Metodologia de Auditoria com Foco em Riscos.28 de Novembro de 2003
2003 Deloitte Touche Tohmatsu
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)2
Dados do Projeto
Colaboradores:
Bancos ABN Amro Real Banco Ficsa Banco Ita Banco Nossa Caixa Bradesco Caixa Econmica Federal HSBC
Febraban
Deloitte
Perodo de Execuo:Agosto de 2002 a Fevereiro de 2003
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)3
Contedo do Livro
1. Introduo2. Definies Iniciais
2.1 O que Risco?2.2 O que Controle?2.3 Viso Geral do COSO e de seus Componentes de Controle
3. O que Gesto de Risco?3.1 Introduo3.2 Etapas do Processo de Gesto de Riscos3.3 Linguagem Comum de Riscos e Processos
3.3.1 Linguagem Comum de Riscos3.3.2 Linguagem Comum de Processos
3.4 A Gesto de Riscos como Vantagem Competitiva4. O Papel Esperado da Auditoria Interna na Gesto de Riscos
4.1 Introduo4.2 A Demanda pela Atuao com Foco no Risco4.3 Atribuies e Responsabilidades da Auditoria Interna vs. Demais reas4.4 Auditoria Interna e a Gesto de Riscos4.5 Auditoria Interna como Agente de Mudana
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)4
Contedo do Livro
5. Metodologia de Auditoria com Foco em Riscos5.1 Introduo5.2 Entendimento do Processo5.3 Avaliao dos Riscos Inerentes ao Processo5.4 Anlise da Estrutura de Controles5.5 Validao (Teste) dos Controles Existentes5.6 Identificao de Oportunidades de Melhoria para os Aspectos Observados5.7 Comunicao dos Resultados5.8 Follow-up
6. Principais Ferramentas Utilizadas na Auditoria Interna6.1 Extrao e Anlise de Dados6.2 Programas de Trabalho6.3 Control and Risk Self-Assessment6.4 Indicadores de Vulnerabilidades
7. Caso Prtico de Implantao de Metodologia de Auditoria com Foco em Riscos
8. Como as Auditorias Internas tem Atuado na Gesto de Riscos?9. Referncias Sites de Pesquisa
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)5
Top 10 Banking Issues
Gerenciamento integrado de riscos (enterprise wide)
Identificao dos riscos com alto grau de impacto e probabilidade de ocorrncia
Implementao de um efetivo Programa de Preveno Lavagem de Dinheiro (AMLP)
Otimizao de capital
Reestabelecimento da credibilidade pblica (Governana)
Tratamento de novas e complexas regulamentaes (Sarbanes-Oxleye Basilia II)
Implementao de Modelos de Compliance
Planejamento para cenrios extremos (continuidade dos negcios)
Altos investimentos realizados em Tecnologia da Informao
Integrao de plataformas tecnolgicas em virtude de fuses e aquisies
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)6
Evoluo Histrica da Gesto de Riscos
Risco de Estratgia
IntegradoInstrumentos
Risco de Crdito
Risco Operacional
ProcessosFunes /reas
Risco de Mercado
Bsico / GR ReativoBsico / GR Reativo Estratgico / GR PrEstratgico / GR Pr--AtivoAtivo
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)7
Padres de Controle Interno e Gesto de Riscos
1946
I
S
O
1991
F
D
I
C
I
A
C
O
S
O
C
a
d
b
u
r
y
1994
K
o
n
T
r
a
G
1995
C
o
C
o
A
N
Z
1996
C
O
B
I
T
1997
G
-
3
0
1998
B
a
s
i
l
e
i
a
1999
T
u
r
n
b
u
l
l
2001
B
a
s
i
l
e
i
a
2
(
*
)
2002
S
a
r
b
a
n
e
s
-
O
x
l
e
y
(*) Documento definitivo a ser emitido no final de 2003
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)8
Definio de Risco
Risco a incerteza inerente a um conjunto de possveis conseqncias (ganhos e perdas), as quais ocorrem como
resultado de escolhas e decises exigidas por toda organizao.
Risco est relacionado escolha, no ao acaso.
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)9
Definio de Controles
Coso ERM
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)10
Definio de Gesto de Riscos
Gesto de Riscos representa um enfoque estruturado e disciplinado que alinha estratgia, processos, pessoal, tecnologiae conhecimentos, objetivando avaliar e gerenciar as incertezas naturais enfrentadas pelas organizaes como forma de criao
de valor.
