverão ser atribuídos de
acordo com a percepção do avaliador quanto à resposta apropriada para cada
afirmação.
A consolidação dos dados para analise de risco será realizada em planilhas
a serem desenvolvidas pela Auditoria Interna, atentando para os critérios
evidenciados no Item 9 deste projeto – Matriz de Riscos.
8.2. Avaliação do grau de risco pela Auditoria Interna
O segundo componente do processo de avaliação das áreas é a percepção
do auditor, a qual consiste no estabelecimento de 7 (sete) questões pertinentes à
atuação da Audin, que serão analisadas conforme critérios de pontuação pré-
definidos, podendo o somatório variar de 0 (zero) até 100 (cem). Com fundamento
na Seção II do Capítulo VI do Manual do Sistema de Controle Interno do Poder
Executivo Federal, as variáveis básicas utilizadas para a planificação dos
trabalhos de auditoria são: materialidade, relevância e criticidade.
Materialidade: leva em consideração o montante dos recursos orçamentos
e financeiros envolvidos;
Relevância: importância relativa ou papel desempenhado por determinada
questão, situação ou unidade; e
Criticidade: refere-se aos elementos de vulnerabilidade ou riscos
potenciais.
Página 11 de 18
Questões:
1) A área executa processos críticos (volume financeiro) ou chaves
(relacionados com atividades finalísticas da instituição)?
(0) Não
(10) Sim
2) Quando foi a última vez que a área foi auditada?
(0) Nos últimos 6 (seis) meses
(5) No intervalo de 6 (seis) a 12 (doze) meses
(10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses
(15) Há mais de 2 (dois) anos
(20) Nunca
3) Qual o montante em recursos orçamentários movimentado pela área?
(0) De R$ 0,00 a R$ 100.000,00
(5) De R$ 100.000,01 a R$ 1.000.000,00
(10) De R$ 1.000.000,01 a R$ 10.000.000,00
(15) De R$ 10.000.000,01 a R$ 50.000.000,00
(20) Acima de R$ 50.000.000,00
4) Com base nos conhecimentos/experiência dos auditores, como são
avaliados os controles internos da área?
(0) Ótimos
(5) Bons
Página 12 de 18
(10) Razoáveis
(15) Frágeis
(20) Muito frágeis
5) Com base nos conhecimentos/experiência dos auditores, as
informações disponibilizadas pela área, nos mais variados meios, são
dotadas de qualidade e propiciam uma comunicação adequada com
interessados?
(0) Frequentemente
(5) Algumas vezes
(10) Raramente
6) Qual a probabilidade e o impacto de riscos à imagem da UFABC nos
processos executados pela área?
(0) Baixa probabilidade e baixo impacto
(5) Alta probabilidade e baixo impacto
(10) Baixa probabilidade e alto impacto
(15) Alta probabilidade e alto impacto
7) A área costuma acatar/implementar recomendações feitas pela
Auditoria Interna e pelos órgãos de controle (CGU e TCU)?
(0) Não houve recomendação
(1) Sempre acata
(2) Frequentemente acata
(3) Algumas vezes acata
Página 13 de 18
(4) Raramente acata
(5) Nunca acata
9. MATRIZ DE RISCO
A Matriz de Risco contém a pontuação correspondente ao grau de risco
das unidades administrativas avaliadas, apresentada de forma ordenada de
acordo com os percentuais apurados. O modelo proposto prevê a consolidação
das avaliações realizadas pelos gestores de cada área da UFABC e pela
Auditoria Interna.
Os valores atribuídos pelo gestor em nível estratégico serão convertidos
em porcentagem do referencial máximo de pontuação, no caso, o grau 3 (três)
multiplicado por 18 (dezoito), ou seja, pela quantidade de afirmativas. Deve-se
proceder do mesmo modo no que diz respeito às avaliações dos gestores tático e
operacional, com a finalidade de se obter as respectivas percentagens.
