METODOLOGIA DE AUDITORIA - fonai-mec.com.br · Instituto Brasileiro de Governança Corporativa...
Transcript of METODOLOGIA DE AUDITORIA - fonai-mec.com.br · Instituto Brasileiro de Governança Corporativa...
METODOLOGIA DE AUDITORIA
BASEADA EM RISCOS
PARA ELABORAÇÃO DO PAINT
Palestrantes:
Adriana Maria Couto Caruso
Leandro Gomes Amaral
Patrícia Alves Moreira
Agosto – 2016
Santo André/SP
ROTEIRO DA APRESENTAÇÃO
1. Governança
2. Integração do Processo de Gestão de Riscos com
a Estrutura de Controle Interno
3. Introdução à ISO 31000/2009
4. Avaliação da Maturidade de Riscos da
organização
5. Auditoria Baseada em Riscos
6. Aplicação da Metodologia da ABR na UFABC
7. Elaboração do Plano Anual de atividades de
Auditoria Interna – PAINT
8. Instrução Normativa Conjunta Nº 01/2016-
CGU/MPOG
9. COSO 2013/ Controle Interno-Estrutura Integrada
GOVERNANÇA
GOVERNANÇA
Instituto Brasileiro de Governança Corporativa (IBGC)
“(...) é o sistema pelo qual as empresas e demais
organizações são dirigidas, monitoradas e incentivadas,
envolvendo os relacionamentos entre sócios, conselho de
administração, diretoria, órgãos de fiscalização e controle e
demais partes interessadas.” (IBGC, 2016)
GOVERNANÇA
TCU (setor público)
“Governança no setor público compreende essencialmente
os mecanismos de liderança, estratégia e controle postos
em prática para avaliar, direcionar e monitorar a atuação
da gestão, com vistas à condução de políticas públicas e à
prestação de serviços de interesse da sociedade.”
(BRASIL, 2014)
GOVERNANÇA
Governança = Relação entre:
Principal (proprietário) X Agente (gestor)
P População
“Donos” do Recurso
Assimetria de
Informações
Conflitante
Congruente
A Gestores
“Gerem” o Recurso
GOVERNANÇA
Princípios básicos (IBGC) – Para amenizar os conflitos
1) Transparência:
Disponibilizar informações a todos os interessados;
2) Equidade:
Tratar a todos de forma justa (direitos, deveres, interesses, expectativas);
3) Prestação de contas:
Para compreensão de todos e no tempo correto
(Assumir consequências dos atos e omissões);
GOVERNANÇA
4) Responsabilidade corporativa:
zelar pela viabilidade e continuidade do negócio;
considerar a responsabilidade da IFES em relação a:
- pessoal interno (qualidade de vida dos servidores);
- sustentabilidade ambiental;
- à sociedade que a cerca (atendimento das principais
necessidades).
GOVERNANÇA
Governança Pública - Referencial Teórico do TCU
Funções da governança:
definir o direcionamento estratégico
supervisionar a gestão
envolver as partes interessadas
gerenciar riscos estratégicos/ conflitos internos
auditar e avaliar o sistema de gestão e controle
promover a accountability (prestação de contas e
responsabilidade) e a transparência
GOVERNANÇA
Funções da gestão:
implementar programas
garantir a conformidade com as regulamentações
revisar e reportar o progresso de ações
garantir a eficiência administrativa
manter a comunicação com as partes interessadas
avaliar o desempenho e aprender
GOVERNANÇA
Características da Gestão:
- funcionamento do dia a dia
- integrada aos processos organizacionais
- manejo dos recursos
GOVERNANÇA
Direcionar
Monitorar Avaliar
Planejar
Executar Controlar
Agir
Governança Gestão
Estratégia
Accountability
Atores se organizam, interagem e procedem
Estruturas administrativas
(instâncias)
Processos de trabalho
Ferramentas e documentos
Fluxo de informações
Comportamento de pessoas
envolvidas
SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO
GOVERNANÇA
Relação “Principal - Agente no setor público”
Fonte: BRASIL, 2014, p.43.
Principal
Cidadãos
Agentes (delegação de autoridade)
Representantes eleitos
Conselhos
Autoridade máxima
Dirigentes superiores
Dirigentes
Gerentes
SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO
a) Instâncias externas
de governança:
Fiscalização, controle e
regulação
Independência
Não estão vinculadas
apenas a uma organização
Exemplos: Congresso
Nacional e TCU
b) Instâncias externas de
apoio à governança
Avaliação, auditoria e
monitoramento independente
Identificação e comunicação
de disfunções às instâncias de
governança
Exemplos: auditorias
independentes e controle
social organizado
SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO
c) Instâncias internas de
governança:
Definição e avaliação de
estratégias e políticas
Monitoramento do desempenho,
conforme diretrizes
Responsabilidade por garantir
que as estratégias e políticas
atendam ao interesse público
Exemplos: conselho de administração ou equivalentes
e a alta administração (na ausência daqueles)
SISTEMA DE GOVERNANÇA NO SETOR PÚBLICO
GOVERNANÇA
d) Instâncias internas de
apoio à governança:
Comunicação entre partes
interessadas internas e externas
Auditorias internas: avaliam e
monitoram controles internos e
riscos
Comunicam disfunções à alta
administração
Exemplos: ouvidoria, auditoria
interna, comissões e comitês
MECANISMOS DE GOVERNANÇA
1) Liderança
Conjunto de práticas de natureza
humana ou comportamental
Principais cargos ocupados por
pessoas: íntegras, competentes,
capacitadas, responsáveis e
motivadas
Condução do processo para
estabelecer estratégia
Fonte: TCU 2014
GOVERNANÇA
2) Estratégia
Definição e alcance da estratégia leva em conta
aspectos como:
necessidades e expectativas das partes interessadas
ambientes interno e externo
possíveis cenários
alinhamento de estratégias e operações das unidades
de negócio
GOVERNANÇA
3) Controle
Pontos de Controle e sua
avaliação constante
Transparência
Accountability (prestação de
contas e responsabilidade)
COMPONENTES DOS MECANISMOS DE GOVERNANÇA
Fonte: Governança Pública TCU 2014
GOVERNANÇA
Exemplos do mecanismo Liderança
L3 – Liderança organizacional
Administração estabelece estrutura de unidades
funcionais e nomeia gestores para chefiá-las
Delega autoridade
Responsabilidade final permanece com a autoridade
delegante
Alta administração é responsável pelos controles
Apoio da auditoria interna na avaliação dos controles
GOVERNANÇA
L4 – Sistema de governança
Instâncias, fluxo de informações, processos e atividades
GOVERNANÇA
Exemplos do mecanismo Estratégia
E2 – Estratégia organizacional
Partir da visão de futuro, da missão institucional e
dos ambientes interno e externo
Traçar objetivos e desdobrá-los em planos de ação
Prever e prover os recursos adequados
Atuar com eficiência, eficácia, economicidade e
principalmente a efetividade
Fonte: TCU, 2014.
GOVERNANÇA
E3 – Alinhamento Transorganizacional
Coordenação dos múltiplos
atores políticos, administrativos,
econômicos e sociais
(organização não atua sozinha)
GOVERNANÇA
Exemplo do mecanismo Controle
Componente C3 – Accountability e transparência
Prática C.3.1 - dar transparência da organização às
partes interessadas, admitindo-se sigilo como exceção,
nos termos da lei.
Prática C3.2 - prestar contas da implementação e dos
resultados dos sistemas de governança e de gestão, de
acordo com a legislação vigente e com o princípio de
accountability.
Fonte: TCU, 2014.
GOVERNANÇA
Prática C3.3 - avaliar a imagem da organização e a
satisfação das partes interessadas com seus serviços e
produtos.
