Auditoria Baseada em Riscos - ABR

Prof. Francisco Chaves

Adaptado de:

Francesco de Cicco (Risk Management, 2007)

PMBOK®

Instituto de Auditores do Reino Unido e Irlanda – IIA

▪ Atividade Profissional de Auditoria Interna (AI): alcançar sua missão como

alicerce da governança;

▪ Atuação no contexto do próprio arcabolço (framework) de gestão de riscos

da organização.

“Abordagem conhecida como Auditoria Baseada em Riscos - ABR” (IIA, 2003).

PMBOK®

ABR – questões abordadas:

▪ Por que a ABR deve ser introduzida;

▪ Como a ABR pode ser implementada; e

▪ As vantagens da ABR.

Foco:

“Áreas para as quais a ABR requer ações que diferem de outras metodologias de AI”

“Toda organização é diferente: com atitude diferente em relação aos riscos; estrutura

diferente; processos diferentes ; e linguagem diferente”.

PMBOK®

IIA - The Institute of Internal Auditors

▪ Define ABR como “metodologia que associa a Auditoria Interna (AI) ao

arcabolço global de gestão de riscos de uma organização.

▪ A ABR possibilita que uma AI dê garantia ao Conselho Diretivo de que

os processos de gestão de riscos estão gerenciando os riscos de maneira

eficaz em relação ao apetite por riscos”.

“O estabelecimento de metas e a avaliação de funcionários

podem tornar-se aspectos mais complexos”.

Gestão de Riscos

Alguns Conceitos

Risco: Condição com potencial para causar danos.

Perigo: Caracteriza uma relativa exposição ao risco.

Dano: Severidade de lesar ou perda física, funcional ou econômica,

que pode resultar da “materialização” de um risco.

Perda: Custo/gasto não planejado, que pode ou não ser recuperado.

PARADOXO ARRISCADO

▪ Não se consegue combater o risco, porque vive-se do risco;

▪ A razão do ser humano na terra é o próprio risco;

▪ Inovar, empreender e arriscar são sinônimos.

Adaptado de: Prof. Dr. Paulo R. A. de Oliveira

Palestra: “Proteção social da saúde do trabalhador” - maio de 2015.

IIA - The Institute of Internal Auditors

Na ABR a AI deve poder concluir que:

▪ A direção identificou, avaliou e respondeu aos riscos acima e abaixo de

seu apetite por riscos;

▪ As respostas aos riscos são eficazes, mas não excessivas na gestão dos

riscos inerentes;

▪ Quando os riscos residuais não estão alinhados ao apetite por riscos, são

tomadas ações para reparar isso;

▪ Os processos de gestão de riscos, incluindo a eficácia das respostas e a

conclusão das ações, estão sendo monitorados pela direção para garantir

que continuem a operar de maneira eficar; e

▪ Riscos, respostas e ações estão sendo classificados e relatados

adequadamente.

Auditoria Baseada em Riscos (ABR)

● Uma evolução da auditoria convencional;

● Auditoria convencional: foco na avaliação do sistema de

controle interno da organização;

● A Auditoria Baseada em Riscos (ABR): foco na avaliação da

postura da administração perante os riscos – o apetite por

riscos;

● A auditoria deixa de ser reativa e passa a ser preventiva;

● Gerenciamento de riscos: considerado como função

estratégica e diferencial competitivo para a organização.

Auditoria Convencional versus Auditoria Baseada em Riscos (ABR)

Área de Auditoria Auditoria Convencional

(AC)

Auditoria Baseada em Riscos

(ABR)

Foco da auditoria Sistema de controle interno Risco do negócio

Foco de teste Atividades de controle Atividades de mitigação dos

riscos

Foco de relatório Adequação e eficácia do

controle interno

Adequação e eficácia da

mitigação dos riscos

Resultados de

auditoria

Controle novo ou melhoria Mitigação de risco apropriada

Auditoria convencional: Focada nos processos operacionais

Auditoria baseada em riscos: Focada no negócio

Auditoria Convencional versus Auditoria Baseada em Riscos (ABR)

Enfoque Tradicional (AC)Foco nos controles

Enfoque em Riscos (ABR)Foco nos riscos

Testes com base em programa de trabalho

- endereçando objetivos de controle

padrão

Testes com base nos riscos de negócio,

identificados no levantamento de

informações

Testes de todos os controles

Testes focalizados - somente dos controles

que minimizam os riscos relevantes

Inspecionar, detectar e reagir aos riscos de

negócios

Antecipar e prevenir riscos de negócios

na origem

Maior parte do tempo gasto em testes,

validação e consolidação

Maior parte do tempo gasto em

levantamento e análise de informação.

