Gesto do Risco em Auditoria

Auditoria Baseada nos riscos de negcio

Docente: Nuno Castanheira

19 de Outubro de 2012

Agenda
Sesso n7 19OUT2012

Auditoria externa baseada no RDM Etapas do processo de auditoria O enfoque nos riscos de distoro material ao nvel das DF Limitaes da auditoria baseada no RDM
Auditoria externa baseada em conceitos de gesto de risco Conceito Objectivo mbito de avaliao O paradigma da gesto de risco em Auditoria interna Introduo Objectivos do processo de auditoria interna baseada no risco de negcio Reviso de literatura Plano Anual de Auditoria Interna Macro level Ciclo de Auditoria Micro level Consequncias da mudana de paradigma no processo de auditoria interna Auditoria interna baseada no risco de negcio Best Practices Papel da auditoria interna na Gesto de Risco
2

Auditoria Externa baseada no RDM

Auditoria externa baseada no RDM

Etapas do processo de Auditoria

O objectivo do auditor aquando da realizao de uma auditoria consiste em obter uma segurana razovel de que as demonstraes financeiras no se encontram afectadas por distores materialmente relevantes, motivadas por erros ou fraudes. Tal envolve as seguintes etapas: Avaliao do risco de distores materialmente relevantes (combinao do risco inerente e risco de controlo) ao nvel das demonstraes financeiras; Concepo e realizao de procedimentos de auditoria para resposta aos riscos identificados, de modo a reduzir os riscos de distoro materialmente relevantes nas demonstraes financeiras, a nveis aceitveis; Emisso de um relatrio de auditoria, cuja redaco traduza os resultados do trabalho realizado.

Auditoria externa baseada no RDM

O enfoque nos riscos de distoro material ao nvel das DF
A realizao de uma auditoria baseada no RDM requer que o auditor inicie o processo de auditoria adquirindo conhecimento sobre a entidade, de forma a que posteriormente possa avaliar os riscos de distoro materialmente relevantes (combinao do risco inerente e risco de controlo) ao nvel das demonstraes financeiras. Tal permitir ao auditor identificar e responder aos riscos significativos, tais como:

Possibilidade de saldos, classes de transaces ou divulgaes poderem encontrar-se incompletas, indevidamente relevadas ou omitidas nas demonstraes financeiras;
reas vulnerveis nas quais os responsveis da gesto possam derrogar os controlos internos e ocorrerem manipulaes nas demonstraes financeiras; Outras fraquezas do sistema de controlo interno, que caso no sejam corrigidas possam motivar erros nas demonstraes financeiras.
5

Auditoria externa baseada no RDM

Limitaes da Auditoria Externa (baseada no risco de distoro material)

A auditoria externa, tradicionalmente, limita-se a avaliar os riscos de distoro material ao nvel das demonstraes financeiras, centrando-se no relato financeiro, preocupando-se com o risco de auditoria, ou seja, com a emisso de uma opinio apropriada sobre as demonstraes financeiras .

Neste contexto, claramente que os stakeholders pretendem uma auditoria orientada para a estratgia da empresa, com enfoque no conjunto global de riscos que ameaam a concretizao dos objectivos propostos (Marques de Almeida, 2001).

Auditoria externa baseada em conceitos de Gesto de Risco

Auditoria externa baseada em conceitos de Gesto de Risco

Conceito

A auditoria externa baseada em conceitos de gesto de risco consiste em incorporar na metodologia de

auditoria baseada no RDM o enfoque nos objectivos estratgicos e nos riscos de os mesmos no serem
alcanados.

Auditoria externa baseada em conceitos de Gesto de Risco

Objectivo

De acordo com alguns autores, a integrao da auditoria com os conceitos desenvolvidos pelo COSO relativos gesto do risco empresarial levar auditoria baseada na gesto do risco, tendo a mesma como principal objectivo:

Prestar um servio que acrescente efectivamente valor aos utentes das demonstraes financeiras, garantindo no s a qualidade do relato financeiro, mas a capacidade de prosseguir os objectivos definidos.

Auditoria externa baseada em conceitos de Gesto de Risco

mbito de Avaliao

No contexto de uma auditoria baseada na gesto do risco, para alm de avaliar os riscos de distoro material ao nvel das demonstraes financeiras, os auditores devem avaliar a qualidade do trabalho realizado internamente ao nvel da gesto do risco do negcio pelos diferentes intervenientes (responsveis pela governao, gesto operacional, colaboradores e auditores internos) garantindo que possuem o conhecimento adequado sobre esta matria para reportarem junto da Comisso de Auditoria ou rgo competente, bem como junto dos accionistas.

10

O paradigma da Gesto de Risco em Auditoria Interna

O paradigma da Gesto de Risco em Auditoria Interna

Introduo A gesto em ltima anlise responsvel por identificar riscos e desenvolver uma estrutura para mitigar riscos inaceitveis e assim se obter um nvel de tolerncia ao risco aceitvel. A implementao de processos especficos para mitigar riscos a base da gesto de risco. Os auditores tm a oportunidade de fornecer conhecimento na eficcia dos processos atravs da auditoria baseada no risco de negcio. A auditoria baseada no risco de negcio um modelo que incorpora a relao do risco com os objectivos do negcio. Este tipo de auditoria desenhada para aumentar a eficincia e eficcia das auditorias e utilizada para determinar o nvel apropriado de cobertura da auditoria para a organizao. A metodologia de avaliao dever fornecer gesto e aos auditores informao objectiva para prioritizar correctamente a alocao dos recursos de auditoria.
12

O paradigma da Gesto de Risco em Auditoria Interna

Introduo

Uma metodologia de auditoria baseada no risco de negcio geralmente inclui:

Descrio de operaes significativas e os seus riscos de negcio associados e caractersticas de controlo, resultando num documento que descreve a estrutura de risco e controlos em toda a organizao;
Utilizao de um sistema de medida ou pontuao que avalie e hierarquize os riscos de negcio e controlo; Aprovao da gesto (possivelmente da conselho ou comit de auditoria) das avaliaes de risco e planos anuais de auditorias baseadas no risco que estabelecem o calendrio das auditorias e alocao de recursos para cada rea auditada; Um processo que monitoriza regularmente a avaliao de risco e a actualiza periodicamente para todas as operaes significativas.
13

O paradigma da Gesto de Risco em Auditoria Interna

Objectivos do processo de auditoria interna baseada no risco de negcio

A auditoria interna baseada no risco tem como objectivo fornecer segurana razovel que:

Os processos de Gesto de Risco que a Gesto implementou na

Organizao esto a funcionar conforme planeado;

Os processos de Gesto de Risco so adequados;

As tcnicas de mitigao dos riscos que ameaam os objectivos so adequadas e efectivas na reduo dos riscos para um nvel aceitvel; Est implementado um modelo adequado para mitigar com razoabilidade os riscos que ameaam os objectivos (IIA-UK & Ireland, 2003).
14

O paradigma da Gesto de Risco em Auditoria Interna

Reviso de literatura

A AIBR um processo que se inicia com os objectivos do negcio e que depois se focaliza nos riscos que ameaam os referidos objectivos (IIA-UK and Ireland, 2003).
Em vez de focalizar os controlos do sistema depois da avaliao dos riscos, a nova abordagem mantm a focagem do risco ao longo de todo o processo de auditoria (Mcnamee, 1997).

A auditoria baseada no risco em vez de assumir enfoque em todas as reas com o mesmo vigor, deve identificar as reas de maior risco e focalizar-se exclusivamente nessa reas (Scott, 2002).

15

O paradigma da Gesto de Risco em Auditoria Interna

Reviso de literatura
Tem sido convencional que a auditoria de vrias organizaes levada a cabo numa base cclica. Contudo, o processo cclico de auditoria no enfoca necessariamente nos principais riscos materiais e consequentemente a informao reportada gesto no enfoca nas principais reas estratgicas, o que implica que determinadas reas onde existam riscos considerveis possam ter menor ateno, face a outras reas de menor risco (Dittenhofer, 2001).
Por outro lado,

na transio para um planeamento de auditoria baseada no risco de negcio, conforme requerido pelas normas actuais, algumas actividades podero nunca ser suficientemente importantes para receber a ateno da auditoria interna, pelo que ser importante maximizar a eficincia e eficcia da cobertura da auditoria interna (Parkinson, 2004).
um planeamento de auditoria baseada no risco de negcio dever considerar sempre a necessidade de adequadamente cobrir todo o universo de auditoria. Para o efeito, em determinadas reas fundamentais, poder ser necessrio combinar metodologias baseadas no risco com abordagens cclicas (ORegan, 2002).

16

O paradigma da Gesto de Risco em Auditoria Interna

Fluxo do Processo de auditoria interna baseada no risco de negcio

MISSO

PLANEAMENTO ESTRATGICO
Conceitos chave/Cultura Corporativa

UNIVERSO DE AUDITORIA

MODELO DE RISCO PLANEAMENTO ANUAL DE AUDITORIA

PLANEAMENTO BASEADO NO RISCO

PROGRAMA DE AUDITORIA BASEADO NO RISCO

RELATRIO DE AUDITORIA BASEADO NO RISCO

Valor Acrescentado

Fonte: David McNamee (RISK MANAGEMENT: Changing the Internal Auditors Paradigm, IIA)
17

Plano Anual de Auditoria Interna (Macro Level)

Plano de Auditoria
Introduo
MISSO

PLANEAMENTO ESTRATGICO
Conceitos chave/Cultura Corporativa

UNIVERSO DE AUDITORIA

MODELO DE RISCO PLANEAMENTO ANUAL DE AUDITORIA

Fonte: David McNamee (RISK MANAGEMENT: Changing the Internal Auditors Paradigm, IIA)

O universo da auditoria deve incluir componentes do plano estratgico da Organizao. Ao incorporar componentes do plano estratgico da Organizao o universo da auditoria considerar e reflectir os objectivos de negcio globais. O planeamento anual da auditoria deve ser extrado do universo de auditoria, utilizando para o efeito um modelo de risco. O modelo de risco dever estar intimamente relacionado com os objectivos expressos nos principais documentos da organizao (Misso, Propsito, etc.). Tal assegura que os riscos do negcio que constam do modelo so os riscos de maior importncia para o sucesso da organizao. A maioria dos modelos de risco utiliza factores para estabelecer prioridades de trabalho de auditoria tais como: materialidade monetria; liquidez dos activos; competncia da gesto; qualidade dos controlos internos; grau de modificao ou de estabilidade; altura da realizao da ltima auditoria, complexidade das operaes, relaes laborais e governamentais, etc. (IIA, 2004).

19

Plano de Auditoria
Fases e Abordagem de Elaborao do Plano de AI
O diagrama seguinte apresenta uma sntese das fases que precedem a implementao do Plano de Auditoria Interna e a abordagem metodolgica de suporte preparao.
Fases de Elaborao do Plano de Auditoria Interna
Definir o Universo Auditvel Prioritizar os Segmentos Auditveis Rever Prioritizao e Definir Plano 3 Detalhado Aprovar e Divulgar o Plano de 4 Auditoria

Abordagem Metodolgica
Universo Auditvel
Sociedades
Processos/ Sistemas Agncias

Critrios de Prioritizao dos Segmentos (Factores de Risco) Critrio A

Prioritizao dos Segmentos Auditveis segundo uma abordagem de risco

Segmentos Auditveis
Auditoria ao Processo 1 Auditoria de TI Tecnologia A
Auditoria ao Processo 1

SPGM

Segmentos Auditveis

Critrio B Critrio C Critrio D

Auditoria ao Processo 2

Tipos de Auditoria Auditoria a Processo

Auditoria a Agncias

Aprovao do Plano de Auditoria Interna e Divulgao

Auditoria Especiais/ ad hoc

Reviso das prioridades e calendarizao dos segmentos (aces de auditoria)

mbito do Documento

20

Plano de Auditoria
Monitorizao a efectuar ao nvel do Sistema de Controlo Interno

Componentes a Analisar do Sistema de Controlo Interno

Ambiente de Controlo Interno
EO

Adequao de polticas e procedimentos; Estrutura Ambiente de Controlo Internode Funes e Independncia das Linhas de Reporte; Segregao Organizacional
Cultural Organizacional
Planeamento Estratgico

CO

Componentes do Sistema de Controlo Interno a analisar

PE

Dimensionamento das reas e Competncias dos Recursos; Respeito por Cdigos de tica e de Conduta; Atitude face ao risco e ao controlo interno; Adequao das actividades aos objectivos estratgicos.

Sistema de Gesto de Riscos

IR

AR

AC

Identif. de Riscos
C

Avaliao de Riscos

Acomp. de Riscos

Controlo de Riscos
R. Estratgico (RE)
R. Concentrao (RC)

R. Negcio (RN) R. Liquidez (RL)

R. Mercado (RM) R. Operacional (RO)

R. Crdito (RCr) R. Reputao (RR)

Monitorizao das actividades de identificao, avaliao, acompanhamento e controlo de riscos; Avaliao do nvel de envolvimento da gesto; Avaliao da documentao, adequao e eficcia dos procedimentos de controlo; Avaliao das decises tomadas.

Informao e Comunicao
SIG

Sistema de Informao de Gesto

Responsabilidades pela informao de gesto; Adequao da informao e dos canais para a sua distribuio; Captao e tratamento da informao; Alteraes e actualizao da informao.

21

Plano de Auditoria
Universo Auditvel
Exemplo de universo auditvel:

Ambiente de Controlo Interno

Estrutura Organizativa

Sistema de Gesto de Riscos

Gesto de Relao com os Accionistas

Informao e Comunicao
Servios Jurdicos Informao de Gesto

Monitorizao

Imobilizado

Gesto de Riscos

Gesto Documental e Arquivo

Gesto de Recursos Humanos Assessoria Jurdica

Acomp. da Carteira Contabilidade Geral Gesto de Tesouraria Compras Compliance

Sistemas Informticos Gesto e Controlo da Actividade

Acompanham ento e Recuperao de Crdito

Gesto e Controlo da Actividade

Cumprimento de Obrigaes de Superviso

Sistema Controlo Interno

22

Pressupostos de Elaborao do Plano de AI

(1/3)
Na elaborao do Plano de Auditoria Interna devem ser considerados alguns pressupostos, relativamente ao Perodo de Implementao e Cobertura de Processos:
Perodo de Implementao
De forma a garantir uma cobertura de 100% do universo auditvel, o plano de implementao muitas vezes operacionalizado durante 3 anos.
ANO 1 ANO 2 ANO 3

Evoluo da Cobertura de Processos

Nvel de Criticidade dos Processos:

Aumento gradual do mbito de cobertura dos processos, de acordo com o seu nvel de risco

ANO 1

ANO 2

ANO 3

Elevada

Mdia

Baixa

23

Pressupostos de Elaborao do Plano de AI

(2/3)
A Alocao de Recursos e Critrios de Prioritizao so pressupostos elaborao do Plano de Auditoria Interna:

Alocao de Recursos

Contratao gradual de recursos com o objectivo de garantir a sua completa integrao na Funo de Auditoria Interna

ANO 1

ANO 2

ANO 3

Outsourcing/ Co-sourcing

24

Pressupostos de Elaborao do Plano de AI

(3/3)
Critrios de Prioritizao
A. Comuns a todas as Auditorias ltima Auditoria Sim
Resultados positivos Recom. Implement. 5% 25%

+ + +

No
Resultados negativos Recom. No Implement.