Prática C3.4 - garantir que sejam apurados, de ofício,
indícios de irregularidades, promovendo a
responsabilização em caso de comprovação.
Fonte: TCU, 2014.
GOVERNANÇA GOVERNANÇA, GERENCIAMENTO DE RISCOS E CONTROLE
Governança
Gerenciamento de riscos
Controles Internos
Objetivos
Riscos Controle
Código de Ética Profissional do Servidor Público Civil do Poder
Executivo Federal (Decreto nº 1.171/1994)
Lei Complementar nº 101/2000 – Lei de Responsabilidade
Fiscal (LRF)
Lei nº 12.813/2013 – trata do conflito de interesses no
exercício de cargo ou emprego do Poder Executivo Federal
Lei nº 12.527/2011 – Lei de Acesso à Informação (LAI)
Instrução Normativa Conjunta CGU/MP nº 1/2016 – dispõe
sobre controles internos, gestão de riscos e governança
no âmbito do Poder Executivo Federal
NORMATIVOS QUE REFORÇAM A GOVERNANÇA
GOVERNANÇA
Acórdão TCU nº 5015/2016 – Segunda Câmara
“1.11. (...) adote, no gerenciamento de seus riscos e na
definição de seus controles, os fundamentos dos modelos de
gestão de riscos Coso I e Coso II, definidos no documento
“Controles Internos – Modelo Integrado”, publicado pelo Comitê
das Organizações Patrocinadoras – Coso, bem como os
mecanismos e práticas de Governança descritos no
“Referencial Básico de Governança Aplicável a Órgãos e
Entidades da Administração Pública e Ações Indutoras de
Melhorias”, publicado pelo Tribunal de Contas da União (...)
grifos adicionados.
GOVERNANÇA
Acórdão TCU nº 1076/2016 – Plenário
“(...) 9.2.2. elabore e implemente o planejamento estratégico
do órgão, bem como desenvolva instrumentos de
monitoramento de resultados, em observância ao princípio do
planejamento constante do Decreto-Lei 200/1967, e tendo por
base as orientações constantes
do Referencial Básico de Governança do TCU, práticas
E.2.1 e E.2.3;
GOVERNANÇA
Acórdão TCU nº 1076/2016 – Plenário
9.2.3. desenvolva estrutura de controles internos
segundo padrões técnicos internacionalmente aceitos, com
vistas a mitigar a exposição aos riscos relacionados com
suas atividades e assegurar que os seus controles
internos sejam eficazes e contribuam para a melhoria do
desempenho organizacional; (...)” grifos adicionados.
GOVERNANÇA
Você fixou o que é Governança e sua importância?
Exercício:
- Grupos de 5 pessoas;
- De Instituições diferentes entre si (se separar de seu
colega de IFE);
- 30 minutos;
- Um colega de cada grupo comenta.
GOVERNANÇA
Exercício:
A Universidade Federal da Esperança - UFE tem um Conselho
Universitário (seu Colegiado Máximo) bastante atuante. Há pouco
tempo, houve uma disponibilidade de recurso para a UFE para
despesas com bolsas, porém, sem especificação exata de qual o
tipo de bolsa a que se destina. O Conselho decidiu em votação
que irá investir o recurso em bolsas de moradia aos alunos. Mas
o Reitor, apesar de Presidente do Conselho, acredita que o
recurso seria melhor destinado para bolsas transporte, pois
considera que UFE é de difícil acesso e isso poderia ajudar mais
os alunos.
GOVERNANÇA
Exercício:
A Universidade Federal da Esperança - UFE tem pouco
tempo para utilizar esse recurso e existe uma pressão muito
grande dos alunos para a concessão das bolsas moradia. A
Auditoria Interna da UFE já havia recomendado à Alta
Administração que agilizasse seu processo de distribuição
de bolsas moradia, pois constatou a necessidade da
comunidade acadêmica.
GOVERNANÇA
Exercício:
O Reitor já havia sido informado por seus assessores que a
qualquer momento iria estourar uma greve das únicas linhas de
ônibus que adentravam o Campus. E em reunião a portas fechadas
com o Prefeito da cidade, obteve a confirmação dessa informação.
Mas achou que tudo se ajeitaria e não seria necessário alarmar a
Comunidade Acadêmica, por meio do Conselho, compartilhando
essas informações.
Houve então, a greve nos transportes coletivos que passavam pela
UFE, restando pouquíssimas opções aos estudantes. E a próxima
reunião do Conselho estava distante.
GOVERNANÇA
Exercício:
Diante dessa situação, o Reitor tomou a iniciativa de
solicitar urgência de seu Pró-Reitor em distribuir
imediatamente o recurso que havia sido destinado pelo
Conselho à bolsa moradia para bolsa transporte. E
assim foi realizado pelo Pró-Reitor responsável e sua
equipe.
GOVERNANÇA
Perguntas:
1) Quem é o Principal (representa a comunidade) e quem é
o Agente (responsável executor)?
2) Havia assimetria de informações? Comente.
3) Houve conflito de agência? Comente.
4) Você, como auditor interno, chamado para auditar esses
processos de bolsas, qual seria a constatação? E a
recomendação?
GOVERNANÇA
Solução:
1)Quem é o Principal (representa a comunidade) e quem é o
Agente (responsável executor)?
Principal é o Conselho e Agente é o Reitor.
2) Havia assimetria de informações?
Sim. O Reitor “guardou” para si o que sabia em relação a greve
dos transportes. (Princípio da Transparência e da
Responsabilidade Corporativa)
3) Houve conflito de agência?
Sim. Antes mesmo da greve, o agente não concordava com a
decisão do Principal.
GOVERNANÇA
Solução:
4)Você, como auditor interno, chamado para auditar esses
processos de bolsas, ao se deparar com essa situação, qual seria
a principal constatação? E a recomendação?
Constatação: Inobservância do Dirigente em relação aos
princípios de Governança, principalmente ao de transparência e
responsabilidade corporativa, descumprindo decisão do
Colegiado Máximo do Órgão.
Recomendação: Que seja apurado o embasamento e
consequências da tomada de decisão do Reitor, de modo que
seja reestabelecida a decisão do Conselho.
GESTÃO DE RISCOS
GESTÃO DE RISCOS
Introdução à ABNT NBR ISO 31000:2009
Escopo da norma: fornece princípios e diretrizes gerais
para a gestão de riscos
É aplicável a organizações públicas ou privadas
Aplica-se, ao longo da vida útil, à ampla gama de:
- atividades
- estratégias, decisões
- operações, processos, funções
- projetos, produtos, serviços, ativos, etc.
GESTÃO DE RISCOS
Introdução à ABNT NBR ISO 31000:2009
Considera qualquer tipo de risco
Prevê a necessidade de levar em conta as
especificidades de cada organização
Concepção, estrutura e planos podem variar
conforme os contextos interno e externo
Fornece abordagem para apoiar (não substituir)
outras normas de risco
GESTÃO DE RISCOS
Introdução à ABNT NBR ISO 31000:2009
Descreve um processo sistemático e lógico
Estabelece onze princípios para gestão de riscos
eficaz
Recomenda uma estrutura para integrar o processo
em toda a organização
Recomenda a adoção de sete processos de gestão
de riscos
GESTÃO DE RISCOS
Introdução à ABNT NBR ISO 31000:2009
Algumas definições:
Gestão de riscos: atividades coordenadas para dirigir e
controlar uma organização no que se refere ao risco.
Apetite por riscos: nível de risco considerado aceitável
pela alta administração.
Nível de risco: magnitude de um risco em termos de
consequência e probabilidade.
GESTÃO DE RISCOS
Risco inerente: risco do negócio, do processo ou da
atividade, independente dos controles adotados.
Risco residual: aquele que permanece após a mitigação
por controles.
Controle: medida que modifica o risco.
Identificação de riscos: processo de busca,
reconhecimento e descrição de riscos.
GESTÃO DE RISCOS
Análise de riscos: processo de compreender a natureza do
risco e determinar o nível de riscos.
Avaliação de riscos: processo de comparar os resultados
da análise de riscos com os critérios.
Critérios de risco: referência pela qual o risco é avaliado.
Tratamento de riscos: processo de modificar o risco.
Risco: efeito da incerteza nos objetivos.
GESTÃO DE RISCOS
Resposta: sim. De acordo com a
ISO 31000:2009, o efeito pode ser
positivo ou negativo.
Questão: O risco pode ser positivo?
GESTÃO DE RISCOS
Efeito - desvio em relação ao esperado – positivo ou
negativo.
Incerteza - o estado, mesmo que parcial, da deficiência de
informações relacionadas a um evento, sua compreensão,
seu conhecimento, sua consequência ou probabilidade.
Objetivos - podem ser de diferentes aspectos e se aplicar a
diferentes níveis.
GESTÃO DE RISCOS
Riscos estão sempre associados a objetivos
- Riscos positivos (oportunidades) podem contribuir para o
alcance e superação dos objetivos
- Riscos negativos podem prejudicar o alcance dos
objetivos
Não existe risco igual a zero (deriva da incerteza)
Risco é diferente de problema
Tratar Resolver
GESTÃO DE RISCOS
A magnitude do risco é dada por
probabilidade x impacto
Não gerenciar riscos
importantes pode resultar em
grandes perdas e catástrofes
Exemplo: naufrágio do Titanic
GESTÃO DE RISCOS
Naufrágio do Titanic (abril de 1912)
Alguns detalhes do navio:
- Titanic: Era o maior e mais moderno transatlântico da época
- Tinha um comandante experiente em navegação (Smith)
- Era um meio para transporte de correspondências
- Sua viagem inaugural seria de Southampton (Inglaterra) a
New York (EUA)
GESTÃO DE RISCOS
Naufrágio do Titanic (abril de 1912)
- Atrasou na chegada ao primeiro destino (Cherbourg - França)
- Realizou a rota pelas águas geladas do Atlântico Norte
- Chocou-se com um iceberg na noite de 14/04/1912
- Naufragou no início do dia 15/04/1912, 2h40 depois da
colisão
- Mais de 1500 mortos
- Cerca de 700 sobreviventes, menos de 1/3 do total de
passageiros
GESTÃO DE RISCOS
Imaginemos quais seriam os objetivos do Titanic...
- Realizar o percurso dentro do tempo previsto
- Conquistar o mercado no transporte de correspondências
- Proporcionar luxo e conforto aos passageiros da primeira
classe
GESTÃO DE RISCOS
E os riscos do processo de navegação...
- Atrasos na partida ou durante a viagem
- Acidente grave (colisão com iceberg)
- Danos irreversíveis na estrutura do navio (rebites)
- Falha humana (capitão Smith)
- Falha nos equipamentos de navegação e comunicação
GESTÃO DE RISCOS
Causas Eventos Consequências
Mau tempo
Navegação em alta
velocidade
Deficiências no projeto
Ausência de diretrizes e
procedimentos
Ausência de testes e
manutenção dos
equipamentos
Atrasos
Acidente grave
Avarias no navio
Falha humana
Falha nos equipamentos
Perdas financeiras
Feridos e mortos
Inundação dos
compartimentos
Naufrágio
Perda de comunicação
GESTÃO DE RISCOS
Análise SWOT (Strenghts, weaknesses,
opportunities, threats)
Strenghts (forças)
Weaknesses (fraquezas)
Opportunities (oportunidades)
Threats (ameaças)
SWOT
Fatores do ambiente interno
Fatores do ambiente externo
GESTÃO DE RISCOS
Forças (pontos fortes):
características positivas internas
que a organização pode explorar
para atingir as suas metas.
Exemplos: equipe experiente e
motivada, recursos tecnológicos,
etc. (BRASIL, 2010).
Análise do ambiente interno
GESTÃO DE RISCOS
Fraquezas (pontos fracos):
características negativas internas que
podem inibir ou restringir o
desempenho da organização. Devem
ser superadas ou contornadas a fim
de que se atinja o desempenho
desejado. Exemplos: alta
rotatividade de pessoal, excesso de
burocracia, etc. (BRASIL, 2010).
Análise do ambiente interno
GESTÃO DE RISCOS
Análise do ambiente externo
Oportunidades: características positivas externas, não
controláveis pela organização, com potencial para
ajudá-la a atingir ou mesmo exceder as metas
planejadas. Exemplos: diretrizes governamentais
favoráveis, parcerias inesperadas, etc. (BRASIL, 2010).
GESTÃO DE RISCOS
Análise do ambiente externo
Ameaças: características negativas externas, não
controláveis pela organização, que podem impedi-la de
atingir as metas planejadas e comprometer o
crescimento organizacional. Exemplos: dispersão
geográfica do público alvo, crises política e fiscal, etc.
(BRASIL, 2010).
GESTÃO DE RISCOS
Objetivo: compartilhar conhecimentos sobre o assunto
com os servidores integrantes das Auditorias Internas.
Fraquezas (ambiente interno) Ameaças (ambiente externo)
F1 Histórico de poucas apresentações em público
A1 Falta de quórum
F2 Não conheço todos os aspectos do assunto
A2 Não ter café
F3 Indisponibilidade de apresentações sobre o assunto
A3 Não ter sala disponível para data prevista do evento
F4 Tempo compartilhado com diversas atividades
A4 Indisponibilidade de internet
F5 Perfeccionismo estético exigido pela colega “Adriana”
A5 Indisponibilidade de equipamentos para apresentação
GESTÃO DE RISCOS
Isso implica adotar novos
controles ou revisar os
existentes
O risco pode ser modificado
em termos de sua
probabilidade ou de seu
impacto (consequência)
O controle modifica o risco!
GESTÃO DE RISCOS
Matriz de Risco ou Diagrama de Verificação de Risco
Baixa probabilidade e alto impacto
Alta probabilidade e alto impacto (riscos
inaceitáveis)
Tratamento prioritário
Baixa probabilidade e baixo impacto
(riscos aceitáveis)
Alta probabilidade e baixo impacto
Matriz de Risco
Probabilidade
Imp
ac
to
GESTÃO DE RISCOS
Risco inerente x risco residual
Fonte: Adaptado de QSP , 2014.
Risco
Resi-
dual
Probabilidade
Imp
acto
Resposta
Risco
Inerente
Nível aceitável
Reduzir
compartilhar
Controle
GESTÃO DE RISCOS
Princípios para gerenciar riscos (ISO 31000:2009)
Uma gestão de riscos eficaz:
a) cria e protege valor contribui para realização dos objetivos e melhoria do desempenho
b) é parte integrante de todos os processos organizacionais
- não é uma atividade autônoma - faz parte das responsabilidades da
administração - parte integrante de todos os processos
c) é parte da tomada de decisões
auxilia os tomadores de decisão a fazer escolhas conscientes e priorizar ações
d) aborda explicitamente a incerteza
considera a incerteza, sua natureza e como pode ser tratada
GESTÃO DE RISCOS
Uma gestão de riscos eficaz:
e) é sistemática, estruturada e oportuna contribui para a eficiência e resultados conscientes, comparáveis e confiáveis
f) baseia-se nas melhores informações disponíveis
- tem entradas para o processo de gerenciar riscos baseadas em fontes de informação (dados históricos, experiências, observações, previsões, opiniões de especialistas, informações das partes interessadas)
- considera limitações dos dados ou modelos utilizados
g) é feita sob medida alinha-se com os contextos interno e externo e com o perfil do risco
h) considera fatores humanos e culturais reconhece capacidades, percepções e intenções do pessoal que podem facilitar ou dificultar a realização dos objetivos
GESTÃO DE RISCOS
Uma gestão de riscos eficaz:
i) é transparente e inclusiva
- contempla o envolvimento apropriado e oportuno das partes interessadas e, em particular, dos tomadores de decisão em todos os níveis da organização
- permite a devida representação pelas partes interessadas e que suas opiniões sejam consideradas na determinação dos critérios de risco
j) é dinâmica, iterativa e capaz de reagir a mudanças
- percebe e reage às mudanças nos contextos interno e externo
- considera novas informações advindas do monitoramento e da análise crítica
k) facilita a melhoria contínua da organização
melhora a maturidade da gestão de riscos junto com os demais processos
GESTÃO DE RISCOS
Estrutura (framework)
Componentes que fornecem fundamentos e arranjos
organizacionais para:
- concepção (plan)
- implementação (do)
- monitoramento (check)
- análise crítica (check)
- melhoria contínua (act)
ESTRUTURA PARA GERENCIAR RISCOS
Concepção da estrutura para gerenciar riscos
Implementação da Gestão de Riscos
Monitoramento e análise crítica da estrutura
Melhoria contínua da estrutura
Mandato e
comprometimento
Mandato e comprometimento (item 4.2 da ISO
31000:2009)
A introdução da gestão de riscos e a garantia de sua
eficácia requerem:
• comprometimento forte e sustentado assumido pela
administração
• obtenção do comprometimento em todos os níveis
ESTRUTURA PARA GERENCIAR RISCOS
Para tanto, é conveniente que a administração:
a) defina e aprove a política de gestão de riscos (GR)
b) assegure o alinhamento da política de GR à cultura da
organização
c) defina indicadores para GR alinhados com os
indicadores de desempenho da organização
d) alinhe os objetivos da GR com os objetivos estratégicos
da organização
ESTRUTURA PARA GERENCIAR RISCOS
e) assegure conformidade legal e regulamentar
f) atribua responsabilidades
g) assegure os recursos necessários
h) comunique os benefícios da GR aos interessados
i) assegure estrutura apropriada para gerenciar riscos
ESTRUTURA PARA GERENCIAR RISCOS
(item 4.3 da ISO 31000:2009)
Requisitos:
a) entendimento da organização e seu contexto
b) estabelecimento de política de gestão de riscos
c) responsabilização
d) integração nos processos organizacionais
e) recursos;
f) estabelecimento de mecanismos de comunicação e
reportes internos e externos
CONCEPÇÃO DA ESTRUTURA PARA GERENCIAR RISCOS
MONITORAMENTO E ANÁLISE CRÍTICA DA ESTRUTURA
Monitoramento e análise crítica da estrutura
Consiste em:
- medir o desempenho da GR utilizando indicadores,
analisados criticamente de forma periódica
- medir periodicamente o progresso ou o desvio em
relação ao plano de gestão de riscos
MONITORAMENTO E ANÁLISE CRÍTICA DA ESTRUTURA
Monitoramento e análise crítica da estrutura
Consiste em:
- analisar criticamente se a política, o plano e a estrutura
ainda são apropriados, dados os contextos externo e
interno
- reportar os riscos, o progresso do plano e como a
política está sendo seguida
- analisar criticamente a eficácia da estrutura da gestão
de riscos
MELHORIA CONTÍNUA DA ESTRUTURA
Melhoria contínua da estrutura
Com base nos resultados do monitoramento e das análises
críticas, decisões são tomadas a respeito de como...
.
Política
podem ser aprimorados
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Processo de avaliação de riscos
1. Identificação de riscos
2. Análise de riscos
3. Avaliação de riscos
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
1. Identificação de riscos
A finalidade é gerar uma lista abrangente de riscos
Eventos que possam aumentar, evitar, reduzir, acelerar ou
atrasar a realização dos objetivos
A identificação deve incluir todos os riscos, mesmo aqueles
cujas fontes não sejam evidentes ou não estejam sob controle da
instituição
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Busca reconhecimento Descrição de riscos
1. Identificação de riscos
Observações:
é relevante identificar eventos que nunca
aconteceram, não somente os que já ocorreram
utilizar técnicas que estimulem a imaginação e
criatividade sobre o que poderia acontecer
Técnica Brainstorm
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Onde probabilidade e consequência podem ser
expressas qualitativamente ou quantitativamente
Nível de risco = probabilidade x consequência (impacto)
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Compreender a natureza
Determinar o nível
de risco (NR)
2. Análise de Riscos
Compreensão dos riscos
Fontes e causas
Consequências positivas ou
negativas
Probabilidades Consequências
Fatores que afetam
probabilidades e consequências
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Resultado: níveis de risco (NR)
P X C 1 2 4 8 16
5 5 10 20 40 80
4 4 8 16 32 64
3 3 6 12 24 48
2 2 4 8 16 32
1 1 2 4 8 16
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Fonte: adaptado de QSP, 2014.
3. Avaliação de riscos
Quais riscos devem ser tratados?
Quais devem ser priorizados?
Avaliação
Análise de riscos
Critérios
de risco
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Possíveis tratamentos
Reter
Modificar
Evitar
Remover a fonte
Transferir
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
Objetivos
Monitoramento
Análise crítica
Garantir controles eficazes e eficientes
Obter informações adicionais para melhorar a avaliação de riscos
Analisar os eventos, as mudanças, tendências, sucessos, fracassos e aprender
Detectar mudanças nos contextos externo e interno
Identificar riscos emergentes
PROCESSO DE GESTÃO DE RISCOS (ISO 31000:2009)
EXERCÍCIO
A alta administração da Universidade estabeleceu política
e implantou estrutura para gestão de riscos integrada aos
demais processos organizacionais. Você, como gestor
responsável por gerir os riscos associados às atividades
que coordena, deve identificar 5 riscos que possam
impactar os resultados de sua instituição.
EXERCÍCIO
Utilizar a técnica Brainstorm para preencher as seguintes
informações no Formulário para Avaliação de Riscos:
processo /atividade
objetivo
descrição do risco
as potenciais causas geradoras desses eventos
as consequências
EXERCÍCIO
A partir das informações constantes do exercício anterior,
preencher as seguintes informações no Formulário
para Avaliação de Riscos:
(Tempo: 60 minutos)
probabilidade monitoramento
impacto Nova probabilidade
nível de risco inerente Novo impacto
resposta ao risco Nível de risco residual
tratamento Pontuação de controle
CONTROLE INTERNO
Definição:
“Controle interno é um processo conduzido pela estrutura
de governança, pela administração e por outros
profissionais da entidade, desenvolvido para
proporcionar segurança razoável com respeito à
realização dos objetivos relacionados a operações,
divulgação e conformidade.” (COSO, 2013).