Technology Knowledge
ProcessPeople
Strategy
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)11
Etapas do Processo de Gesto de Riscos
Riscos
Divulgao e MonitoramentoDivulgao e
Monitoramento
PriorizaoPriorizao
AvaliaoAvaliao
Elaborao do Plano de AoElaborao do Plano de Ao
IdentificaoIdentificao
Definio da Estratgia
Definio da Estratgia
Riscos
Divulgao e MonitoramentoDivulgao e
Monitoramento
PriorizaoPriorizao
AvaliaoAvaliao
Elaborao do Plano de AoElaborao do Plano de Ao
IdentificaoIdentificao
Definio da Estratgia
Definio da Estratgia
Riscos
Divulgao e MonitoramentoDivulgao e
Monitoramento
PriorizaoPriorizao
AvaliaoAvaliao
Elaborao do Plano de AoElaborao do
Plano de Ao
IdentificaoIdentificao
Definio da Estratgia
Definio da
Estratgia
Inventrio de ameaas
Impacto e probabilidade
Criticidade dos riscos
Polticas Limites e
Indicadores de risco
Definir as aespara gerenciar os
riscos
ReterReduzirTransferirExplorarEvitar
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)12
Modelo de Classificao de Processos
CUSTDIACRDITO CAPTAO/COMERCIALIZAO
ESTRUTURAODE OPERAES
OPERAES COMT.V.M. E CMBIO
ATEN
DIM
ENTO
A C
LIENTES
DEFINIO DE ESTRATGIAS
CONTROLADORIA SERVIOS ADMINISTRATIVOS
GESTO FISCAL E JURDICA RELACIONAMENTO EXTERNO
ADM. DE RECURSOSDE TERCEIROS
G
E
S
T
O
D
E
R
I
S
C
O
S
MARKETING EAO COMERCIAL
GESTO DEPRODUTOS
TECNOLOGIA DA INFORMAO RECURSOS HUMANOS
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)13
Linguagem Comum de Riscos
Riscos ExternosRiscos Externos
Competio
Disponibilidade de
Capital
Regulamentao
Interrupo do
Negcio
Riscos InternosRiscos Internos
Planejamento PrecificaoIndicadores e Metas
Recursos Humanos Custo de Oportunidade
EstratgicoEstratgico
Interrupo Negcios / Interrupo Negcios / Falhas de SistemasFalhas de Sistemas
Disponibilidade
Relaes TrabalhistasRelaes Trabalhistas
Processos Trabalhistas
Fraude ExternaFraude Externa
Fraude Externa
Segurana das Informaes
Fraude InternaFraude Interna
Fraude Interna
Atividade no Autorizada
OPERACIONALOPERACIONAL
Prticas ComerciaisPrticas Comerciais
Confidencialidade
Comercializao
Falhas de Produtos
Obrigaes com Clientes
Aconselhamento
Execuo e Gesto de Execuo e Gesto de ProcessosProcessos
Integridade
Reporte
Formalizao
Custdia
Correspondentes
Fornecedores e Terceiros
MercadoMercado
Taxa de Juros
Cmbio
Aes
Liquidez
Commodities
Derivativos
CrditoCrdito
Inadimplncia
Liquidao
Garantia
Concentrao
Gesto Integrada de RIscos
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)14
Estratgias de Gesto de Riscos
RejeitarRejeitarAceitarAceitar
Transferir ExplorarReduzirReter Evitar
SimSim NoNoRejeitarRejeitarAceitarAceitar
Transferir ExplorarReduzirReter Evitar
Risco inerente ao modelo de negcios ou s operaes normais
Fora da estratgia, uma vez que o custo do controle superior ao risco
Manter o risco, precificar ou
planejar conforme grau de tolerncia
Controlar ou diversificar o
risco
Necessita que algum esteja
disposto e tenha capacidade
financeira para correr o risco
Pode aumentar o grau de
exposio na medida em
que possibilita vantagens
competitivas
Qualquer ao que elimine totalmente a fonte de um
risco especfico
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)15
O Papel Esperado do Auditor Interno na Gesto de RiscosMudanas no Enfoque da Auditoria Programa de
TrabalhoPrograma de
Trabalho
Plano de AuditoriaPlano de Auditoria
Controles
Testes
Riscos
SinalizadoresSinalizadoresPrograma de
TrabalhoPrograma de
Trabalho
Enfoque Tradicional
Matriz de Riscos
Execuo da Auditoria
Priorizao dos riscos a serem
auditados
Priorizao dos riscos a serem
auditados
Abrangncia e customizao dos
testes
Abrangncia e customizao dos
testes
Execuo dos testesExecuo dos testes
Elaborao dos Pontos de Auditoria
Elaborao dos Pontos de Auditoria
Comentrios da reaComentrios da rea
Emisso do RelatrioEmisso do Relatrio
A
c
o
m
p
a
n
h
a
m
e
n
t
o
d
o
s
S
i
n
a
l
i
z
a
d
o
r
e
s
A
c
o
m
p
a
n
h
a
m
e
n
t
o
d
o
s
S
i
n
a
l
i
z
a
d
o
r
e
s
Foco em Riscos
Universo de Auditoria
OcorrnciasOcorrncias
Relatrio AuditoriaRelatrio Auditoria
ProdutosProdutos ProcessosProcessos reasreas
RiscosRiscos
Escopo
Horas
Equipe
Datas
Auto-avaliao
Auto-avaliao
Auditorias AnterioresAuditorias Anteriores
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)16
O Papel Esperado do Auditor Interno na Gesto de RiscosQuadro Comparativo
Enfoque Tradicional Foco em Riscos
Maior parte do tempo gasto em levantamento e anlise de informao
Maior parte do tempo gasto em testes, validao e consolidao
Antecipar e prevenir riscos de negcios na origem
Inspecionar, detectar e reagir aos riscos de negcios
Testes focalizados, somente dos controles que minimizam os riscos relevantes
Testes de todos os controles
Testes com base nos riscos de negcio identificados no levantamento de informaes
Testes com base em programa de trabalho endereando objetivos de controle padro
Foco nos riscosFoco nos controles
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)17
O Papel Esperado do Auditor Interno na Gesto de RiscosQuadro Comparativo
SOX / GR
AUDITORIA INTERNA
Entendimento e mapeamentodo Processo de Negcios
Identificaodos Riscos e Controles
Monitora aderncia aosprocedimentos
Planejamento e Execuo de Testes
Relatrio de Recomendaes
Planos de Ao
Acompanhamento e Suporte
Implementao
Follow-updas
Recomendaes
Operacional Financeiro Compliance Gesto
Natureza dos Problemas Responsvel Aes corretivas
Entendimento/mapeamentodo Processo de Negcios
Identificaodos Riscos e Controles
Utilizao, reviso e/ou atualizao
Elaborao
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)18
Metodologia de Auditoria com Foco em Riscos
Levantar processo detalhado. Consultar
informaes existentes (relatrios emitidos,
polticas e procedimentos).
Entendimento do Processo
Avaliao dos riscos inerentes ao processo
Anlise da estrutura de Controles
Sinpse do Ambientede Negcios
Nota fiscalde entrada
Transaopr-
aprovada?
Autorizao para pagamento
Registro da NFE no Contas a
Pagar
Conferncias da NFE coma
documentao de recebimento
No
Sim
FluxogramasValidao dos controles (testes)
existentes
Identificao de oportunidades de melhoria para processos
observados
Comunicao dos resultados
Follow-up
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)19
Metodologia de Auditoria com Foco em Riscos
Entendimento do Processo
Linguagem Comum de Riscos
Analisar informaes obtidas na etapa
anterior
Avaliao dos riscos inerentes ao processo
Anlise da estrutura de Controles
Validao dos controles (testes) existentes
Identificao de oportunidades de melhoria para processos
observados Matriz de Riscos (Inerentes)
Comunicao dos resultados
Follow-up
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)20
Metodologia de Auditoria com Foco em Riscos
Entendimento do Processo
COBIT COSO Avaliao dos riscos inerentes
ao processo
Analisar indicadores de desempenho e
identificar deficincias nos controles
implementados. Comparar estrutura atual com melhores prticas de mercado.
Anlise da estrutura de Controles
Validao dos controles (testes) existentes
Identificao de oportunidades de melhoria para processos
observadosMatriz de Controles Internos
Comunicao dos resultados
Follow-up
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)21
Metodologia de Auditoria com Foco em Riscos
Entendimento do Processo
I
M
P
A
C
T
O
A
M
B
PROBABILIDADEB M A
AceitvelRequer ateno
Inceitvel
Acesso
Infra-estrutura
DisponibilidadeConformidade
Indicadores de Performance
Autorizao
Terceirizao
Recursos Humanos
Fraude Integridade
Crdito
Regulamentao
Riscos ResiduaisAvaliao dos riscos inerentes
ao processo
Relatrio DetalhadoAnlise da estrutura de
Controles
Validao dos controles (testes) existentes
RecomendaesSumrio GerencialConsolidar
informaes e priorizar principais
constataes.
R1. R2. R3.
Identificao de oportunidades de melhoria para processos
observados
Comunicao dos resultados
Follow-up
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)22
Principais Ferramentas
Extrao e Anlise de Dados Programas de Trabalho Control and Risk Self-Assessment Indicadores de Vulnerabilidades Banco de Dados dos Trabalhos
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)23
Caso Prtico
Benefcios: Aumento da eficincia na execuo dos trabalhos de auditoria Alinhamento de conceitos de gesto de riscos Focalizao em problemas relevantes Padronizao da documentao gerada durante os trabalhos de auditoria Reduo do tempo de reviso dos trabalhos por parte das lideranas e
gerncias Reduo do tempo de emisso dos relatrios finais Otimizao da qualidade do reporte alta administrao
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)24
Resultados da Pesquisa
Pesquisa realizada junto a 21 Instituies, cujos ativos somadosrepresentam R$ 742,4 bilhes (68% dos ativos do mercado).
Foco da Pesquisa: Auditoria com Foco em Riscos Aspectos Gerais da Auditoria Interna
Principais Resultados: Metodologias, ferramentas e conscientizao sobre auditoria com foco em
riscos ainda necessitam ser aprimorados.
As Instituies possuem um plano formal de Auditoria Interna, elaborado para o perodo de 1 ano.
42,8% no efetuaram a definio de processos, sub-processos e atividades.
38,1% no definiram uma linguagem comum de riscos.
66,7% no estabeleceram um dicionrio de riscos.
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)25
Resultados da Pesquisa
reas com maior nvel de exposio a riscos e respectiva alocao de tempo da Auditoria Interna:
1o Crdito (18%)2o Tesouraria (10%)3o Tecnologia da Informao (12%)4o Asset Management (4%)5o Internacional (3%)6o Suporte Operacional (Back-office) (15%)7o Contbil e Gerencial (8%)8o Mercado de Capitais (3%)9o Canais de Comercializao (10%)10o Outras (17%)
Quase a totalidade das Instituies possui uma rea responsvel por gesto de riscos. Em 3 casos, a gesto realizada por reas distintas, conforme a natureza do risco (crdito, mercado e operacional).
70% das Instituies afirmaram que o nvel de intergrao entre as reas de Auditoria Interna e a Gesto de Riscos elevado.
Utilizao de metodologia formal para identificao e definio dos riscos de negcios (alta 45% e mdio 55%).
2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)26
www.deloitte.com.br
Juarez Lopes de [email protected]
Deloitte Touche Tohmatsu. All Rights Reserved.A member firm ofDeloitte Touche Tohmatsu
Metodologia de Auditoria com Foco em Riscos.Dados do ProjetoContedo do LivroContedo do LivroTop 10 Banking IssuesEvoluo Histrica da Gesto de RiscosPadres de Controle Interno e Gesto de RiscosDefinio de RiscoDefinio de ControlesDefinio de Gesto de RiscosEtapas do Processo de Gesto de RiscosModelo de Classificao de ProcessosLinguagem Comum de RiscosEstratgias de Gesto de RiscosO Papel Esperado do Auditor Interno na Gesto de RiscosMudanas no Enfoque da AuditoriaO Papel Esperado do Auditor Interno na Gesto de RiscosQuadro ComparativoO Papel Esperado do Auditor Interno na Gesto de RiscosQuadro ComparativoMetodologia de Auditoria com Foco em RiscosMetodologia de Auditoria com Foco em RiscosMetodologia de Auditoria com Foco em RiscosMetodologia de Auditoria com Foco em RiscosPrincipais FerramentasCaso PrticoResultados da PesquisaResultados da Pesquisa