Classif. ltima Auditoria Implem. Recomendaes

10%

B. Aplicveis s Auditorias de Processos e SI

Nmero menor Nmero menor Menor rotatividade Risco Baixo Baixa Complex. No Sim No

N de reas func. interv. N de intervenientes Rotatividade da equipa Nvel de Risco Complexidade do Processo Existncia de outsourcing Alteraes previstas Alteraes efectuadas

5% 5% 5% 25% 5% 5% 5% 5%

+
+ +

Nmero maior Nmero maior Maior rotatividade Risco Elevado Elevada Complex. Sim No Sim

+
+ + +

C. Aplicveis s Auditorias a Agncias

Menor Dimenso Baixo Volume Baixa Variao Baixo Volume

Dimenso (n pax) Volume de Carteira Variao Volume Carteira Volume de Sinistralidade Alteraes de Estrutura

5%
15%

+ + + + +

Maior Dimenso Elevado Volume Elevada Variao Elevado Volume

15% 20%
5%

No

Sim

25

Gesto do Ciclo de Auditoria Interna (Micro Level)

Ciclo de Auditoria
Introduo

De acordo com Mcnamee & Selim (1998), no actual paradigma, todo o processo de auditoria baseado em conceitos de gesto de risco:

O objectivo de auditoria avaliar a forma como a Gesto lida com o risco na unidade de negcio;
A auditoria desenvolvida para testar as tcnicas de gesto de risco (90% das quais so actividades de controlo); As auditorias so reportadas em termos de princpios de gesto de risco e com referncias ao framework de risco da organizao.

27

Ciclo de Auditoria
Introduo
A sequncia COSO apoia o novo paradigma, ao mudar a nfase da determinao dos controlos necessrios para a gesto de risco, conforme se demonstra nas figuras da pgina seguinte.

Auditoria Interna baseada no Controlo (sequncia original COSO):

Avaliar os riscos de negcio face aos objectivos Avaliar como funcionam os controlos internos Robustez Custo / benefcio Eficincia Eficcia

Objectivos do Processo ou da Unidade de Negcio

Auditoria Interna baseada no Risco: (reviso da sequncia COSO)

Avaliar os riscos de negcio face aos objectivos

Objectivos do Processo ou da Unidade de Negcio

Avaliar como so geridos os riscos de negcio

Controlar Partilhar/transferir Evitar Diversificar Aceitar

28

Ciclo de Auditoria
Fases do Ciclo de Auditoria
O ciclo de auditoria corresponde ao perodo decorrente entre o incio e o fim de cada projecto de auditoria realizado no mbito da monitorizao de cada segmento auditvel, composto pelas fases que se apresentam em seguida:
Fase de preparao precedente execuo do trabalho de campo de cada auditoria.

Planeamento

Ciclo
Acompanhamento das recomendaes efectuadas
Follow-up

de

Execuo

Auditoria

Realizao do projecto de auditoria.

Comunicao

Reporte de resultados com as principais concluses sobre o trabalho realizado.

Ciclo de Auditoria
Actividade das Fases do Ciclo de Auditoria
9
Acomp., de Implementao Recomendaes

Planeamento

Preparao da auditoria

Registo de Deficincias e Recomendaes

Ciclo
Follow-up

de
Auditoria

Execuo

Reunio de Kick-off

3 7
Divulgao do Relatrio Final

Comunicao

Trabalho de Campo

Relatrio Final de Auditoria

5 Apresentao

Relatrio Preliminar de Auditoria

e Discusso de Concluses

Planeamento

Ciclo de Auditoria

Planeamento Actividades Desenvolvidas

Fase do ciclo de vida da auditoria que tem como objectivo planear as actividades a desenvolver no mbito da auditoria s Organizaes.

Planeamento

Esta fase dever ser realizada com a antecedncia necessria de modo a assegurar actividades que se apresentam em seguida.

Definio dos objectivos e mbito da aco de auditoria;

1

Recolha e anlise de Informao;

Preparao da Auditoria

Recolha e anlise das matrizes de riscos e controlos actualizadas; Elaborao do Programa de Auditoria Organizao;

Comunicao da auditoria que se encontra planeada e agendamento de uma Reunio inicial.

Reunio de Kick-Off

Elaborao de Documento que inclui os objectivos e mbito da auditoria. O mbito deve contemplar as actividades a considerar na auditoria, bem como o perodo a analisar; Realizao de Reunio de Kick-off; Identificar interlocutores chave e agendar reunies de levantamento / confirmao das actividades no mbito da auditoria.

Ciclo de Auditoria

Planeamento Recolha e anlise de Informao

Previamente ao incio da fase de execuo da auditoria, a equipa deve apreender, confirmar e ampliar conhecimentos sobre o mbito da auditoria (e.g., planeamento estratgico, estrutura organizacional, cultura organizacional, sistema de gesto de risco, Organizao como um todo) e o respectivo contexto envolvente (e.g., entidade, sector); Para tal, deve ser recolhida e analisada informao de forma a avaliar potenciais impactos no mbito da auditoria:

Organograma detalhado com informao das Unidades de Estrutura, incluindo a descrio das respectivas funes/ tarefas; Ordens de Servio, polticas, procedimentos formalmente definidos, relacionados com o mbito da auditoria; Manuais de utilizao dos sistemas que suportam as actividades no mbito da auditoria;
Leis e regulamentao aplicveis s actividades no mbito da auditoria; Informao oramental e resultados operacionais das reas no mbito da auditoria; Detalhe sobre as modificaes recentes nas actividades no mbito da auditoria.

