ADVOGANDO A FUNÇÃO DA AUDITORIA INTERNA NA PERSPECTIVA DAS 3 LINHAS DE DEFESA: EFICÁCIA NOS RESULTADOS. Luanda, Angola, 22 de novembro de 2017

Transcrição

1 ADVOGANDO A FUNÇÃO DA AUDITORIA INTERNA NA PERSPECTIVA DAS 3 LINHAS DE DEFESA: EFICÁCIA NOS RESULTADOS Luanda, Angola, 22 de novembro de 2017 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Presidente da Brasiliano INTERISK

2 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Doutor em Science et Ingénierie de L Information et de L Intelligence Stratégique ( Ciência e Engenharia da Informação e Inteligência Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE Paris França; Master Degree - Diplome D Etudes Approfondies (DEA) en Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON Toulon - França; Especializado em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional Universidad Pontifícia Comillas de Madrid Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid Espanha; Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP, Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas Universidad Mackenzie; Certificado em Gestão de Riscos - Certification in Risk Management Assurance CRMA, pelo IIA Global Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial CES pela ABSO. Autor dos livros: Inteligência em Riscos: Gestão Integrada em Riscos Corporativos; Gestão de Risco de Fraudes, Fraud Risk Assessment FRA, Gestão de Continuidade de Negócios GCN ; Guia Prático para a Gestão de Continuidade de Negócios, Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro; Gestão e Análise de Riscos Corporativos: Método Brasiliano Avançado Alinhado com a ISO 31000; Análise de Risco Corporativo Método Brasiliano ; Manual de Análise de Risco Para a Segurança Empresarial ; Manual de Planejamento: Gestão de Riscos Corporativos ; A (IN)Segurança nas Redes Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações ; Planejamento da Segurança Empresarial: Metodologia e Implantação ; Co-Autor dos Livros: Dicionário de Crime, Justiça e Sociedade, lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único brasileiro a participar com textos sobre Fraudes Corporativas; Manual de Planejamento Tático e Técnico em Segurança Empresarial ; Segurança de Executivos" - Noções Anti-Sequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos, Atual Coordenador Técnico e Professor do MBA - Gestão de Riscos Corporativos e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo FESP; Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil IIA Brasil; Membro da Associação Brasileira de Profissionais de Segurança Orgânica ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 Contrato pela PENUD/ONU/SENASP; Profissional com mais de 25 anos de experiência em Gestão de Riscos, Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa. Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão ( convidado pelo Organização PanAmericana de Saúde-OPAS, como expert em Planos de Contingência, na Conferência Mundial de Redução de Desastres,Yokohama). Experiência internacional em consultoria em GRC em Portugal, Cabo Verde, Angola, Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 ISO 31000/31010/31004 Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.

3 Três Linhas de Defesa Dezembro de Adaptação da Guidance on the 8th EU Company Law Directive da ECIIA (Confederação Europeia dos Institutos de Auditoria Interna) / /FERMA (Federação Europeia de Associações de Gerenciamento de Riscos), artigo 41 Normas imposta pela legislação europeia aplicáveis às empresas em toda a União Europeia. 14 Dezembro de 2011

4 TENHO QUE SABER ONDE DEVO AUDITAR, ASSESSORAR, OBSERVAR, PERGUNTAR, INVESTIGAR, POIS A ABRANGÊNCIA É MUITO GRANDE, O VOLUME DE DADOS E INFORMAÇÕES SÃO BRUTAIS

5 A GESTÃO DE RISCOS, AUDITORIA, CONTROLES INTERNOS DEVEM QUEBRAR UM PARADIGMA: NÃO PODEM RELATAR O QUE ACONTECEU, MAS O QUE PODERÁ VIR A ACONTECER, NO FUTURO! Brasiliano INTERISK O valor da Inteligência ANTECIPAÇÃO

6 Três Linhas de Defesa Brasiliano INTERISK O valor da Inteligência

7 MUDANÇA DA VISÃO DA AUDITORIA INTERNA SAI DO RETROVISOR E VAI PARA A ANTECIPAÇÃO Brasiliano INTERISK O valor da Inteligência

8 Três Linhas de Defesa O conselho de administração é responsável pela fiscalização da gestão de riscos da empresa e pelo framework de controle. O CEO e o CFO possuem a responsabilidade final para o conselho para a gestão de riscos e o framework de controle.