✓ Ênfase na base e amplitude dos testes, ações;

✓ Foco nas duas modalidades de auditoria em questão.

Auditoria Tradicional (AC) Auditoria Moderna(ABR)

Foco Foco nas demonstrações

financeiras

Foco no negócio

Direção Conformidade Desempenho

Enfoque Transações Risco e processo - em trabalho contínuo

Equipe Basicamente de auditores Equipe multidisciplinar

Relatório Parecer, carta de

recomendações

Parecer, business Model, Análise de

riscos, GAP analysis e sugestões de

melhoria.

Auditoria Baseada em Riscos (ABR) como Auditoria Moderna

Aspectos: Destaque para a Direção e para a Equipe.

Auditoria Convencional (AC) versus Auditoria Baseada em Riscos (ABR)

(Condução dos Trabalhos)

Auditoria antiga...(AC) Auditoria moderna...(ABR)

Diz o que deve ser feito para a emissão de

um Parecer

Diz como fazer uma auditoria para emissão

de um Parecer

Utiliza uma linguagem voltada ao mundo

da auditoria

Descreve como atingir os objetivos por

meio da análise dos processos do negócio

do cliente (inclui relação cliente/fornecedor)

Enfoca a auditoria como uma

administração de um projeto

Apresenta ferramentas e técnicas que

podem ser utilizadas em um trabalho de

auditoria

Descreve políticas para obtenção da

qualidade consistente

Descreve como realizar um trabalho –

conforme auditoria moderna

A AC é departamentalizada – por setores A ABR vê a empresa como sistema

integrado – um risco pode permear por

diversos setores

AC: o quê o auditor deve fazer para alcançar os resultados

ABR: como deve fazer seus trabalhos para alcançar os resultados

Auditoria Baseada em Riscos (ABR)

(Vantagens/Benefícios)

Auditoria moderna (ABR) fornece... Por meio de...

Uma forma incomum e detalhada de

entender os negócios do cliente

Foco nos negócios e na indústria que

atua

Diminuição dos riscos Foco nos riscos do negócio do cliente

Eficiência efetiva de auditoria Análise específica dos negócios

Benefício da experiência obtida no

passado

Uso de banco de dados e oportunidade

de novas experiências e aplicabilidade

em outros casos.

Oportunidade de desenvolvimento

profissional de cada membro da equipe

Enfoque de equipe, fornecendo serviços

de forma a atuar em sinergia

Relacionamento de longo prazo com os

clientes – passo para a fidelização

Foco contínuo no negócio – correlação

com os relatórios e resultados.

AC: controles, por si só, não garantem sucesso, pois são pontuais

ABR: agrega valor à organização – negócios e tendências

Auditoria Baseada em Riscos (ABR)

(Desvantagens)

Aspecto Comentário

Auditoria convencional (AC) interna é

mais fácil de praticar

Base em padrões objetivos (controles

internos, metas, legislação, normas,

políticas internas etc.

A ABR requer especialização do auditor

nas áreas afins

Na maior parte do tempo a ABR é

realizada com base em padrões

subjetivos (estratégias, negócios,

clientes, gestão de riscos etc)

Os resultados da AC são mais palpáveis Tem caráter investigativo, corretivo,

reativo. Já, “As medidas de

prevenção (na ABR) embaçam

seus resultados pela

subjetividade”

Estágios da Implementação da ABR

1. Avaliação da maturidade dos riscos

Obtenção de um panorama do quanto o Conselho determina, avalia, maneja e

monitora os riscos. Isso dá uma indicação da confiabilidade do cadastro de riscos

para planejamento da auditoria.

2. Planejamento de auditorias periódicas

Identificação de auditorias de garantia e consultorias para um período específico,

por meio da identificação e priorização de todas as áreas nas quais o Conselho

requer a garantia objetiva, incluindo os processos de gestão de riscos, o manejo dos

riscos-chave e o registro e relato dos riscos.

3. Auditorias individuais

Realização de tarefas individuais baseadas em riscos, incluindo a mitigação de

riscos individuais ou de grupos de riscos.

Os Três Estágios da Auditoria Baseada em Riscos (ABR)

Estágios Objetivos Etapas

1º Estágio: Avaliação

da maturidade dos

riscos – obtenção do

panorama em função do

conselho/direção par o

planejamento

▪ Avaliar a maturidade de riscos da

organização;

▪ Relatar tal avaliação à direção e

ao comitê de auditoria;

▪ Definir estratégia de auditoria.

▪ Discutir (diretores/gerentes) o

entendimento e maturidade de

riscos existente;

▪ Obter documentos refs. à gestão de

riscos na organização;

▪ Concluir sobre maturidade e relatar

à direção e comitê;

▪ Trabalhar com direção sobre ações

propostas em função da avaliação;

▪ Decidir estratégia de auditoria p

avaliação e obter aprovação

(direção/comitê)

2º Estágio:

Planejamento

auditorias periódicas –

identificação de

auditorias de garantia e

consultorias. Priorização

das áreas em que o

conselho requer garantia

objetiva (manejo, riscos-

chave registro e relato)

▪ Harmonizar todas as respostas de

gestão de riscos e processos para

os quais é exigida garantia

objetiva da Auditoria Interna;

▪ Elaborar plano de auditoria com

enumeração de todas a serem

realizadas no período/ano

▪ Identificar as respostas e processos

de gestão de riscos que requerem

garantia objetiva;

▪ Categorizar e priorizar riscos;

▪ Associar riscos a tarefas de

auditoria;

▪ Elaborar plano específico de

auditoria;

▪ Relatar à direção e ao comitê de

auditoria.

Os Três Estágios da Auditoria Baseada em Riscos (ABR)

(Continuação…)

Estágios Objetivos Etapas

3º Estágio: Auditorias

individuais– execução

de tarefas individuais

baseadas em riscos para

obter garantias sobre

partes do arcabouço de

gestão, com mitigação

de riscos individuais ou

de grupos de riscos

▪ A direção identificou, avaliou e

respondeu aos riscos - acima e

abaixo do apetite por riscos;

▪ As respostas aos riscos são

eficazes, mas não em excesso, no

gerenciamento dos riscos

inerentes;

▪ Se os riscos individuais não são

compatíveis com o apetite por

riscos – tomar ações para

remediação;

▪ Os processos de gestão de riscos

são monitorados pela direção

garantindo sua operação eficaz;

▪ Riscos, respostas e ações estão

sendo classificados e relatados

adequadamente.

▪ Definição do escopo planejado da

tarefa;

▪ Avaliação da maturidade de riscos

da unidade que está sendo auditada;

▪ Conclusões sobre a maturidade de

riscos da unidade auditada;

▪ Confirmação do escopo da tarefa;

▪ Discussão e observação dos

controles de monitoramento;

▪ Verificação das evidências,

explicações, retrabalhos etc.;

▪ Documentação dos resultados da

auditoria;

▪ Análise da avaliação dos riscos

residuais – pela direção;

▪ Conclusões sobre respostas e

processos de gestão de riscos

cobertos pela tarefa;

▪ Relato e realimentação (feedback);

▪ Sumário das conclusões da

auditoria para o comitê de

auditoria.

Estágios da ABR Legenda

Fluxo trabalho de auditoria

Fonte quando possível

Relatórios de AI

1. Avaliação da

Maturidade de

Riscos

Estratégia Global

das Auditorias

2. Planejamento

de Auditorias

Periódicas

Plano de

Auditorias

Requisitos de

Garantia

Comitê

de

Auditoria

3. Auditorias

Individuais

Cadastro de

Riscos

Resultados das

Auditorias

Comitê

de

Auditoria

Organização

Risco

de

Mercado

Risco

de

Crédito

Risco

Legal

Risco Operacional

Estágio 1: Ações para atingir os objetivos

1. Discutir com diretoria, o entendimento sobre maturidade de riscos. Ver o que já

foi feito: treinamentos, entrevistas, workshops;

2. Obter documentos que detalhem: objetivos/política da organização, definição do

“apetite” por riscos, se há metodologia de riscos e na tomada de decisão, o

cadastro dos riscos, outros documentos que registrem comprometimento da

direção em relação à gestão de riscos;

3. Avaliar e concluir sobre o grau de maturidade de riscos: habilitado, gerenciado,

definido, consciente e ingênuo (ex. Testes de auditoria);

4. Relatar as conclusões e implicações. O IIA considera que organizações com

grau de maturidade ingênuo ou consciente, não estão em conformidade com as

Diretrizes e Código de governança Corporativa;

5. Discutir com a Direção, quais ações propostas - p. ex., consultoria para AI;

6. Definir estratégia de auditoria, com aprovação da Diretoria e Comitê de

Auditoria.

