PROGRAMA DE AUDITORIA 4.3 Auditoria Baseada em Riscos. 01/02/2016 a 06/04/ horas

Transcrição

1 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RN AUDITORIA GERAL Rua Dr. Nilo Bezerra Ramalho, 1692, Tirol, CEP , Telefone: (84) PROGRAMA DE AUDITORIA 4.3 Auditoria Baseada em Riscos 1 CRONOGRAMA Período da Auditoria Horas a serem trabalhadas 01/02/2016 a 06/04/ horas 2 ESCOPO: Levantar informações da estrutura de controle interno e mapear as áreas de riscos das unidades organizacionais: Diretorias Sistêmicas da Reitoria (DIGAE, DIGTI E DIGPE) e Diretorias Acadêmicas dos Campi. 3 OBJETIVO GERAL: Levantar informações sobre a estrutura de controle interno das Diretorias Sistêmicas da Reitoria e das Diretorias Acadêmicas dos Campi, resultando na elaboração de uma matriz de risco, com o propósito de subsidiar o planejamento dos trabalhos de auditoria (PAINT 2017). 4 OBJETIVOS ESPECÍFICOS: a) Levantar informações sobre a atuação da unidade examinada (Análise da estrutura de controle interno); b) Realizar a análise de riscos, com base nas informações dos gestores; c) Estabelecer a classificação em função do grau de risco (Matriz de Riscos).

2 5 PROCEDIMENTOS E/OU TÉCNICAS DE AUDITORIA: A fim de alcançar os objetivos traçados, o procedimento a ser aplicado envolve: o Levantamento de Informações; Avaliação de Risco; e elaboração da Matriz de Riscos. Nesse trabalho serão aplicados os seguintes procedimentos de auditoria: Exame dos registros: analisar os sistemas utilizados pelo setor auditado (SUAP, SIAFI etc); Indagação Escrita ou Oral: emitir S.A ao setor auditado solicitando informações para averiguar a existência de mecanismos de controles internos e solicitar documentos comprobatórios; Análise documental: analisar os documentos apresentados pelo setor, quando solicitados por meio de S.A. 6 NORMAS APLICADAS: - Portaria TCU nº 252/2003; - Estatuto e Regimento Geral do IFRN; - COSO I e II; - Manual do controle interno do TCU; - Normas internacionais IIA. 7 ROTEIRO SEQUENCIAL PARA EXECUÇÃO DOS TRABALHOS: 1. Preparação da auditoria organização e planejamento da execução. 2. Emitir S.A enviando questionários, para levantamento de informações. 3. Análise das respostas do questionário de levantamento de informações. 4. Realizar a Avaliação de riscos aplicação da pontuação do questionário respondido pelo gestor. 5. Realizar a Avaliação de riscos responder o questionário do auditor, por pelo menos 02 (dois) auditores.

3 6. Aplicação do cálculo de riscos média ponderada. 7. Elaborar a Matriz de riscos e especificar por componente da estrutura de controle interno (calcular a pontuação obtida e dividir pela pontuação máxima possível exemplo: pontuação máxima 20, e o aspecto tem 5 pontos. Então o resultado é: 5/20). 8. Elaboração do Relatório. 10. Encerrar o processo e encaminhar a AUDGE.

4 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RN AUDITORIA GERAL Rua Dr. Nilo Bezerra Ramalho, 1692, Tirol, CEP , Telefone: (84) PAPEL DE TRABALHO Nº 001 QUESTIONÁRIO - GESTOR AMBIENTE DE CONTROLE SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES A estrutura organizacional está definida em instrumento normativo, com definição da autoridade e subordinação e estas são do conhecimento de todos os envolvidos? Existem normas claras definindo as atribuições, competências, responsabilidade e responsabilização do setor e dos servidores que o integram? Existe a previsão normativa de segregação de funções dos processos e atividade da competência da unidade? Os objetivos pretendidos do setor foram definidos com clareza, formalizados e são de conhecimento de todos os envolvidos? AVALIAÇÃO DE RISCOS SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES Foram identificados os riscos relacionados as atividades desenvolvidas no setor? É prática do setor, o diagnóstico dos riscos (de origem interna e externa) envolvidos nos seus processos operacionais, bem como a identificação da probabilidade de ocorrência desses riscos e a consequente adoção de medidas para mitigá-los? Na ocorrência de fraudes e desvios, é prática da unidade solicitar a instauração de sindicância para apurar responsabilidades e exigir eventual ressarcimento? Os riscos identificados são mensurados e classificados de modo a serem tratados em uma escala de prioridades e a gerar informações úteis à tomada de decisão? PROCEDIMENTOS DE CONTROLE SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES O servidor em gozo de férias possui substituto designado e treinado para exercer as suas funções? Há manual de rotinas e procedimentos devidamente formalizado e divulgado? Há fluxograma e ou mapas de processos que

5 contemplem as atividades do setor? Há prática de segregação de funções no desempenho das atividades no setor? Todas as etapas relacionadas aos processos de trabalho são conferidas e supervisionadas por outro servidor? Existe acompanhamento constante das alterações na legislação pertinentes as atividades desempenhadas pelo setor? INFORMAÇÃO E COMUNICAÇÃO SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES A informação relevante para o setor é devidamente identificada, documentada, armazenada e comunicada tempestivamente às pessoas adequadas? A comunicação entre as unidades internas e pessoas da Instituição é apropriada, tempestiva, atual, precisa e acessível? O fluxo das informações está adequado aos objetivos propostos e as comunicações são tempestivas de modo que não ocorra o comprometimento das etapas subsequentes? MONITORAMENTO SIM (0) PARCIAL MENTE (2,5) NÃO (5) OBSERVAÇÕES A auditoria interna constantemente monitora o setor para avaliar sua validade e qualidade ao longo do tempo? O sistema de controle interno (Auditoria Interna e CGU) tem contribuído para a melhoria do desempenho do setor auditado? Existem ações de monitoramento para o cumprimento de recomendações relativas pela Controladoria Geral da União CGU e da Auditoria-Geral do IFRN (plano de providências)? TOTAL DE PONTOS

6 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RN AUDITORIA GERAL Rua Dr. Nilo Bezerra Ramalho, 1692, Tirol, CEP , Telefone: (84) PAPEL DE TRABALHO Nº 002 QUESTIONÁRIO - Auditor 1) A área executa processos críticos (volume financeiro) ou chaves (relacionados com atividades finalísticas da instituição)? (0) NÃO (10) SIM 2) Quando foi a última vez que a área foi auditada? (0) Nos últimos 6 (seis) meses (5) No intervalo de 6 (seis) meses a 12 (doze) meses (10) No intervalo de 12 (doze) a 24 (vinte e quatro) meses (20) Nunca 3) Qual o montante em recursos orçamentários movimentado pela área? (0) De R$ 0,00 a R$ ,00 (5) De R$ ,01 a R$ ,00 (10) De R$ ,00 a R$ ,00 (15) De R$ ,00 a R$ ,00 (20) Acima de R$ ,00 4) Com base nos conhecimentos/experiência dos auditores, como são avaliados os controles internos da área? (0) Ótimos (5) Bons (10) Razoáveis (15) Frágeis (20) Muito Frágeis 5) Com base nos conhecimentos/experiência dos auditores, as informações disponibilizadas pela área, nos mais variados meios, são dotadas de qualidade e propiciam uma comunicação adequada com interessados? (0) Frequentemente (5) Algumas vezes (10) Raramente 6) Qual a probabilidade e o impacto de riscos à imagem do IFRN nos processos executados pelo setor?

7 (0) Baixa probabilidade e baixo impacto (5) Alta probabilidade e baixo impacto (10) Baixa probabilidade e alto impacto (15) Alta probabilidade e alto impacto 7) A área costuma acatar/implementar recomendações feitas pela Auditoria Interna e pelos órgãos de controle (CGU e TCU)? (0) Não houve recomendação (1) Sempre acata (2) Frequentemente acata (3) Algumas vezes acata (4) Raramente acata (5) Nunca acata PONTUAÇÃO: Auditor 7 QUESTÕES Total máximo -100 Total mínimo 00 PONTUAÇÃO: Auditor 7 QUESTÕES Total máximo -100 Total mínimo - 00

