sessao vii - auditoria baseada nos riscos do negocio

Gestão do Risco em Auditoria Auditoria Baseada nos riscos de negócio

Docente: Nuno Castanheira 19 de Outubro de 2012

Auditoria externa baseada no RDM

Etapas do processo de auditoria

O enfoque nos riscos de distorção material ao nível das DF

Limitações da auditoria baseada no RDM

Auditoria externa baseada em conceitos de “gestão de risco”

Conceito

Objectivo

Âmbito de avaliação

O paradigma da “gestão de risco” em Auditoria interna

Introdução

Objectivos do processo de auditoria interna baseada no risco de negócio

Revisão de literatura

Plano Anual de Auditoria Interna – Macro level

Ciclo de Auditoria – Micro level

Consequências da mudança de paradigma no processo de auditoria interna

Auditoria interna baseada no risco de negócio – “Best Practices”

Papel da auditoria interna na Gestão de Risco

2

Agenda

Sessão nº7 – 19OUT2012

Auditoria Externa baseada

no RDM

4

Etapas do processo de Auditoria

O objectivo do auditor aquando da realização de uma auditoria consiste em obter

uma segurança razoável de que as demonstrações financeiras não se encontram

afectadas por distorções materialmente relevantes, motivadas por erros ou fraudes.

Tal envolve as seguintes etapas:

• Avaliação do risco de distorções materialmente relevantes (combinação do risco

inerente e risco de controlo) ao nível das demonstrações financeiras;

• Concepção e realização de procedimentos de auditoria para resposta aos riscos

identificados, de modo a reduzir os riscos de distorção materialmente relevantes nas

demonstrações financeiras, a níveis aceitáveis;

• Emissão de um relatório de auditoria, cuja redacção traduza os resultados do

trabalho realizado.


A realização de uma auditoria baseada no RDM requer que o auditor inicie o

processo de auditoria adquirindo conhecimento sobre a entidade, de forma a que

posteriormente possa avaliar os riscos de distorção materialmente relevantes

(combinação do risco inerente e risco de controlo) ao nível das demonstrações

financeiras. Tal permitirá ao auditor identificar e responder aos riscos significativos,

tais como:

Possibilidade de saldos, classes de transacções ou divulgações poderem

encontrar-se incompletas, indevidamente relevadas ou omitidas nas demonstrações

financeiras;

Áreas vulneráveis nas quais os responsáveis da gestão possam derrogar os

controlos internos e ocorrerem manipulações nas demonstrações financeiras;

Outras fraquezas do sistema de controlo interno, que caso não sejam corrigidas

possam motivar erros nas demonstrações financeiras.

O enfoque nos riscos de distorção material ao nível das DF

5


6

Limitações da Auditoria Externa (baseada no risco de distorção material)

A auditoria externa, tradicionalmente, limita-se a avaliar os riscos de

distorção material ao nível das demonstrações financeiras, centrando-se no

relato financeiro, preocupando-se com o risco de auditoria, ou seja, com a

emissão de uma opinião apropriada sobre as demonstrações financeiras .

Neste contexto, claramente que os stakeholders pretendem uma auditoria

orientada para a estratégia da empresa, com enfoque no conjunto global de

riscos que ameaçam a concretização dos objectivos propostos (Marques de

Almeida, 2001).


Auditoria externa baseada em

conceitos de “Gestão de Risco”

A auditoria externa baseada em conceitos de “gestão de

risco” consiste em incorporar na metodologia de

“auditoria baseada no RDM” o enfoque nos objectivos

estratégicos e nos riscos de os mesmos não serem

alcançados.

8

Conceito

Auditoria externa baseada em conceitos de “Gestão de Risco”

De acordo com alguns autores, a integração da auditoria com os

conceitos desenvolvidos pelo COSO relativos à gestão do risco

empresarial levará à auditoria baseada na gestão do risco, tendo a

mesma como principal objectivo:

Prestar um serviço que acrescente efectivamente valor aos utentes

das demonstrações financeiras, garantindo não só a qualidade do

relato financeiro, mas a capacidade de prosseguir os objectivos

definidos.

9

Objectivo


No contexto de uma “auditoria baseada na gestão do risco”, para

além de avaliar os riscos de distorção material ao nível das

demonstrações financeiras, os auditores devem avaliar a qualidade

do trabalho realizado internamente ao nível da gestão do risco do

negócio pelos diferentes intervenientes (responsáveis pela

governação, gestão operacional, colaboradores e auditores internos)

garantindo que possuem o conhecimento adequado sobre esta

matéria para reportarem junto da Comissão de Auditoria ou órgão

competente, bem como junto dos accionistas.

10

Âmbito de Avaliação


O paradigma da “Gestão de

Risco” em Auditoria Interna

• A gestão é em última análise responsável por identificar riscos e

desenvolver uma estrutura para mitigar riscos inaceitáveis e assim se obter

um nível de tolerância ao risco aceitável. A implementação de processos

específicos para mitigar riscos é a base da gestão de risco.

• Os auditores têm a oportunidade de fornecer conhecimento na eficácia

dos processos através da auditoria baseada no risco de negócio.

• A auditoria baseada no risco de negócio é um modelo que incorpora a

relação do risco com os objectivos do negócio. Este tipo de auditoria é

desenhada para aumentar a eficiência e eficácia das auditorias e é

utilizada para determinar o nível apropriado de cobertura da auditoria para

a organização. A metodologia de avaliação deverá fornecer à gestão e aos

auditores informação objectiva para prioritizar correctamente a alocação

dos recursos de auditoria.

