PAINT 2016 Plano Anual de Atividades da Auditoria Interna. Ação 6.1 Auditoria Baseada em Risco

Transcrição

1 PAINT 2016 Título do slide Plano Anual de Atividades da Auditoria Interna Ação 6.1 Auditoria Baseada em Risco Setor ou data ou apresentadorcoordenação: Rosiane Melo

2 ROTEIRO DA APRESENTAÇÃO Controle; Controle Interno; Framework COSO; Gestão de Risco; Auditoria Baseada em Risco.

3 CONTROLE Marcelo Alexandrino e Vicente Paulo É o poder-dever de vigilância, orientação e correção que a própria Administração, ou outro Poder, diretamente ou por meio de órgão especializado exerce sobre sua atuação administrativa. Heraldo da Costa Reis A função controle é indispensável para acompanhar a execução de programas; apontar falhas e desvios; velar pela boa utilização, manutenção e guarda dos bens patrimoniais, e pela perfeita aplicação dos princípios adotados e constatar a veracidade das operações realizadas.

4 FINALIDADE CONTROLE

5 CONTROLE INTERNO Instituto de Auditores Internos do Brasil, Audibra Devem ser entendidos como qualquer ação tomada pela administração (assim compreendida tanto a Alta Administração como os níveis gerenciais apropriados) para aumentar a probabilidade de que os objetivos e metas estabelecidos sejam atingidos. INTOSAI "É um processo fundamental efetuado por todos em uma entidade, projetado para identificar riscos e fornecer garantia razoável de que, ao se buscar cumprir a missão da entidade, os seguintes objetivos gerais serão atingidos: executar operações de forma organizada, ética, econômica, eficiente e eficaz; estar em conformidade com as leis e os regulamentos aplicáveis; salvaguardar recursos contra perda, abuso e dano; e cumprir as obrigações de accountability".

6 Controle Interno segundo o COSO É um processo integrado efetuado pela direção e corpo de funcionários, e é estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da missão da entidade os seguintes objetivos gerais serão alcançados: - Executar as operações de maneira ordenada, ética, econômica, eficiente e eficaz; - Cumprimento das obrigações de accountability; - Cumprimento das leis e regulamentos; e - Salvaguarda de recursos contra prejuízo por desperdício, abuso, má administração, erros, fraudes e irregularidades.

7 Controle Interno segundo o COSO Conduzido para atingir objetivos em uma ou mais categorias operacional, divulgação e conformidade; - Um processo que consiste em tarefas e atividades contínuas um meio para um fim, não um fim em si mesmo; - Realizado por pessoas não se trata simplesmente de um manual de políticas e procedimentos, sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da organização para realizar o controle interno; - Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e alta administração de uma entidade; - Adaptável à estrutura da entidade flexível na aplicação para toda a entidade ou para uma subsidiária, divisão, unidade operacional ou processo de negócio em particular.

8 O FRAMEWORK COSO - O COSO - (Comitê das Organizações Patrocinadoras) é uma entidade sem fins lucrativos, criada em 1985, dedicada à melhoria dos relatórios financeiros por meio da ética, efetividade dos controles internos e governança corporativa. - O COSO criou um modelo de estrutura de controles internos que auxilia na padronização e atendimento dos objetivos.

9 O FRAMEWORK COSO

10 O FRAMEWORK COSO 2013

11 OBJETIVOS Operações Esses objetivos relacionam-se à eficácia e à eficiência das operações da entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de perdas de ativos. Relatório Financeiro / Divulgação Esses objetivos relacionamse a divulgações financeiras e não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade, transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade. Cumprimento das Regras / Conformidade Esses objetivos relacionam-se ao cumprimento de leis e regulamentações às quais a entidade está sujeita.

12 AMBIENTE DE CONTROLE COMPONENTES DO CONTROLE INTERNO - É a base de todo o SIC. Fornece o conjunto de regras e a estrutura, além de criar um clima que influi na qualidade do controle interno em seu conjunto. - Exerce uma influência geral na forma pela qual se estabelecem as estratégias e os objetivos, e na maneira pela qual os procedimentos de controle são estruturados. Elementos do ambiente de controle são: - A integridade pessoal e profissional e os valores éticos da direção e do quadro de pessoal; - A Competência; (conhecimentos e habilidades); - O perfil dos superiores (filosofia e perfil da direção); Estrutura organizacional (áreas-chave autoridade /responsabilidade); - As políticas e práticas de recursos humanos.

13 AVALIAÇÃO DE RISCOS COMPONENTES DO CONTROLE INTERNO - É o processo de identificação e análise dos riscos relevantes para o alcance dos objetivos da entidade e para determinar uma resposta apropriada. - Identificação do risco; - Mensuração do risco; - Avaliação da tolerância da organização ao risco; e - Desenvolvimento de resposta. - Controles Detectivos são os que visam detectar fatos indesejados já ocorridos. - Controles Preventivos são os desenhados para agir sobre a probabilidade de ocorrência de um determinado evento, reduzindo ou impedido os resultados indesejados.

14 COMPONENTES DO CONTROLE INTERNO

15 ATIVIDADES DE CONTROLE COMPONENTES DO CONTROLE INTERNO - Políticas de ações estabelecidas para diminuir os riscos e alcançar os objetivos da entidade; - Para serem efetivos, os procedimentos de controle devem: ser apropriados; funcionar consistentemente de acordo com um plano de longo prazo; ter custo adequado; ser abrangentes, razoáveis e diretamente relacionados aos objetivos de controle; - As atividades de controle devem existir em toda a organização, em todos os níveis e em todas as funções. Elas incluem uma gama de procedimentos de controle de detecção e prevenção como, por exemplo: Procedimentos de autorização e execução; Segregação de funções;

16 ATIVIDADES DE CONTROLE COMPONENTES DO CONTROLE INTERNO Controles de acesso a recursos e registros; Verificações e conciliações; Avaliação de desempenho operacional; Avaliação das operações; Processos e atividades, e; Supervisão.

17 INFORMAÇÃO & COMUNICAÇÃO COMPONENTES DO CONTROLE INTERNO - A informação e a comunicação são essenciais para a concretização de todos os objetivos do controle interno. - Uma condição prévia para a informação confiável e relevante sobre as transações e eventos é o registro imediato e sua classificação adequada. - Informação relevante deve ser identificada, armazenada e comunicada de uma forma e em determinado prazo, que permita que os funcionários realizem o controle interno e suas outras responsabilidades (comunicação tempestiva às pessoas adequadas). - A comunicação eficaz deve fluir para baixo, para cima e através da organização, por todos seus componentes e pela estrutura inteira.

18 INFORMAÇÃO & COMUNICAÇÃO COMPONENTES DO CONTROLE INTERNO - Os SCI devem ser monitorados para avaliar a qualidade de sua atuação ao longo do tempo. - O monitoramento é obtido através de atividades rotineiras, avaliações específicas ou a combinação de ambas. Pode ser realizado da seguinte forma: monitoramento contínuo e avaliações específicas. - O monitoramento do controle interno deve incluir políticas e procedimentos que busquem assegurar que os achados de auditoria e outras avaliações sejam adequados e prontamente resolvidos.

19 RELAÇÃO ENTRE OBJETIVOS E COMPONENTES. Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar, os componentes, que representam o que é necessário para atingir os objetivos, e a estrutura organizacional da entidade (as unidades operacionais e entidades legais, entre outras). - As três categorias de objetivos operacional, divulgação e conformidade são representadas pelas colunas. - Os cinco componentes são representados pelas linhas. - A estrutura organizacional da entidade é representada pela terceira dimensão.

20 GESTÃO DE RISCOS - Instrução Normativa CGU nº 24/2015 (PAINT e RAINT) - Art. 10; - ACÓRDÃO Nº 2524/ TCU Plenário EMBRAPA ( ) aprove e implemente uma política de gestão de risco integrada para todas as áreas de atuação da empresa, abordando os conteúdos preconizados na ISO 31000, feitas as adaptações julgadas necessárias ao contexto específico da Embrapa; adote estratégias para assegurar a compreensão uniforme, na empresa, da terminologia e dos conceitos utilizados em gestão de riscos, para implementar a capacitação e o treinamento dos empregados quanto ao tema e para atribuir responsabilidades para gerenciar riscos;

21 GESTÃO DE RISCOS - ACÓRDÃO Nº 2524/ TCU Plenário EMBRAPA proceda à estruturação, sistematização e implementação de processo de gestão de riscos por meio da utilização de métodos, técnicas e ferramentas de apoio para identificação, avaliação e implementação de respostas a riscos; elabore plano de tratamento de riscos contendo ações selecionadas após uma avaliação do custo-benefício das alternativas de resposta a riscos;

22 ABNT NBR ISO 31000/2009 (gestão de riscos) - Princípios, estrutura e processos; - Atividades coordenadas; - Risco: Efeito da incerteza nos objetivos - Risco pode ser positivo ou negativo - Riscos são mitigados, não eliminados

23 ABNT NBR ISO 31000/ DEFINIÇÕES - Apetite ou propensão ao risco Grau de exposição aos riscos considerado aceitável pela instituição para atingir seus objetivos; - Nível de risco - amplitude de um risco em termos de consequência e probabilidade; - O risco pode ser modificado em termos de sua probabilidade ou de seu impacto (consequência) - Risco inerente - risco do negócio, do processo ou da atividade, independente dos controles adotados; - Risco residual - aquele que permanece após a mitigação por controles;

24 ABNT NBR ISO 31000/ DEFINIÇÕES - Identificação de riscos - processo de busca, reconhecimento e descrição de riscos; - Avaliação de riscos - processo de comparar os resultados da análise de riscos com os critérios. - Critérios de risco - referência contra a qual risco é avaliado; - Tratamento de riscos - processo de modificar o risco.

25 ABNT NBR ISO 31000/ GESTÃO DE RISCOS - Processos da gestão de riscos Identificação Análise Avaliação Tratamento - Comunicação e consulta - Monitoramento e análise crítica - Todos os processos

26 ABNT NBR ISO 31000/ GESTÃO DE RISCOS - POSSÍVEIS TRATAMENTOS Evitá-los Mitigá-los, pela definição dos planos de ação e controles internos Compartilhá-los Aceitá-los - A decisão depende principalmente do grau de apetite ao risco da instituição, previamente homologado pelo seu conselho de administração. (Politica de Gestão de Riscos das Empresas Eletrobras)

27 ABNT NBR ISO 31000/ GESTÃO DE RISCOS - CASO EMBRAPA : TCU realiza levantamento para avaliar a maturidade da gestão de riscos em 65 entidades da Administração Pública Federal indireta. - Níveis: Inicial, Básico, Intermediário, Aprimorado, Avançado - Embrapa foi enquadrada no nível Aprimorado (autoavaliação) : TCU seleciona Embrapa para uma auditoria piloto, solicitando que ela forneça evidências que possam validar as respostas dadas ao questionário de avaliação de maturidade de gestão de riscos. - A Embrapa foi reenquadrada no nível Básico

28 ABNT NBR ISO 31000/ GESTÃO DE RISCOS - CASO EMBRAPA - A Embrapa produziu as evidências solicitadas: - Planejamento estratégico; Gestão da carteira de projetos; Política de Segurança de Informação; e Sistema Embrapa de Qualidade. - Razões para a discrepância: - Nível de conhecimento existente na entidade sobre gestão de riscos; - Pressão para passar imagem de uma organização que investe em gestão de riscos - Adequação da escala de concordância utilizada para captar as respostas Mas não há gestão de riscos

29 ABNT NBR ISO 31000/ GESTÃO DE RISCOS - CASO EMBRAPA Julho 2014: Embrapa criou a Coordenadoria de Gestão de Riscos e Suporte à Decisão (CGR), que tem entre suas atribuições: - coordenar e articular o processo de elaboração de uma política integrada e corporativa de gestão de riscos, do nível estratégico ao operacional, bem como proceder ao acompanhamento e orientação quanto à sua implantação - promover a realização de estudos, inventários e a qualificação de ativos sobre projetos, processos e parcerias da Embrapa e orientar as unidades quanto aos procedimentos de gestão de riscos - promover e estimular a disseminação da cultura de gestão de riscos na Empresa

30 ABNT NBR ISO 31000/ GESTÃO DE RISCOS - CASO EMBRAPA Equipe inicial: Desafio inicial: - Nivelar entendimento do conceito de riscos institucionais Primeiros seis meses: - Capacitação básica - Dedicação a projeto de riscos agropecuários! - Inclusão de Plano de Ação no Projeto Especial Modernização e Alinhamento dos Instrumentos de Governança e de Gestão Corporativa

31 ABNT NBR ISO 31000/ GESTÃO DE RISCOS

32 ABNT NBR ISO 31000/ GESTÃO DE RISCOS RESPONSABILIDADES

33 ABNT NBR ISO 31000/ GESTÃO DE RISCOS RESPONSABILIDADES

34 ABNT NBR ISO 31000/ GESTÃO DE RISCOS RESPONSABILIDADES

35 ABNT NBR ISO 31000/ GESTÃO DE RISCOS EMBRAPA - METODOLOGIA

36 ABNT NBR ISO 31000/ GESTÃO DE RISCOS MAPA CORPORATIVO DE PROCESSOS DA EMBRAPA MACROPROCESSOS DE INTELIGÊNCIA E ESTRATÉGIA - INTELIGÊNCIA ESTRATÉGIGICA; - ESTRATÉGIA E DESENVOLVIMENTO INSTITUCIONAL; - GESTÃO DA INFORMAÇÃO E DO CONHECIMENTO; - GESTÃO DE RISCOS E SEGURANÇA DA INFORMAÇÃO. - Execução de projetos pilotos para validar a metodologia e estratégia para a gestão de riscos corporativos na Embrapa, de forma coordenada, e em conformidade com as diretrizes da ISO

37 AUDITORIA BASEADA EM RISCOS (ABR) - Diferença entre gestão de riscos e Auditoria Baseada em Riscos. Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco. (item 2.2 da ABNT NBR ISO 31000/2009) - Responsabilidade da Alta Administração. ABR é uma metodologia que associa: Auditoria Interna Estrutura global da gestão de riscos da organização Fonte: definição do The Institute of Internal Auditores IIA.

38 AUDITORIA BASEADA EM RISCOS (ABR) - Garantia à alta administração de que os riscos estão sendo gerenciados de maneira eficaz; - Tem por base o apetite por riscos (nível aceitável); - Visa reforçar as responsabilidades da direção em relação à gestão de riscos; A implementação da ABR ocorre em três estágios: 1) Avaliação da maturidade de riscos 2) Planejamento de auditorias periódicas 3) Auditoria individual de garantia

39 AUDITORIA BASEADA EM RISCOS (ABR) 1) Avaliação da maturidade de riscos Em que medida a direção e a administração gerenciam riscos? - Indica a confiabilidade do controle de riscos - Define estratégia da ABR - Orienta o planejamento da auditoria

40 AUDITORIA BASEADA EM RISCOS (ABR)

41 AUDITORIA BASEADA EM RISCOS (ABR)

42 AUDITORIA BASEADA EM RISCOS (ABR)

43 ABR 2º ESTÁGIO

44 ABR 3º ESTÁGIO

45 ABR 3º ESTÁGIO

46 REFERÊNCIAS Controle Interno - Estrutura Integrada. Sumário Executivo. Maio COSO. - CGU. IN 24/ Gestão de Riscos: diretrizes para a implementação da ISO 31000:2009, dez Tribunal de Contas dos Municípios. TCM: Curso de Controle Interno. Junho UFABC. Aplicação da Auditoria Baseada em Riscos (ABR) para definição das ações do PAINT. Junho 2015.

47 OBRIGADO! AUDITORIA INTERNA DA UFCA Contatos Telefone: