Julho de 2018

Testes de Auditoria [Exemplos]

No contexto da ABR - Auditoria Baseada em Riscos

por Francesco De Cicco1

Publicamos recentemente um paper intitulado “Por que sua organização deve

implementar a ABR”. Agora, vamos reproduzir o trecho do nosso Manual sobre Auditoria
Baseada em Riscos que trata da avaliação da Maturidade da Gestão de Riscos (ou,
simplesmente, Maturidade de Riscos) das organizações, mostrando alguns exemplos de
Testes de Auditoria que podem ser realizados para fornecer evidências que embasem
essa avaliação. Boa leitura!

Introdução O primeiro estágio da ABR - Auditoria Baseada em Riscos - é analisar criticamente

o nível de maturidade de riscos. Este estágio possui três objetivos. São eles:

• Avaliar a maturidade de riscos da organização.

• Relatar tal avaliação à direção e ao comitê de auditoria.
• Definir uma estratégia de auditoria.

Ações para 1. Discutir com diretores e gerentes seniores o entendimento que existe sobre a
atingir os maturidade de riscos. Determinar o que já foi feito para melhorar a
objetivos
maturidade de riscos da organização como, por exemplo: treinamentos,
workshops sobre riscos, enquetes sobre riscos e entrevistas com gerentes.
Determinar se os gerentes acreditam que o cadastro de riscos é abrangente.
Discutir se o entendimento sobre gestão de riscos está arraigado de tal forma
que os gerentes se sentem responsáveis não somente pela identificação,
avaliação e mitigação dos riscos, mas também pelo monitoramento do
arcabouço e das respostas aos riscos.

2. Obter documentos, quando disponíveis, que detalhem:

- Os objetivos da organização.
- Como os riscos são analisados, por exemplo, pontuando seu impacto e
probabilidade.
- Uma definição, aprovada pela diretoria, que estabeleça seu apetite por
riscos, em termos do sistema de pontuação utilizado para riscos inerentes
e residuais.
- Os processos seguidos para identificar riscos que ameaçam os objetivos
da organização.

1
Diretor Executivo do QSP - Centro da Qualidade, Segurança e Produtividade
E-mail: qsp@qsp.org.br | Blog do De Cicco na ISO31000.net.

ABR – Auditoria Baseada em Riscos © 2018, QSP

 - Como a gerência considera os riscos como parte de sua tomada de
decisão. Por exemplo, incluindo os riscos e as respostas a eles em
documentos de aprovação de projetos.
- Os processos seguidos para o relato dos riscos em níveis diferentes da
direção.
- As fontes de informação utilizadas pela direção e pelo conselho para se
certificarem de que o arcabouço está funcionando de maneira eficaz para
gerenciar os riscos dentro do apetite por riscos.
- O cadastro de riscos da organização, incluindo os tipos de informação
descritos na seção anterior.
- Quaisquer outros documentos que indiquem o comprometimento em
relação à gestão de riscos.

3. Chegar a uma conclusão em relação à maturidade de riscos. Usando os

documentos e informações coletadas, avaliar o grau de maturidade de riscos
da organização como: habilitado, gerenciado, definido, consciente e
ingênuo. O quadro a seguir traz essas definições e sugere os fatores que
podem ser levados em consideração para essa avaliação. Também sugere
testes de auditoria que podem ser realizados para fornecer evidências que
embasem essa avaliação.

4. Relatar as conclusões sobre a maturidade de riscos para a direção e para o

comitê de auditoria. Este estágio fornecerá uma garantia inicial de alto nível
sobre os processos de gestão, o manejo dos riscos-chave e o registro e relato
dos riscos.

Ao relatar as conclusões e suas implicações, deve-se observar que um grau de

maturidade de riscos ingênuo ou consciente implica que o sistema de
controles internos da organização e a capacidade da direção de avaliá-lo pode
ser ineficaz.

5. Trabalhar com a direção a fim de identificar quaisquer ações por ela

propostas, a serem tomadas como resultado dessa avaliação. A direção pode
sugerir atribuições de consultoria para a auditoria interna como, por exemplo,
auxiliando os esforços da direção para melhorar os processos de gestão de
riscos.

6. Decidir qual a estratégia de auditoria a ser seguida após a avaliação e obter a

aprovação da direção e do comitê de auditoria.

ABR – Auditoria Baseada em Riscos © 2018, QSP

 Exemplos de testes
Ingênuo Consciente Definido Gerenciado Habilitado
de auditoria
Características-
chave
Nenhuma Abordagem para a Estratégia e políticas Abordagem Gestão de riscos e
abordagem formal gestão de riscos implementadas e corporativa para a controles internos
desenvolvida para a dispersa em “silos” comunicadas. gestão de riscos totalmente
gestão de riscos Apetite por riscos desenvolvida e incorporados às
definido comunicada operações
Processo
Verificar se os objetivos da
organização são determina-
dos pelo conselho e se foram
Objetivos da Sim – mas
comunicados para todos os
organização Possivelmente abordagem pode Sim Sim Sim
funcionários. Verificar se
definidos não ser consistente
outros objetivos e metas são
consistentes com os
objetivos da organização
Direção foi treinada Entrevistar gerentes para
para compreender os Algum treinamento confirmar seu entendimento
Não Sim Sim Sim
riscos e sua respon- limitado sobre riscos e o quanto eles o
sabilidade por eles gerenciam
Improvável, sem Verificar se o sistema de
Sistema de pontuação
definição de pontuação foi aprovado,
para avaliar riscos foi Não Sim Sim Sim
abordagem comunicado e se está sendo
definido
consistente utilizado
Verificar o documento no
Apetite por riscos da qual o grupo de controle
organização foi aprovou o apetite por riscos.
definido em termos Não Não Sim Sim Sim Certificar-se de que é
do sistema de consistente com o sistema de
pontuação pontuação e de que tenha
sido comunicado
Examinar os processos para
Processos foram certificar-se de que são
definidos para Sim, mas ainda não suficientes para garantir a
determinar os riscos e Não Improvável se aplica à Sim Sim identificação de todos os
os mesmos foram organização toda riscos. Verificar se estão
seguidos implementados examinando
os resultados de workshops
Examinar o Cadastro de
Todos os riscos Riscos.Certificar-se de que
foram compilados em Sim, mas ainda não está completo, é analisado
Pode haver uma
uma lista. Os riscos Não se aplica à Sim Sim criticamente com regulari-
lista incompleta
foram alocados a organização toda dade e usado para gerenciar
cargos específicos. os riscos. Riscos são
alocados para os gerentes
Verificar se a pontuação
Todos os riscos
aplicada para a seleção de
foram avaliados de Sim, mas ainda não
Pode haver uma riscos é consistente com a
acordo com o sistema Não se aplica à Sim Sim
lista incompleta política. Buscar consistência
de pontuação organização toda
(isto é, riscos semelhantes
definido
têm pontuação semelhante)
Respostas para os Examinar o Cadastro de
Sim, mas ainda não
riscos foram Algumas respostas Riscos para certificar-se de
Não se aplica à Sim Sim
selecionadas e identificadas que foram identificadas
organização toda
implementadas respostas apropriadas
A direção Para uma seleção de respos-
estabeleceu métodos tas, processos e ações,
para monitorar a examinar o(s) controle(s) de
operação adequada Sim, mas ainda não monitoramento e certificar-
Alguns controles de
dos processos-chave, Não se aplica à Sim Sim se de que a direção saberia
monitoramento
das respostas e dos organização toda se as respostas ou processos
planos de ação não estivessem funcionando,
(“controles de ou se as ações não
monitoramento”) estivessem implementadas

continua

ABR – Auditoria Baseada em Riscos © 2018, QSP

 Exemplos de
Ingênuo Consciente Definido Gerenciado Habilitado
testes de auditoria
Processo
Alguns riscos Análises Análises
Buscar evidências de que um
Riscos são analisados são analisados críticas críticas
Análises críticas regulares, processo minucioso de
pela organização Não criticamente, regulares, regulares,
provavelmente trimestrais análise crítica é realizado
regularmente mas não provavelmente provavelmente
regularmente
frequentemente anuais trimestrais
Administração relata
riscos para diretores Para os riscos acima do
Sim, mas pode
quando as respostas apetite por riscos, verificar
não ser um
não manejaram os Não Não Sim Sim se o conselho foi informado
processo
riscos para um nível formalmente sobre a
formal
aceitável para o existência de tais riscos
conselho
Todos os projetos
Examinar propostas de
novos significativos
Maioria dos Todos os projeto para uma análise dos
são avaliados quanto Não Não Todos os projetos
projetos projetos riscos que possam
a riscos
ameaçá-los
rotineiramente
Responsabilidade
pela determinação, Examinar descrições de
Maioria das
avaliação e manejo cargos. Verificar instruções
Não Não Limitada descrições de Sim
dos riscos está para estabelecer descrições
cargos
incluída nas de cargos
descrições de cargos
Examinar a garantia
Gerentes dão fornecida. Para riscos-chave,
garantia da eficácia Alguns verificar se os controles e o
Não Não Não Sim
de sua gestão de gerentes sistema de gestão de
riscos monitoramento estão
operando
Examinar uma amostra de
avaliações, buscando
Gerentes são
evidências de que os
avaliados quanto ao Alguns
Não Não Não Sim gerentes foram avaliados
seu desempenho na gerentes
adequadamente quanto ao
gestão de riscos
seu desempenho em relação
à gestão de riscos

Conheça também

✓ Curso: ISO 31000:2018 - Capacitação em Gestão de Riscos e Auditoria Baseada em

Riscos
✓ Manual: Gestão de Riscos - Diretrizes para a Implementação da ISO 31000:2018
✓ Manual: Auditoria Baseada em Riscos - Como implementar a ABR nas
organizações: uma abordagem inovadora

ABR – Auditoria Baseada em Riscos © 2018, QSP