12

Introdução

O paradigma da “Gestão de Risco” em Auditoria Interna

Uma metodologia de auditoria baseada no risco de negócio geralmente inclui:

Descrição de operações significativas e os seus riscos de negócio associados e

características de controlo, resultando num documento que descreve a estrutura de

risco e controlos em toda a organização;

Utilização de um sistema de medida ou pontuação que avalie e hierarquize os

riscos de negócio e controlo;

Aprovação da gestão (possivelmente da conselho ou comité de auditoria) das

avaliações de risco e planos anuais de auditorias baseadas no risco que

estabelecem o calendário das auditorias e alocação de recursos para cada área

auditada;

Um processo que monitoriza regularmente a avaliação de risco e a actualiza

periodicamente para todas as operações significativas.

13


Introdução

Objectivos do processo de auditoria interna baseada no risco de negócio

A auditoria interna baseada no risco tem como objectivo fornecer segurança

razoável que:

Os processos de Gestão de Risco que a Gestão implementou na

Organização estão a funcionar conforme planeado;

Os processos de Gestão de Risco são adequados;

As técnicas de mitigação dos riscos que ameaçam os objectivos são

adequadas e efectivas na redução dos riscos para um nível aceitável;

Está implementado um modelo adequado para mitigar com razoabilidade

os riscos que ameaçam os objectivos (IIA-UK & Ireland, 2003).”

14


“A AIBR é um processo que se inicia com os objectivos do negócio e que depois se

focaliza nos riscos que ameaçam os referidos objectivos (IIA-UK and Ireland, 2003).”

“Em vez de focalizar os controlos do sistema depois da avaliação dos riscos, a nova

abordagem mantém a focagem do risco ao longo de todo o processo de auditoria

(Mcnamee, 1997).”

“A auditoria baseada no risco em vez de assumir enfoque em todas as áreas com o

mesmo vigor, deve identificar as áreas de maior risco e focalizar-se exclusivamente

nessa áreas (Scott, 2002).”


15


“Tem sido convencional que a auditoria de várias organizações é levada a cabo

numa base cíclica. Contudo, o processo cíclico de auditoria não enfoca

necessariamente nos principais riscos materiais e consequentemente a informação

reportada à gestão não enfoca nas principais áreas estratégicas, o que implica que

determinadas áreas onde existam riscos consideráveis possam ter menor atenção,

face a outras áreas de menor risco (Dittenhofer, 2001).”

Por outro lado,

“na transição para um planeamento de auditoria baseada no risco de negócio,

conforme requerido pelas normas actuais, algumas actividades poderão nunca ser

suficientemente importantes para receber a atenção da auditoria interna, pelo que

será importante maximizar a eficiência e eficácia da cobertura da auditoria interna

(Parkinson, 2004).”

“um planeamento de auditoria baseada no risco de negócio deverá considerar

sempre a necessidade de adequadamente cobrir todo o universo de auditoria. Para

o efeito, em determinadas áreas fundamentais, poderá ser necessário combinar

metodologias baseadas no risco com abordagens cíclicas (O´Regan, 2002).” 16



MISSÃO

PLANEAMENTO

ANUAL DE

AUDITORIA

UNIVERSO DE

AUDITORIA

PLANEAMENTO

ESTRATÉGICO

MODELO DE

RISCO

Conceitos chave/Cultura Corporativa

Valor

Acrescentado

PLANEAMENTO

BASEADO NO

RISCO

PROGRAMA DE

AUDITORIA

BASEADO NO

RISCO

RELATÓRIO DE

AUDITORIA

BASEADO NO

RISCO

Fonte: David McNamee (RISK MANAGEMENT: Changing the Internal Auditor’s Paradigm, IIA)

Fluxo do Processo de auditoria interna baseada no risco de negócio

17


Plano Anual de Auditoria Interna

(Macro Level)

MISSÃO

PLANEAMENTO

ANUAL DE

AUDITORIA

UNIVERSO DE

AUDITORIA

PLANEAMENTO

ESTRATÉGICO

MODELO DE

RISCO

Conceitos chave/Cultura Corporativa

Fonte: David McNamee (RISK MANAGEMENT: Changing the Internal Auditor’s Paradigm, IIA)

19

Plano de Auditoria Introdução

O universo da auditoria deve incluir componentes do plano estratégico da Organização. Ao incorporar

componentes do plano estratégico da Organização o universo da auditoria considerará e reflectirá os

objectivos de negócio globais.

O planeamento anual da auditoria deve ser extraído do universo de auditoria, utilizando para o efeito

um modelo de risco. O modelo de risco deverá estar intimamente relacionado com os objectivos

expressos nos principais documentos da organização (Missão, Propósito, etc.). Tal assegura que os

riscos do negócio que constam do modelo são os riscos de maior importância para o sucesso da

organização.

A maioria dos modelos de risco utiliza factores para estabelecer prioridades de trabalho de auditoria

tais como: materialidade monetária; liquidez dos activos; competência da gestão; qualidade dos controlos

internos; grau de modificação ou de estabilidade; altura da realização da última auditoria, complexidade

das operações, relações laborais e governamentais, etc. (IIA, 2004).