8 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RN AUDITORIA GERAL Rua Dr. Nilo Bezerra Ramalho, 1692, Tirol, CEP , Telefone: (84) PAPEL DE TRABALHO Nº 003 ENTREVISTA Levantamento de informações 1 - Existe definição clara da competência do setor e do responsável/autoridade em documentos? (Ex: Regimento, manuais, normas etc.) 2 - Existe manual de rotinas e fluxogramas do setor? 3 - Qual o quantitativo de servidores, bolsistas e estagiários no setor? 4 - As normas relacionadas ao setor (Leis, Estatuto, Regimento, Resoluções e outros documentos internos) são de conhecimento dos servidores que o integram? 5 Os substitutos de chefia/autoridade do setor têm conhecimento das responsabilidades e atribuições do cargo? 6 - O setor identifica os/as processos/atividades mais críticas? Justifique. 7 - Foram estimadas as probabilidades de ocorrência e/ou impactos dos riscos das atividades do setor? Caso a resposta seja afirmativa, descreva o resultado da estimativa. 8 - Quais ações foram tomadas para evitar ou reduzir o risco? Exemplifique com caso concreto. 9 - Quais os meios de comunicação utilizados pelo setor? Existe alguma falha de comunicação entre setores ou dentro do próprio setor? 10 - Qual a forma de armazenamento dos dados/processos do setor? 11 O setor já recebeu auditoria interna ou externa? 12 Caso a resposta da pergunta 11 for sim, qual a contribuição da auditoria para a melhoria do setor? 13 O setor recebeu alguma recomendação da auditoria interna? 14 Caso a resposta da pergunta 13 for sim, qual a forma de monitoramento para atendimento da recomendação? 15 Fale sobre as dificuldades/desafios encontradas(os) no setor. 16 Fale sobre os pontos positivos do setor. OBSERVAÇÃO: - O questionário deve ser respondido, preferencialmente, pelo responsável do setor ou, quando não for possível, validado por ele. - O questionário é exemplificativo, podendo sofrer alteração conforme o caso. - Recomenda-se que o setor seja orientado quanto a eventual dificuldade na compreensão dos termos técnicos utilizados, caso considere oportuno encaminhe o glossário no papel de trabalho nº Solicite documentos/dados que comprovem as respostas do questionário.

9 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RN AUDITORIA GERAL Rua Dr. Nilo Bezerra Ramalho, 1692, Tirol, CEP , Telefone: (84) PAPEL DE TRABALHO Nº 004 GLOSSÁRIO Risco - A possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos. O risco é medido em termos de impacto e de probabilidade. Ambiente de Controle - Atitudes e ações do conselho e da administração em relação à importância dos controles dentro da organização. O ambiente de controle proporciona a disciplina e a estrutura para se atingir os principais objetivos do sistema de controle interno. O ambiente de controle inclui os seguintes elementos: a) Integridade e valores éticos; b) Filosofia e estilo operacional da administração; c) Estrutura organizacional; d) Atribuição de autoridade e responsabilidade; e) Políticas e práticas de recursos humanos; f) Competência do pessoal. Gerenciamento de Riscos - Processo para identificar, avaliar, administrar e controlar potenciais eventos ou situações, para fornecer uma razoável certeza em relação ao cumprimento dos objetivos da organização. Segregação de funções - Princípio básico do sistema de controle interno que consiste na separação de funções, nomeadamente de autorização, aprovação, execução, controle e contabilização das operações. Atividades de controle São atividades de prevenção ou de detecção, as quais, quando executadas tempestivamente e de maneira adequada, possibilitam a minimização e gestão dos riscos. Avaliação e gerenciamento de riscos Estabelecidos metas e objetivos da organização, devem ser identificados os riscos que ameaçam seu cumprimento. Os administradores das entidades devem definir as naturezas e os níveis de riscos operacionais, de informação e de conformidade que estão dispostos a assumir. As ações oportunas com a finalidade de mitigação desses riscos constituem-se em atividades de avaliação e de gerenciamento dos riscos. Trata-se de ações proativas a fim de evitar surpresas desagradáveis.

10 Informação e comunicação O fluxo de comunicação dentro de uma organização deve ocorrer em todas as direções, entre os níveis hierárquicos superiores e inferiores e dentro deles, contemplando a comunicação horizontal e vertical, para um bom funcionamento dos controles. Ademais, o processo de comunicação deve ser preferencialmente formal. Atualmente, grande parte das organizações públicas armazena seus dados e informações em sistemas informatizados. Por isso, o planejamento de auditoria deve contemplar a avaliação do risco e da segurança em ambientes eletrônicos, por meio de técnicas de controle em sistemas informatizados. Monitoramento Trata-se da avaliação dos controles internos ao longo do tempo, por meio de mecanismos de auto avaliação, revisões internas e auditorias internas programadas.

