Modelo prático da ANAC

Transcrição

1 Auditoria com base no COSO 2013 e orientada pelo Risco Modelo prático da ANAC Cosme Leandro do Patrocínio ANAC

2 ESTRUTURA DESTA APRESENTAÇÃO Título: Órgão: Auditoria orientada pelo COSO e com orientada pelo Risco Agência Nacional de Aviação Civil - ANAC Sumário da Apresentação CONTEXTO PARA A CONSTRUÇÃO DO MODELO UM MODELO PRÁTICO EM TESTE

3 CONTEXTO

4

5 VAMOS FALAR UM POUCO DO COSO 2013!

6 COSO 2013 O sistema de controle interno consiste em cinco componentes integrados, com dezessete princípios associados. Os cinco componentes são: AMBIENTE DE CONTROLE AVALIAÇÃO DE RISCOS ATIVDADES DE CONTROLE INFORMAÇÃO E COMUNICAÇÃO ATIVIDADES DE MONITORAMENTO

7 E OS 17 PRINCÍPIOS COSO 2013?

8 2 - A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno. 6 - A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos. 7 - A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados. 9 - A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno.

9 1 - A organização demonstra ter comprometimento com a integridade e os valores éticos. 3 - A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos. 4 - A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos.

10 5 - A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos. 8 - A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável.

11 6 - A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.

12 10 - A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno.

13 14 - A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.

14 11 - A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos.

15 Definição de Auditoria Interna IIA Brasil A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança.

16 Definição de Auditoria Interna IIA Brasil Independência = Isenção para a avaliação (Auditoria) Objetividade = Imparcialidade no julgamento (Auditor)

17 Missão da Auditoria Interna IIA Brasil Aumentar e proteger o valor organizacional, fornecendo avaliação (assurance), assessoria (advisory) e percepção (insight) baseadas em risco.

18 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Os Princípios Fundamentais, vistos como um todo, articulam a eficácia da auditoria interna. Todos os princípios devem estar presentes e atuantes com eficácia. Caso não estejam, significa que a atividade de auditoria interna não é tão eficaz quanto poderia ser no alcance de sua missão.

19 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Demonstrar integridade (retidão e imparcialidade).

20 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Demonstrar competência e zelo profissional devido.

21 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Ser objetivo e livre de influências indevidas (independente).

22 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Estar alinhado com as estratégias, objetivos e riscos da organização.

23 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Estar apropriadamente posicionado e adequadamente equipado.

24 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Demonstrar qualidade e melhoria contínua.

25 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Comunicar-se com eficácia.

26 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Prestar avaliações com base em riscos.

27 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Ser perspicaz, proativo e focado no futuro.

28 Princípios Fundamentais para a Prática Profissional de Auditoria Interna IIA Brasil Princípios Fundamentais: Promover a melhoria organizacional.

29 Definição de Controle Interno COSO 2013 Controle Interno é um processo conduzido pela estrutura de governança, pela administração e por outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade!

30 Controle Interno COSO 2013 CONTROLE INTERNO Entrada Processo Segurança Razoável ESTRUTURA DE GOVERNANÇA ADMINISTRAÇÃO OUTROS PROFISSIONAIS DA ENTIDADE

31 Requisitos para um Controle Interno Eficaz COSO 2013 Cada um dos cinco componentes de controle interno e dos princípios relevantes deve estar presente e funcionando A Estrutura COSO estabelece que os componentes e princípios relevantes são requisitos para um sistema de controle interno eficaz. Porém, não estabelece a forma como a administração avalia a sua eficácia.

32 Requisitos para um Controle Interno Eficaz COSO 2013 Ao verificar se um componente está presente e funcionando, a estrutura de governança precisa determinar até que ponto os princípios relevantes estão presentes e funcionando.

33 Requisitos para um Controle Interno Eficaz COSO 2013 O fato de um princípio estar presente e funcionando não implica que a organização busque o mais alto nível de desempenho na sua aplicação.

34 Requisitos para um Controle Interno Eficaz COSO 2013 A administração exerce julgamento ao ponderar o custo e o benefício de desenhar, implementar e aplicar o controle interno.

35 Requisitos para um Controle Interno Eficaz COSO 2013 A Estrutura COSO requer que todos os componentes operem em conjunto e de forma integrada. Operar em conjunto significa determinar que todos os cinco componentes coletivamente reduzem a nível aceitável o risco de não se realizar um objetivo.