Plano de Auditoria Fases e Abordagem de Elaboração do Plano de AI

• O diagrama seguinte apresenta uma síntese das fases que precedem a implementação do Plano de

Auditoria Interna e a abordagem metodológica de suporte à preparação.

Rever Prioritização

e Definir Plano

Detalhado

Definir o Universo

Auditável

Prioritizar os

Segmentos

Auditáveis

Aprovar e Divulgar

o Plano de

Auditoria

Auditoria a Processo

Auditoria a Agências

Universo Auditável

Auditoria Especiais/ ad hoc

Segmentos Auditáveis

Auditoria ao Processo 1

Auditoria de TI – Tecnologia A



Prioritização dos Segmentos

Auditáveis segundo uma

abordagem de risco

Revisão das prioridades e

calendarização dos segmentos

(acções de auditoria)

Aprovação do Plano de Auditoria Interna

e Divulgação

Tipos de Auditoria

Processos/

Sistemas

Sociedades

SPGM

Agências

Segmentos Auditáveis

Fases de Elaboração do Plano de Auditoria Interna

1 2 3 4

Abordagem Metodológica

Critérios de

Prioritização dos

Segmentos

(Factores de Risco)

Critério A

Critério B

Critério C

Critério D

Âmbito do

Documento

20

Plano de Auditoria Monitorização a efectuar ao nível do Sistema de Controlo Interno

Co

mp

on

en

tes

do

Sis

tem

a d

e

Co

ntr

olo

In

tern

o a

an

ali

sa

r

Componentes a Analisar do Sistema de Controlo Interno

Ambiente de Controlo Interno

Sistema de Gestão de Riscos

Ambiente de Controlo Interno

• Monitorização das actividades de identificação,

avaliação, acompanhamento e controlo de riscos;

• Avaliação do nível de envolvimento da gestão;

• Avaliação da documentação, adequação e eficácia

dos procedimentos de controlo;

• Avaliação das decisões tomadas.

• Adequação de políticas e procedimentos;

• Segregação de Funções e Independência das Linhas de Reporte;

• Dimensionamento das áreas e Competências dos Recursos;

• Respeito por Códigos de Ética e de Conduta;

• Atitude face ao risco e ao controlo interno;

• Adequação das actividades aos objectivos estratégicos.

Estrutura Organizacional

Cultural Organizacional

Planeamento Estratégico

EO

CO

PE

Identif.

de Riscos

Avaliação

de Riscos

Acomp.

de Riscos

IR AR AC

Controlo de RiscosC

R. Estratégico (RE)

R. Negócio (RN)

R. Mercado (RM)

R. Crédito (RCr)

R. Concentração

(RC)

R. Liquidez (RL)

R. Operacional (RO)

R. Reputação (RR)

Sistema de

Informação

de Gestão

SIG • Responsabilidades pela informação de gestão;

• Adequação da informação e dos canais para a sua distribuição;

• Captação e tratamento da informação;

• Alterações e actualização da informação.

Informação e Comunicação

21

• Exemplo de universo auditável:

Plano de Auditoria Universo Auditável

Ambiente de

Controlo Interno

Sistema de Gestão de Riscos Informação

e Comunicação

Gestão de

Recursos

Humanos

Estrutura

Organizativa

Gestão

Documental e

Arquivo

Gestão de

Tesouraria

Serviços

Jurídicos

Acomp. da

Carteira

Gestão de

Relação com

os Accionistas

Assessoria

Jurídica Compras

Imobilizado

Contabilidade

Geral

Cumprimento

de Obrigações

de Supervisão

Informação de

Gestão

Monitorização

Gestão de

Riscos

Compliance

Sistema

Controlo

Interno Sistemas

Informáticos

Gestão e

Controlo da

Actividade

Gestão e

Controlo da

Actividade

Acompanham

ento e

Recuperação

de Crédito

22

Pressupostos de Elaboração do Plano de AI (1/3)

• Na elaboração do Plano de Auditoria Interna devem ser considerados alguns pressupostos,

relativamente ao Período de Implementação e Cobertura de Processos:

Período de Implementação

ANO 1 ANO 2 ANO 3

• De forma a garantir uma cobertura de 100% do universo

auditável, o plano de implementação é muitas vezes

operacionalizado durante 3 anos.

Evolução da Cobertura de Processos

•Aumento gradual do âmbito de cobertura dos

processos, de acordo com o seu nível de risco

ANO 1 ANO 2 ANO 3

Nível de Criticidade dos Processos:

Elevada Média Baixa

23


Alocação de Recursos

•Contratação gradual de recursos com o objectivo de

garantir a sua completa integração na Função de

Auditoria Interna

ANO 1 ANO 2 ANO 3

Outsourcing/ Co-sourcing

• A Alocação de Recursos e Critérios de Prioritização são pressupostos à elaboração do Plano de

Auditoria Interna:

24


Critérios de Prioritização

B. Aplicáveis às Auditorias de Processos e SI

Nº de áreas func. interv.

Rotatividade da equipa

Nível de Risco

Existência de outsourcing

Alterações previstas

Complexidade do Processo

5%

25%

5%

5%

5%

+

+

+

+

+

+ –

Risco

Baixo

Risco

Elevado –

–

–

Número

menor

Número

maior

Não Sim

Sim Não

Baixa

Complex.

Elevada

Complex. –

– Menor

rotatividade

Maior

rotatividade

Nº de intervenientes 5% + – Número

menor

Número

maior

5%

Alterações efectuadas 5% + – Não Sim

A. Comuns a todas as Auditorias

Classif. Última Auditoria

Implem. Recomendações

25%

10%

Resultados

negativos

Recom. Não

Implement.

Resultados

positivos

Recom.

Implement.

Última Auditoria 5% Não Sim +

+

+

–

–

–

C. Aplicáveis às Auditorias a Agências

Dimensão (nº pax) 5% +

Variação Volume Carteira 15% + Baixa

Variação –

Volume de Carteira 15% + Baixo

Volume –

–

Volume de Sinistralidade 20% + – Baixo

Volume

Menor

Dimensão

Alterações de Estrutura 5% + – Não Sim

Elevada

Variação

Elevado

Volume

Elevado

Volume

Maior

Dimensão

25

Gestão do Ciclo de Auditoria

Interna (Micro Level)

27

Ciclo de Auditoria Introdução

De acordo com Mcnamee & Selim (1998), “no actual paradigma,

todo o processo de auditoria é baseado em conceitos de gestão de

risco:

O objectivo de auditoria é avaliar a forma como a Gestão lida

com o risco na unidade de negócio;

A auditoria é desenvolvida para testar as técnicas de gestão de

risco (90% das quais são actividades de controlo);

As auditorias são reportadas em termos de princípios de gestão

de risco e com referências ao framework de risco da organização.”

Auditoria Interna baseada no Controlo (sequência original COSO):

Auditoria Interna baseada no Risco: (revisão da sequência COSO)

Avaliar como

são geridos os

riscos de

negócio

Controlar

Partilhar/transferir

Evitar

Diversificar

Aceitar

Avaliar os

riscos de

negócio face

aos objectivos

Avaliar como

funcionam os

controlos

internos

Robustez

Custo / benefício

Eficiência

Eficácia

Avaliar os

riscos de

negócio face

aos objectivos

Objectivos

do Processo

ou da Unidade

de Negócio

Objectivos

do Processo

ou da Unidade

de Negócio

A sequência COSO apoia o novo paradigma, ao mudar a ênfase da

determinação dos controlos necessários para a gestão de risco, conforme se

demonstra nas figuras da página seguinte.

28

Ciclo de Auditoria Introdução

Ciclo de Auditoria Fases do Ciclo de Auditoria

Fase de preparação precedente à execução do trabalho de campo de

cada auditoria.

O ciclo de auditoria corresponde ao período decorrente entre o início e o fim de cada projecto de auditoria

realizado no âmbito da monitorização de cada segmento auditável, composto pelas fases que se apresentam

em seguida:

Realização do projecto de

auditoria.

Reporte de resultados com as principais conclusões sobre o trabalho

realizado.

Acompanhamento das

recomendações efectuadas

Ciclo

de

Auditoria

Planeamento

Execução

Comunicação

Follow-up

Preparação da

auditoria

1

Reunião de

Kick-off

2

Trabalho de

Campo

3

Relatório

Preliminar de

Auditoria

4

Apresentação

e Discussão de

Conclusões

5

Relatório Final

de Auditoria

6

Divulgação do

Relatório Final

7

Registo de

Deficiências e

Recomendações

8

Acomp., de

Implementação

Recomendações

9

Ciclo de Auditoria Actividade das Fases do Ciclo de Auditoria

Ciclo

de

Auditoria

Planeamento

Execução

Comunicação

Follow-up

Planeamento

• Fase do ciclo de vida da auditoria que tem como objectivo planear as

actividades a desenvolver no âmbito da auditoria às Organizações.

• Esta fase deverá ser realizada com a antecedência necessária de modo a

assegurar actividades que se apresentam em seguida.

Preparação da

Auditoria

1

Reunião de

Kick-Off

2

• Definição dos objectivos e âmbito da acção de auditoria;

• Recolha e análise de Informação;

• Recolha e análise das matrizes de riscos e controlos actualizadas;

• Elaboração do Programa de Auditoria à Organização;

• Comunicação da auditoria que se encontra planeada e agendamento de uma Reunião

inicial.

• Elaboração de Documento que inclui os objectivos e âmbito da auditoria. O âmbito deve

contemplar as actividades a considerar na auditoria, bem como o período a analisar;

• Realização de Reunião de Kick-off;

• Identificar interlocutores chave e agendar reuniões de levantamento / confirmação das

actividades no âmbito da auditoria.

Ciclo de Auditoria Planeamento – Actividades Desenvolvidas

Planeamento

• Previamente ao início da fase de execução da auditoria, a equipa deve apreender, confirmar e ampliar

conhecimentos sobre o âmbito da auditoria (e.g., planeamento estratégico, estrutura organizacional,

cultura organizacional, sistema de gestão de risco, Organização como um todo) e o respectivo contexto

envolvente (e.g., entidade, sector);

• Para tal, deve ser recolhida e analisada informação de forma a avaliar potenciais impactos no âmbito da

auditoria:

Organograma detalhado com informação das Unidades de Estrutura, incluindo a descrição das

respectivas funções/ tarefas;

Ordens de Serviço, políticas, procedimentos formalmente definidos, relacionados com o âmbito

da auditoria;

Manuais de utilização dos sistemas que suportam as actividades no âmbito da auditoria;

Leis e regulamentação aplicáveis às actividades no âmbito da auditoria;

Informação orçamental e resultados operacionais das áreas no âmbito da auditoria;

Detalhe sobre as modificações recentes nas actividades no âmbito da auditoria.