Elementos potenciais em uma estratégia de auditoria ABR

1. Tipo de garantia que se espera dar;

2. Arcabolço que será utilizado para o planejamento da auditoria;

3. Tipo de consultoria que se espera fornecer.

Organizações com grau de maturidade de riscos ingênuo ou consciente

não conseguirão implementar a ABR imediatamente. Mas, os benefícios

podem ser alguns aspectos, p. ex., a AI pode ajudar a melhorar os processos

de gestão, relatando à direção e ao comitê de auditoria, e promovendo a

gestão de riscos em todas as atividades de AI.

Variedade de estratégias de auditoria

GRAU

DE MATURIDADE

DE

RISCOS

DA ORGANIZAÇÃO

Ing

ênu

o

Estratégia (I):

Registro – não há gestão de riscos

Consultoria , promover gestão de riscos

Plano de auditoria (arcabolço alternativo)

Garantia de processos de controleEstratégia (C)

Relatos de gestão de riscos fraca

Consultoria, promover gestão deriscos

Plano auditoria (arcabolço alternativo)

Garantia dos processos de controle

Estratégia (D)

Relatos de deficiências na gestão de riscos

Consultoria para integrar gestão de riscos

Corrigir/adequar a visão da direção sobre riscos

Garantia das políticas de gestão de riscos

Estratégia (G)

Visão da direção impulsiona plano auditoria

Garantia de gestão de riscos e mitigação

Consultoria para melhorar gestão de riscos

Estratégia (H)

Visão da direção impulsiona planoauditoria

Garantia de gestão de riscos emitigação

Consultoria conforme necessário

Avaliação do grau de maturidade de riscos da organização

Ingênuo Consciente Definido Gerenciado HabilitadoExs. de Testes

de Auditoria

Características-

chave

Nenhuma

abordagem formal

p gestão riscos

Abordagem p

gestão de riscos

dispersa

Estratégias,

políticas

implementadas.

Apetite por riscos

definido

Abordagem

corporativa p gestão

riscos desenvolvida

e comunicada

Gestão de riscos e

controles

incorporados às

operações

Processo

Objetivos da

organização

definidos

Possivelmente Sim – mas

abordagem pode

não ser consistente

Sim Sim Sim Checar se objetivos

são definidos e

comunicados pelo

conselho

Direção foi treinada p

compreender riscos e

responder por eles

Não Algum treinamento

- limitado

Sim Sim Sim Entrevistar gerentes

– confirmar

entendimentos

sobre riscos

Sistema pontuação

para avaliar riscos foi

definido

Não Improvável – sem

definição de

abordagem

consistente

Sim Sim Sim checar se o sistema

de pontuação foi

aprovado,

comunicado e se

está sendo usado

Apetite por riscos da

organização foi

definido em termos

do sistema de

pontuação

Não Não Sim Sim Sim Checar documento

no qual grupo de

controle aprovou

“apetite” por riscos

Avaliação do grau de maturidade de riscos da organização(continuação…)