36 Requisitos para um Controle Interno Eficaz COSO 2013 Exemplos de operação conjunta de componentes: Normas de conduta esperada (Ambiente de controle) reduzindo o risco de fraude (Avaliação de risco).

37 Requisitos para um Controle Interno Eficaz COSO 2013 Exemplos de operação conjunta de componentes: Processamento de informações relevantes e de qualidade (Comunicação e informação) apoiando os controles de transações e processos corporativos (Atividades de controle).

38 Requisitos para um Controle Interno Eficaz COSO 2013 Exemplos de operação conjunta de componentes: Identificação e monitoramento de deficiências do controle interno (Atividades de monitoramento), exigindo a compreensão das estruturas, das linhas de subordinação, das autoridades e responsabilidades da entidade (Ambiente de controle) e dos meios de comunicação (Informação e comunicação).

39 Requisitos para um Controle Interno Eficaz COSO 2013 Deficiências de controle interno Refere-se a uma insuficiência em um ou mais componentes e princípios relevantes que reduz a probabilidade de uma entidade realizar seus objetivos.

40 Requisitos para um Controle Interno Eficaz COSO 2013 Deficiências de controle interno Avaliações independentes da auditoria interna é uma das fontes para a identificação de deficiências de controle interno.

41 Requisitos para um Controle Interno Eficaz COSO 2013 Deficiências de controle interno Para avaliar se os componentes e princípios estão presentes e funcionando, deve-se levar em conta os controles que põem em prática os princípios. Cabe ressaltar que os controles são interrelacionados e podem apoiar múltiplos objetivos e princípios.

42 Requisitos para um Controle Interno Eficaz COSO 2013 Deficiências de controle interno A Estrutura COSO requer julgamento no desenho, na implementação e na aplicação do controle interno e também na avaliação de sua eficácia.

43 Controle Interno Estrutura Integrada COSO 2013 Operacionais Divulgação Conformidade Objetivos Risco Inerente Eventos

44 Controle Interno Estrutura Integrada COSO 2013 Probabilidade Impacto Risco Inerente Controle Resposta ao Risco Tratamento

45 Controle Interno Estrutura Integrada COSO 2013 Segurança razoável Controle Resposta ao Risco Objetivos Realização dos objetivos

46 Controle Interno Estrutura Integrada COSO 2013 Entidade Divisão Unidade Operacional Função Objetivos

47 Controle Interno Estrutura Integrada COSO 2013 Função Objetivos

48 Controle Interno Estrutura Integrada COSO 2013 Pessoas Normas Estrutura Organizacional Tecnologia Recursos Estabelecidos Fixados Especificados Processo Objetivos Informações internas e externas Avaliações contínuas ou independentes

49 Controle Interno Estrutura Integrada COSO 2013 Ambiente de Controle Avaliação de Riscos Atividades de Controle Objetivos Comunicação e Informação Atividades de Monitoramento

50 MODELO PRÁTICO

51 Metodologia para execução de trabalhos auditoria interna Questões basilares para a construção do modelo

52 Metodologia para execução de trabalhos auditoria interna Questões basilares para a construção do modelo Como evidenciar a objetividade do auditor?

53 Metodologia para execução de trabalhos auditoria interna Questões basilares para a construção do modelo Como o processo deve levar o auditor a observar os princípios fundamentais da auditoria interna?

54 Metodologia para execução de trabalhos auditoria interna Questões basilares para a construção do modelo Como assegurar que todos os requisitos de um controle interno eficaz serão avaliados de forma suficiente?

55 Metodologia para execução de trabalhos auditoria interna Questões basilares para a construção do modelo Como estruturar as informações obtidas e produzidas no processo de execução de auditoria e transformá-las em conhecimento organizacional?