Ciclo de Auditoria Planeamento – Recolha e análise de Informação

• As matrizes de riscos e controlos constituem uma fonte de informação de elevada relevância para o

trabalho da equipa de auditoria, uma vez que permitem:

A identificação dos riscos e análise dos resultados da sua avaliação no sentido de identificar os

riscos com maior nível de exposição;

A identificação dos controlos que se encontram implementados nos diversos processos da

Organização, com o objectivo de mitigar os riscos identificados.

• No entanto a equipa de auditoria deverá, no contexto da fase de planeamento, identificar riscos

adicionais não considerados nas matrizes de riscos e controlos.

Abordagem das Matrizes de Riscos e Controlos

Ciclo de Auditoria Planeamento – Matrizes de Riscos e Controlos (1/2)

Processo

Actividade

Risco

Controlo

Processo 1.1 Actividade 1.1.1 Risco III A.A.A

Risco III A.A.B

Risco III A.A.C

Actividade 1.1.2

Actividade 1.1.3

Processos Críticos Identificação

de Riscos

Processo Actividade Risco III

Controlo A

Controlo B

Identificação

de Controlos

Controlo X

Avaliação Risco A.A.A

Avaliação Risco A.A.B

Avaliação Risco A.A.C

Documentação da

Avaliação do Risco

Avaliação do Risco

Identificação e Avaliação dos Riscos

Identificação dos Controlos

Avaliação de

riscos

Riscos A Matriz de Riscos e Controlos inclui a identificação dos riscos associados ao processos das Organizações.

Nível Exposição

Elevado

Médio

Baixo

Caracterização

do controlo

Controlo Os controlos encontram-se associados aos riscos potenciais que visam mitigar. A sua descrição deve ser

suficientemente detalhada de forma a assegurar um adequado entendimento do controlo, fornecendo as bases

para a sua avaliação e preparação dos programas de auditoria.

Natureza

Categoria

Frequência

Responsável

O controlo poderá ser manual (requer intervenção

manual) ou automático (não requer intervenção manual).

Atributo que caracteriza o controlo

Periodicidade de execução do controlo

Unidade de Estrutura e Posição/Função responsável

pelo controlo

Ciclo de Auditoria Planeamento – Matrizes de Riscos e Controlos (2/2)

A equipa de auditoria deve preparar um Programa de Auditoria de forma a estabelecer a natureza e

extensão dos procedimentos de auditoria. O Programa de Auditoria deve incluir os seguintes tipos de

conteúdos:

Objectivos Riscos Controlos Procedimentos de Auditoria

Teste à Eficácia Operacional

do Controlo

Avaliação do Desenho

do Controlo

Objectivos dos

processos/ actividades

no âmbito da auditoria

Descrição dos eventos

que podem ocorrer e

colocar em causa o

cumprimento dos

objectivos

estabelecidos

Práticas e procedimentos estabelecidos para

mitigar os eventos de risco identificados

garantindo o cumprimento dos objectivos de

controlo

Procedimentos a realizar pela equipa

de auditoria no sentido de confirmar a

existência/ implementação de

controlos e avaliar se o desenho dos

mesmos garante a cobertura dos

riscos identificados

Procedimentos a realizar pela equipa

de auditoria no sentido testar se os

controlos com um desenho adequado,

funcionaram de forma eficaz durante o

período considerado no âmbito da

auditoria

Objectivos

de Controlo

Objectivos a atingir

para garantir a

mitigação do risco

identificado

• A equipa de auditoria deve preparar o Programa de Auditoria, tendo por base, a recolha e análise de informação das

matrizes de riscos e controlos (caso existam matrizes para as actividades a auditar) e a identificação de outros riscos e

objectivos de controlo não documentados;

• Nas situações em que não existe matrizes de riscos e controlos, devem ser agendadas reuniões de levantamento,

entendimento e confirmação da existência de controlos, sendo os procedimentos de teste aos controlos definidos

posteriormente.

Aspectos a Considerar

Ciclo de Auditoria Planeamento – Programa de Auditoria

Kick-Off da

Auditoria • O Kick-Off tem como objectivo comunicar e acertar com as Organizações os objectivos, âmbito, abordagem e

planeamento das auditorias à estratégia, através da realização de uma reunião de abertura da auditoria.

Programa de

Auditoria • O Programa de Auditoria consiste no conjunto de procedimentos que deverão ser realizados pela equipa de

auditoria com o objectivo de avaliar o desenho dos controlos e testar a sua eficácia operacional.

Período da

Auditoria • O Período da auditoria deve ser determinado aquando da definição do âmbito da auditoria, consistindo no

período de tempo que será considerado nos procedimentos de auditoria a realizar.

Processo • Conjunto de actividades encadeadas de forma lógica e sequencial.

Controlo • Conjunto de práticas e procedimentos estabelecidos para monitorizar e mitigar potenciais eventos de risco.

• A existência de um controlo pressupõe uma acção ou conjunto de acções executadas para assegurar com

uma segurança razoável o cumprimento dos objectivos de controlo identificados.

Risco • Possibilidade que um evento venha a ocorrer e afectar adversamente o cumprimento dos objectivos da

Organização.

Ciclo de Auditoria Recordatório de Conceitos

Execução

• Fase do ciclo de vida da auditoria que tem como objectivo a execução dos

procedimentos de auditoria programados, de forma a poder concluir acerca da

qualidade dos controlos existentes ao nível das actividades no âmbito da

auditoria.

• Esta fase deverá ser realizada de forma eficiente e eficaz garantindo a

adequada identificação de todas as conclusões significativas.

Relatório

Preliminar de

Auditoria

Trabalho de

Campo

3

4

• Realização de reuniões de levantamento/confirmação das actividades no âmbito da

auditoria, tendo como objectivo o levantamento e entendimento dos procedimentos de

controlos existentes;

• Actualização do programa de auditoria tendo por base a informação recolhida nas

reuniões efectuadas;

• Execução dos procedimentos de auditoria programados e documentação dos seus

resultados.

• Elaboração do relatório preliminar com principais conclusões e recomendações

resultantes do trabalho de campo, tendo como objectivo a recolha de comentários.

Ciclo de Auditoria Execução – Actividades Desenvolvidas

Execução

• 1a) Inexistência de

controlos (gap desenho);

• 1b) Insuficiência de

desenho dos controlos

existentes (gap desenho);

• 1c) Controlos com

desenho adequado

(necessário teste à

eficácia operacional).

• Entrevista;

• Walkthrough;

• Observação;

• Análise / Examinação

(e.g., dados,

documentação).

1. Avaliar o

Desenho dos

Controlos

2. Testar a

Eficácia

Operacional dos

Controlos

Procedimento de Auditoria

Avaliar o Desenho – confirmar o

funcionamento, existência e

implementação de controlos, de

forma a concluir se possuem um

desenho adequado para garantir o

cumprimento dos objectivos de

controlo e mitigar os riscos

existentes.

Testar a Eficácia Operacional –

confirmar o correcto funcionamento

dos controlos ao longo do período de

auditoria, obtendo evidência da sua

eficácia operacional.

Resultados Técnicas Auditoria

• Entrevista;

• Walkthrough;

• Observação;

• Análise / Examinação

(e.g., dados,

documentação);

• Repetição da

execução do controlo.

• 2a) Controlos ineficazes

operacionalmente ao

longo do período de

auditoria (erros/falhas

detectados);

• 2b) Controlos eficazes

operacionalmente ao

longo do período da

auditoria.

Deficiências identificadas na Auditoria

Ciclo de Auditoria Procedimentos de Auditoria - Síntese

Entrevista /

Questionário

Consistem em entrevistas detalhadas que têm como objectivo fornecer um entendimento pormenorizado do

desenho dos controlos e avaliar a sua eficácia. Deverão ser entrevistados os responsáveis pela execução dos

controlos e ainda outros indivíduos que apesar de não serem responsáveis pelos controlos, estão numa posição

que lhes permite comentar sobre a sua eficácia.

A generalidade das questões deverão focar-se na descrição detalhada dos controlos, nomeadamente quais os

passos envolvidos na sua execução, qual a documentação que os suporta (evidências) e quais os passos

efectuados em caso de excepção ou ausência dos responsáveis pela execução do controlo.

Examinação

de Registos /

Documentos

Examinação de registos e/ou documentos, em formato electrónico ou papel, internos ou externos, que evidenciem

a implementação dos controlos ao longo do período da auditoria, corroborando a informação obtida nas entrevistas

efectuadas. A quantidade de evidências a examinar depende do tamanho da amostra seleccionada.

Adicionalmente, o grau de fiabilidade obtido, depende da natureza e fonte dos registos e documentos obtidos.

Observação

Técnica que consiste em “observar”, para um processo ou procedimento, as acções que estão a ser

desempenhadas pelos executantes dos controlos. A observação proporciona evidência acerca da implementação

de um controlo, no entanto é limitada ao momento em que tem lugar, pelo facto de que a observação da acção

pode afectar a sua forma de execução. Desta forma, a observação deverá, sempre que possível, ser

complementada com a utilização da técnica de repetição da execução dos controlos ou pela examinação dos

registos/ documentos.

Repetição da

execução do

controlo

Esta técnica consiste na realização do controlo pela equipa de auditoria, que deverá assegurar a execução do

mesmo considerando todos os pressupostos que o caracterizam. Para assegurar que esta técnica é conclusiva

acerca da eficácia do controlo, a equipa de auditoria deverá garantir que a fonte dos dados é fidedigna e que são

levantados todas as variáveis que determinam o funcionamento do controlo.

Walkthrough

Técnica que consiste na revisão e acompanhamento presencial de um conjunto de actividades, tipicamente um

processo ou sub-processo, tendo como objectivo a observação e recolha de documentação que evidencie a

execução das mesmas.

Ciclo de Auditoria Procedimentos de Auditoria – Técnicas de Auditoria

• Através da aplicação das técnicas de auditoria, os auditores têm como objectivo a recolha de informação

(evidência) que forneça uma base sólida para as conclusões e recomendações de auditoria.

• A evidência recolhida deverá ser:

• Suficiente – factual e adequada, no sentido em que permita a uma pessoa informada e prudente

chegar às mesmas conclusões que o auditor;

• Fidedigna – obtida de fontes de confiança, através de técnicas de auditoria apropriadas;

• Relevante – suporte as conclusões e recomendações de forma consistente com o objectivo dos

procedimentos de auditoria (testes).