Ciclo de Auditoria

Planeamento Matrizes de Riscos e Controlos (1/2)

As matrizes de riscos e controlos constituem uma fonte de informao de elevada relevncia para o trabalho da equipa de auditoria, uma vez que permitem:

A identificao dos riscos e anlise dos resultados da sua avaliao no sentido de identificar os riscos com maior nvel de exposio; A identificao dos controlos que se encontram implementados nos diversos processos da Organizao, com o objectivo de mitigar os riscos identificados.
Abordagem das Matrizes de Riscos e Controlos
Identificao de Riscos Risco III Risco III A.A.A Risco III A.A.B Risco III A.A.C Identificao de Controlos Controlo X Controlo A Controlo B

Processo

Processos Crticos
Processo Actividade Actividade 1.1.1 Actividade 1.1.2 Actividade 1.1.3

Documentao da Avaliao do Risco

Avaliao do Risco Avaliao Risco A.A.A Avaliao Risco A.A.B Avaliao Risco A.A.C

Actividade
Risco Controlo

Processo 1.1

No entanto a equipa de auditoria dever, no contexto da fase de planeamento, identificar riscos adicionais no considerados nas matrizes de riscos e controlos.

Ciclo de Auditoria

Planeamento Matrizes de Riscos e Controlos (2/2)

Identificao e Avaliao dos Riscos
Riscos
A Matriz de Riscos e Controlos inclui a identificao dos riscos associados ao processos das Organizaes.

Elevado

Avaliao de riscos

Nvel Exposio

Mdio Baixo

Identificao dos Controlos

Controlo Os controlos encontram-se associados aos riscos potenciais que visam mitigar. A sua descrio deve ser suficientemente detalhada de forma a assegurar um adequado entendimento do controlo, fornecendo as bases para a sua avaliao e preparao dos programas de auditoria.
Responsvel

Unidade de Estrutura e Posio/Funo responsvel pelo controlo Atributo que caracteriza o controlo Periodicidade de execuo do controlo O controlo poder ser manual (requer interveno manual) ou automtico (no requer interveno manual).

Categoria

Caracterizao do controlo

Frequncia

Natureza

Ciclo de Auditoria

Planeamento Programa de Auditoria

A equipa de auditoria deve preparar um Programa de Auditoria de forma a estabelecer a natureza e extenso dos procedimentos de auditoria. O Programa de Auditoria deve incluir os seguintes tipos de contedos:
Objectivos dos processos/ actividades no mbito da auditoria Objectivos a atingir para garantir a mitigao do risco identificado Prticas e procedimentos estabelecidos para mitigar os eventos de risco identificados garantindo o cumprimento dos objectivos de controlo

Objectivos
Descrio dos eventos que podem ocorrer e colocar em causa o cumprimento dos objectivos estabelecidos

Riscos

Objectivos de Controlo

Controlos

Procedimentos de Auditoria
Avaliao do Desenho do Controlo Teste Eficcia Operacional do Controlo

Procedimentos a realizar pela equipa de auditoria no sentido de confirmar a existncia/ implementao de controlos e avaliar se o desenho dos mesmos garante a cobertura dos riscos identificados

Procedimentos a realizar pela equipa de auditoria no sentido testar se os controlos com um desenho adequado, funcionaram de forma eficaz durante o perodo considerado no mbito da auditoria

Aspectos a Considerar

A equipa de auditoria deve preparar o Programa de Auditoria, tendo por base, a recolha e anlise de informao das matrizes de riscos e controlos (caso existam matrizes para as actividades a auditar) e a identificao de outros riscos e objectivos de controlo no documentados; Nas situaes em que no existe matrizes de riscos e controlos, devem ser agendadas reunies de levantamento, entendimento e confirmao da existncia de controlos, sendo os procedimentos de teste aos controlos definidos posteriormente.

Ciclo de Auditoria
Recordatrio de Conceitos
Programa de Auditoria
O Programa de Auditoria consiste no conjunto de procedimentos que devero ser realizados pela equipa de auditoria com o objectivo de avaliar o desenho dos controlos e testar a sua eficcia operacional.

Kick-Off da Auditoria

O Kick-Off tem como objectivo comunicar e acertar com as Organizaes os objectivos, mbito, abordagem e planeamento das auditorias estratgia, atravs da realizao de uma reunio de abertura da auditoria.

Perodo da Auditoria

O Perodo da auditoria deve ser determinado aquando da definio do mbito da auditoria, consistindo no perodo de tempo que ser considerado nos procedimentos de auditoria a realizar.

Processo

Conjunto de actividades encadeadas de forma lgica e sequencial.

Risco

Possibilidade que um evento venha a ocorrer e afectar adversamente o cumprimento dos objectivos da Organizao.

Controlo

Conjunto de prticas e procedimentos estabelecidos para monitorizar e mitigar potenciais eventos de risco. A existncia de um controlo pressupe uma aco ou conjunto de aces executadas para assegurar com uma segurana razovel o cumprimento dos objectivos de controlo identificados.