56 Metodologia para execução de trabalhos auditoria interna Como fazer?

57 Definimos que o objetivo e o escopo dos trabalhos são limitados pelo Processo de Negócio

58 Fases da execução do trabalho de Auditoria Planeja- mento Programa de Auditoria Execução Evidências Achados Conclusões Relatório Relatório de Auditoria

59 Planejamento dos trabalhos da auditoria Planejamento Programa de Auditoria

60 Planejamento dos trabalhos da auditoria Fases do planejamento do trabalho da auditoria Levantamento inicial de informações do processo

61 Planejamento dos trabalhos da auditoria Levantamento inicial de informações do processo Conceituação do processo Legislação, normativos e referências técnicas aplicáveis Objetivos do processo

62 Planejamento dos trabalhos da auditoria Levantamento inicial de informações do processo Objetivos do processo Operacional Divulgação Conformidade

63 Planejamento dos trabalhos da auditoria Levantamento inicial de informações do processo Conceituação do processo Legislação, normativos e referências técnicas aplicáveis Objetivos do processo Projetos relacionados Auditorias interna e externas realizadas no processo Estrutura organizacional

64 Planejamento dos trabalhos da auditoria Levantamento inicial de informações do processo Estrutura Organizacional Unidades Titulares e Substitutos Atribuições e Competências definidas

65 Planejamento dos trabalhos da auditoria Levantamento inicial de informações do processo Conceituação do processo Legislação, normativos e referências técnicas aplicáveis Objetivos do processo Projetos relacionados Auditorias interna e externas realizadas no processo Estrutura organizacional Suporte da TI ao processo Análise das informações da ouvidoria

66 Planejamento dos trabalhos da auditoria Fases do planejamento do trabalho da auditoria Levantamento inicial de informações do processo Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC)

67 Planejamento dos trabalhos da auditoria Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC) Processo Objetivos

68 Planejamento dos trabalhos da auditoria Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC) Validação do fluxograma do processo com o gestor Identificação das Atividades Relevantes e de seus Objetivos-Chave Identificação dos Riscos de cada Objetivo-Chave Atividades de controle implementadas

69 Impacto Probabilidade Resultado Nível de Eficácia Risco Residual Planejamento dos trabalhos da auditoria Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC) Risco Inerente Importância do Risco Avaliação do Controle Atividade de Execução Relevante Objetivo-Chave da Atividade Evento (Risco) Atividade de Controle Comentário R a 5 1 a 5 1 a 5 R10.2 R a 5 1 a 5 1 a 5 1 a 5 1 a 5 1 a 5 R10.n 1 a 5 1 a 5 1 a 5

70 Planejamento dos trabalhos da auditoria Fases do planejamento do trabalho da auditoria Levantamento inicial de informações do processo Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC) Modelo de Governança do processo

71 Modelo de governança do processo Principal Estrutura de Governança: - [Unidade de governança do processo] Diretrizes e Incentivos Diretrizes Indicadores instituídos Definição de metas Avaliação de desempenho Ética Recursos Estrutura Supervisão Prestação de contas Indicadores resultantes Avaliações Independentes Estrutura de Gestão: [Unidade gestora do processo] Agente

72 Planejamento dos trabalhos da auditoria Fases do planejamento do trabalho da auditoria Levantamento inicial de informações do processo Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC) Modelo de Governança do processo Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC)

73 Planejamento dos trabalhos da auditoria Objetivos Controles Resposta ao risco Probabilidade Impacto Riscos Inerente

74 Planejamento dos trabalhos da auditoria Pessoas Normas Estrutura Organizacional Tecnologia Recursos Objetivos Estabelecidos Fixados Especificados Processo Objetivos Informações internas e externas Avaliações contínuas e independentes

75 Planejamento dos trabalhos da auditoria Ambiente de Controle Avaliação de Riscos Atividades de Controle Objetivos Comunicação e Informação Atividades de Monitoramento

76 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) IMPORTANTE Para ter segurança razoável que os objetivos do processo serão alcançados, o COSO define que os seus 5 componentes de controle e 17 princípios devem estar presentes e funcionando. (Controle interno eficaz)

77 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Então, como assegurar que nos trabalhos de auditoria interna a presença e o funcionamento dos 5 componentes de controle e dos 17 princípios serão avaliados, e de forma objetiva?

78 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) O caminho tomado foi identificar os 17 riscos que os princípios do COSO buscam mitigar e transformá-los em riscos inerentes aos processos, pois entendemos que na perspectiva do risco a objetividade das avaliações aumenta. A profundidade dos testes de auditoria também irá depender dos resultados das avaliações dos riscos inerentes ao processo e dos controles.

79 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Princípio 1 A organização demonstra ter comprometimento com a integridade e os valores ético Risco 1 Conduta antiética de agentes executores do processo. (normas de conduta - corregedoria - comissão de ética)

80 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Princípio 2 A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno. Risco 2 Sobreposição dos interesses do executivo sobre os da estrutura de governança do processo. (objetividade; independência; segregação de funções; supervisão pela estrutura de governança).