• Todas as evidências recolhidas em forma de papel devem ser digitalizadas, de forma a suportar a

existência de pastas de auditoria totalmente em formato electrónico.

• As evidências recolhidas não podem ser alteradas pelo auditor, uma vez que deixariam de ter validade

para constituir prova das conclusões de auditoria.

Ciclo de Auditoria Procedimentos de Auditoria – Características das Evidências

Comunicação

• Preparação do Relatório Final da Auditoria.

• Fase do ciclo de vida da auditoria que tem como objectivo a apresentação,

divulgação e aprovação das conclusões e recomendações resultantes da

auditoria realizada.

• Esta fase deverá ser realizada após a finalização do trabalho e fecho de todas

as conclusões e recomendações pela equipa de auditoria.

Apresentação

e Discussão de

Conclusões

Relatório Final

de Auditoria

5

6

Divulgação do

Relatório Final

7

• Realização de reunião de apresentação e discussão das conclusões e recomendações

resultantes do trabalho realizado.

• Divulgação e apresentação das conclusões e recomendações do Relatório Final da

Auditoria aos Órgãos de Administração.

Ciclo de Auditoria Comunicação – Actividades Desenvolvidas

Comunicação

Os Relatórios das Auditorias devem estar livres de erros e distorções, sendo fieis aos factos analisados. As sua elaboração deverá ser efectuada com cuidado e precisão, assegurando:

• Clareza – os relatórios devem permitir um entendimento fácil e lógico das conclusões da auditoria. A clareza pode ser melhorada evitando linguagem técnica e proporcionando informação de suporte suficiente (e.g., utilização de gráficos).

• Objectividade – os relatórios devem ser directos e evitar elaborações desnecessárias, detalhes supérfluos, redundâncias e verbosidade. A sua objectividade deverá ser assegurada através de uma adequada revisão dos conteúdos. As conclusões devem ser apresentadas de forma sucinta de modo a serem facilmente compreendidas.

• Valor acrescentado – as conclusões e recomendações apresentadas devem ajudar a Organização a efectuar as correcções necessárias nos seus procedimentos e funcionamento, conduzindo a melhorias quando necessário. O conteúdo e tom da apresentação deve ser útil e positivo, contribuindo para o cumprimentos dos objectivos da Organização.

• Totalidade – os relatórios devem incluir toda a informação relevante e observações que sirvam de suporte às conclusões e recomendações apresentadas.

• Oportunidade – os relatórios devem ser entregues atempadamente, de forma a permitir uma actuação imediata e eficaz sobre as recomendações efectuadas, sempre que possível.

• Imparcialidade – os relatórios devem apresentar um visão equilibrada de todos os factos e circunstâncias relevantes. As conclusões e recomendações devem ser expressas sem preconceito, interesses pessoais e influências de terceiros.

Ciclo de Auditoria Relatório Final de Auditoria

Follow Up

• Fase do ciclo de vida da auditoria que tem como objectivo o acompanhamento da

implementação das recomendações efectuadas pela equipa de auditoria.

• Esta fase deverá ser realizada após a finalização da auditoria, apoiando-se num

repositório de recomendações que permita identificar a antiguidade e prioridade

das recomendações.

Registo de

Deficiências e

Recomendações

Acomp. de

Implementação

Recomendações

8

9

• Documentação das conclusões e recomendações da auditoria num repositório

específico, que permita acompanhar a implementação das recomendações, tendo por base

a antiguidades das mesmas, a sua prioridade e a identificação dos responsáveis pela sua

implementação.

• Acompanhamento da implementação das recomendações e actualização do repositório

de recomendações no sentido de identificar todas as recomendações que já se encontram

em curso, por implementar ou implementadas.

Ciclo de Auditoria Follow-up – Actividades Desenvolvidas

Follow-up

• Todas as recomendações de Auditoria devem ser documentadas num repositório específico, que

permita efectuar o acompanhamento da sua implementação – Follow-Up;

• Utilizando o repositório de recomendações, a auditoria deve filtrar as recomendações cuja data de

implementação atingiu a data actual e inquirir os responsáveis de cada recomendação sobre o estado

da sua implementação.

Ref.

Auditoria

Ref.

Deficiência Recomendação

Data proposta

Implement.

Referência da auditoria

a que respeita a

recomendação

Referência da

Deficiência ou

observação detectada

e documentada no

Relatório de Auditoria

Recomendação efectuada pela equipa de

Auditoria com vista à mitigação dos riscos

associados à deficiência detectada como

resultado do trabalho de auditoria

Observações resultantes do

Follow-up efectuado pela

equipa de Auditoria.

Justificação de desvios e

identificação de novas datas de

implementação

Designação

Deficiência

Designação da

Deficiência á qual

está relacionada a

recomendação

Estado Observações

Follow-up

Data proposta / aceite para

a implementação da

recomendação. Estado da

implementação (A iniciar,

Em curso, Implementada)

Ciclo de Auditoria Documentação das Recomendações e Acompanhamento

Ao mudar o foco e o vocabulário do auditor interno de “controlo” para “risco”, ocorrem várias

alterações profundas. Algumas alterações incluem:

• Linguagem de comunicação comum: A gestão pensa em termos de risco (explícita ou

implicitamente), e a gestão raramente pensa em termos de controlo. Auditores e gestores

podem começar a utilizar a mesma linguagem;

• Menor fricção durante o processo de auditoria: Focar no controlo dá a impressão de se

restringirem acções e decisões; focar no risco evita essa conotação negativa;

• Um fluir mais natural do objectivo da auditoria para o relatório: Ao ter o risco como foco de

auditoria, o relatório também se pode focar no risco;

• Planeamento de auditoria enriquecido: Questionar a gestão sénior sobre quais os riscos que

a preocupam em oposição a perguntar-lhes quais os controlos que a preocupam.