Após conversão dos três resultados a termos percentuais, calcula-se a
média aritmética simples das avaliações dos gestores pela seguinte fórmula:
Grau de risco Gestor = Média aritmética = (% A1 + % A2 + % A3) / 3 (1)
Sendo:
% A1 - percentual calculado a partir da avaliação do gestor estratégico;
% A2 – percentual calculado a partir da avaliação do gestor tático; e
% A3 – percentual calculado a partir da avaliação do gestor operacional.
Por sua vez, o procedimento de avaliação pela equipe da Auditoria Interna
ocorrerá com base nas questões expostas na seção 8.2, sendo que o somatório
Página 14 de 18
alcançado deverá ser dividido por 100 (cem), que representa o total de pontos
possíveis.
Grau de risco Audin (%) = % A4 = (somatório dos pontos do item 8.2.) / 100 (2)
Uma vez concluídas as etapas (1) e (2), temos os elementos para o cálculo
da média aritmética ponderada final:
Média final = (Grau de risco Gestor (%) * 4 + Grau de risco Audin (%) * 6) / 10 (3)
Ressalte-se que os pesos das avaliações foram atribuídos de acordo com
as seguintes premissas:
Avaliação do gestor - obtida por entrevista conduzida pela Audin,
pressupondo-se que ele não dispõe do embasamento teórico necessário
para a atribuição de pontos sem auxílio. Portanto, vale peso 4, por
vivenciar a rotina da atividade e considerar outros aspectos de um mesmo
fato, embora não seja um especialista em controles internos; e
Avaliação do auditor - vale peso 6, por ser um especialista em controle
interno e por deter visão holística da instituição.
Dessa forma, a média aritmética ponderada possibilitará ordenar as áreas
segundo o grau de risco, pois quanto maior for o percentual calculado, mais
vulnerável será determinada unidade administrativa, exigindo, portanto, maior
atenção aos processos sob a sua responsabilidade. Além disso, a matriz
demonstrará se o grau de risco das áreas é baixo ou desprezível, médio, alto ou
altíssimo (crítico).
Página 15 de 18
É pertinente salientar que, na teoria, a análise de determinado risco
considera o impacto e a probabilidade associados ao evento específico, nos
moldes dos eixos x e y de um plano cartesiano. Todavia, em razão de a
metodologia ora proposta tratar da avaliação de fatores tais como ambiente,
controles internos, informação, comunicação, optou-se pela utilização das
gradações da escala de Likert, cujo aspecto também é mais simples e didático no
julgamento das questões.
Sendo assim, não se pretende posicionar o valor resultante da média
ponderada das avaliações do gestor e do auditor nas coordenadas do plano
cartesiano (probabilidade x impacto), mas sim classificar as áreas do maior para o
menor grau de risco, bem como adotar os intervalos e cores descritos no gráfico a
seguir.
Portanto, deverão ser priorizadas as áreas que apresentarem o maior grau
de risco, de modo a proporcionar um melhor embasamento à definição das ações
constantes do PAINT 2015.
Página 16 de 18
10. CARGA HORÁRIA
Período: de 18 de agosto a 17 de outubro.
Quantidade de dias úteis: 45
Número de auditores: 4
Quantidade de horas diárias (média): 2
Página 17 de 18
11. CONSIDERAÇÕES FINAIS
O Projeto de Auditoria Baseada em Riscos iniciado pela Audin é uma etapa
preliminar do mapeamento de riscos na UFABC, a qual tem a importante função
de auxiliar o planejamento das ações de auditoria e, simultaneamente, iniciar um
processo de disseminação da cultura de riscos na UFABC.
Argumenta-se que gestores cientes dos riscos de suas unidades poderão
direcionar melhor os recursos aos controles internos de suas áreas,
proporcionando tratamento mais adequado às possíveis dificuldades a serem
enfrentadas no decorrer do planejamento traçado. Dessa forma, a compreensão
dos riscos relacionados a cada atividade e a melhoria contínua nos controles
internos resultará em um melhor funcionamento de todos os setores da
Universidade, influenciando todo o processo de implantação de políticas de
gestão na UFABC.
Santo André, 05 de setembro de 2014.
À apreciação superior,
Leandro Gomes Amaral Rodrigo Panzica Economista Técnico em Contabilidade De acordo.
Adriana Maria Couto Chefe da Auditoria Interna