81 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Princípio 3 A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação, e as autoridades e responsabilidades adequadas na busca dos objetivos Risco 3 Tomada de decisão por agente executor do processo sem competência institucional. (regimento Interno; delegações de competências e de atribuições)

82 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Princípio 4 A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos Risco 4 Indisponibilidade de pessoal competente para a execução do processo. (conhecimento, habilidade e atitude; lotação ideal; etc)

83 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Princípio 5 A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos Risco 5 Incapacidade de acompanhar o desempenho do processo. (prestação de contas - indicadores - estabelecimento de metas pela estrutura de governança e de gestão)

84 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Princípio 10 A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos Risco 10 Exposição do processo a níveis inaceitáveis de risco.

85 Impacto Probabilidade Nota do Controle Risco Residual Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Risco Controle Avaliação do Controle Questão Direcionadora 01-1 a 5 1 a 5 1 a 5? 02-1 a 5 1 a 5 1 a 5? a 5 1 a 5 1 a 5? 10-1 a 5 1 a 5 1 a 5? a 5 1 a 5 1 a 5? 17-1 a 5 1 a 5 1 a 5?

86 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Para elevar a objetividade na avaliação do impacto e da probabilidade de ocorrência de evento de risco e da avaliação do controle interno, foram estabelecidas réguas.

87 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Régua para avaliação do Impacto Escala de impacto Descritor Descrição Nível Muito Baixo Baixo Médio Impacto insignificante nos objetivos - Degradação na operação do processo em avaliação, porém causando impactos mínimos para a Agência (em termos financeiros, danos à imagem, afetação da qualidade de produtos e serviços). Impacto mínimo nos objetivos - Degradação na operação do processo em avaliação, causando pequenos impactos para a Agência. Impacto mediano nos objetivos - Degradação na operação do processo em avaliação, causando impactos para a Agência, com possibilidade de recuperação Alto Impacto significante nos objetivos, com possibilidade remota de recuperação - Interrupção do processo em avaliação, causando impactos significativos para a Agência, porém passíveis de recuperação. 4 Muito Alto Impacto máximo nos objetivos, sem possibilidade de recuperação - Interrupção do processo em avaliação, causando impactos irreversíveis para a Agência. 5

88 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Régua para avaliação da Probabilidade Escala de probabilidade Descritor Descrição Ocorrências Nível Muito Baixa Evento extraordinário para os padrões conhecidos da gestão e operação do processo. Sem histórico de ocorrência. Até 5 1 Baixa Evento casual, inesperado. Muito embora raro, há histórico de ocorrência conhecido por parte dos principais gestores e operadores do processo. > 5 até 10 2 Média Evento esperado, de frequência reduzida. Com histórico de ocorrência parcialmente conhecido pela maioria dos gestores e operadores do processo. >10 até 15 3 Alta Evento usual, corriqueiro. Devido à sua ocorrência habitual, seu histórico é amplamente conhecido por parte dos gestores e operadores do processo. > 15 até 20 4 Muito Alta Evento repetitivo e constante. Se repete seguidamente, de maneira assídua, numerosa e não raro de modo acelerado. Interfere de modo claro no ritmo das atividades, sendo evidente para os que conhecem o processo. > 20 5

89 Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Régua para avaliação do controle NACI Nível de eficácia 0 1 Inexistente Ausência completa de controle. Descrição 1 2 Fraco Controle depositado na esfera de conhecimento pessoal dos operadores do processo, em geral realizado individualmente e de maneira manual. Há um elevado grau de confiança no conhecimento das pessoas e, consequentemente, maior probabilidade de erros. 2 3 Mediano 3 4 Satisfatório 4 5 Forte Controle pode falhar por não contemplar todos os aspectos relevantes do risco, pois embora a atividade de controle implementada mitigue nuances do risco associado, não o faz apropriadamente, seja por não contemplar todos os seus aspectos relevantes ou por ser ineficiente em seu desenho técnico ou nas ferramentas utilizadas. Controle normatizado e embora passível de aperfeiçoamento, está sustentado por ferramentas adequadas e mitiga o risco razoavelmente. Controle mitiga o risco associado em todos os aspectos relevantes, podendo ser enquadrado num nível de melhor prática..