Consequências da mudança de paradigma no processo de auditoria interna

49


“Focus” nos Clientes

Orientar o serviço para proporcionar valor acrescentado aos clientes

internos.

Alargar a definição de risco de forma a desenvolver um plano de auditoria que

melhore significativamente o desempenho dos processos de negócio.

Participar no processo de identificação e gestão de riscos.

Participar na definição e avaliar os controlos associados aos riscos de

negócio identificados.

Estratégias de Comunicação

Melhorar os processos de comunicação da auditoria, antes e depois da

emissão de relatórios e promover a partilha de conhecimentos.


50


Skills e formação dos auditores

Não limitar o staff apenas a profissionais com background de

auditoria.

Reengenharia e melhoria contínua do processo de auditoria

Assegurar que o processo de auditoria está permanentemente

alinhado com os processos de negócio e que as necessidades dos

clientes estão a ser satisfeitas optimizando a relação

custo/benefício.

Integrar a tecnologia

O uso da tecnologia possibilita um processo de auditoria mais

rápido e rigoroso e permite alargar o seu âmbito.

51



A abordagem da auditoria interna deverá ser compatível com o nível de maturidade de gestão de risco da organização:

Maturidade de Risco Características Chave Abordagem de Auditoria Interna

Risco Ingénuo Por desenvolver ERM Promover a Gestão de Risco e utilizar a avaliação do risco feita pela auditoria

Risco Consciente Abordagem tradicional de Gestão de Risco

Promover ERM e utilizar a avaliação do risco feita pela auditoria

Risco Definido

Estratégias e politicas implementadas.

Apetite de Risco (o nível de risco que a Gestão decidiu aceitar) definido.

Facilitar a Gestão de Risco e utilizar a avaliação de risco feita pela Gestão, onde apropriado

Risco Gerido ERM implementado

Auditar o processo de Gestão de Risco e utilizar a

avaliação do risco feita pela Gestão, onde apropriado

Risco Controlado ERM e Controlo Interno totalmente integrado nas operações

Auditar o processo de Gestão de Risco e utilizar a

avaliação do risco feita pela Gestão, onde apropriado

Fonte: IIA UK & Ireland (adaptado)

Papel da auditoria interna na Gestão de Risco

52


O principal papel da auditoria interna com respeito ao Processo formal

de Gestão de Risco (ERM) está associado ao desempenho de

serviços tradicionais (assurance) de auditoria, ou seja, avaliação das

actividades de Gestão de Risco. Quando a actividade de auditoria

interna se extende para além do seu papel principal, deverão ser

aplicadas algumas salvaguardas, por forma a não comprometer a

independência e objectividade requerida (IIA, 2004).

53



A extensão dos serviços de consultoria levados a cabo pela

auditoria interna com respeito a ERM deverá depender dos recursos

e da maturidade de risco da organização. À medida que aumenta a

maturidade do risco, o papel da auditoria interna com respeito a

ERM deve reduzir. Por outro lado, se uma organização recruta

especialistas em Gestão de Risco, é provável que a auditoria se

concentre no seu papel de Assurance (IIA, 2004).

Muitos auditores internos desempenham um papel dinâmico (consultoria), apoiando o estabelecimento inicial do processo de gestão de risco, fundamentalmente nas pequenas empresas, face à escassez de recursos.

54



55

BIBLIOGRAFIA

• Castanheira et al. (2010), “Factors associated with the adoption of risk-based internal auditing”,

Managerial Auditing Journal, 25/1: 79-98

• Dittenhofer, M. (2001), “Internal auditing effectiveness: an expansion of present methods”,

Managerial Auditing Journal, 16/8: 443-450.

• IIA - The Institute of Internal Auditors (2004), “International Standards for the Professional

Practice of Internal Auditing”, The Institute of Internal Auditors.

• IIA – UK and Ireland (2003), “Risk Based Internal Auditing”. Documento disponível em

www.iia.org.uk.

• Matyjewicz, G. & D´Arcangelo, J. R. (2004), “ERM-based auditing”, The Internal Auditor,

Nov/Dec: 4-18.

• Mcnamee, D. (1997), “Risk Based Auditing”, The Internal Auditor, August: 22-27.

• Mcnamee, D. & Selim, G. (1998), “Risk Management: Changing The Internal Auditor’s

Paradigm”, The Institute of Internal Auditors Research Foundation.

• O´Regan, D. (2002), “The CPA´s transition to the world of internal auditing”, The CPA Journal,

Aug: 11-13.

• Parkinson, M. (2004): “A strategy for providing assurance”, The Internal Auditor, Dec: 63-68.

• Scott, T. (2002), “So long, traditional audit: no more “same as last year” with riskbased

approach, California CPA, Jan: S/P

sessao vii - auditoria baseada nos riscos do negocio

Documents