Director de Auditoria Interna e Controlo de Risco - ÁGUAS DE PORTUGAL, SGPS, SA. 3. Qual é a relação entre a Gestão de Risco e a Auditoria Interna?

Transcrição

1 XVI Conferência Anual Auditoria interna orientada para o risco Nuno Oliveira, CIA Director de Auditoria Interna e Controlo de Risco - ÁGUAS DE PORTUGAL, SGPS, SA Lisboa, 18 de Novembro de 2009 Questões 1. O que significa Gestão de Risco? 2. A minha empresa tem um processo de Gestão de Risco efectivo? 3. Qual é a relação entre a Gestão de Risco e a Auditoria Interna? 4. Qual foi a base do meu plano de auditoria para 2010? 5. O meu plano de auditoria cumpre as normas do IIA? 6. O que tenho de mudar para auditar com base no risco? 7. Só existem vantagens? 2 1

2 1. O que significa Gestão de Risco? Risco é definido como uma incerteza, que pode ter um impacto positivo (oportunidade) ou negativo (ameaça). É normalmente avaliado numa perspectiva de probabilidade e impacto (ambos quantificados). A gestão de risco inclui a identificação do risco, a sua avaliação (risco inerente) e a definição de respostas. 3 O que significa Gestão de Risco? É um processo que envolve: Identificação; Avaliação; Gestão; Controlo; e Comunicação dos eventos de risco potenciais que a empresa enfrenta para atingir os seus objectivos 4 2

3 2. A minha empresa tem um processo de Gestão de Risco efectivo? Existe um processo de gestão de risco formalizado? Atribuição formal da gestão dos riscos? Acções periódicas de reavaliação dos riscos? Qual é a periodicidade da revisão dos riscos? Como é que sabemos se os principais riscos estão controlados? 5 A minha empresa tem um processo de Gestão de Risco efectivo? Fonte: 6 3

4 3. Qual é a relação entre a Gestão de Risco e a Auditoria Interna? AI não se pode envolver em actividades que comprometam a sua independência e objectividade; A identificação dos riscos é responsabilidade exclusiva da gestão; Chief Risk Officer; Riscos não identificados devem ser reportados pela AI ao nível adequado da gestão; Independentes mas coordenados. 7 Qual é a relação entre a Gestão de Risco e a Auditoria Interna? Fonte: IIA -The Role of Internal Auditing in Enterprise-wide Risk Management de 29/Set/

5 4. Qual foi a base do meu plano de auditoria para 2010? O meu plano de auditoria para 2010 foi baseado nos resultados da Gestão de Risco? Quem contribuiu para a elaboração do plano de auditoria? 9 5. O meu plano de auditoria cumpre as normas do IIA? Quem utiliza as normas do IIA? 2010 Planeamento O CAE tem de definir planos de auditoria baseados no risco, para determinar as prioridades da Auditoria Interna, consistentes com os objectivos da empresa. 10 5

6 O meu plano de auditoria cumpre as normas do IIA? Utilizar outputs da framework da Gestão de Risco; Julgamento profissional (caso não esteja formalizado); Processo documentado; Contributos da gestão. 11 O meu plano de auditoria cumpre as normas do IIA? 2120 Gestão de Risco A auditoria interna tem de avaliar a eficácia e o desempenho do processo de gestão de risco. Avaliar a exposição ao risco: O processo de Governação da empresa; Operações; e Sistemas de informação. 12 6

7 O meu plano de auditoria cumpre as normas do IIA? Para analisar: Fiabilidade e integridade da informação financeira e operacional; Eficiência e eficácia das operações; Salvaguarda dos activos; Compliance com leis, regulamentos e contratos O que tenho de mudar para auditar com base no risco? Agente de mudança; Conhecer o negócio em profundidade; Competências (entrevistar, escutar, ) Conhecer os objectivos, os riscos internos e externos e os controlos; Antecipar áreas de risco; Ser flexível. 14 7

8 O que tenho de mudar para auditar com base no risco? 3 passos críticos: Conhecer a maturidade do risco da empresa; Definir o universo e os riscos auditáveis e decidir que trabalhos realizar; Realizar auditorias baseadas nos riscos e validar os resultados com as conclusões da Gestão de Risco. 15 O que tenho de mudar para auditar com base no risco? Como fazer? 1. Obter/elaborar a matriz de risco; 2. Identificar quais os riscos auditáveis; 3. Categorizar os riscos: Por objectivo; Risk owner; Unidade de negócio; Processo; Tipo. 16 8

9 O que tenho de mudar para auditar com base no risco? Como fazer? (continuação) 4. Elaborar o plano Agrupar os riscos por unidade de negócio, processo ou objectivos Definir o universo auditável decidir em cada uma unidade de negócio ou processo, os riscos auditáveis Os riscos já são controlados por alguém? 5. Feedback para a Gestão de Risco Só existem vantagens? AI focada nas áreas de maior risco; Avalia os controlos dos riscos críticos; Avalia o cumprimento do apetite de risco; Dá mais conforto à gestão; Planeamento independente e sistematizado; Alocação de recursos mais eficiente; Áreas novas, mas mais risco para o auditor. 18 9

10 Metodologia Quantificar riscos e ligar às áreas auditáveis Ligar áreas auditáveis às classes de risco E A B D C Identificação e avaliação dos Riscos Ligar objectivos a áreas auditáveis Plano de auditoria a rever com a gestão A metodologia para a elaboração do Plano de Auditoria assenta numa top down risk based approach para assegurar que a AI se foca nas áreas estratégicas e de maior risco. 19 Metodologia Riscos prioritários da Avaliação de risco Conformidade Prioritização de Projectos Plano de Auditoria Expectativas da Administração e do Comité de Auditoria Alocar os Recursos Disponíveis Reconciliar Rotação e Acções de Seguimento Projectos especiais e auditorias não planeadas Nem todos os riscos estão cobertos 20 10

11 A nossa experiência O caso AdP 21 AI tem de ser intelectualmente activa; Notas finais Capacidade técnica adequada para responder aos riscos emergentes; A gestão tem de partilhar a visão estratégica com a AI; Dar conforto sobre o processo de governação, gestão de risco e SCI; Reportar a um nível adequado; Deve ser flexível para se adequar às necessidades Prof. Mervyn E King SC 22 11

12 Obrigado Nuno Oliveira 23 12