9 TRÊS LINHAS DE DEFESA Como primeira linha de defesa, os gerentes operacionais gerenciam os riscos e têm propriedade sobre eles. Eles também são os responsáveis por implementar as ações corretivas para resolver deficiências em processos e controles. A gerência operacional é responsável por manter controles internos eficazes e por conduzir procedimentos de riscos e controle diariamente. A gerência operacional identifica, avalia, controla e mitiga os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos e garantindo que as atividades estejam de acordo com as metas e objetivos. Deve haver controles de gestão e de supervisão adequados em prática, para garantir a conformidade e para enfatizar colapsos de controle, processos inadequados e eventos inesperados.

10 TRÊS LINHAS DE DEFESA Como funções de gestão, elas podem intervir diretamente, de modo a modificar e desenvolver o controle interno e os sistemas de riscos. Portanto, não pode oferecer análises verdadeiramente independentes aos órgãos de governança acerca do gerenciamento de riscos e dos controles internos. As responsabilidades dessas funções incluem: 1.Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para implementação. 2.Fornecer estruturas de gerenciamento de riscos. 3.Identificar questões atuais e emergentes. 3.Identificar mudanças no apetite ao risco implícito da organização. 4.Auxiliar a gerência a desenvolver processos e controles para gerenciar riscos e questões. Brasiliano INTERISK O valor da Inteligência

11 TRÊS LINHAS DE DEFESA Função da Segunda Linha Produtos da Primeira Linha Produtos da Segunda Linha

12 AS INSTITUIÇÕES DEVEM, OBRIGATORIAMENTE, TRABALHAREM COM FERRAMENTA DE TI Não tem cabimento no século XXI, instituições de porte, ainda estarem realizando a Gestão de Riscos no Famoso anacrônico denominado SAP. SAP = Sistema Avançado de Planilha O que gera inúmeros riscos! Solução com Ferramenta de TI Com integrações automatizadas

13 TRÊS LINHAS DE DEFESA Os auditores internos fornecem ao órgão de governança e à alta administração avaliações abrangentes baseadas no maior nível de independência e objetividade dentro da organização. A auditoria interna provê avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos, incluindo a forma como a primeira e a segunda linhas de defesa alcançam os objetivos de gerenciamento de riscos e controle

14 TRÊS LINHAS DE DEFESA Brasiliano INTERISK O valor da Inteligência

15 TRÊS LINHAS DE DEFESA Padrão 2120 Gerenciamento de riscos A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria do processo de gerenciamento de riscos. Interpretação: Determinar se os processos de gerenciamento de risco são efetivos é um julgamento resultante da avaliação do auditor interno de que: Os objetivos organizacionais apoiam e se alinham com a missão da organização. São identificados e avaliados riscos significativos. São selecionadas respostas de riscos apropriadas, com alinhamento do apetite de riscos. As informações dos riscos relevantes são capturadas e comunicadas em tempo hábil em toda a organização, permitindo que o pessoal, a administração e o conselho executem suas responsabilidades. Brasiliano INTERISK O valor da Inteligência

16 Pg. 9 Brasiliano INTERISK O valor da Inteligência IPPF - IIA Consultoria

17 IPPF IIA Avaliação do Processo de GR O gerenciamento de riscos é um componente crítico do sistema de controle interno, de forma que os processos deficientes de gerenciamento de riscos são um indicador de que o sistema de controle interno da organização pode ser deficiente. Três formas de processos de avaliação que podem ser utilizados na avaliação de um processo de gerenciamento de riscos: Abordagem dos elementos do processo Abordagem dos princípios chave Abordagem do modelo de maturidade Brasiliano INTERISK O valor da Inteligência

18 Fluxo da Auditoria Baseada em Riscos, considerando a aplicação das Três Linhas de Defesa Primeira Linha de Defesa Segunda Linha de Defesa Terceira Linha de Defesa Gestores das Áreas Gestão de Riscos Corporativos Auditoria Interna Buscar dados: Processo críticos Riscos, fatores, controles Análise de riscos inerentes e residuais

19 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

20 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

21 1. Comunicação e Consulta Divulgação dos trabalhos antes, durante e depois!!! Para Quem? Primeira Linha Segunda Linha Diretoria Executiva Conselho de Administração

22 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

23 2. Contexto Estratégico Cadeia de Valor Planejamento Estratégico Objetivos Estratégicos Cenários Prospectivos Projetos / Iniciativas

24 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

25 3. BIA - Identificação dos Processo Críticos: Listagem de todos os processos das áreas de negócio da empresa e a seleção da criticidade frente ao negócio. Seleção pelos critérios: Impacto x Tempo Informações obtidas através da Segunda Linha - Gestão de Riscos

26 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

27 4. Avaliação de Riscos Inerente - Críticos: Conforme o resultado da avaliação dos processos críticos, obter as análises dos riscos inerentes críticos, realizadas pela primeira linha e supervisionada pela segunda. BIA - Criticidade dos Processos

28 4. Avaliação de Riscos Inerente - Críticos: Auditar a avaliação da inerência dos riscos críticos: fragilidades e controles (sem levá-los em consideração nas avaliações). Avaliação dos Riscos Inerentes Auditar a PROBABILIDADE do risco ocorrer e o IMPACTO caso o risco se concretize Brasiliano INTERISK O valor da Inteligência

29 Estudo de Caso 4. Avaliação de Riscos Inerente - Críticos Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas Fraude

30 Estudo de Caso 4. Avaliação de Riscos Inerente - Críticos Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas Fraude Parecer do Auditor

31 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

32 5. Avaliação de Riscos Residuais - Críticos, Médios e Baixos: Auditar a avaliação dos riscos residuais considerando a eficácia dos controles, por parte da primeira linha, com o aval da segunda linha. Avaliação dos Riscos Inerentes Avaliação dos Riscos Residuais Walkthrough: Avaliação dos controles efetuada pela primeira linha (Eficaz ou Ineficaz)

33 Estudo de Caso 5. Avaliação de Riscos Residuais - Críticos, Médios e Baixos Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas - Fraude

34 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

35 6. Testes de Controles: Criar um painel com as informações obtidas nas etapas anteriores: BIA, Riscos inerentes Críticos, Controles Chaves e Riscos Residuais. 1 Risco inerente crítico x risco residual crítico = verificar porque o plano de ação não foi implantado! Elaborar um parecer escrito sobre os resultados dos testes realizados nos controles! 2 Risco inerente crítico x risco residual médio e baixo = testar os controles chaves existentes e os a serem implantados. Elaborar um parecer escrito sobre o reporte da primeira e segunda linha sobre os planos de ação não implantados! Brasiliano INTERISK O valor da Inteligência

36 6. Testes de Controles: Se for o caso, efetuar a reavaliação dos riscos com base nos testes dos controles (terceira linha), apresentando em uma nova matriz, o cenário real dos riscos após o parecer sobre a eficácia dos controles. Avaliação dos Riscos Residuais REAVALIAÇÃO DOS RISCOS COM BASE NOS RESULTADOS DOS CONTROLES (TERCEIRA LINHA) Avaliação dos Riscos Residuais Após Teste dos Controles

37 Estudo de Caso 6. Testes de Controle Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas - Fraude Revisão: Refere-se a revisão do risco pelo Auditor na matriz, frente a avaliação dos controles. Realização dos controles pelo Auditor. Justificativa no próximo slide

38 Estudo de Caso 6. Testes de Controle Processo crítico - Entrada de Mercadoria Auditoria: Risco Manipulação de quantidades recebidas - Fraude Gestor Auditor

39 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

40 7. Respostas aos Riscos: Elaborar sugestões para: Controles avaliados como ineficazes durante os testes de controles. Plano para implantação de novos controles sugeridos. Controles que ainda não foram implantados.

41 1. Comunicação e Consulta 8. Monitoramento e Análise Crítica Brasiliano INTERISK O valor da Inteligência 2. Contexto Estratégico Processo de Avaliação de Riscos 3. Identificação dos Processos Críticos 4. Avaliação de Riscos Inerentes - Críticos 4.1 Contextualização 5. Avaliação dos Riscos Residuais - Críticos, Médios e Baixos 5.1 Controles Chaves 6. Testes de Controles 6.1 Avaliação dos Controles 6.2 Parecer 6.3 Reavaliação dos Riscos 6.4 Matriz de Riscos 6.5 Nível de Riscos 7. Resposta aos Riscos 7.1 Plano de Ação - Sugestões

42 8. Monitoramento e Análise Crítica: Realizar o monitoramento e a análise dos processos críticos, riscos inerentes críticos, riscos residuais críticos, médios e baixos, implantação de controles chaves, projetos críticos, alinhamento da Política de Gestão de Riscos e do Processo de Gestão de Riscos. Processo Crítico x Risco Inerente Crítico x Controles Chaves = Risco Residual dentro do Apetite ao Risco

43 Ciclo Anual Brasiliano INTERISK O valor da Inteligência Resultado: 1. Valida o Processo de GRC PRODUTOS: Processos Críticos Especiais Contínuas 2. Testa a eficácia dos controles chaves 3. Sugere plano de ação para o Gestor, tendo em vista a ineficácia do controle 4. Comunica e relaciona com os Comitês, Conselho e Diretoria 5. Assessora as Gerências da primeira e segunda linha

44 Conclusão REFLEXÃO

45 Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS Presidente Brasiliano INTERISK Telefone: