AUDITORIA BASEADA EM RISCOS

Transcrição

1 Série Risk Management AUDITORIA BASEADA EM RISCOS Como implementar a ABR nas organizações: uma abordagem inovadora AMOSTRA do Manual REVISÃO TÉCNICA: Francesco De Cicco Diretor-Executivo do QSP Centro da Qualidade, Segurança e Produtividade para o Brasil e América Latina. Todos os direitos reservados. É expressamente proibida a reprodução total ou parcial desta publicação, sem a prévia autorização do editor. Copyright 2007 by Risk Tecnologia Editora Ltda. Fone: (11) Fevereiro de Risk Tecnologia 1

2 Índice O que é Auditoria Baseada em Riscos?... Implementação da ABR... Estágio 1 Avaliação da maturidade de riscos da organização... Estágio 2 Elaboração de um plano de auditorias periódicas... Estágio 3 Realização de uma auditoria individual de garantia... Benefícios e dificuldades da ABR... Glossário... Leituras complementares... Apêndices... Diretrizes para a implementação dos aspectos principais da metodologia ABR A. Avaliação do grau de maturidade de riscos da organização... B. Diretrizes para relatar as conclusões da auditoria... Ilustrações de como se pode documentar partes do arcabouço de gestão de riscos e da ABR C. Cadastro de riscos... D. Universo de Auditorias... E. Universo de Riscos e de Auditorias... F. Plano de Auditorias... G. Base de dados de auditoria individual de despesas com compras Risk Tecnologia 2

3 O que é Auditoria Baseada em Riscos? O IIA The Institute of Internal Auditors - define Auditoria Baseada em Riscos (ABR) como uma metodologia que associa a auditoria interna ao arcabouço global de gestão de riscos de uma organização. A ABR possibilita que uma auditoria interna dê garantia ao conselho diretivo de que os processos de gestão de riscos estão gerenciando os riscos de maneira eficaz em relação ao apetite por riscos. A ABR tem como base o próprio arcabouço (ou estrutura / framework) de gestão de riscos da organização, e busca em cada um de seus estágios reforçar as responsabilidades da direção e do conselho em relação à gestão de riscos. Se o arcabouço de gestão de riscos não for robusto ou não existir, a organização não está pronta para a ABR. Mais importante ainda, significa que o sistema de controles internos da organização é fraco. Os auditores internos em tal organização devem promover a boa prática da gestão de riscos para melhorar o sistema de controles internos. Quando a ABR é nova para uma organização, o responsável pela auditoria interna precisará promover o conceito para a direção e conquistar seu apoio, especialmente porque isso pode significar para a direção uma mudança em seu ponto de vista sobre riscos. Este guia contém uma seção sobre os benefícios da ABR para ajudar nesse processo. A ABR também traz desafios para a atividade de auditoria interna em si, porque ela é um processo dinâmico. Sua gestão é mais difícil do que a de metodologias tradicionais, e monitorar o progresso em relação a um plano anual que está em constante mudança é um desafio. O estabelecimento de metas e a avaliação de funcionários podem tornar-se mais complexos. Mas as vantagens são muito maiores. Seguindo a ABR, a auditoria interna deve poder concluir que: A direção identificou, avaliou e respondeu aos riscos acima e abaixo de seu apetite por riscos; As respostas aos riscos são eficazes, mas não excessivas na gestão dos riscos inerentes, dentro do apetite por riscos; Quando os riscos residuais não estão alinhados ao apetite por riscos, são tomadas ações para reparar isso; Os processos de gestão de riscos, incluindo a eficácia das respostas e a conclusão de ações, estão sendo monitorados pela direção para garantir que continuem a operar de maneira eficaz; e Riscos, respostas e ações estão sendo classificados e relatados adequadamente. Isso possibilita que a auditoria interna dê ao conselho a garantia necessária em relação a três áreas: Risk Tecnologia 3

4 Processos de gestão de riscos, tanto em relação ao seu desenho quanto à qualidade de seu funcionamento; A gestão dos riscos classificados como chave, incluindo a eficácia dos controles e de outras respostas a eles; e Relatos e classificações completos, precisos e apropriados dos riscos. Risk Tecnologia 4

5 Implementação da ABR A implementação e a operação contínua da ABR constituem-se de três estágios: 1. Avaliação da maturidade de riscos (*) obtenção de um panorama do quanto o conselho e a direção determinam, avaliam, manejam e monitoram os riscos. Isso dá uma indicação da confiabilidade do cadastro de riscos para fins de planejamento da auditoria. 2. Planejamento de auditorias periódicas identificação de auditorias de garantia e consultorias para um período específico, através da identificação e priorização de todas as áreas nas quais o conselho requer a garantia objetiva, incluindo os processos de gestão de riscos, o manejo dos riscos-chave e o registro e relato dos riscos. 3. Auditorias individuais realização de tarefas individuais baseadas em riscos, para dar garantias sobre partes do arcabouço de gestão de riscos, incluindo a mitigação de riscos individuais ou de grupos de riscos. A figura 1 mostra a relação entre esses estágios. (...) Nota do revisor técnico: Maturidade de riscos é um termo utilizado de forma simplificada nesta publicação para designar a Maturidade da Gestão de Riscos de uma organização. Risk Tecnologia 5

6 Estágio 1 Avaliação da maturidade de riscos da organização Introdução O primeiro estágio da ABR é analisar criticamente o nível de maturidade de riscos. Este estágio possui três objetivos. São eles: Avaliar a maturidade de riscos da organização. Relatar tal avaliação à direção e ao comitê de auditoria. Definir uma estratégia de auditoria. Ações para atingir os objetivos 1. Discutir com diretores e gerentes seniores o entendimento que existe sobre a maturidade de riscos. Determinar o que já foi feito para melhorar a maturidade de riscos da organização como, por exemplo: treinamentos, workshops sobre riscos, enquetes sobre riscos e entrevistas com gerentes. Determinar se os gerentes acreditam que o cadastro de riscos é abrangente. Discutir se o entendimento sobre gestão de riscos está arraigado de tal forma que os gerentes se sentem responsáveis não somente pela identificação, avaliação e mitigação dos riscos, mas também pelo monitoramento do arcabouço e das respostas aos riscos. 2. Obter documentos, quando disponíveis, que detalhem: - Os objetivos da organização. - Como os riscos são analisados, por exemplo pontuando seu impacto e probabilidade. - Uma definição, aprovada pela diretoria, que estabeleça seu apetite por riscos, em termos do sistema de pontuação utilizado para riscos inerentes e residuais. - Os processos seguidos para identificar riscos que ameaçam os objetivos da organização. - Como a gerência considera os riscos como parte de sua tomada de decisão. Por exemplo, incluindo os riscos e as respostas a eles em documentos de aprovação de projetos. - Os processos seguidos para o relato dos riscos em níveis diferentes da direção. - As fontes de informação utilizadas pela direção e pelo conselho para se certificarem de que o arcabouço está funcionando de maneira eficaz para gerenciar os riscos dentro do apetite por riscos. - O cadastro de riscos da organização, incluindo os tipos de informação descritos na seção anterior. - Quaisquer outros documentos que indiquem o comprometimento em relação à gestão de riscos. 3. Chegar a uma conclusão em relação à maturidade de riscos. Usando os documentos e informações coletadas, avaliar o grau de maturidade de riscos da organização como: habilitado, gerenciado, definido, consciente e ingênuo. O Apêndice A traz essas definições e sugere os fatores que podem ser levados em consideração para essa avaliação. Também sugere testes de Risk Tecnologia 6