Ingênuo Consciente Definido Gerenciado HabilitadoExs. Testes de

Auditoria

Processo

Riscos não

analisados pela

organização

regularmente

Não Alguns riscos são

analisados

criticamente, não

frequentemente

Análises críticas

regulares,

provavelmente

anuais

Análises críticas

regulares,

provavelmente

trimestrais

Análises críticas

regulares,

provavelmente

trimestrais

Buscar evidências

de análise crítica -

regularmente pela

diretoria

Administração relata

riscos para diretores

quando as respostas

não conduziram

riscos para nível

aceitável pelo

Conselho

Não Não Sim, mas pode não

ser um processo

formal

Sim Sim Para riscos acima

de “aceitáveis” –

verificar se o

Conselho foi

informado sobre

tais riscos

Novos projetos

significativos são

avaliados quanto a

risco, rotineiramente

Não Não Maioria dos

Projetos

Todos os projetos Todos os projetos Examinar propostas

de projeto para uma

análise dos riscos

que possam

ameaça-los

Responsabilidade

pela determinação

avaliação e manejo

dos riscos está

incluída nas

descrições de cargos

não não limitada Maioria das

descrições de

cargos

Sim Examinar

descrições de

cargos. Verificar

instruções para

estabelecer

descrições de

cargos

Avaliação do grau de maturidade de riscos da organização(continuação…)

Ingênuo Consciente Definido Gerenciado HabilitadoExs. Testes de

Auditoria

Processo

Gerentes dão

garantia da eficácia

de sua gestão de

riscos

Não Não Não Alguns gerentes Sim Examinar a

garantia fornecida.

Para iscos-chave,

verificar se os

controles e o

sistema de gestão

de monitoramento

estão operando

Gerentes são

avaliados quanto ao

seu desempenho na

gestão de riscos

Não Não Não Alguns gerentes Sim Examinar amostra

de avaliações,

buscando

evidências sobre

avaliação dos

gerentes -

adequação quanto

ao seu desempenho

em relação à gestão

de riscos

Abordagem de

Auditoria Interna

Promove a gestão

de riscos e se

baseia em método

alternativo de

planejamento de

auditorias

Promove

abordagem

corporativa de

gestão de riscos e

se baseia em

método alternativo

de planejamento de

auditorias

Facilita a gestão de

riscos ou se

relaciona com a

gestão de riscos e

usa a avaliação dos

riscos pela direção

quando apropriado

Audita os

processos de gestão

de riscos e utiliza a

avaliação dos

riscos pela direção

conforme

apropriado

Audita os

processos de gestão

de riscos e utiliza a

avaliação dos

riscos pela direção

conforme

apropriado

---

A Auditoria Interna (AI) e o Comitê de Auditoria

A Auditoria Interna (AI) O Comitê de Auditoria

Deve analisar criticamente os requisitos de

garantia do comitê de auditoria e o cadastro de

riscos, e enumerar as respostas para as quais é

necessária a garantia objetiva – e informações

sobre riscos aos quais estão relacionadas.

Pode rejeitar a garantia objetiva da AI para o

manejo de todos os riscos. Motivos: a

quantidade de garantia de outras fontes; as

habilidades e competências da atividade de AI

em área específica; e a disponibilidade de

garantia objetiva de outras fontes.

Deve fornecer garantias em partes do

arcabouço de gestão de riscos em si – nos

processos utilizados para identificar e avaliar os

riscos e para decidir quais são as respostas

apropriadas; nos processos para relatar os

riscos para toda organização; e controles de

monitoramento desses processos.

Pode priorizar riscos para a direção, para os

quais gostaria de ter a garantia objetiva,

favorecendo riscos inerentes maiores. Pode não

ser necessária a garantia objetiva para todos os

riscos, todos os anos.

Pode desejar analisar criticamente (detalhes) os

requisitos de garantia do comitê, para garantir

que não se deixe uma lacuna na garantia.---

Não tem que dar garantia em relação a todos os

aspectos do arcabouço de gestão de riscos. ---

Estágio 2: Elaboração do plano de auditoria Legenda

Fluxo trabalho de auditoria

Fonte quando possível

Relatórios de AIEstratégia Global

das Auditorias

Cadastro

de Riscos

Requisitos

de Garantia

Identificar

respostas que

exigem garantia

Priorizar e

categorizar

respostas

Associar

respostas a

auditoria

Elaborar Plano

de Auditorias

Periódicas

RelatóriosDireçãoComitê de

Auditoria

Plano

de Auditorias

Lista de respostas por

categoria e dados de

prioridades e riscos

Lista de auditorias:

dados, respostas,

riscos e prioridades

Perfil dos auditores que utilizam a ABR

▪ Premissa: conhecimento da entidade;

▪ Uso de técnicas não relacionadas à sua formação acadêmica tradicional;

▪ Versatilidade e flexibilidade para o entendimento e avaliação dos riscos.

Processo de Implantação da ABR

Visão dos Modelos Básicos

AUDITORIA CONVENCIONAL ABR (Foco em Riscos)

Foco nas políticas e procedimentos

existentesFoco nos riscos estratégicos

Detecção de problemas e falhasIdentificação dos riscos e otimização

de processos

Restrito a linhas funcionaisCompartilha o conhecimento com a

organização

Abordagens e orientações mais

reativas.

Compreensão do negócio e

orientação pró ativa.

Metodologia de Auditoria Interna Baseada em Riscos

▪ Abordagem top-down (“de cima para baixo”)

▪ Enfoque nos riscos estratégicos;

▪ Direciona os recursos de Auditoria Interna para áreas de maior importância

e valor.

Obs: Abordagem top-down é a diferença mais relevante entre ABR e AC.

Norma ABNT NBR ISO 9001:2015

Sistema de Gestão da Qualidade - Requisitos

Generalidades (0.1 da Norma)

▪ Ajudar, por decisão estratégica, uma organização a melhorar seu desempenho

global;

▪ Prover uma base sólida para iniciativas de desenvolvimento sustentável.

Benefícios potenciais

▪ Prover produtos/serviços que atendam aos requisitos dos clientes e aos requisitos

regulamentares aplicáveis;

▪ Aumentar a satisfação dos clientes;

▪ Abordar os riscos e oportunidades associados;

▪ Demonstrar conformidades com requisitos de SGQ.

“A norma emprega a abordagem de processo (interações), que incorpora o ciclo PDCA (recursos,

melhorias), e a mentalidade de risco (fatores de desvios)”.

Norma ABNT NBR ISO 9001:2015

A Mentalidade de Risco (0.3.3 da Norma)

▪ É essencial para se conseguir um SGQ eficaz;

▪ Conceito correlato às ações preventivas para eliminar não conformidades

potenciais;

▪ Análise de não conformidades para tomada de ação para prevenir recorrências;

Abordagem de Riscos e Oportunidades

▪ A organização precisa planejar e implementar ações para abordar riscos e

oportunidades;

▪ Estabelece base para aumento da eficácia do SGQ, para conseguir resultados

melhorados e para prevenção de efeitos negativos.

“Um desvio positivo proveniente de um risco pode oferecer uma oportunidade”.

Exemplos de Mapeamento de Riscos via ABR

Fonte: Adaptado de - Sebrae/CE (2010)

# RISCO

1Falta de engajamento de equipes para desenvolver ações no interior do

país

2Restrição em inovação por falta de maturidade dos clientes e dos

colaboradores

3Cadastro com deficiências técnicas (insuficiente)para atender as reais

necessidades dos clientes

4Deficiência no monitoramento/acompanhamento da execução dos

projetos – subutilização de ferramentas e indicadores de gestão

5 Comunicação interna inadequada – falta de integração entre ações

6Descumprimento de obrigações (contrapartida financeira) -

comprometimento de planos propostos

7Limitação no atingimento de estratégias de atuação pela restrição do

portfólio de produtos

8Falta de foco de atuação e visão de médio/longo prazo dos empresários

(cultura individualista)

9Tomada de decisão equivocada por influência de informações

gerenciais nos sistemas existentes.

Referências

CCPS. Center for Chemical Process Safety. Diretrizes para segurança de processo baseada

em riscos. Tradução Petrobras/Recursos Humanos/Universidade Petrobras. – 1. ed. – Rio de

Janeiro: Interciência, 2014.

De Cicco. F. Auditoria baseada em riscos - como implementar a ABR nas organizações:

uma abordagem inovadora. Centro da Qualidade, Segurança e Produtividade para Brasil e

América Latina, QSP. Série Risk Management. 2007.

POMMARENING EDVAN JR.; BENCKE FERNANDO FANTONI. Auditoria

convencional e auditoria baseada em riscos; contribuições à gestão organizacional.

Unoesc & Ciência – ACSA, Joaçaba/SC, v.2, n.1., p. 15-26, jan./jun.2011.

PINTO, R.C.S. & BEZERRA,L.B. Implantação da auditoria baseada em risco em uma

entidade do sistema S”: o caso Sebrae/CE. Revista Ambiente Contábil. Universidade

Federal do Rio Grande do Norte. ISSN 2176-9036. Vol.7.n.2, jul/dez 2015.