90 Planejamento dos trabalhos da auditoria Matriz de Risco Impacto x Probabilidade P R O B A B I L I D A D E Nivel de Risco Muito Baixa Baixa Média Alta Muito Alta Muito Alto 5 Alto Alto Muito Alto Muito Alto Muito Alto I M P A C T O Alto 4 Médio Médio Alto Alto Muito Alto Médio 3 Baixo Médio Médio Alto Alto Baixo 2 Muito Baixo Baixo Baixo Médio Médio Muito Baixo 1 Muito Baixo Muito Baixo Muito Baixo Muito Baixo Muito Baixo Impacto & Probabilidade = Risco Inerente R I S C O I N E R E N T E Muito Baixo Baixo Médio Alto Muito Alto Apuração - Ordem de Grandeza

91 Planejamento dos trabalhos da auditoria Matriz de Risco Risco Inerente x Controle Risco Residual C O N T R O L E Forte Satisfatório Mediano Fraco Inexistente R I S C O I N E R E N T E Muito Alto Baixo Médio Alto Muito Alto Muito Alto Alto 4 Muito Baixo Baixo Médio Alto Alto Médio 3 Muito Baixo Muito Baixo Baixo Médio Médio Baixo 2 Muito Baixo Muito Baixo Muito Baixo Baixo Baixo Muito Baixo 1 Muito Baixo Muito Baixo Muito Baixo Muito Baixo Muito Baixo R Inerente & Controles = Risco Residual R I S C O R E S I D U A L Muito Baixo Baixo Médio Alto Muito Alto Apuração - Ordem de Grandeza

92 Planejamento dos trabalhos da auditoria Fases do planejamento do trabalho da auditoria Levantamento inicial de informações do processo Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC) Modelo de Governança do processo Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Definição dos objetivos e do escopo do trabalho

93 Planejamento dos trabalhos da auditoria Definição dos objetivos e do escopo do trabalho Concluídos: a Parte Inicial do Programa de Auditoria; o MRC; e o MORC, o auditor tem informações suficientes e objetivas para identificar e propor os OBJETIVOS e o ESCOPO do trabalho de auditoria, alinhados com os componentes e princípios do COSO.

94 Planejamento dos trabalhos da auditoria Fases do planejamento do trabalho da auditoria Levantamento inicial de informações do processo Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC) Modelo de Governança do processo Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC) Definição dos objetivos e do escopo do trabalho Elaboração dos procedimentos de auditoria a serem aplicados

95 Planejamento dos trabalhos da Auditoria Elaboração dos procedimentos de auditoria a serem aplicados Os processos desenhados podem ser alterados durante o tempo sem o conhecimento das pessoas que o descreveram e essas alterações, geralmente, não são incluídas na documentação disponível. Dessa forma, para determinar o funcionamento real dos controles é preciso: Conversar com quem executa os controles ou é afetado por eles Examinar os registros de execução

96 Planejamento dos trabalhos da Auditoria Elaboração dos procedimentos de auditoria a serem aplicados REF. RISCOS PROCEDIMENTOS DE AUDITORIA INSTRUMENTOS DE AVALIAÇÃO PT - QUESTÃO 1 Existem processos administrativos disciplinares relacionados com servidores que atuam na área auditada? Se sim, os problemas identificados ainda representam riscos ao alcance do objetivo do processo auditado? R1 - PROCEDIMENTOS DE TESTE (Q1) T1 Verificar, por meio de [Entrevista] à Corregedoria, se existem processos administrativos disciplinares relacionados com servidores que atuam na unidade auditada. T2 Verificar, por meio de [Documento] fornecido pela Corregedoria se as falhas exploradas pelos servidores, identificadas nos processos administrativos disciplinares ainda representam riscos ao alcance do objetivo do processo auditado. Caso afirmativo, verificar por meio de [Entrevista] com o gestor do processo quais providências foram adotadas para minimizar os riscos relacionados com ocorrência. Entrevista Documento PT-1

97 Planejamento dos trabalhos da auditoria Fases do planejamento do trabalho da auditoria Após a conclusão de todas as etapas do Planejamento dos trabalhos da auditoria, o Programa de Auditoria é aprovado pelo supervisor dos trabalhos e a equipe está apta para iniciar a etapa de Execução dos trabalhos de campo.

98 FIM Cosme Leandro do Patrocínio ANAC Contatos: Tel.: