METODOLOGIA DE AUDITORIA - fonai-mec.com.br · Instituto Brasileiro de Governança Corporativa...

METODOLOGIA DE AUDITORIA

BASEADA EM RISCOS

PARA ELABORAÇÃO DO PAINT

Palestrantes:

Adriana Maria Couto Caruso

Leandro Gomes Amaral

Patrícia Alves Moreira

Agosto – 2016

Santo André/SP

ROTEIRO DA APRESENTAÇÃO

1. Governança

2. Integração do Processo de Gestão de Riscos com

a Estrutura de Controle Interno

3. Introdução à ISO 31000/2009

4. Avaliação da Maturidade de Riscos da

organização

5. Auditoria Baseada em Riscos

6. Aplicação da Metodologia da ABR na UFABC

7. Elaboração do Plano Anual de atividades de

Auditoria Interna – PAINT

8. Instrução Normativa Conjunta Nº 01/2016-

CGU/MPOG

9. COSO 2013/ Controle Interno-Estrutura Integrada

GOVERNANÇA

GOVERNANÇA

Instituto Brasileiro de Governança Corporativa (IBGC)

“(...) é o sistema pelo qual as empresas e demais

organizações são dirigidas, monitoradas e incentivadas,

envolvendo os relacionamentos entre sócios, conselho de

administração, diretoria, órgãos de fiscalização e controle e

demais partes interessadas.” (IBGC, 2016)

GOVERNANÇA

TCU (setor público)

“Governança no setor público compreende essencialmente

os mecanismos de liderança, estratégia e controle postos

em prática para avaliar, direcionar e monitorar a atuação

da gestão, com vistas à condução de políticas públicas e à

prestação de serviços de interesse da sociedade.”

(BRASIL, 2014)

GOVERNANÇA

Governança = Relação entre:

Principal (proprietário) X Agente (gestor)

P População

“Donos” do Recurso

Assimetria de

Informações

Conflitante

Congruente

A Gestores

“Gerem” o Recurso

GOVERNANÇA

Princípios básicos (IBGC) – Para amenizar os conflitos

1) Transparência:

Disponibilizar informações a todos os interessados;

2) Equidade:

Tratar a todos de forma justa (direitos, deveres, interesses, expectativas);

3) Prestação de contas:

Para compreensão de todos e no tempo correto

(Assumir consequências dos atos e omissões);

GOVERNANÇA

4) Responsabilidade corporativa:

zelar pela viabilidade e continuidade do negócio;

considerar a responsabilidade da IFES em relação a:

- pessoal interno (qualidade de vida dos servidores);

- sustentabilidade ambiental;

- à sociedade que a cerca (atendimento das principais

necessidades).

GOVERNANÇA

Governança Pública - Referencial Teórico do TCU

Funções da governança:

definir o direcionamento estratégico

supervisionar a gestão

envolver as partes interessadas

gerenciar riscos estratégicos/ conflitos internos

auditar e avaliar o sistema de gestão e controle

promover a accountability (prestação de contas e

responsabilidade) e a transparência

GOVERNANÇA

Funções da gestão:

implementar programas

garantir a conformidade com as regulamentações

revisar e reportar o progresso de ações

garantir a eficiência administrativa

manter a comunicação com as partes interessadas

avaliar o desempenho e aprender

GOVERNANÇA

Características da Gestão:

- funcionamento do dia a dia

- integrada aos processos organizacionais

- manejo dos recursos

GOVERNANÇA

Direcionar

Monitorar Avaliar

Planejar

Executar Controlar

Agir

Governança Gestão

Estratégia

Accountability

Atores se organizam, interagem e procedem

Estruturas administrativas

(instâncias)

Processos de trabalho

Ferramentas e documentos

Fluxo de informações

Comportamento de pessoas

envolvidas

SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO

GOVERNANÇA

Relação “Principal - Agente no setor público”

Fonte: BRASIL, 2014, p.43.

Principal

Cidadãos

Agentes (delegação de autoridade)

Representantes eleitos

Conselhos

Autoridade máxima

Dirigentes superiores

Dirigentes

Gerentes


a) Instâncias externas

de governança:

Fiscalização, controle e

regulação

Independência

Não estão vinculadas

apenas a uma organização

Exemplos: Congresso

Nacional e TCU

b) Instâncias externas de

apoio à governança

Avaliação, auditoria e

monitoramento independente

Identificação e comunicação

de disfunções às instâncias de

governança

Exemplos: auditorias

independentes e controle

social organizado


c) Instâncias internas de

governança:

Definição e avaliação de

estratégias e políticas

Monitoramento do desempenho,

conforme diretrizes

Responsabilidade por garantir

que as estratégias e políticas

atendam ao interesse público

Exemplos: conselho de administração ou equivalentes

e a alta administração (na ausência daqueles)


GOVERNANÇA

d) Instâncias internas de

apoio à governança:

Comunicação entre partes

interessadas internas e externas

Auditorias internas: avaliam e

monitoram controles internos e

riscos

Comunicam disfunções à alta

administração

Exemplos: ouvidoria, auditoria

interna, comissões e comitês

MECANISMOS DE GOVERNANÇA

1) Liderança

Conjunto de práticas de natureza

humana ou comportamental

Principais cargos ocupados por

pessoas: íntegras, competentes,

capacitadas, responsáveis e

motivadas

Condução do processo para

estabelecer estratégia

Fonte: TCU 2014

GOVERNANÇA

2) Estratégia

Definição e alcance da estratégia leva em conta

aspectos como:

necessidades e expectativas das partes interessadas

ambientes interno e externo

possíveis cenários

alinhamento de estratégias e operações das unidades

de negócio

GOVERNANÇA

3) Controle

Pontos de Controle e sua

avaliação constante

Transparência

Accountability (prestação de

contas e responsabilidade)

COMPONENTES DOS MECANISMOS DE GOVERNANÇA

Fonte: Governança Pública TCU 2014

GOVERNANÇA

Exemplos do mecanismo Liderança

L3 – Liderança organizacional

Administração estabelece estrutura de unidades

funcionais e nomeia gestores para chefiá-las

Delega autoridade

Responsabilidade final permanece com a autoridade

delegante

Alta administração é responsável pelos controles

Apoio da auditoria interna na avaliação dos controles

GOVERNANÇA

L4 – Sistema de governança

Instâncias, fluxo de informações, processos e atividades

GOVERNANÇA

Exemplos do mecanismo Estratégia

E2 – Estratégia organizacional

Partir da visão de futuro, da missão institucional e

dos ambientes interno e externo

Traçar objetivos e desdobrá-los em planos de ação

Prever e prover os recursos adequados

Atuar com eficiência, eficácia, economicidade e

principalmente a efetividade

Fonte: TCU, 2014.

GOVERNANÇA

E3 – Alinhamento Transorganizacional

Coordenação dos múltiplos

atores políticos, administrativos,

econômicos e sociais

(organização não atua sozinha)

GOVERNANÇA

Exemplo do mecanismo Controle

Componente C3 – Accountability e transparência

Prática C.3.1 - dar transparência da organização às

partes interessadas, admitindo-se sigilo como exceção,

nos termos da lei.

Prática C3.2 - prestar contas da implementação e dos

resultados dos sistemas de governança e de gestão, de

acordo com a legislação vigente e com o princípio de

accountability.

Fonte: TCU, 2014.

GOVERNANÇA

Prática C3.3 - avaliar a imagem da organização e a

satisfação das partes interessadas com seus serviços e

produtos.

Prática C3.4 - garantir que sejam apurados, de ofício,

indícios de irregularidades, promovendo a

responsabilização em caso de comprovação.

Fonte: TCU, 2014.

GOVERNANÇA GOVERNANÇA, GERENCIAMENTO DE RISCOS E CONTROLE

Governança

Gerenciamento de riscos

Controles Internos

Objetivos

Riscos Controle

Código de Ética Profissional do Servidor Público Civil do Poder

Executivo Federal (Decreto nº 1.171/1994)

Lei Complementar nº 101/2000 – Lei de Responsabilidade

Fiscal (LRF)

Lei nº 12.813/2013 – trata do conflito de interesses no

exercício de cargo ou emprego do Poder Executivo Federal

Lei nº 12.527/2011 – Lei de Acesso à Informação (LAI)

Instrução Normativa Conjunta CGU/MP nº 1/2016 – dispõe

sobre controles internos, gestão de riscos e governança

no âmbito do Poder Executivo Federal

NORMATIVOS QUE REFORÇAM A GOVERNANÇA

GOVERNANÇA

Acórdão TCU nº 5015/2016 – Segunda Câmara

“1.11. (...) adote, no gerenciamento de seus riscos e na

definição de seus controles, os fundamentos dos modelos de

gestão de riscos Coso I e Coso II, definidos no documento

“Controles Internos – Modelo Integrado”, publicado pelo Comitê

das Organizações Patrocinadoras – Coso, bem como os

mecanismos e práticas de Governança descritos no

“Referencial Básico de Governança Aplicável a Órgãos e

Entidades da Administração Pública e Ações Indutoras de

Melhorias”, publicado pelo Tribunal de Contas da União (...)

grifos adicionados.

GOVERNANÇA

Acórdão TCU nº 1076/2016 – Plenário

“(...) 9.2.2. elabore e implemente o planejamento estratégico

do órgão, bem como desenvolva instrumentos de

monitoramento de resultados, em observância ao princípio do

planejamento constante do Decreto-Lei 200/1967, e tendo por

base as orientações constantes

do Referencial Básico de Governança do TCU, práticas

E.2.1 e E.2.3;

GOVERNANÇA

Acórdão TCU nº 1076/2016 – Plenário

9.2.3. desenvolva estrutura de controles internos

segundo padrões técnicos internacionalmente aceitos, com

vistas a mitigar a exposição aos riscos relacionados com

suas atividades e assegurar que os seus controles

internos sejam eficazes e contribuam para a melhoria do

desempenho organizacional; (...)” grifos adicionados.

GOVERNANÇA

Você fixou o que é Governança e sua importância?

Exercício:

- Grupos de 5 pessoas;

- De Instituições diferentes entre si (se separar de seu

colega de IFE);

- 30 minutos;

- Um colega de cada grupo comenta.

GOVERNANÇA

Exercício:

A Universidade Federal da Esperança - UFE tem um Conselho

Universitário (seu Colegiado Máximo) bastante atuante. Há pouco

tempo, houve uma disponibilidade de recurso para a UFE para

despesas com bolsas, porém, sem especificação exata de qual o

tipo de bolsa a que se destina. O Conselho decidiu em votação

que irá investir o recurso em bolsas de moradia aos alunos. Mas

o Reitor, apesar de Presidente do Conselho, acredita que o

recurso seria melhor destinado para bolsas transporte, pois

considera que UFE é de difícil acesso e isso poderia ajudar mais

os alunos.

GOVERNANÇA

Exercício:

A Universidade Federal da Esperança - UFE tem pouco

tempo para utilizar esse recurso e existe uma pressão muito

grande dos alunos para a concessão das bolsas moradia. A

Auditoria Interna da UFE já havia recomendado à Alta

Administração que agilizasse seu processo de distribuição

de bolsas moradia, pois constatou a necessidade da

comunidade acadêmica.

GOVERNANÇA

Exercício:

O Reitor já havia sido informado por seus assessores que a

qualquer momento iria estourar uma greve das únicas linhas de

ônibus que adentravam o Campus. E em reunião a portas fechadas

com o Prefeito da cidade, obteve a confirmação dessa informação.

Mas achou que tudo se ajeitaria e não seria necessário alarmar a

Comunidade Acadêmica, por meio do Conselho, compartilhando

essas informações.

Houve então, a greve nos transportes coletivos que passavam pela

UFE, restando pouquíssimas opções aos estudantes. E a próxima

reunião do Conselho estava distante.

GOVERNANÇA

Exercício:

Diante dessa situação, o Reitor tomou a iniciativa de

solicitar urgência de seu Pró-Reitor em distribuir

imediatamente o recurso que havia sido destinado pelo

Conselho à bolsa moradia para bolsa transporte. E

assim foi realizado pelo Pró-Reitor responsável e sua

equipe.

GOVERNANÇA

Perguntas:

1) Quem é o Principal (representa a comunidade) e quem é

o Agente (responsável executor)?

2) Havia assimetria de informações? Comente.

3) Houve conflito de agência? Comente.

4) Você, como auditor interno, chamado para auditar esses

processos de bolsas, qual seria a constatação? E a

recomendação?

GOVERNANÇA

Solução:

1)Quem é o Principal (representa a comunidade) e quem é o

Agente (responsável executor)?

Principal é o Conselho e Agente é o Reitor.

2) Havia assimetria de informações?

Sim. O Reitor “guardou” para si o que sabia em relação a greve

dos transportes. (Princípio da Transparência e da

Responsabilidade Corporativa)

3) Houve conflito de agência?

Sim. Antes mesmo da greve, o agente não concordava com a

decisão do Principal.

GOVERNANÇA

Solução:

4)Você, como auditor interno, chamado para auditar esses

processos de bolsas, ao se deparar com essa situação, qual seria

a principal constatação? E a recomendação?

Constatação: Inobservância do Dirigente em relação aos

princípios de Governança, principalmente ao de transparência e

responsabilidade corporativa, descumprindo decisão do

Colegiado Máximo do Órgão.

Recomendação: Que seja apurado o embasamento e

consequências da tomada de decisão do Reitor, de modo que

seja reestabelecida a decisão do Conselho.

GESTÃO DE RISCOS

GESTÃO DE RISCOS

Introdução à ABNT NBR ISO 31000:2009

Escopo da norma: fornece princípios e diretrizes gerais

para a gestão de riscos

É aplicável a organizações públicas ou privadas

Aplica-se, ao longo da vida útil, à ampla gama de:

- atividades

- estratégias, decisões

- operações, processos, funções

- projetos, produtos, serviços, ativos, etc.

GESTÃO DE RISCOS


Considera qualquer tipo de risco

Prevê a necessidade de levar em conta as

especificidades de cada organização

Concepção, estrutura e planos podem variar

conforme os contextos interno e externo

Fornece abordagem para apoiar (não substituir)

outras normas de risco

GESTÃO DE RISCOS


Descreve um processo sistemático e lógico

Estabelece onze princípios para gestão de riscos

eficaz

Recomenda uma estrutura para integrar o processo

em toda a organização

Recomenda a adoção de sete processos de gestão

de riscos

GESTÃO DE RISCOS


Algumas definições:

Gestão de riscos: atividades coordenadas para dirigir e

controlar uma organização no que se refere ao risco.

Apetite por riscos: nível de risco considerado aceitável

pela alta administração.

Nível de risco: magnitude de um risco em termos de

consequência e probabilidade.

GESTÃO DE RISCOS

Risco inerente: risco do negócio, do processo ou da

atividade, independente dos controles adotados.

Risco residual: aquele que permanece após a mitigação

por controles.

Controle: medida que modifica o risco.

Identificação de riscos: processo de busca,

reconhecimento e descrição de riscos.

GESTÃO DE RISCOS

Análise de riscos: processo de compreender a natureza do

risco e determinar o nível de riscos.

Avaliação de riscos: processo de comparar os resultados

da análise de riscos com os critérios.

Critérios de risco: referência pela qual o risco é avaliado.

Tratamento de riscos: processo de modificar o risco.

Risco: efeito da incerteza nos objetivos.

GESTÃO DE RISCOS

Resposta: sim. De acordo com a

ISO 31000:2009, o efeito pode ser

positivo ou negativo.

Questão: O risco pode ser positivo?

GESTÃO DE RISCOS

Efeito - desvio em relação ao esperado – positivo ou

negativo.

Incerteza - o estado, mesmo que parcial, da deficiência de

informações relacionadas a um evento, sua compreensão,

seu conhecimento, sua consequência ou probabilidade.

Objetivos - podem ser de diferentes aspectos e se aplicar a

diferentes níveis.

GESTÃO DE RISCOS

Riscos estão sempre associados a objetivos

- Riscos positivos (oportunidades) podem contribuir para o

alcance e superação dos objetivos

- Riscos negativos podem prejudicar o alcance dos

objetivos

Não existe risco igual a zero (deriva da incerteza)

Risco é diferente de problema

Tratar Resolver

GESTÃO DE RISCOS

A magnitude do risco é dada por

probabilidade x impacto

Não gerenciar riscos

importantes pode resultar em

grandes perdas e catástrofes

Exemplo: naufrágio do Titanic

https://www.youtube.com/watch?v=W6438o9GHhI

GESTÃO DE RISCOS

Naufrágio do Titanic (abril de 1912)

Alguns detalhes do navio:

- Titanic: Era o maior e mais moderno transatlântico da época

- Tinha um comandante experiente em navegação (Smith)

- Era um meio para transporte de correspondências

- Sua viagem inaugural seria de Southampton (Inglaterra) a

New York (EUA)

GESTÃO DE RISCOS

Naufrágio do Titanic (abril de 1912)

- Atrasou na chegada ao primeiro destino (Cherbourg - França)

- Realizou a rota pelas águas geladas do Atlântico Norte

- Chocou-se com um iceberg na noite de 14/04/1912

- Naufragou no início do dia 15/04/1912, 2h40 depois da

colisão

- Mais de 1500 mortos

- Cerca de 700 sobreviventes, menos de 1/3 do total de

passageiros

GESTÃO DE RISCOS

Imaginemos quais seriam os objetivos do Titanic...

- Realizar o percurso dentro do tempo previsto

- Conquistar o mercado no transporte de correspondências

- Proporcionar luxo e conforto aos passageiros da primeira

classe

GESTÃO DE RISCOS

E os riscos do processo de navegação...

- Atrasos na partida ou durante a viagem

- Acidente grave (colisão com iceberg)

- Danos irreversíveis na estrutura do navio (rebites)

- Falha humana (capitão Smith)

- Falha nos equipamentos de navegação e comunicação

GESTÃO DE RISCOS

Causas Eventos Consequências

Mau tempo

Navegação em alta

velocidade

Deficiências no projeto

Ausência de diretrizes e

procedimentos

Ausência de testes e

manutenção dos

equipamentos

Atrasos

Acidente grave

Avarias no navio

Falha humana

Falha nos equipamentos

Perdas financeiras

Feridos e mortos

Inundação dos

compartimentos

Naufrágio

Perda de comunicação

GESTÃO DE RISCOS

Análise SWOT (Strenghts, weaknesses,

opportunities, threats)

Strenghts (forças)

Weaknesses (fraquezas)

Opportunities (oportunidades)

Threats (ameaças)

SWOT

Fatores do ambiente interno

Fatores do ambiente externo

GESTÃO DE RISCOS

Forças (pontos fortes):

características positivas internas

que a organização pode explorar

para atingir as suas metas.

Exemplos: equipe experiente e

motivada, recursos tecnológicos,

etc. (BRASIL, 2010).

Análise do ambiente interno

GESTÃO DE RISCOS

Fraquezas (pontos fracos):

características negativas internas que

podem inibir ou restringir o

desempenho da organização. Devem

ser superadas ou contornadas a fim

de que se atinja o desempenho

desejado. Exemplos: alta

rotatividade de pessoal, excesso de

burocracia, etc. (BRASIL, 2010).

Análise do ambiente interno

GESTÃO DE RISCOS

Análise do ambiente externo

Oportunidades: características positivas externas, não

controláveis pela organização, com potencial para

ajudá-la a atingir ou mesmo exceder as metas

planejadas. Exemplos: diretrizes governamentais

favoráveis, parcerias inesperadas, etc. (BRASIL, 2010).

GESTÃO DE RISCOS

Análise do ambiente externo

Ameaças: características negativas externas, não

controláveis pela organização, que podem impedi-la de

atingir as metas planejadas e comprometer o

crescimento organizacional. Exemplos: dispersão

geográfica do público alvo, crises política e fiscal, etc.

(BRASIL, 2010).

GESTÃO DE RISCOS

Objetivo: compartilhar conhecimentos sobre o assunto

com os servidores integrantes das Auditorias Internas.

Fraquezas (ambiente interno) Ameaças (ambiente externo)

F1 Histórico de poucas apresentações em público

A1 Falta de quórum

F2 Não conheço todos os aspectos do assunto

A2 Não ter café

F3 Indisponibilidade de apresentações sobre o assunto

A3 Não ter sala disponível para data prevista do evento

F4 Tempo compartilhado com diversas atividades

A4 Indisponibilidade de internet

F5 Perfeccionismo estético exigido pela colega “Adriana”

A5 Indisponibilidade de equipamentos para apresentação

GESTÃO DE RISCOS

Isso implica adotar novos

controles ou revisar os

existentes

O risco pode ser modificado

em termos de sua

probabilidade ou de seu

impacto (consequência)

O controle modifica o risco!

GESTÃO DE RISCOS

Matriz de Risco ou Diagrama de Verificação de Risco

Baixa probabilidade e alto impacto

Alta probabilidade e alto impacto (riscos

inaceitáveis)

Tratamento prioritário

Baixa probabilidade e baixo impacto

(riscos aceitáveis)

Alta probabilidade e baixo impacto

Matriz de Risco

Probabilidade

Imp

ac

to

GESTÃO DE RISCOS

Risco inerente x risco residual

Fonte: Adaptado de QSP , 2014.

Risco

Resi-

dual

Probabilidade

Imp

acto

Resposta

Risco

Inerente

Nível aceitável

Reduzir

compartilhar

Controle

GESTÃO DE RISCOS

Princípios para gerenciar riscos (ISO 31000:2009)

Uma gestão de riscos eficaz:

a) cria e protege valor contribui para realização dos objetivos e melhoria do desempenho

b) é parte integrante de todos os processos organizacionais

- não é uma atividade autônoma - faz parte das responsabilidades da

administração - parte integrante de todos os processos

c) é parte da tomada de decisões

auxilia os tomadores de decisão a fazer escolhas conscientes e priorizar ações

d) aborda explicitamente a incerteza

considera a incerteza, sua natureza e como pode ser tratada

GESTÃO DE RISCOS


e) é sistemática, estruturada e oportuna contribui para a eficiência e resultados conscientes, comparáveis e confiáveis

f) baseia-se nas melhores informações disponíveis

- tem entradas para o processo de gerenciar riscos baseadas em fontes de informação (dados históricos, experiências, observações, previsões, opiniões de especialistas, informações das partes interessadas)

- considera limitações dos dados ou modelos utilizados

g) é feita sob medida alinha-se com os contextos interno e externo e com o perfil do risco

h) considera fatores humanos e culturais reconhece capacidades, percepções e intenções do pessoal que podem facilitar ou dificultar a realização dos objetivos

GESTÃO DE RISCOS


i) é transparente e inclusiva

- contempla o envolvimento apropriado e oportuno das partes interessadas e, em particular, dos tomadores de decisão em todos os níveis da organização

- permite a devida representação pelas partes interessadas e que suas opiniões sejam consideradas na determinação dos critérios de risco

j) é dinâmica, iterativa e capaz de reagir a mudanças

- percebe e reage às mudanças nos contextos interno e externo

- considera novas informações advindas do monitoramento e da análise crítica

k) facilita a melhoria contínua da organização

melhora a maturidade da gestão de riscos junto com os demais processos

GESTÃO DE RISCOS

Estrutura (framework)

Componentes que fornecem fundamentos e arranjos

organizacionais para:

- concepção (plan)

- implementação (do)

- monitoramento (check)

- análise crítica (check)

- melhoria contínua (act)

ESTRUTURA PARA GERENCIAR RISCOS

Concepção da estrutura para gerenciar riscos

Implementação da Gestão de Riscos

Monitoramento e análise crítica da estrutura

Melhoria contínua da estrutura

Mandato e

comprometimento

Mandato e comprometimento (item 4.2 da ISO

31000:2009)

A introdução da gestão de riscos e a garantia de sua

eficácia requerem:

• comprometimento forte e sustentado assumido pela

administração

• obtenção do comprometimento em todos os níveis


Para tanto, é conveniente que a administração:

a) defina e aprove a política de gestão de riscos (GR)

b) assegure o alinhamento da política de GR à cultura da

organização

c) defina indicadores para GR alinhados com os

indicadores de desempenho da organização

d) alinhe os objetivos da GR com os objetivos estratégicos

da organização


e) assegure conformidade legal e regulamentar

f) atribua responsabilidades

g) assegure os recursos necessários

h) comunique os benefícios da GR aos interessados

i) assegure estrutura apropriada para gerenciar riscos


(item 4.3 da ISO 31000:2009)

Requisitos:

a) entendimento da organização e seu contexto

b) estabelecimento de política de gestão de riscos

c) responsabilização

d) integração nos processos organizacionais

e) recursos;

f) estabelecimento de mecanismos de comunicação e

reportes internos e externos

CONCEPÇÃO DA ESTRUTURA PARA GERENCIAR RISCOS

MONITORAMENTO E ANÁLISE CRÍTICA DA ESTRUTURA


Consiste em:

- medir o desempenho da GR utilizando indicadores,

analisados criticamente de forma periódica

- medir periodicamente o progresso ou o desvio em

relação ao plano de gestão de riscos

MONITORAMENTO E ANÁLISE CRÍTICA DA ESTRUTURA


Consiste em:

- analisar criticamente se a política, o plano e a estrutura

ainda são apropriados, dados os contextos externo e

interno

- reportar os riscos, o progresso do plano e como a

política está sendo seguida

- analisar criticamente a eficácia da estrutura da gestão

de riscos

MELHORIA CONTÍNUA DA ESTRUTURA

Melhoria contínua da estrutura

Com base nos resultados do monitoramento e das análises

críticas, decisões são tomadas a respeito de como...

.

Política

podem ser aprimorados

PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)

Processo de avaliação de riscos

1. Identificação de riscos

2. Análise de riscos

3. Avaliação de riscos



A finalidade é gerar uma lista abrangente de riscos

Eventos que possam aumentar, evitar, reduzir, acelerar ou

atrasar a realização dos objetivos

A identificação deve incluir todos os riscos, mesmo aqueles

cujas fontes não sejam evidentes ou não estejam sob controle da

instituição


Busca reconhecimento Descrição de riscos


Observações:

é relevante identificar eventos que nunca

aconteceram, não somente os que já ocorreram

utilizar técnicas que estimulem a imaginação e

criatividade sobre o que poderia acontecer

Técnica Brainstorm


Onde probabilidade e consequência podem ser

expressas qualitativamente ou quantitativamente

Nível de risco = probabilidade x consequência (impacto)


Compreender a natureza

Determinar o nível

de risco (NR)

2. Análise de Riscos

Compreensão dos riscos

Fontes e causas

Consequências positivas ou

negativas

Probabilidades Consequências

Fatores que afetam

probabilidades e consequências


Resultado: níveis de risco (NR)

P X C 1 2 4 8 16

5 5 10 20 40 80

4 4 8 16 32 64

3 3 6 12 24 48

2 2 4 8 16 32

1 1 2 4 8 16


Fonte: adaptado de QSP, 2014.

3. Avaliação de riscos

Quais riscos devem ser tratados?

Quais devem ser priorizados?

Avaliação

Análise de riscos

Critérios

de risco


Possíveis tratamentos

Reter

Modificar

Evitar

Remover a fonte

Transferir


Objetivos

Monitoramento

Análise crítica

Garantir controles eficazes e eficientes

Obter informações adicionais para melhorar a avaliação de riscos

Analisar os eventos, as mudanças, tendências, sucessos, fracassos e aprender

Detectar mudanças nos contextos externo e interno

Identificar riscos emergentes


EXERCÍCIO

A alta administração da Universidade estabeleceu política

e implantou estrutura para gestão de riscos integrada aos

demais processos organizacionais. Você, como gestor

responsável por gerir os riscos associados às atividades

que coordena, deve identificar 5 riscos que possam

impactar os resultados de sua instituição.

EXERCÍCIO

Utilizar a técnica Brainstorm para preencher as seguintes

informações no Formulário para Avaliação de Riscos:

processo /atividade

objetivo

descrição do risco

as potenciais causas geradoras desses eventos

as consequências

EXERCÍCIO

A partir das informações constantes do exercício anterior,

preencher as seguintes informações no Formulário

para Avaliação de Riscos:

(Tempo: 60 minutos)

probabilidade monitoramento

impacto Nova probabilidade

nível de risco inerente Novo impacto

resposta ao risco Nível de risco residual

tratamento Pontuação de controle

CONTROLE INTERNO

Definição:

“Controle interno é um processo conduzido pela estrutura

de governança, pela administração e por outros

profissionais da entidade, desenvolvido para

proporcionar segurança razoável com respeito à

realização dos objetivos relacionados a operações,

divulgação e conformidade.” (COSO, 2013).

CONTROLE INTERNO

O controle interno é...

conduzido para atingir objetivos

um processo

um meio para se atingir o fim

realizado por pessoas

adaptável a toda entidade – flexível

proporciona razoável segurança sobre a realização dos

objetivos

CONTROLE INTERNO

Existem limitações, riscos e incertezas nos sistemas de

controle

Garantia absoluta não é possível

Possibilidade de erro humano

Potencial impacto de eventos externos (fora do controle)

CONTROLE INTERNO

Aumenta a probabilidade

de atingir os objetivos

CONTROLE INTERNO

Objetivos

Riscos (eventos)

Controles (tratamento) Resposta

CONTROLE NA ADMINISTRAÇÃO PÚBLICA

CONTROLE NA ADMINISTRAÇÃO PÚBLICA

CONTROLE PRINCIPAIS

ATRIBUIÇÕES ATORES

CARACTERÍSTICA PRINCIPAL

SOCIAL

Acompanhamento do Planejamento/execução

da gestão

Representação popular

Representatividade

EXTERNO Julgar as contas Fiscalizar Poder Legislativo

Tribunal de Contas

Independência

INTERNO

Avaliar a gestão Fiscalizar

Apoiar o Controle externo

Órgãos específicos

do Sistema de Controle Interno

Proximidade da gestão

ADMINISTRATIVO Prever e mitigar riscos

na execução Gestor Integrado à gestão

Portanto...

controle interno não é sinônimo de auditoria interna

CONTROLE INTERNO

Conduzem o processo:

estrutura de

governança

Administração

outros profissionais

da entidade

Processo conduzido por

unidade de auditoria

interna pertencente à

estrutura da entidade

ELABORAÇÃO DO PAINT

O Plano Anual de Atividades de Auditoria Interna

(PAINT) deve conter (Instrução Normativa CGU nº 24, de

17 de novembro de 2015):

Definição de temas e macroprocessos a serem

trabalhados

Priorização de ações orientada por avaliação de riscos

Estimativa de horas, recursos e prazos das ações de

auditoria

Estimativa de horas para capacitação dos auditores


Devem ser considerados fatores tais como:

Elaboração do PAINT

Planejamento estratégico

Estrutura de governança

Gerenciamento de riscos

Controles existentes

Planos, metas, objetivos

políticas

programas


Cenário:

a planificação das ações deve considerar as três

variáveis básicas: materialidade, relevância e risco

mas será que as unidades de auditoria interna

dispõem de tempo e recursos suficientes para

avaliar, durante um período, todos os controles

internos da organização?

Necessidade de priorização (áreas, processos,

atividades, etc.)


Aplicação de metodologia

Alinhamento às práticas internacionais

- Institute of Internal Auditors (IIA)

- Committee of Sponsoring Organizations (COSO)

-International Organization of Supreme Audit Institutions

(INTOSAI)

Novo enfoque dos órgãos federais de controle:

orientação para o risco

Ex. Auditoria operacional do Tribunal de Contas da União (TCU)


AUDITORIA BASEADA EM RISCOS (ABR)

METODOLOGIA DE AUDITORIA BASEADA

EM RISCOS UFABC

PROCESSO DA AUDITORIA BASEADA EM RISCOS (ABR)

ABR

Avaliação Institucional

(e-Sic, Ouvidoria,

Monitoramento AUDIN,

Recomendações CGU/TCU,

Avaliação de Desempenho)

Avaliações das áreas

responsáveis pelos

processos finalísticos

Execução Orçamentária

Histórico de ações

Avaliação de

controles internos

(avaliação pelos

gestores estratégico,

tático e operacional)

Matriz de Riscos


Diferença entre gestão de riscos e Auditoria

Baseada em Riscos

Relembrando, gestão de riscos consiste em:

“Atividades coordenadas para dirigir e controlar uma

organização no que se refere ao risco.” (item 2.2 da ABNT

NBR ISO 31000/2009) (grifos adicionados)

Responsabilidade da Alta Administração


ABR é uma metodologia que associa:

Fonte: baseado na definição do The Institute of Internal Auditores – IIA.

Garantia à alta administração de que os riscos estão

sendo gerenciados de maneira eficaz

Tem por base o apetite por riscos (nível aceitável)

Auditoria Interna

Estrutura global da gestão de riscos da

organização


Visa reforçar as responsabilidades da direção em

relação à gestão de riscos

ATENÇÃO!!!

Se a ABR for nova para a organização, a

Auditoria Interna precisa promover o

conceito para a Alta Administração


Enfoque apenas na conformidade

Identificação de irregularidades e fraudes

Enfoque nos riscos do negócio e nos controles internos implantados pelos gestores para assegurar o alcance dos objetivos

Evolução do papel desempenhado

pela auditoria interna


A implementação da ABR ocorre em três estágios:

1) Avaliação da maturidade de riscos

2) Planejamento de auditorias periódicas

3) Auditoria individual de garantia



Em que medida a direção e a administração

gerenciam riscos?

- Indica a confiabilidade do controle de riscos

- Define estratégia da ABR

- Orienta o planejamento da auditoria



Ingênuo

Avaliação da maturidade de riscos da Instituição

Nenhuma abordagem formal

desenvolvida

Abordagem dispersa com base

fundamentada

Estratégia e política

implementadas e comunicadas.

Apetite definido

Abordagem corporativa

desenvolvida e comunicada

Gestão de riscos e controles

internos totalmente

incorporados às operações

Consciente

Definido

Gerenciado

Habilitado

Qual estratégia de auditoria adotar?

Ingênuo

Consciente

Definido Gerenciado

Habilitado

A estratégia a ser adotada depende do grau de

maturidade da Instituição

IMPLEMENTAÇÃO DA ABR – 1°ESTÁGIO


I. Estratégia para grau de maturidade Ingênuo:

relatar que não há gestão de riscos formal

consultoria para promover gestão de riscos

elaboração de plano de auditorias por arcabouço

alternativo

garantia dos processos de controle



II. Estratégia para grau de maturidade consciente:

relatar gestão de riscos fraca

consultoria para promover gestão de riscos

elaboração de plano de auditorias por arcabouço

alternativo

garantia dos processos de controle



III. Estratégia para grau de maturidade definido:

relatar deficiências na gestão de riscos

consultoria para integrar a gestão de riscos

reforçar visão da direção sobre riscos

garantia da política de gestão de riscos (há apetite por

riscos definido) e dos processos de controle



IV. Estratégia para grau de maturidade gerenciado:

garantia dos processos de gestão de riscos

consultoria para melhorar a gestão de riscos



V. Estratégia para grau de maturidade habilitado:

garantia dos processos de gestão de riscos

consultoria conforme necessidade



Grau de Maturidade

Garantia Consultoria Planejamento

Ingênuo Processos de

controle Promover a

gestão de riscos Arcabouço alternativo

Consciente Processos de

controle Promover a

gestão de riscos Arcabouço alternativo

Definido

Política de gestão de riscos e processos de

controle

Reforçar visão da direção

Arcabouço alternativo

Gerenciado Processos de

gestão de riscos Melhorar a

gestão de riscos Base no cadastro

de riscos

Habilitado Processos de

gestão de riscos Conforme

necessidade Base no cadastro

de riscos


Itens a avaliar

Grau de maturidade

de 1 a 5

1. Os objetivos da organização estão definidos.

2. A direção foi treinada para compreender os riscos e sua

responsabilidade por eles.

3. Foi definido um sistema de pontuação para avaliar os riscos.

4. O apetite por riscos da organização foi definido em termos de um

sistema de pontuação.

5. Foram definidos processos para determinar riscos. Esses processos

são seguidos.

6. Todos os riscos foram compilados em uma lista. Os riscos foram

alocados a cargos específicos.

7. Todos os riscos foram avaliados de acordo com o sistema de

pontuação definido.

8. As respostas aos riscos (por ex.: controles) foram selecionadas e

implementadas.

9. A direção estabeleceu controles para monitorar a operação adequada

dos controles-chave.

10. Os riscos são analisados criticamente pela organização de forma

regular.

11. A administração relata os riscos para os diretores quando as

respostas aos riscos não reduzem tais riscos a um nível aceitável.

12. Todos os novos projetos significativos são avaliados rotineiramente

quanto a riscos.

13. A responsabilidade pela determinação, avaliação e manejo dos riscos

está incluída nas descrições de cargos.

14. Os gerentes dão garantia da eficácia de sua gestão de riscos.

15. Os gerentes são avaliados quanto ao seu desempenho no

gerenciamento de riscos.

Pontuação total

Média

MATURIDADE DE RISCOS

Questões / Processos G1 G2 G3 Total

1. Os objetivos da organização estão definidos.

2. A direção foi treinada para compreender os riscos e sua responsabilidade por eles.

3. Foi definido um sistema de pontuação para avaliar os riscos.

4. O apetite por riscos da organização foi definido em termos de um sistema de pontuação.

5. Foram definidos processos para determinar riscos. Esses processos são seguidos.

6. Todos os riscos foram compilados em uma lista. Os riscos foram alocados a cargos específicos.


7. Todos os riscos foram avaliados de acordo com o sistema de pontuação definido.

8. As respostas aos riscos foram selecionadas e implementadas.

9. A direção estabeleceu controles para modificar a operação adequada dos controles-chave.

10. Os riscos são analisados criticamente pela organização de forma regular.

11. A administração relata os riscos para os diretores quando as respostas não reduzem tais riscos a um nível aceitável.

12. Todos os novos projetos significativos são avaliados rotineiramente quanto a riscos.

MATURIDADE DE RISCOS

GESTÃO DE RISCOS

Fonte: QSP, 2014.


13. A responsabilidade pela determinação, avaliação e manejo dos riscos está incluída nas descrições dos cargos.

14. Os gerentes dão garantia da eficácia de sua gestão de riscos.

15. Os gerentes são avaliados quanto ao seu desempenho no gerenciamento de riscos.

Média aritmética


Possibilidades de atuação da auditoria interna

RISCO

AVALIAR OS RISCOS

PLANEJAMENTO DAS AUDITORIAS

APONTAR PROVIDÊNCIAS NECESSÁRIAS

AVALIAR A GESTÃO DE

RISCOS

FUNCIONAMENTO DA GESTÃO DE

RISCO

No caso de ainda não existir gestão de riscos implantada

Quando a gestão de riscos já estiver implantada

IMPLEMENTAÇÃO DA ABR – 2º ESTÁGIO

2) Elaboração de um plano de auditorias periódicas

Auditorias de garantia e consultorias para um

período (PAINT)

Priorizar e categorizar riscos

Observação: se a maturidade for baixa, o cadastro de riscos

pode não ser confiável!

Necessidade de garantia para respostas

(tratamentos) e processos de gestão de risco


ABR não trata de auditar os riscos, mas sim as

respostas adotadas pela administração

processos de gestão de riscos e controles

Garantia sobre o

funcionamento dos:



Representação da garantia proporcionada pela ABR

Fonte: QSP – Série Risk Management, 2007 .

Risco Resi-dual

Probabilidade

Imp

acto

Resposta

Risco Inerente

Apetite por riscos

A ABR dá garantia de que a resposta está operando de maneira eficaz



Possibilidades de atuação da auditoria interna

RISCO

AVALIAR OS RISCOS

PLANEJAMENTO DAS AUDITORIAS

APONTAR PROVIDÊNCIAS NECESSÁRIAS

AVALIAR A GESTÃO DE

RISCOS

FUNCIONAMENTO DA GESTÃO DE

RISCO

No caso de ainda não existir gestão de riscos implantada

Quando a gestão de riscos já estiver implantada

METODOLOGIA DE AUDITORIA BASEADA EM RISCOS - ABR

Passo a passo da ABR

Avaliar a maturidade da

Instituição

Definir o tipo de abordagem que

será adotada

Analisar Estrutura organizacional

Definir níveis hierárquicos para

aplicação do questionário

Aplicar o questionário

Análise da AUDIN e informações institucionais

Consolidar as informações

Gerar a Matriz de Riscos

Selecionar os processos que serão

auditadosElaborar o PAINT

Histórico

2012 - metodologia considerou apenas a percepção dos

auditores

2013 - metodologia considerou as visões do gestor nível

tático, da equipe da Auditoria Interna e da auditora-chefe

2014 - metodologia considerou a percepção dos gestores dos

níveis estratégico, tático e operacional, bem como a

avaliação da Auditoria Interna

2015 – Enfoque maior na atividade fim e redução da

sujetividade por parte da AUDIN


Estudo de caso: versão 2014 do Projeto

Maturidade da gestão de riscos (nível 1 - ingênuo)

- Planejamento baseado em arcabouço alternativo

- Relato para a alta administração

- Consultoria para promover a gestão de riscos

- Garantia dos processos de controle

Estabelecimento de critérios (atores envolvidos,

questões avaliadas, ponderações, etc.)


Matriz de Risco que possibilite:

Subsidiar o planejamento dos trabalhos de auditoria, quando

da elaboração do PAINT, na definição do escopo da análise

e no direcionamento geral dos trabalhos;

Contribuir para a análise da gestão;

Prover informações gerenciais;

Subsidiar a tomada de decisões; e

Promover um melhor conhecimento sobre o sistema de

controle interno da UFABC.

RESULTADOS ESPERADOS - ABR


Macroprocesso de Elaboração do PAINT

ETAPAS DA AVALIAÇÃO

Os riscos devem ser avaliados da seguinte forma:

identificação das unidades administrativas da UFABC

passíveis de auditoria;

avaliação do risco correspondente a cada área, segundo as

visões do gestor e do auditor;

estabelecimento de classificação em função do grau de risco;

identificação de processos chaves e críticos geridos pelas

unidades administrativas;

elaboração do plano anual de auditoria baseado na avaliação

de riscos.

a avaliação de risco será obtida mediante dados

provenientes dos gestores das áreas, nos níveis

estratégico, tático e operacional, e da percepção dos

auditores

APLICAÇÃO DE METODOLOGIA ABR NA UFABC

ESTRUTURA ORGANIZACIONAL

ESTRUTURA ORGANIZACIONAL

Riscos estratégicos, Coorporativos, etc

Riscos em Unidades, Divisões, etc

Riscos em Projetos, Áreas, etc


Gestor nível estratégico: Pró-Reitor, Diretor, Coordenador,

Superintendente, Chefe de Gabinete e Prefeito Universitário.

Gestor nível tático: Coordenador e Chefe de Divisão.

Gestor nível operacional: selecionado, por amostragem, de

acordo com os critérios de quantidade de pessoas lotadas nas

unidades; tempo de atuação; e representatividade no contexto da

estrutura organizacional da área.


Questionário adaptado do TCU (fatores do COSO I)

Os gestores de nível estratégico, tático e operacional

respondem, de acordo com sua visão, a cada uma das

afirmativas, observando a seguinte escala:

(0) Concorda totalmente: a afirmativa é totalmente aplicada.

(1) Concorda parcialmente: a afirmativa é aplicada em sua maioria.

(2) Não concorda, parcialmente: a afirmativa é aplicada apenas em

sua minoria.

(3) Não concorda, em sua totalidade: a afirmativa não é aplicada.


FATORES A SEREM AVALIADOS

AMBIENTE DE CONTROLE

1. Os mecanismos gerais de controle instituídos pela área são percebidos por todos

os servidores e funcionários nos diversos níveis da estrutura da área.

2.Os procedimentos e as instruções operacionais são padronizados e estão

formalizados.

3. Há mecanismos que garantem ou incentivam a participação dos servidores dos

diversos níveis da estrutura da área na elaboração dos procedimentos das

instruções operacionais.

4. As delegações de autoridade e competência são acompanhadas de definições

claras das responsabilidades.

5. Existe adequada segregação de funções nos processos e atividades de

competência da área.

6. Os controles internos adotados contribuem para a consecução dos resultados

planejados pela área.

AVALIAÇÃO DE RISCO

7. Os objetivos e metas da área estão formalizados.

8. Há clara identificação dos processos críticos para a consecução dos objetivos e

metas da área.

9. É prática da área o diagnóstico dos riscos (de origem interna ou externa) envolvidos

nos seus processos estratégicos, bem como a identificação da probabilidade de

ocorrência desses riscos e a consequente adoção de medidas para mitigá-los.

10. Os riscos identificados são mensurados e classificados de modo a serem tratados

em uma escala de prioridades e a gerar informações úteis à tomada de decisão.


PROCEDIMENTOS DE CONTROLE

11. Existem políticas e ações, de natureza preventiva ou de detecção, para diminuir os

riscos e alcançar os objetivos da área, claramente estabelecidas.

12. As atividades de controle adotadas pela área são apropriadas, funcionam

consistentemente e possuem custo apropriado ao nível de benefícios que possam

resultar de sua aplicação.

INFORMAÇÃO E COMUNICAÇÃO

13. A informação relevante para área é devidamente identificada, documentada,

armazenada e comunicada tempestivamente aos interessados.

14. As informações consideradas relevantes pela área são de qualidade suficiente para

permitir ao pessoal da área tomar as decisões apropriadas.

15. A comunicação das informações perpassa todos os níveis hierárquicos da área, em

todas as direções, por todos os seus componentes e por toda a sua estrutura.


MONITORAMENTO

16. O sistema de controles internos da área é constantemente monitorado para avaliar sua

validade e qualidade ao longo do tempo.

17. O sistema de controles internos da área tem sido considerado adequado e efetivo

pelas avaliações realizadas.

18. O sistema de controles internos da área tem contribuído para a melhoria de seu

desempenho.

OPÇÕES DE ESCOLHA

Concorda Totalmente: A afirmativa é totalmente aplicada.

Concorda Parcialmente: A afirmativa é aplicada em sua maioria.

Não concorda, parcialmente: A afirmativa é aplicada apenas em sua minoria.

Não concorda, em sua totalidade: A afirmativa não é aplicada.



Avaliação pela Auditoria Interna - questões:

1) A área executa processos críticos (volume financeiro) ou

chaves (relacionados com atividades finalísticas da

instituição)?

(0) Não ; (10) sim


2) Quando foi a última vez que a área foi auditada?

(0) Nos últimos 6 (seis) meses

(5) No intervalo de 6 (seis) a 12 (doze) meses

(10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses

(15) Há mais de 2 (dois) anos

(20) Nunca


3) Qual o montante em recursos orçamentários

movimentado pela área?

(0) De R$ 0,00 a R$ 100.000,00

(5) De R$ 100.000,01 a R$ 1.000.000,00

(10) De R$ 1.000.000,01 a R$ 10.000.000,00

(15) De R$ 10.000.000,01 a R$ 50.000.000,00

(20) Acima de R$ 50.000.000,00


4) Com base nos conhecimentos/experiência dos auditores,

como são avaliados os controles internos da área?

(0) Ótimos

(5) Bons

(10) Razoáveis

(15) Frágeis

(20) Muito frágeis


5) Com base nos conhecimentos/experiência dos auditores,

as informações disponibilizadas pela área, nos mais

variados meios, são dotadas de qualidade e propiciam uma

comunicação adequada com interessados?

(0) Frequentemente

(5) algumas vezes

(10) raramente


6) Qual a probabilidade e o impacto de riscos à imagem da

UFABC nos processos executados pela área?

(0) Baixa probabilidade e baixo impacto

(5) Alta probabilidade e baixo impacto

(10) Baixa probabilidade e alto impacto

(15) Alta probabilidade e alto impacto


7) A área costuma acatar/implementar recomendações feitas

pela Auditoria Interna e pelos órgãos de controle (CGU e

TCU)?

(0) Não houve recomendação;

(1) sempre;

(2) frequentemente;

(3) algumas vezes;

(4) raramente;

(5) nunca

ELABORAÇÃO DA MATRIZ DE RISCOS - ABR

Avaliação do “grau de risco” (vulnerabilidade) das áreas

administrativas

Valor expresso em porcentagem

Classificação dos setores conforme seu “grau de risco”

Identificação de processos chaves (atividade finalística)

e críticos (volume de recursos) geridos pelas áreas

mais vulneráveis

Elaboração do PAINT a partir dos resultados do método


Cálculo do “grau de risco”: média ponderada das

avaliações

1) Grau de risco gestor = (% A1 + % A2 + % A3) / 3

Sendo:

% A1 - calculado a partir da avaliação do gestor estratégico

% A2 - calculado a partir da avaliação do gestor tático

% A3 - calculado a partir da avaliação do gestor operacional

% = (pontuação obtida / 54)

2) Grau de risco AUDIN = % A4 = somatório dos pontos / 100

3) Média final = (GR gestor (%) * 4 + GR AUDIN (%) * 6) / 10


Critérios de risco:

]75% a 100%] - risco altíssimo ou crítico

]50% a 75%] - risco “alto”

]25% a 50%] - risco “médio”

]0% a 25%] - risco “baixo”


Classificação

Grau de

risco na

visão do

gestor

Grau de

risco na

visão da

AUDIN

Grau de risco

- média

ponderada

Área 1 48,15% 93% 75,06%

Área 2 41,98% 78% 63,59%

Área 3 40,74% 78% 63,10%

Área 4 40,74% 78% 63,10%

Área 5 41,98% 69% 58,19%

Área 6 59,26% 51% 54,30%

Área 7 50,62% 56% 53,85%

Área 8 19,75% 75% 52,90%

Área 9 27,16% 68% 51,66%

Área 10 23,46% 70% 51,38%

Área 11 16,67% 70% 48,67%

Área 12 24,69% 63% 47,68%

Área 13 35,19% 55% 47,07%

Área 14 33,33% 56% 46,93%

Área 15 29,63% 58% 46,65%

Área 16 24,69% 57% 44,08%

Área 17 41,98% 45% 43,79%

Área 18 21,60% 55% 41,64%

Área 19 25,31% 46% 37,72%

Área 20 35,80% 37% 36,52%

Área 21 22,22% 46% 36,49%

Área 22 26,54% 41% 35,22%

Área 23 25,93% 41% 34,97%

Área 24 28,40% 36% 32,96%

Área 25 12,96% 46% 32,79%

Área 26 14,20% 36% 27,28%

Área 27 17,90% 27% 23,36%

Área 28 14,81% 27% 22,13%

REVISÃO E APERFEIÇOAMENTO DA METODOLOGIA-ABR 2015

I. Informações sobre a avaliação institucional

As variáveis básicas utilizadas para a planificação dos

trabalhos são: materialidade, relevância e criticidade.

As informações coletadas se referem às áreas finalísticas

delimitadas no organograma da Universidade, com seus

respectivos processos primários, a partir das fontes

institucionais previamente definidas.

REVISÃO DA METODOLOGIA-ABR 2015

I. Informações sobre a avaliação institucional

Foram concebidas as seguintes questões para avaliação:

1. Quando foi a última vez que a área foi auditada?

(0) Nos últimos 6 (seis) meses

(5) No intervalo de 6 (seis) a 12 (doze) meses

(10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses

(15) Há mais de 2 (dois) anos

(20) Nunca


2. Qual a magnitude do índice padronizado (z) no que se

refere aos recursos orçamentários geridos pela área?

(0) z ≤ -1

(4) -1 < z ≤ - 0,5

(8) -0,5 < z ≤ 0

(12) 0 < z ≤ 0,5

(16) 0,5 < z ≤ 1

(20) z > 1

Onde: z = (dotação orçamentária da área – dotação

média das áreas) / desvio padrão


3. Qual a proporção da despesa liquidada em relação à

dotação atualizada da área no último exercício?

(0) 0,8 ≤ p ≤ 1

(2) 0,6 ≤ p < 0,8

(4) 0,4 ≤ p < 0,6

(6) 0,2 ≤ p < 0,4

(8) 0 ≤ p < 0,2


4. Qual a magnitude do índice padronizado (z) obtido pela

área na última avaliação de desempenho?

(0) z >1

(5) 0 ≤ z ≤ 1

(10) -1 ≤ z < 0

(15) z < -1

Onde: z = (avaliação da área – média de todas as

avaliações) / desvio padrão


5. No que se refere ao monitoramento das recomendações feitas pela

Auditoria Interna e pelos órgãos de controle (CGU e TCU):

a) a área costuma acatar o que foi recomendado?

(0) Sempre acata ou não houve recomendação

(3) Algumas vezes (baixa propensão à assunção de riscos)

(6) Nunca (alta propensão à assunção de riscos) b) a área costuma

implementar no prazo original as providências assumidas?

(0) Sempre

(3) Algumas vezes

(6) Nunca implementa no prazo ou tem alta propensão à assunção de riscos


6. No que se refere às informações encaminhadas por meio

da Ouvidoria:

a) qual a proporção (p) das críticas e reclamações a

respeito da área?

(0) 0 ≤ p ≤ 0,1

(1)0,1 < p ≤ 0,2

(2)0,2 < p ≤ 0,3

(3)0,3 < p ≤ 0,4

(4)0,4 < p ≤ 0,5

(5)p > 0,5


b) as respostas produzidas pela área foram apresentadas no

prazo estipulado?

(0)Sim

(2,5) Não, contudo a proporção de respostas apresentadas fora

do prazo é inferior ao resultado geral das áreas (medido pela

proporção entre o somatório das respostas fora do prazo e o

total de demandas)

(5) Não, além disso a proporção de respostas apresentadas

fora do prazo é superior ao resultado geral das áreas (medido

pela proporção entre o somatório das respostas fora do prazo e

o total de demandas)


7. No que se refere às informações encaminhadas pelo “Fale

Conosco”:

a) Qual a proporção (p) das críticas e reclamações a respeito

da área?

(0) 0 ≤ p ≤ 0,1

(1)0,1 < p ≤ 0,2

(2)0,2 < p ≤ 0,3

(3)0,3 < p ≤ 0,4

(4)0,4 < p ≤ 0,5

(5)p > 0,5


b) as respostas produzidas pela área foram apresentadas no prazo

estipulado?

(0) Sim

(2,5) Não, contudo a proporção de respostas apresentadas fora do

prazo é inferior ao resultado geral das áreas (medido pela proporção

entre o somatório das respostas fora do prazo e o total de demandas)

(5) Não, além disso a proporção de respostas apresentadas fora do

prazo é superior ao resultado geral das áreas (medido pela proporção

entre o somatório das respostas fora do prazo e o total de demandas)


8. Houve recursos encaminhados pelo e-Sic a serem

respondidos pela área?

(0) Não

(5) Sim

Obtém-se, então, a classificação dos processos críticos

dividindo-se a pontuação total por 100.


RESULTADO DA METODOLOGIA-ABR 2015

REFERÊNCIAS

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO 31000:

Gestão de riscos - princípios e diretrizes, 2009.

BRASIL. Tribunal de Contas da União – TCU. Análise SWOT e diagrama de

verificação de risco aplicados a auditoria, 2010. Disponível em:

<http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?inline=1&fileId=8A

8182A14D78C1F1014D7957D20345D4>. Acesso em: 6 jun. 2016.

BRASIL. Tribunal de Contas da União – TCU. Glossário de termos do

controle externo, 2012. Disponível em:

<http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A14

DB4AFB3014DBAC9E2994CFD>. Acesso em: 6 jun. 2016.

http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?inline=1&fileId=8A8182A14D78C1F1014D7957D20345D4































http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A14DB4AFB3014DBAC9E2994CFD


























REFERÊNCIAS

BRASIL. Tribunal de Contas da União – TCU. Referencial Básico de

Governança, 2.Ed, Brasília, 2014. Disponível em:

<http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?inline=1&fileId=8A8

182A24F0A728E014F0B34D331418D>. Acesso em: 6 jun. 2016.

COSO – Comitte of Sponsoring Organizations of the Treadway Commission.

Controle Interno – Estrutura Integrada, mai., 2013.

IBGC – Instituto Brasileiro de Governança Corporativa. Disponível em:

<http://www.ibgc.org.br/inter.php?id=18163>. Acesso em: 6 jun. 2016.

IIA – The Institute of Internal Auditors. Disponível em:

<http://www.iiabrasil.org.br/new/IPPF.html>. Acesso em: 28 jul. 2016.

http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?inline=1&fileId=8A8182A24F0A728E014F0B34D331418D
































http://www.ibgc.org.br/inter.php?id=18163












REFERÊNCIAS

ASSOCIAÇÃO BRASILEIRA DE ORÇAMENTO PÚBLICO.

Metodologia e Planejamento de Auditoria de Risco, 2012.

QSP. Auditoria Baseada em Riscos – Como Implementar a ABR nas

Organizações: uma abordagem inovadora, fev. 2007.

“O maior obstáculo ao progresso

não é a ignorância e sim a ilusão

de conhecimento.”

(Daniel Boorstin)

Auditoria Interna da UFABC

Telefone: (11) 3356-7588 / 7593

E-mail:[email protected]

OBRIGADO!

Adriana Maria Couto Caruso

Leandro Gomes Amaral

Patrícia alves Moreira

METODOLOGIA DE AUDITORIA - fonai-mec.com.br · Instituto Brasileiro de Governança Corporativa...

Documents

Transcript of METODOLOGIA DE AUDITORIA - fonai-mec.com.br · Instituto Brasileiro de Governança Corporativa...