7 auditoria que podem ser realizados para fornecer evidências que embasem essa avaliação. 4. Relatar as conclusões sobre a maturidade de riscos para a direção e para o comitê de auditoria. Este estágio fornecerá uma garantia inicial de alto nível sobre os processos de gestão, o manejo dos riscos-chave e o registro e relato dos riscos. Ao relatar as conclusões e suas implicações, deve-se observar que um grau de maturidade de riscos ingênuo ou consciente implica que o sistema de controles internos da organização e a capacidade da direção de avaliá-lo pode ser ineficaz. O IIA acredita que organizações com um grau de maturidade de riscos ingênuo ou consciente não estão em conformidade com as Diretrizes de Turnbull nem com o Código de Governança Corporativa. 5. Trabalhar com a direção a fim de identificar quaisquer ações por ela propostas, a serem tomadas como resultado dessa avaliação. A direção pode sugerir atribuições de consultoria para a auditoria interna como, por exemplo, auxiliando os esforços da direção para melhorar os processos de gestão de riscos. 6. Decidir qual a estratégia de auditoria a ser seguida após a avaliação e obter a aprovação da direção e do comitê de auditoria. Variedade de estratégias de auditorias A estratégia de auditoria selecionada depende da maturidade de riscos da organização. Organizações com um grau de maturidade de riscos ingênuo ou consciente não conseguirão implementar a ABR imediatamente. Entretanto, tais organizações podem se beneficiar de alguns aspectos das estratégias de auditoria descritos a seguir. Por exemplo, a auditoria interna pode ajudar a melhorar os processos de gestão de riscos e governança, relatando sua avaliação da maturidade de riscos da organização à direção e ao comitê de auditoria, e promovendo a gestão de riscos em todos os trabalhos da atividade de auditoria interna. Pode também conduzir algumas tarefas de consultoria, auxiliando a direção a melhorar a maturidade de riscos da organização. Há três elementos potenciais em uma estratégia de auditoria ABR: primeiro, o tipo de garantia que se espera dar; segundo, o arcabouço que será utilizado para o planejamento da auditoria; e terceiro, o tipo de consultoria que se espera fornecer. Risk Tecnologia 7

8 Ingênuo Figura 2 Estágio Estágio 1 da ABR 2 Planejamento Variedade de estratégias periódico de da auditoria A implementação e a operação contínua da ABR constituem-se de três estágios: Estratégia de Auditoria (I): Relatar que não há gestão de riscos formal Consultoria para promover a a gestão de riscos Plano de auditorias direcionado por arcabouço alternativo Garantia dos processos de controle Estratégia de Auditoria (H): Visão da direção sobre riscos impulsiona o plano de auditoria Garantia dos processos de gestão de riscos e sua mitigação Consultoria conforme necessário Habilitado Qual é o grau de maturidade de riscos da organização? Consciente Estratégia de Auditoria (C): Relatar gestão de riscos fraca Consultoria para promover a gestão de riscos Plano de auditorias direcionado por arcabouço alternativo Garantia dos processos de controle Gerenciado Definindo Estratégia de Auditoria (G): Visão da direção sobre riscos impulsiona o plano de auditorias Garantia dos processos de gestão de riscos e sua mitigação Consultoria para melhorar a gestão de riscos Estratégia de Auditoria (D): Relatar deficiências da gestão de riscos Consultoria para integrar a gestão de riscos Começar com a visão da direção sobre riscos e suplementá-la Garantia das políticas de gestão de riscos e dos processos de controle Risk Tecnologia 8

9 Estratégias de garantia Para organizações de risco habilitado e risco gerenciado, a conclusão sobre a maturidade de riscos é o primeiro passo para poder dar garantias em relação aos processos de gestão de riscos, manejo dos riscos-chave e relato dos riscos. Sendo assim, a estratégia de garantia da atividade de auditoria interna é dar garantia para essas áreas. Para outras organizações, a conclusão sobre a maturidade de riscos significa que tais garantias não estão disponíveis. As organizações de risco definido podem ser capazes de identificar políticas de gestão de riscos ou compartimentos de excelência de gestão de riscos e conseguirem planejar dar garantia sobre esses elementos. Por outro lado, a auditoria interna deve planejar dar garantia de que os processos de controle estão funcionado de acordo com os objetivos ou padrões estabelecidos previamente. Arcabouço para o planejamento de auditorias Para organizações de risco habilitado e risco gerenciado, a ABR significa que o planejamento é direcionado pelo cadastro de riscos da organização e sua necessidade de garantia objetiva. Isso é descrito em mais detalhes no Estágio 2. Para outras organizações, não existe um cadastro de riscos confiável. Por essa razão, nessas organizações a atividade de auditoria interna precisará planejar seu trabalho de auditoria usando um arcabouço alternativo, por exemplo, sistemas-chave ou unidades de negócio. No passado, auditores internos faziam suas próprias avaliações dos riscos enfrentados por suas organizações. É tentador pegar tais avaliações e começar a considerá-las como o cadastro de riscos da organização. Entretanto, isso pode ser negativo para o objetivo maior da melhoria da maturidade de riscos da organização, uma vez que isso provavelmente reforçará o conceito errado de que as auditorias internas são responsáveis pela gestão de riscos. A metodologia ABR leva os auditores internos a facilitar a melhoria do arcabouço de gestão de riscos. Por isso, o uso de nomes enganosos, tais como necessidades de auditoria e avaliações ou análises de riscos, devem ser descontinuados, dando lugar ao termo genérico arcabouço de planejamento de auditorias. Risk Tecnologia 9

10 Estratégias de consultoria Em organizações com maturidade de riscos menor, a auditoria interna pode optar por alocar tempo para promover a introdução e a melhoria dos processos de gestão de riscos. O objetivo dessa atividade de consultoria é melhorar a maturidade de riscos da organização. A auditoria interna deve ter uma abordagem de trabalho de tal forma que a direção mantenha um senso de posse dos processos que estão sendo desenvolvidos. As Normas Internacionais 4 do IIA definem as atividades de consultoria como serviços de aconselhamento, cuja natureza e escopo são acordados com o cliente e não pressupõem que o auditor interno deva assumir a responsabilidade pela gestão. A declaração de posicionamento do IIA sobre o Papel do Auditor Interno na Gestão Corporativa de Riscos traz orientações adicionais sobre os papéis que se pode assumir e aqueles que não se pode 5. Em organizações de risco habilitado e risco gerenciado, a necessidade de melhorar os processos de gestão de risco exerce pressão menor do que nas organizações com menor maturidade de riscos e pode ser parte integrante do arcabouço em si. Conseqüentemente, podem ser necessários menos recursos para a tarefa de consultoria. Maturidades de riscos mistas É possível que uma parte de uma organização tenha um grau de maturidade de riscos gerenciado e outra consciente. Alternativamente, uma organização pode ter um grau gerenciado quando se trata de um tipo de risco, por exemplo, risco de mercado em um banco, mas consciente para outro tipo de risco. Nesse caso, a auditoria interna não deve concluir que a organização toda é de risco gerenciado. Deve relatar os perigos de se ter uma colcha de retalhos de maturidades de riscos e criar estratégias de auditoria separadas para partes diferentes da organização. 4 International Standards for the Professional Practice of Internal Auditing (Normas Internacionais para a Prática Profissional da Auditoria Interna). Instituto de Auditores Internos: Serviços de Consultoria - Aconselhamento e atividades relacionadas a serviços de atendimento ao cliente, cuja natureza e escopo são acordados com o cliente e que têm a finalidade de agregar valor e melhorar a governança, gestão de riscos e processos de controle da organização, sem que o auditor interno assuma a responsabilidade pela gestão. São exemplos disso pareceres, conselhos, facilitação e treinamento. 5 Declaração de posicionamento sobre o Papel do Auditor Interno na Gestão Corporativa de Riscos, publicada em 2004 pelo Instituto de Auditores Internos Reino Unido e Irlanda. Risk Tecnologia 10

11 Apêndices Apêndice A Avaliação do grau de maturidade de riscos da organização Característicaschave Processo Objetivos da organização definidos Direção foi treinada para compreender os riscos e sua responsabilidade por eles Sistema de pontuação para avaliar riscos foi definido Apetite por riscos da organização foi definido em termos do sistema de pontuação Processos foram definidos para determinar os riscos e os mesmos foram seguidos Todos os riscos foram compilados em uma lista. Os riscos foram alocados a cargos específicos. Todos os riscos foram avaliados de acordo com o sistema de pontuação definido Respostas para os riscos foram selecionadas e implementadas A direção estabeleceu métodos para monitorar a operação adequada dos processos-chave, das respostas e dos planos de ação ( controles de monitoramento ) continua Ingênuo Consciente Definido Gerenciado Habilitado Nenhuma abordagem formal desenvolvida para a gestão de riscos Possivelmente Abordagem para a gestão de riscos dispersa em silos mas abordagem pode não ser consistente Algum treinamento limitado Improvável, sem definição de abordagem consistente Estratégia e políticas implementadas e comunicadas. Apetite por riscos definido Abordagem corporativa para a gestão de riscos desenvolvida e comunicada Gestão de riscos e controles internos totalmente incorporados às operações Improvável Pode haver uma lista incompleta Pode haver uma lista incompleta Algumas respostas identificadas Alguns controles de monitoramento, mas ainda não se aplica à organização toda, mas ainda não se aplica à organização toda, mas ainda não se aplica à organização toda, mas ainda não se aplica à organização toda, mas ainda não se aplica à organização toda Exemplos de testes de amostra de auditoria Verificar se os objetivos da organização são determinados pelo conselho e se foram comunicados para todos os funcionários. Verificar se outros objetivos e metas são consistentes com os objetivos da organização Entrevistar gerentes para confirmar seu entendimento sobre riscos e o quanto eles o gerenciam Verificar se o sistema de pontuação foi aprovado, comunicado e se está sendo utilizado Verificar o documento no qual o grupo de controle aprovou o apetite por riscos. Certificar-se de que é consistente com o sistema de pontuação e de que tenha sido comunicado Examinar os processos para certificar-se de que são suficientes para garantir a identificação de todos os riscos. Verificar se estão implementados examinando os resultados de workshops Examinar o Cadastro de Riscos.Certificar-se de que está completo, é analisado criticamente com regularidade e usado para gerenciar os riscos. Riscos são alocados para os gerentes Verificar se a pontuação aplicada para a seleção de riscos é consistente com a política. Buscar consistência (isto é, riscos semelhantes têm pontuação semelhante) Examinar o Cadastro de Riscos para certificar-se de que foram identificadas respostas apropriadas Para uma seleção de respostas, processos e ações, examinar o(s) controle(s) de monitoramento e certificarse de que a direção saberia se as respostas ou processos não estivessem funcionando, ou se as ações não estivessem implementadas Risk Tecnologia 11

12 Processo Riscos são analisados pela organização regularmente Administração relata riscos para diretores quando as respostas não manejaram os riscos para um nível aceitável para o conselho Todos os projetos novos significativos são avaliados quanto a riscos rotineiramente Responsabilidade pela determinação, avaliação e manejo dos riscos está incluída nas descrições de cargos Gerentes dão garantia da eficácia de sua gestão de riscos Gerentes são avaliados quanto ao seu desempenho na gestão de riscos Abordagem de Auditoria Interna Apêndice A Avaliação do grau de maturidade de riscos da organização (continuação) Ingênuo Consciente Definido Gerenciado Habilitado Alguns riscos são analisados criticamente, mas não frequentemente Análises críticas regulares, provavelmente anuais, mas pode não ser um processo formal Análises críticas regulares, provavelmente trimestrais Análises críticas regulares, provavelmente trimestrais Maioria dos projetos Todos os projetos Todos os projetos Limitada Maioria das descrições de cargos Alguns gerentes Alguns gerentes Promove a gestão de riscos e se baseia em método alternativo de planejamento de auditorias Promove abordagem corporativa de gestão de riscos e se baseia em método alternativo de planejamento de auditorias Facilita a gestão de riscos/se relaciona com a gestão de riscos e usa a avaliação dos riscos pela direção quando apropriado Audita os processos de gestão de riscos e utiliza a avaliação dos riscos pela direção conforme apropriado Audita os processos de gestão de riscos e utiliza a avaliação dos riscos pela direção conforme apropriado Exemplos de testes de auditoria Buscar evidências de que um processo minucioso de análise crítica é realizado regularmente Para os riscos acima do apetite por riscos, verificar se o conselho foi informado formalmente sobre a existência de tais riscos Examinar propostas de projeto para uma análise dos riscos que possam ameaçá-los Examinar descrições de cargos. Verificar instruções para estabelecer descrições de cargos Examinar a garantia fornecida. Para riscoschave, verificar se os controles e o sistema de gestão de monitoramento estão operando Examinar uma amostra de avaliações, buscando evidências de que os gerentes foram avaliados adequadamente quanto ao seu desempenho em relação à gestão de riscos PARA ADQUIRIR O MANUAL: (11) Risk Tecnologia 12