11 SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RN AUDITORIA GERAL Rua Dr. Nilo Bezerra Ramalho, 1692, Tirol, CEP , Telefone: (84) ANEXO I MATERIAL DE APOIO FASES DO PROCEDIMENTO 1. Levantamento de informações S ( ) N ( ) 2. Avaliação de Riscos S ( ) N ( ) 3. Matriz de riscos S ( ) N ( ) 4. Relatório S ( ) N ( ) 1 - Detalhamento das Fases: 1ª Fase Levantamento de informações O objetivo dessa fase é possibilitar o conhecimento geral da unidade auditada, por meio de aplicação de entrevista (responsável pelo setor e equipe de apoio). Nessa etapa, as informações a serem coletadas serão referentes à: atividades do setor; ambiente organizacional; estrutura organizacional; composição do quadro de servidores e prestadores de serviços; verificação sobre a existência de indicadores de desempenho; e levantamento dos principais processos de trabalho do setor essenciais para o atingimento de seus objetivos e metas. As técnicas que podem ser utilizadas para o levantamento das informações são: 1- Indagação escrita; 2- Análise documental; 3- Exame de registros. 2ª Fase Avaliação de Riscos (ACRESCENTAR CALCULO DOS ASPECTOS DO COSO 1)

12 Após o levantamento de informações, o auditor já possuirá uma visão ampla 1 do sistema de controle interno da unidade examinada, podendo visualizar as fragilidades e ameaças a que o setor está submetido. Sendo assim, nessa etapa será realizada a avaliação do risco correspondente a cada área, segundo a visão do gestor e da Auditoria Interna (vide questionários nos papéis de trabalho nº 001 e 002). A aplicação do questionário será realizada da seguinte forma: Aplicação do questionário A avaliação do risco pelo gestor ocorrerá por meio da aplicação do modelo descrito no papel de trabalho nº 001. A pontuação do questionário será de 0 (zero) pontos no caso SIM, 2,5 (dois e meio) pontos no caso PARCIALMENTE e 5 (cinco) pontos no caso NÃO. O questionário possuirá pontuação máxima de 100 (cem) e mínima de 0 (zero). Grau de risco GESTOR (%) = (Total apurado) x 100/20 (cálculo 01) Por outro lado, a avaliação do grau de risco pela Auditoria Interna, conforme modelo descrito no papel de trabalho nº 002, consiste no estabelecimento de 7 (sete) questões pertinentes à atuação desta Auditoria Interna, que serão analisadas por dois auditores, conforme critérios de pontuação pré-definidos, podendo o somatório variar de 0 (zero) até 100 (cem). Grau de risco Audin (%) = (Valor do Auditor 1 + Valor do Auditor 2)/2 (cálculo 02) Após concluídos os cálculos 01 e 02, temos os elementos para o cálculo da média aritmética ponderada final: Média final = (Grau de risco GESTOR(%)*4 + Grau de risco Audin(%)*6)/10 Observações: - Avaliação do gestor vale peso 4. - Avaliação do auditor vale peso 6 (especialista em controle interno e por deter visão holística da instituição). Após isso, a 3ª fase contemplará a elaboração da Matriz de riscos, com base na média aritmética ponderada. 3ª Fase Matriz de riscos 1 Essas informações serão de grande valia para recomendações que serão descritas na conclusão do relatório de auditoria, que será mencionado mais à frente.

13 A matriz ou mapa de riscos consiste no resultado da análise realizada dos riscos, considerando sua probabilidade de impacto, no âmbito do componente Avaliação de Riscos, onde os mesmos são apresentados sob forma de tabela (matriz) ou gráfica (mapa), com o objetivo de facilitar ao analista enxergar quais e quantos são os maiores riscos enfrentados pela organização no atingimento de seus objetivos. Deve ser construída de acordo com a conveniência de cada caso. E a partir dela, é possível se definir os diferentes grupos de risco que deverão receber diferentes respostas, considerando o apetite a risco 2 da organização. O modelo proposto para o presente trabalho está representado na figura abaixo. Figura 3 Matriz de riscos 50% - 75% Risco alto 75% - 100% Risco crítico IMPACTO 0% - 25% Risco baixo 25% - 50% Risco médio PROBABILIDADE Conforme modelo acima, não se pretende posicionar o valor resultante da média ponderada das avaliações do gestor e da Auditoria Interna nas coordenadas do plano cartesiano (probabilidade x impacto), mas sim classificar as áreas do maior para o menor grau de risco, bem como adotar os intervalos e cores descritivos no gráfico. 4ª Fase Relatório Nessa fase, o Relatório deve conter, além dos dados básicos da auditoria, as informações dos resultados dos trabalhos, tais como: levantamento de informações, aplicação da fórmula da verificação de risco, a matriz de riscos e conclusão. 2 Apetite de riscos é a quantidade de risco julgada aceitável pela Instituição. Representa o montante de riscos que uma organização está preparada para aceitar, tolerar ou estar exposta.

14 Salientamos que, a conclusão deve conter a análise crítica do auditor sobre o resultado apontado na matriz de riscos e recomendação de maior atenção para as áreas/setores/processos que apresentarem maior grau de riscos, de modo a proporcionar um melhor embasamento à definição das ações do PAINT 2017.