CONTROLE INTERNO
O controle interno é...
conduzido para atingir objetivos
um processo
um meio para se atingir o fim
realizado por pessoas
adaptável a toda entidade – flexível
proporciona razoável segurança sobre a realização dos
objetivos
CONTROLE INTERNO
Existem limitações, riscos e incertezas nos sistemas de
controle
Garantia absoluta não é possível
Possibilidade de erro humano
Potencial impacto de eventos externos (fora do controle)
CONTROLE INTERNO
Aumenta a probabilidade
de atingir os objetivos
CONTROLE INTERNO
Objetivos
Riscos (eventos)
Controles (tratamento) Resposta
CONTROLE NA ADMINISTRAÇÃO PÚBLICA
CONTROLE NA ADMINISTRAÇÃO PÚBLICA
CONTROLE PRINCIPAIS
ATRIBUIÇÕES ATORES
CARACTERÍSTICA PRINCIPAL
SOCIAL
Acompanhamento do Planejamento/execução
da gestão
Representação popular
Representatividade
EXTERNO Julgar as contas Fiscalizar Poder Legislativo
Tribunal de Contas
Independência
INTERNO
Avaliar a gestão Fiscalizar
Apoiar o Controle externo
Órgãos específicos
do Sistema de Controle Interno
Proximidade da gestão
ADMINISTRATIVO Prever e mitigar riscos
na execução Gestor Integrado à gestão
Portanto...
controle interno não é sinônimo de auditoria interna
CONTROLE INTERNO
Conduzem o processo:
estrutura de
governança
Administração
outros profissionais
da entidade
Processo conduzido por
unidade de auditoria
interna pertencente à
estrutura da entidade
ELABORAÇÃO DO PAINT
O Plano Anual de Atividades de Auditoria Interna
(PAINT) deve conter (Instrução Normativa CGU nº 24, de
17 de novembro de 2015):
Definição de temas e macroprocessos a serem
trabalhados
Priorização de ações orientada por avaliação de riscos
Estimativa de horas, recursos e prazos das ações de
auditoria
Estimativa de horas para capacitação dos auditores
ELABORAÇÃO DO PAINT
Devem ser considerados fatores tais como:
Elaboração do PAINT
Planejamento estratégico
Estrutura de governança
Gerenciamento de riscos
Controles existentes
Planos, metas, objetivos
políticas
programas
ELABORAÇÃO DO PAINT
ELABORAÇÃO DO PAINT
ELABORAÇÃO DO PAINT
Cenário:
a planificação das ações deve considerar as três
variáveis básicas: materialidade, relevância e risco
mas será que as unidades de auditoria interna
dispõem de tempo e recursos suficientes para
avaliar, durante um período, todos os controles
internos da organização?
Necessidade de priorização (áreas, processos,
atividades, etc.)
ELABORAÇÃO DO PAINT
Aplicação de metodologia
Alinhamento às práticas internacionais
- Institute of Internal Auditors (IIA)
- Committee of Sponsoring Organizations (COSO)
-International Organization of Supreme Audit Institutions
(INTOSAI)
Novo enfoque dos órgãos federais de controle:
orientação para o risco
Ex. Auditoria operacional do Tribunal de Contas da União (TCU)
ELABORAÇÃO DO PAINT
AUDITORIA BASEADA EM RISCOS (ABR)
METODOLOGIA DE AUDITORIA BASEADA
EM RISCOS UFABC
PROCESSO DA AUDITORIA BASEADA EM RISCOS (ABR)
ABR
Avaliação Institucional
(e-Sic, Ouvidoria,
Monitoramento AUDIN,
Recomendações CGU/TCU,
Avaliação de Desempenho)
Avaliações das áreas
responsáveis pelos
processos finalísticos
Execução Orçamentária
Histórico de ações
Avaliação de
controles internos
(avaliação pelos
gestores estratégico,
tático e operacional)
Matriz de Riscos
AUDITORIA BASEADA EM RISCOS (ABR)
Diferença entre gestão de riscos e Auditoria
Baseada em Riscos
Relembrando, gestão de riscos consiste em:
“Atividades coordenadas para dirigir e controlar uma
organização no que se refere ao risco.” (item 2.2 da ABNT
NBR ISO 31000/2009) (grifos adicionados)
Responsabilidade da Alta Administração
AUDITORIA BASEADA EM RISCOS (ABR)
ABR é uma metodologia que associa:
Fonte: baseado na definição do The Institute of Internal Auditores – IIA.
Garantia à alta administração de que os riscos estão
sendo gerenciados de maneira eficaz
Tem por base o apetite por riscos (nível aceitável)
Auditoria Interna
Estrutura global da gestão de riscos da
organização
AUDITORIA BASEADA EM RISCOS (ABR)
Visa reforçar as responsabilidades da direção em
relação à gestão de riscos
ATENÇÃO!!!
Se a ABR for nova para a organização, a
Auditoria Interna precisa promover o
conceito para a Alta Administração
AUDITORIA BASEADA EM RISCOS (ABR)
Enfoque apenas na conformidade
Identificação de irregularidades e fraudes
Enfoque nos riscos do negócio e nos controles internos implantados pelos gestores para assegurar o alcance dos objetivos
Evolução do papel desempenhado
pela auditoria interna
AUDITORIA BASEADA EM RISCOS (ABR)
A implementação da ABR ocorre em três estágios:
1) Avaliação da maturidade de riscos
2) Planejamento de auditorias periódicas
3) Auditoria individual de garantia
AUDITORIA BASEADA EM RISCOS (ABR)
1) Avaliação da maturidade de riscos
Em que medida a direção e a administração
gerenciam riscos?
- Indica a confiabilidade do controle de riscos
- Define estratégia da ABR
- Orienta o planejamento da auditoria
AUDITORIA BASEADA EM RISCOS (ABR)
1) Avaliação da maturidade de riscos
Ingênuo
Avaliação da maturidade de riscos da Instituição
Nenhuma abordagem formal
desenvolvida
Abordagem dispersa com base
fundamentada
Estratégia e política
implementadas e comunicadas.
Apetite definido
Abordagem corporativa
desenvolvida e comunicada
Gestão de riscos e controles
internos totalmente
incorporados às operações
Consciente
Definido
Gerenciado
Habilitado
Qual estratégia de auditoria adotar?
Ingênuo
Consciente
Definido Gerenciado
Habilitado
A estratégia a ser adotada depende do grau de
maturidade da Instituição
IMPLEMENTAÇÃO DA ABR – 1°ESTÁGIO
1) Avaliação da maturidade de riscos
I. Estratégia para grau de maturidade Ingênuo:
relatar que não há gestão de riscos formal
consultoria para promover gestão de riscos
elaboração de plano de auditorias por arcabouço
alternativo
garantia dos processos de controle
IMPLEMENTAÇÃO DA ABR – 1°ESTÁGIO
1) Avaliação da maturidade de riscos
II. Estratégia para grau de maturidade consciente:
relatar gestão de riscos fraca
consultoria para promover gestão de riscos
elaboração de plano de auditorias por arcabouço
alternativo
garantia dos processos de controle
IMPLEMENTAÇÃO DA ABR – 1°ESTÁGIO
1) Avaliação da maturidade de riscos
III. Estratégia para grau de maturidade definido:
relatar deficiências na gestão de riscos
consultoria para integrar a gestão de riscos
reforçar visão da direção sobre riscos
garantia da política de gestão de riscos (há apetite por
riscos definido) e dos processos de controle
IMPLEMENTAÇÃO DA ABR – 1°ESTÁGIO
1) Avaliação da maturidade de riscos
IV. Estratégia para grau de maturidade gerenciado:
garantia dos processos de gestão de riscos
consultoria para melhorar a gestão de riscos
IMPLEMENTAÇÃO DA ABR – 1°ESTÁGIO
1) Avaliação da maturidade de riscos
V. Estratégia para grau de maturidade habilitado:
garantia dos processos de gestão de riscos
consultoria conforme necessidade
IMPLEMENTAÇÃO DA ABR – 1°ESTÁGIO
AUDITORIA BASEADA EM RISCOS (ABR)
Grau de Maturidade
Garantia Consultoria Planejamento
Ingênuo Processos de
controle Promover a
gestão de riscos Arcabouço alternativo
Consciente Processos de
controle Promover a
gestão de riscos Arcabouço alternativo
Definido
Política de gestão de riscos e processos de
controle
Reforçar visão da direção
Arcabouço alternativo
Gerenciado Processos de
gestão de riscos Melhorar a
gestão de riscos Base no cadastro
de riscos
Habilitado Processos de
gestão de riscos Conforme
necessidade Base no cadastro
de riscos
AUDITORIA BASEADA EM RISCOS (ABR)
Itens a avaliar
Grau de maturidade
de 1 a 5
1. Os objetivos da organização estão definidos.
2. A direção foi treinada para compreender os riscos e sua
responsabilidade por eles.