Execuo

Ciclo de Auditoria

Execuo Actividades Desenvolvidas

Fase do ciclo de vida da auditoria que tem como objectivo a execuo dos procedimentos de auditoria programados, de forma a poder concluir acerca da qualidade dos controlos existentes ao nvel das actividades no mbito da auditoria.
Esta fase dever ser realizada de forma eficiente e eficaz garantindo a adequada identificao de todas as concluses significativas.

Execuo

Realizao de reunies de levantamento/confirmao das actividades no mbito da auditoria, tendo como objectivo o levantamento e entendimento dos procedimentos de controlos existentes;
Trabalho de Campo

Actualizao do programa de auditoria tendo por base a informao recolhida nas reunies efectuadas; Execuo dos procedimentos de auditoria programados e documentao dos seus resultados.

Relatrio Preliminar de Auditoria

Elaborao do relatrio preliminar com principais concluses e recomendaes resultantes do trabalho de campo, tendo como objectivo a recolha de comentrios.

Ciclo de Auditoria
Procedimentos de Auditoria - Sntese
Procedimento de Auditoria Tcnicas Auditoria

Resultados
1a) Inexistncia de controlos (gap desenho);
1b) Insuficincia de desenho dos controlos existentes (gap desenho); 1c) Controlos com desenho adequado (necessrio teste eficcia operacional). 2a) Controlos ineficazes operacionalmente ao longo do perodo de auditoria (erros/falhas detectados); 2b) Controlos eficazes operacionalmente ao longo do perodo da auditoria.

1. Avaliar o Desenho dos Controlos

Avaliar o Desenho confirmar o funcionamento, existncia e implementao de controlos, de forma a concluir se possuem um desenho adequado para garantir o cumprimento dos objectivos de controlo e mitigar os riscos existentes.

Entrevista;

Walkthrough;
Observao; Anlise / Examinao (e.g., dados, documentao).

2. Testar a Eficcia Operacional dos Controlos

Testar a Eficcia Operacional confirmar o correcto funcionamento dos controlos ao longo do perodo de auditoria, obtendo evidncia da sua eficcia operacional.

Entrevista; Walkthrough;

Observao;
Anlise / Examinao (e.g., dados, documentao); Repetio da execuo do controlo.

Deficincias identificadas na Auditoria

Ciclo de Auditoria

Procedimentos de Auditoria Tcnicas de Auditoria

Consistem em entrevistas detalhadas que tm como objectivo fornecer um entendimento pormenorizado do desenho dos controlos e avaliar a sua eficcia. Devero ser entrevistados os responsveis pela execuo dos controlos e ainda outros indivduos que apesar de no serem responsveis pelos controlos, esto numa posio que lhes permite comentar sobre a sua eficcia. A generalidade das questes devero focar-se na descrio detalhada dos controlos, nomeadamente quais os passos envolvidos na sua execuo, qual a documentao que os suporta (evidncias) e quais os passos efectuados em caso de excepo ou ausncia dos responsveis pela execuo do controlo. Examinao de registos e/ou documentos, em formato electrnico ou papel, internos ou externos, que evidenciem a implementao dos controlos ao longo do perodo da auditoria, corroborando a informao obtida nas entrevistas efectuadas. A quantidade de evidncias a examinar depende do tamanho da amostra seleccionada. Adicionalmente, o grau de fiabilidade obtido, depende da natureza e fonte dos registos e documentos obtidos. Tcnica que consiste em observar, para um processo ou procedimento, as aces que esto a ser desempenhadas pelos executantes dos controlos. A observao proporciona evidncia acerca da implementao de um controlo, no entanto limitada ao momento em que tem lugar, pelo facto de que a observao da aco pode afectar a sua forma de execuo. Desta forma, a observao dever, sempre que possvel, ser complementada com a utilizao da tcnica de repetio da execuo dos controlos ou pela examinao dos registos/ documentos.

Entrevista / Questionrio

Examinao de Registos / Documentos

Observao

Repetio da execuo do controlo

Esta tcnica consiste na realizao do controlo pela equipa de auditoria, que dever assegurar a execuo do mesmo considerando todos os pressupostos que o caracterizam. Para assegurar que esta tcnica conclusiva acerca da eficcia do controlo, a equipa de auditoria dever garantir que a fonte dos dados fidedigna e que so levantados todas as variveis que determinam o funcionamento do controlo.

Walkthrough

Tcnica que consiste na reviso e acompanhamento presencial de um conjunto de actividades, tipicamente um processo ou sub-processo, tendo como objectivo a observao e recolha de documentao que evidencie a execuo das mesmas.

Ciclo de Auditoria

Procedimentos de Auditoria Caractersticas das Evidncias

Atravs da aplicao das tcnicas de auditoria, os auditores tm como objectivo a recolha de informao
(evidncia) que fornea uma base slida para as concluses e recomendaes de auditoria. A evidncia recolhida dever ser:

Suficiente factual e adequada, no sentido em que permita a uma pessoa informada e prudente
chegar s mesmas concluses que o auditor; Fidedigna obtida de fontes de confiana, atravs de tcnicas de auditoria apropriadas;

Relevante suporte as concluses e recomendaes de forma consistente com o objectivo dos

procedimentos de auditoria (testes). Todas as evidncias recolhidas em forma de papel devem ser digitalizadas, de forma a suportar a existncia de pastas de auditoria totalmente em formato electrnico. As evidncias recolhidas no podem ser alteradas pelo auditor, uma vez que deixariam de ter validade

para constituir prova das concluses de auditoria.

Comunicao

Ciclo de Auditoria

Comunicao Actividades Desenvolvidas

Fase do ciclo de vida da auditoria que tem como objectivo a apresentao, divulgao e aprovao das concluses e recomendaes resultantes da auditoria realizada. Esta fase dever ser realizada aps a finalizao do trabalho e fecho de todas as concluses e recomendaes pela equipa de auditoria.

Comunicao

Apresentao e Discusso de Concluses

Realizao de reunio de apresentao e discusso das concluses e recomendaes resultantes do trabalho realizado.

Relatrio Final de Auditoria

Preparao do Relatrio Final da Auditoria.

Divulgao do Relatrio Final

Divulgao e apresentao das concluses e recomendaes do Relatrio Final da Auditoria aos rgos de Administrao.

Ciclo de Auditoria
Relatrio Final de Auditoria
Os Relatrios das Auditorias devem estar livres de erros e distores, sendo fieis aos factos analisados. As sua elaborao dever ser efectuada com cuidado e preciso, assegurando:

Clareza os relatrios devem permitir um entendimento fcil e lgico das concluses da auditoria. A clareza pode ser melhorada evitando linguagem tcnica e proporcionando informao de suporte suficiente (e.g., utilizao de grficos).
Objectividade os relatrios devem ser directos e evitar elaboraes desnecessrias, detalhes suprfluos, redundncias e verbosidade. A sua objectividade dever ser assegurada atravs de uma adequada reviso dos contedos. As concluses devem ser apresentadas de forma sucinta de modo a serem facilmente compreendidas. Valor acrescentado as concluses e recomendaes apresentadas devem ajudar a Organizao a efectuar as correces necessrias nos seus procedimentos e funcionamento, conduzindo a melhorias quando necessrio. O contedo e tom da apresentao deve ser til e positivo, contribuindo para o cumprimentos dos objectivos da Organizao.

Totalidade os relatrios devem incluir toda a informao relevante e observaes que sirvam de suporte s concluses e recomendaes apresentadas. Oportunidade os relatrios devem ser entregues atempadamente, de forma a permitir uma actuao imediata e eficaz sobre as recomendaes efectuadas, sempre que possvel.
Imparcialidade os relatrios devem apresentar um viso equilibrada de todos os factos e circunstncias relevantes. As concluses e recomendaes devem ser expressas sem preconceito, interesses pessoais e influncias de terceiros.

Follow Up

Ciclo de Auditoria

Follow-up Actividades Desenvolvidas

Fase do ciclo de vida da auditoria que tem como objectivo o acompanhamento da implementao das recomendaes efectuadas pela equipa de auditoria.
Follow-up

Esta fase dever ser realizada aps a finalizao da auditoria, apoiando-se num repositrio de recomendaes que permita identificar a antiguidade e prioridade das recomendaes.

Registo de Deficincias e Recomendaes

Documentao das concluses e recomendaes da auditoria num repositrio especfico, que permita acompanhar a implementao das recomendaes, tendo por base a antiguidades das mesmas, a sua prioridade e a identificao dos responsveis pela sua implementao.

Acomp. de Implementao Recomendaes

Acompanhamento da implementao das recomendaes e actualizao do repositrio de recomendaes no sentido de identificar todas as recomendaes que j se encontram em curso, por implementar ou implementadas.

Ciclo de Auditoria
Documentao das Recomendaes e Acompanhamento
Todas as recomendaes de Auditoria devem ser documentadas num repositrio especfico, que permita efectuar o acompanhamento da sua implementao Follow-Up;
Designao da Deficincia qual est relacionada a recomendao Recomendao efectuada pela equipa de Auditoria com vista mitigao dos riscos associados deficincia detectada como resultado do trabalho de auditoria

Referncia da auditoria a que respeita a recomendao

Ref. Auditoria

Ref. Deficincia

Designao Deficincia

Recomendao

Data proposta Implement.

Estado

Observaes Follow-up

Referncia da Deficincia ou observao detectada e documentada no Relatrio de Auditoria

Data proposta / aceite para a implementao da recomendao. Estado da implementao (A iniciar, Em curso, Implementada)

Observaes resultantes do Follow-up efectuado pela equipa de Auditoria. Justificao de desvios e identificao de novas datas de implementao

Utilizando o repositrio de recomendaes, a auditoria deve filtrar as recomendaes cuja data de implementao atingiu a data actual e inquirir os responsveis de cada recomendao sobre o estado da sua implementao.

O paradigma da Gesto de Risco em Auditoria Interna

Consequncias da mudana de paradigma no processo de auditoria interna
Ao mudar o foco e o vocabulrio do auditor interno de controlo para risco, ocorrem vrias alteraes profundas. Algumas alteraes incluem: Linguagem de comunicao comum: A gesto pensa em termos de risco (explcita ou implicitamente), e a gesto raramente pensa em termos de controlo. Auditores e gestores podem comear a utilizar a mesma linguagem;
Menor frico durante o processo de auditoria: Focar no controlo d a impresso de se restringirem aces e decises; focar no risco evita essa conotao negativa;

Um fluir mais natural do objectivo da auditoria para o relatrio: Ao ter o risco como foco de auditoria, o relatrio tambm se pode focar no risco; Planeamento de auditoria enriquecido: Questionar a gesto snior sobre quais os riscos que a preocupam em oposio a perguntar-lhes quais os controlos que a preocupam.

49

O paradigma da Gesto de Risco em Auditoria Interna

Auditoria interna baseada no risco de negcio Best Practices

Focus nos Clientes Orientar o servio para proporcionar valor acrescentado aos clientes internos. Alargar a definio de risco de forma a desenvolver um plano de auditoria que melhore significativamente o desempenho dos processos de negcio. Participar no processo de identificao e gesto de riscos. Participar na definio e avaliar os controlos associados aos riscos de negcio identificados. Estratgias de Comunicao Melhorar os processos de comunicao da auditoria, antes e depois da emisso de relatrios e promover a partilha de conhecimentos.

50

O paradigma da Gesto de Risco em Auditoria Interna

Auditoria interna baseada no risco de negcio Best Practices

Skills e formao dos auditores No limitar o staff apenas a profissionais com background de auditoria. Reengenharia e melhoria contnua do processo de auditoria Assegurar que o processo de auditoria est permanentemente alinhado com os processos de negcio e que as necessidades dos clientes esto a ser satisfeitas optimizando a relao custo/benefcio.

Integrar a tecnologia O uso da tecnologia possibilita um processo de auditoria mais rpido e rigoroso e permite alargar o seu mbito.
51

O paradigma da Gesto de Risco em Auditoria Interna

Papel da auditoria interna na Gesto de Risco
A abordagem da auditoria interna dever ser compatvel com o nvel de maturidade de gesto de risco da organizao:
Maturidade de Risco Risco Ingnuo Caractersticas Chave Por desenvolver ERM Abordagem de Auditoria Interna Promover a Gesto de Risco e utilizar a avaliao do risco feita pela auditoria Promover ERM e utilizar a avaliao do risco feita pela auditoria

Risco Consciente

Abordagem tradicional de Gesto de Risco

Risco Definido

Estratgias e politicas implementadas. Apetite de Risco (o nvel de risco que a Gesto decidiu aceitar) definido.

Facilitar a Gesto de Risco e utilizar a avaliao de risco feita pela Gesto, onde apropriado Auditar o processo de Gesto de Risco e utilizar a avaliao do risco feita pela Gesto, onde apropriado Auditar o processo de Gesto de Risco e utilizar a avaliao do risco feita pela Gesto, onde apropriado

Risco Gerido

ERM implementado

Risco Controlado

ERM e Controlo Interno totalmente integrado nas operaes

Fonte: IIA UK & Ireland (adaptado)

52

O paradigma da Gesto de Risco em Auditoria Interna

Auditoria interna baseada no risco de negcio Best Practices

O principal papel da auditoria interna com respeito ao Processo formal de Gesto de Risco (ERM) est associado ao desempenho de servios tradicionais (assurance) de auditoria, ou seja, avaliao das actividades de Gesto de Risco. Quando a actividade de auditoria interna se extende para alm do seu papel principal, devero ser aplicadas algumas salvaguardas, por forma a no comprometer a independncia e objectividade requerida (IIA, 2004).

53

O paradigma da Gesto de Risco em Auditoria Interna

Auditoria interna baseada no risco de negcio Best Practices

A extenso dos servios de consultoria levados a cabo pela auditoria interna com respeito a ERM dever depender dos recursos e da maturidade de risco da organizao. medida que aumenta a maturidade do risco, o papel da auditoria interna com respeito a ERM deve reduzir. Por outro lado, se uma organizao recruta especialistas em Gesto de Risco, provvel que a auditoria se concentre no seu papel de Assurance (IIA, 2004).

Muitos auditores internos desempenham um papel dinmico (consultoria), apoiando o estabelecimento inicial do processo de gesto de risco, fundamentalmente nas pequenas empresas, face escassez de recursos.

54

BIBLIOGRAFIA
Castanheira et al. (2010), Factors associated with the adoption of risk-based internal auditing, Managerial Auditing Journal, 25/1: 79-98 Dittenhofer, M. (2001), Internal auditing effectiveness: an expansion of present methods, Managerial Auditing Journal, 16/8: 443-450. IIA - The Institute of Internal Auditors (2004), International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors. IIA UK and Ireland (2003), Risk Based Internal Auditing. Documento disponvel em www.iia.org.uk. Matyjewicz, G. & DArcangelo, J. R. (2004), ERM-based auditing, The Internal Auditor, Nov/Dec: 4-18. Mcnamee, D. (1997), Risk Based Auditing, The Internal Auditor, August: 22-27. Mcnamee, D. & Selim, G. (1998), Risk Management: Changing The Internal Auditors Paradigm, The Institute of Internal Auditors Research Foundation. ORegan, D. (2002), The CPAs transition to the world of internal auditing, The CPA Journal, Aug: 11-13. Parkinson, M. (2004): A strategy for providing assurance, The Internal Auditor, Dec: 63-68. Scott, T. (2002), So long, traditional audit: no more same as last year with riskbased approach, California CPA, Jan: S/P

55