3. Foi definido um sistema de pontuação para avaliar os riscos.
4. O apetite por riscos da organização foi definido em termos de um
sistema de pontuação.
5. Foram definidos processos para determinar riscos. Esses processos
são seguidos.
6. Todos os riscos foram compilados em uma lista. Os riscos foram
alocados a cargos específicos.
7. Todos os riscos foram avaliados de acordo com o sistema de
pontuação definido.
8. As respostas aos riscos (por ex.: controles) foram selecionadas e
implementadas.
9. A direção estabeleceu controles para monitorar a operação adequada
dos controles-chave.
10. Os riscos são analisados criticamente pela organização de forma
regular.
11. A administração relata os riscos para os diretores quando as
respostas aos riscos não reduzem tais riscos a um nível aceitável.
12. Todos os novos projetos significativos são avaliados rotineiramente
quanto a riscos.
13. A responsabilidade pela determinação, avaliação e manejo dos riscos
está incluída nas descrições de cargos.
14. Os gerentes dão garantia da eficácia de sua gestão de riscos.
15. Os gerentes são avaliados quanto ao seu desempenho no
gerenciamento de riscos.
Pontuação total
Média
MATURIDADE DE RISCOS
Questões / Processos G1 G2 G3 Total
1. Os objetivos da organização estão definidos.
2. A direção foi treinada para compreender os riscos e sua responsabilidade por eles.
3. Foi definido um sistema de pontuação para avaliar os riscos.
4. O apetite por riscos da organização foi definido em termos de um sistema de pontuação.
5. Foram definidos processos para determinar riscos. Esses processos são seguidos.
6. Todos os riscos foram compilados em uma lista. Os riscos foram alocados a cargos específicos.
Questões / Processos G1 G2 G3 Total
7. Todos os riscos foram avaliados de acordo com o sistema de pontuação definido.
8. As respostas aos riscos foram selecionadas e implementadas.
9. A direção estabeleceu controles para modificar a operação adequada dos controles-chave.
10. Os riscos são analisados criticamente pela organização de forma regular.
11. A administração relata os riscos para os diretores quando as respostas não reduzem tais riscos a um nível aceitável.
12. Todos os novos projetos significativos são avaliados rotineiramente quanto a riscos.
MATURIDADE DE RISCOS
GESTÃO DE RISCOS
Fonte: QSP, 2014.
Questões / Processos G1 G2 G3 Total
13. A responsabilidade pela determinação, avaliação e manejo dos riscos está incluída nas descrições dos cargos.
14. Os gerentes dão garantia da eficácia de sua gestão de riscos.
15. Os gerentes são avaliados quanto ao seu desempenho no gerenciamento de riscos.
Média aritmética
AUDITORIA BASEADA EM RISCOS (ABR)
Possibilidades de atuação da auditoria interna
RISCO
AVALIAR OS RISCOS
PLANEJAMENTO DAS AUDITORIAS
APONTAR PROVIDÊNCIAS NECESSÁRIAS
AVALIAR A GESTÃO DE
RISCOS
FUNCIONAMENTO DA GESTÃO DE
RISCO
No caso de ainda não existir gestão de riscos implantada
Quando a gestão de riscos já estiver implantada
IMPLEMENTAÇÃO DA ABR – 2º ESTÁGIO
2) Elaboração de um plano de auditorias periódicas
Auditorias de garantia e consultorias para um
período (PAINT)
Priorizar e categorizar riscos
Observação: se a maturidade for baixa, o cadastro de riscos
pode não ser confiável!
Necessidade de garantia para respostas
(tratamentos) e processos de gestão de risco
3) Auditoria individual de garantia
ABR não trata de auditar os riscos, mas sim as
respostas adotadas pela administração
processos de gestão de riscos e controles
Garantia sobre o
funcionamento dos:
IMPLEMENTAÇÃO DA ABR – 3º ESTÁGIO
3) Auditoria individual de garantia
Representação da garantia proporcionada pela ABR
Fonte: QSP – Série Risk Management, 2007 .
Risco Resi-dual
Probabilidade
Imp
acto
Resposta
Risco Inerente
Apetite por riscos
A ABR dá garantia de que a resposta está operando de maneira eficaz
IMPLEMENTAÇÃO DA ABR – 3º ESTÁGIO
AUDITORIA BASEADA EM RISCOS (ABR)
Possibilidades de atuação da auditoria interna
RISCO
AVALIAR OS RISCOS
PLANEJAMENTO DAS AUDITORIAS
APONTAR PROVIDÊNCIAS NECESSÁRIAS
AVALIAR A GESTÃO DE
RISCOS
FUNCIONAMENTO DA GESTÃO DE
RISCO
No caso de ainda não existir gestão de riscos implantada
Quando a gestão de riscos já estiver implantada
METODOLOGIA DE AUDITORIA BASEADA EM RISCOS - ABR
Passo a passo da ABR
Avaliar a maturidade da
Instituição
Definir o tipo de abordagem que
será adotada
Analisar Estrutura organizacional
Definir níveis hierárquicos para
aplicação do questionário
Aplicar o questionário
Análise da AUDIN e informações institucionais
Consolidar as informações
Gerar a Matriz de Riscos
Selecionar os processos que serão
auditadosElaborar o PAINT
Histórico
2012 - metodologia considerou apenas a percepção dos
auditores
2013 - metodologia considerou as visões do gestor nível
tático, da equipe da Auditoria Interna e da auditora-chefe
2014 - metodologia considerou a percepção dos gestores dos
níveis estratégico, tático e operacional, bem como a
avaliação da Auditoria Interna
2015 – Enfoque maior na atividade fim e redução da
sujetividade por parte da AUDIN
METODOLOGIA DE AUDITORIA BASEADA EM RISCOS - ABR
Estudo de caso: versão 2014 do Projeto
Maturidade da gestão de riscos (nível 1 - ingênuo)
- Planejamento baseado em arcabouço alternativo
- Relato para a alta administração
- Consultoria para promover a gestão de riscos
- Garantia dos processos de controle
Estabelecimento de critérios (atores envolvidos,
questões avaliadas, ponderações, etc.)
METODOLOGIA DE AUDITORIA BASEADA EM RISCOS - ABR
Matriz de Risco que possibilite:
Subsidiar o planejamento dos trabalhos de auditoria, quando
da elaboração do PAINT, na definição do escopo da análise
e no direcionamento geral dos trabalhos;
Contribuir para a análise da gestão;
Prover informações gerenciais;
Subsidiar a tomada de decisões; e
Promover um melhor conhecimento sobre o sistema de
controle interno da UFABC.
RESULTADOS ESPERADOS - ABR
AUDITORIA BASEADA EM RISCOS (ABR)
Macroprocesso de Elaboração do PAINT
ETAPAS DA AVALIAÇÃO
Os riscos devem ser avaliados da seguinte forma:
identificação das unidades administrativas da UFABC
passíveis de auditoria;
avaliação do risco correspondente a cada área, segundo as
visões do gestor e do auditor;
estabelecimento de classificação em função do grau de risco;
identificação de processos chaves e críticos geridos pelas
unidades administrativas;
elaboração do plano anual de auditoria baseado na avaliação
de riscos.
a avaliação de risco será obtida mediante dados
provenientes dos gestores das áreas, nos níveis
estratégico, tático e operacional, e da percepção dos
auditores
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
ESTRUTURA ORGANIZACIONAL
ESTRUTURA ORGANIZACIONAL
Riscos estratégicos, Coorporativos, etc
Riscos em Unidades, Divisões, etc
Riscos em Projetos, Áreas, etc
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
Gestor nível estratégico: Pró-Reitor, Diretor, Coordenador,
Superintendente, Chefe de Gabinete e Prefeito Universitário.
Gestor nível tático: Coordenador e Chefe de Divisão.
Gestor nível operacional: selecionado, por amostragem, de
acordo com os critérios de quantidade de pessoas lotadas nas
unidades; tempo de atuação; e representatividade no contexto da
estrutura organizacional da área.
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
Questionário adaptado do TCU (fatores do COSO I)
Os gestores de nível estratégico, tático e operacional
respondem, de acordo com sua visão, a cada uma das
afirmativas, observando a seguinte escala:
(0) Concorda totalmente: a afirmativa é totalmente aplicada.
(1) Concorda parcialmente: a afirmativa é aplicada em sua maioria.
(2) Não concorda, parcialmente: a afirmativa é aplicada apenas em
sua minoria.
(3) Não concorda, em sua totalidade: a afirmativa não é aplicada.
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
FATORES A SEREM AVALIADOS
AMBIENTE DE CONTROLE
1. Os mecanismos gerais de controle instituídos pela área são percebidos por todos
os servidores e funcionários nos diversos níveis da estrutura da área.
2.Os procedimentos e as instruções operacionais são padronizados e estão
formalizados.
3. Há mecanismos que garantem ou incentivam a participação dos servidores dos
diversos níveis da estrutura da área na elaboração dos procedimentos das
instruções operacionais.
4. As delegações de autoridade e competência são acompanhadas de definições
claras das responsabilidades.
5. Existe adequada segregação de funções nos processos e atividades de
competência da área.
6. Os controles internos adotados contribuem para a consecução dos resultados
planejados pela área.
AVALIAÇÃO DE RISCO
7. Os objetivos e metas da área estão formalizados.
8. Há clara identificação dos processos críticos para a consecução dos objetivos e
metas da área.
9. É prática da área o diagnóstico dos riscos (de origem interna ou externa) envolvidos
nos seus processos estratégicos, bem como a identificação da probabilidade de
ocorrência desses riscos e a consequente adoção de medidas para mitigá-los.
10. Os riscos identificados são mensurados e classificados de modo a serem tratados
em uma escala de prioridades e a gerar informações úteis à tomada de decisão.
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
PROCEDIMENTOS DE CONTROLE
11. Existem políticas e ações, de natureza preventiva ou de detecção, para diminuir os
riscos e alcançar os objetivos da área, claramente estabelecidas.
12. As atividades de controle adotadas pela área são apropriadas, funcionam
consistentemente e possuem custo apropriado ao nível de benefícios que possam
resultar de sua aplicação.
INFORMAÇÃO E COMUNICAÇÃO
13. A informação relevante para área é devidamente identificada, documentada,
armazenada e comunicada tempestivamente aos interessados.
14. As informações consideradas relevantes pela área são de qualidade suficiente para
permitir ao pessoal da área tomar as decisões apropriadas.
15. A comunicação das informações perpassa todos os níveis hierárquicos da área, em
todas as direções, por todos os seus componentes e por toda a sua estrutura.
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
MONITORAMENTO
16. O sistema de controles internos da área é constantemente monitorado para avaliar sua
validade e qualidade ao longo do tempo.
17. O sistema de controles internos da área tem sido considerado adequado e efetivo
pelas avaliações realizadas.
18. O sistema de controles internos da área tem contribuído para a melhoria de seu
desempenho.
OPÇÕES DE ESCOLHA
Concorda Totalmente: A afirmativa é totalmente aplicada.
Concorda Parcialmente: A afirmativa é aplicada em sua maioria.
Não concorda, parcialmente: A afirmativa é aplicada apenas em sua minoria.
Não concorda, em sua totalidade: A afirmativa não é aplicada.
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
Avaliação pela Auditoria Interna - questões:
1) A área executa processos críticos (volume financeiro) ou
chaves (relacionados com atividades finalísticas da
instituição)?
(0) Não ; (10) sim
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
2) Quando foi a última vez que a área foi auditada?
(0) Nos últimos 6 (seis) meses
(5) No intervalo de 6 (seis) a 12 (doze) meses
(10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses
(15) Há mais de 2 (dois) anos
(20) Nunca
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
3) Qual o montante em recursos orçamentários
movimentado pela área?
(0) De R$ 0,00 a R$ 100.000,00
(5) De R$ 100.000,01 a R$ 1.000.000,00
(10) De R$ 1.000.000,01 a R$ 10.000.000,00
(15) De R$ 10.000.000,01 a R$ 50.000.000,00
(20) Acima de R$ 50.000.000,00
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
4) Com base nos conhecimentos/experiência dos auditores,
como são avaliados os controles internos da área?
(0) Ótimos
(5) Bons
(10) Razoáveis
(15) Frágeis
(20) Muito frágeis
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
5) Com base nos conhecimentos/experiência dos auditores,
as informações disponibilizadas pela área, nos mais
variados meios, são dotadas de qualidade e propiciam uma
comunicação adequada com interessados?
(0) Frequentemente
(5) algumas vezes
(10) raramente
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
6) Qual a probabilidade e o impacto de riscos à imagem da
UFABC nos processos executados pela área?
(0) Baixa probabilidade e baixo impacto
(5) Alta probabilidade e baixo impacto
(10) Baixa probabilidade e alto impacto
(15) Alta probabilidade e alto impacto
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
7) A área costuma acatar/implementar recomendações feitas
pela Auditoria Interna e pelos órgãos de controle (CGU e
TCU)?
(0) Não houve recomendação;
(1) sempre;
(2) frequentemente;
(3) algumas vezes;
(4) raramente;
(5) nunca
ELABORAÇÃO DA MATRIZ DE RISCOS - ABR
Avaliação do “grau de risco” (vulnerabilidade) das áreas
administrativas
Valor expresso em porcentagem
Classificação dos setores conforme seu “grau de risco”
Identificação de processos chaves (atividade finalística)
e críticos (volume de recursos) geridos pelas áreas
mais vulneráveis
Elaboração do PAINT a partir dos resultados do método
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
Cálculo do “grau de risco”: média ponderada das
avaliações
1) Grau de risco gestor = (% A1 + % A2 + % A3) / 3
Sendo:
% A1 - calculado a partir da avaliação do gestor estratégico
% A2 - calculado a partir da avaliação do gestor tático
% A3 - calculado a partir da avaliação do gestor operacional
% = (pontuação obtida / 54)
2) Grau de risco AUDIN = % A4 = somatório dos pontos / 100
3) Média final = (GR gestor (%) * 4 + GR AUDIN (%) * 6) / 10
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
Critérios de risco:
]75% a 100%] - risco altíssimo ou crítico
]50% a 75%] - risco “alto”
]25% a 50%] - risco “médio”
]0% a 25%] - risco “baixo”
APLICAÇÃO DE METODOLOGIA ABR NA UFABC
Classificação
Grau de
risco na
visão do
gestor
Grau de
risco na
visão da
AUDIN
Grau de risco
- média
ponderada
Área 1 48,15% 93% 75,06%
Área 2 41,98% 78% 63,59%
Área 3 40,74% 78% 63,10%
Área 4 40,74% 78% 63,10%
Área 5 41,98% 69% 58,19%
Área 6 59,26% 51% 54,30%
Área 7 50,62% 56% 53,85%
Área 8 19,75% 75% 52,90%
Área 9 27,16% 68% 51,66%
Área 10 23,46% 70% 51,38%
Área 11 16,67% 70% 48,67%
Área 12 24,69% 63% 47,68%
Área 13 35,19% 55% 47,07%
Área 14 33,33% 56% 46,93%
Área 15 29,63% 58% 46,65%
Área 16 24,69% 57% 44,08%
Área 17 41,98% 45% 43,79%
Área 18 21,60% 55% 41,64%
Área 19 25,31% 46% 37,72%
Área 20 35,80% 37% 36,52%
Área 21 22,22% 46% 36,49%
Área 22 26,54% 41% 35,22%
Área 23 25,93% 41% 34,97%
Área 24 28,40% 36% 32,96%
Área 25 12,96% 46% 32,79%
Área 26 14,20% 36% 27,28%
Área 27 17,90% 27% 23,36%
Área 28 14,81% 27% 22,13%
REVISÃO E APERFEIÇOAMENTO DA METODOLOGIA-ABR 2015
I. Informações sobre a avaliação institucional
As variáveis básicas utilizadas para a planificação dos
trabalhos são: materialidade, relevância e criticidade.
As informações coletadas se referem às áreas finalísticas
delimitadas no organograma da Universidade, com seus
respectivos processos primários, a partir das fontes
institucionais previamente definidas.
REVISÃO DA METODOLOGIA-ABR 2015
I. Informações sobre a avaliação institucional
Foram concebidas as seguintes questões para avaliação:
1. Quando foi a última vez que a área foi auditada?
(0) Nos últimos 6 (seis) meses
(5) No intervalo de 6 (seis) a 12 (doze) meses
(10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses
(15) Há mais de 2 (dois) anos
(20) Nunca
REVISÃO DA METODOLOGIA-ABR 2015
2. Qual a magnitude do índice padronizado (z) no que se
refere aos recursos orçamentários geridos pela área?
(0) z ≤ -1
(4) -1 < z ≤ - 0,5
(8) -0,5 < z ≤ 0
(12) 0 < z ≤ 0,5
(16) 0,5 < z ≤ 1
(20) z > 1
Onde: z = (dotação orçamentária da área – dotação
média das áreas) / desvio padrão
REVISÃO DA METODOLOGIA-ABR 2015
3. Qual a proporção da despesa liquidada em relação à
dotação atualizada da área no último exercício?
(0) 0,8 ≤ p ≤ 1
(2) 0,6 ≤ p < 0,8
(4) 0,4 ≤ p < 0,6
(6) 0,2 ≤ p < 0,4
(8) 0 ≤ p < 0,2
REVISÃO DA METODOLOGIA-ABR 2015
4. Qual a magnitude do índice padronizado (z) obtido pela
área na última avaliação de desempenho?
(0) z >1
(5) 0 ≤ z ≤ 1
(10) -1 ≤ z < 0
(15) z < -1
Onde: z = (avaliação da área – média de todas as
avaliações) / desvio padrão
REVISÃO DA METODOLOGIA-ABR 2015
5. No que se refere ao monitoramento das recomendações feitas pela
Auditoria Interna e pelos órgãos de controle (CGU e TCU):
a) a área costuma acatar o que foi recomendado?
(0) Sempre acata ou não houve recomendação
(3) Algumas vezes (baixa propensão à assunção de riscos)
(6) Nunca (alta propensão à assunção de riscos) b) a área costuma
implementar no prazo original as providências assumidas?
(0) Sempre
(3) Algumas vezes
(6) Nunca implementa no prazo ou tem alta propensão à assunção de riscos
REVISÃO DA METODOLOGIA-ABR 2015
6. No que se refere às informações encaminhadas por meio
da Ouvidoria:
a) qual a proporção (p) das críticas e reclamações a
respeito da área?
(0) 0 ≤ p ≤ 0,1
(1)0,1 < p ≤ 0,2
(2)0,2 < p ≤ 0,3
(3)0,3 < p ≤ 0,4
(4)0,4 < p ≤ 0,5
(5)p > 0,5
REVISÃO DA METODOLOGIA-ABR 2015
b) as respostas produzidas pela área foram apresentadas no
prazo estipulado?
(0)Sim
(2,5) Não, contudo a proporção de respostas apresentadas fora
do prazo é inferior ao resultado geral das áreas (medido pela
proporção entre o somatório das respostas fora do prazo e o
total de demandas)
(5) Não, além disso a proporção de respostas apresentadas
fora do prazo é superior ao resultado geral das áreas (medido
pela proporção entre o somatório das respostas fora do prazo e
o total de demandas)
REVISÃO DA METODOLOGIA-ABR 2015
7. No que se refere às informações encaminhadas pelo “Fale
Conosco”:
a) Qual a proporção (p) das críticas e reclamações a respeito
da área?
(0) 0 ≤ p ≤ 0,1
(1)0,1 < p ≤ 0,2
(2)0,2 < p ≤ 0,3
(3)0,3 < p ≤ 0,4
(4)0,4 < p ≤ 0,5
(5)p > 0,5
REVISÃO DA METODOLOGIA-ABR 2015
b) as respostas produzidas pela área foram apresentadas no prazo
estipulado?
(0) Sim
(2,5) Não, contudo a proporção de respostas apresentadas fora do
prazo é inferior ao resultado geral das áreas (medido pela proporção
entre o somatório das respostas fora do prazo e o total de demandas)
(5) Não, além disso a proporção de respostas apresentadas fora do
prazo é superior ao resultado geral das áreas (medido pela proporção
entre o somatório das respostas fora do prazo e o total de demandas)
REVISÃO DA METODOLOGIA-ABR 2015
8. Houve recursos encaminhados pelo e-Sic a serem
respondidos pela área?
(0) Não
(5) Sim
Obtém-se, então, a classificação dos processos críticos
dividindo-se a pontuação total por 100.
REVISÃO DA METODOLOGIA-ABR 2015
RESULTADO DA METODOLOGIA-ABR 2015
REFERÊNCIAS
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO 31000:
Gestão de riscos - princípios e diretrizes, 2009.
BRASIL. Tribunal de Contas da União – TCU. Análise SWOT e diagrama de
verificação de risco aplicados a auditoria, 2010. Disponível em:
<http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?inline=1&fileId=8A
8182A14D78C1F1014D7957D20345D4>. Acesso em: 6 jun. 2016.
BRASIL. Tribunal de Contas da União – TCU. Glossário de termos do
controle externo, 2012. Disponível em:
<http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A14
DB4AFB3014DBAC9E2994CFD>. Acesso em: 6 jun. 2016.
REFERÊNCIAS
BRASIL. Tribunal de Contas da União – TCU. Referencial Básico de
Governança, 2.Ed, Brasília, 2014. Disponível em:
<http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?inline=1&fileId=8A8
182A24F0A728E014F0B34D331418D>. Acesso em: 6 jun. 2016.
COSO – Comitte of Sponsoring Organizations of the Treadway Commission.
Controle Interno – Estrutura Integrada, mai., 2013.
IBGC – Instituto Brasileiro de Governança Corporativa. Disponível em:
<http://www.ibgc.org.br/inter.php?id=18163>. Acesso em: 6 jun. 2016.
IIA – The Institute of Internal Auditors. Disponível em:
<http://www.iiabrasil.org.br/new/IPPF.html>. Acesso em: 28 jul. 2016.
REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE ORÇAMENTO PÚBLICO.
Metodologia e Planejamento de Auditoria de Risco, 2012.
QSP. Auditoria Baseada em Riscos – Como Implementar a ABR nas
Organizações: uma abordagem inovadora, fev. 2007.
“O maior obstáculo ao progresso
não é a ignorância e sim a ilusão
de conhecimento.”
(Daniel Boorstin)
Auditoria Interna da UFABC
Telefone: (11) 3356-7588 / 7593
E-mail:[email protected]
OBRIGADO!
Adriana Maria Couto Caruso
Leandro Gomes Amaral
Patrícia alves Moreira