23/09/2013 Técnicas para Elaboração de um Plano de Auditoria a partir de um Universo de Auditoria Abrangente e Confiável Marco Andre Figuerôa Tassinari Rocha Gerente de Auditoria de Processos e Negócios Murilo Fray Villar Gerente de Auditoria de TI e Operações
Palestrantes Murilo Fray Villar Gerente de Auditoria de TI e Operações 10 Anos de experiência em Auditoria em empresas como Walmart, EDP e Brasil Telecom Certificação CIA, CISA, CCSA e ITIL Marco Andre Figuerôa Tassinari Rocha Gerente de Auditoria de Processos e Negócios 11 Anos de experiência em Auditoria em empresas como Oi e Ernst & Young Certificação CISA
Agenda Visão Geral Oi Plano de Auditoria Modelo Conceitual Universo de Auditoria Entrevista com Executivos Radar da Auditoria Interna Validação do Plano Anual de Auditoria Benefícios Pontos de Atenção na Elaboração do Plano de Auditoria
Visão Geral Oi Segundo maior grupo de Telecomunicações do Brasil (atuação nacional) Receita Líquida R$25B, EBITDA R$8B, Lucro Líquido R$1,8B (2012) Primeiro operador Quadruple Play (fixa, móvel, banda-larga e TV por assinatura) do país, 74MM UGRs ~20mil funcionários próprios, mais de 160mil prestadores de serviço Empresas listadas na BOVESPA e NYSE Nível 1 de Governança Corporativa e Índice de Sustentabilidade Empresarial (ISE) da BM&F Bovespa Responsabilidade Social Corporativa Oi Futuro (Cultura, Sustentabilidade e Educação) Fonte: Relatório da Administração Oi S.A. 2012
Estrutura da Auditoria Interna Conselho de Administração Presidência (CEO) Auditoria Interna Controladoria Fábrica CAAT 3 30 TI e Operações 9 Processos e Negócios 9 Compliance 7
Missão, Visão e Práticas
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA VAMOS FALAR AGORA SOBRE COMO CRIAR UM UNIVERSO DE AUDITORIA BASEADO EM MÚLTIPLOS FATORES, QUE DENOMINAMOS DIMENSÕES
Universo de Auditoria Abordagem Tradicional do Universo de Auditoria Baseado em Riscos e Processos Utilização de Requisitos Cíclicos e Rotação de Ênfase Entrevista com Executivos é um insumo importante para coleta de informações e na priorização dos riscos Processos com maior nível de riscos são a prioridade neste tipo de Universo de Auditoria
Universo de Auditoria Dificuldades: Abordagem Tradicional do Universo de Auditoria Companhia precisa ter um gerenciamento de riscos maduro e um detalhado e atualizado mapa de processos Adequado para trabalhos de Auditoria de Processos, mas deficiente para trabalhos de Auditoria de TI Pode deixar de captar aspectos importantes, que não são suficientemente priorizados quando a visão fica restrita à processos. Ex.: sistemas, infra de TI, contratos,...
Universo de Auditoria Abordagem Multidimensional Baseado em múltiplas Dimensões Uma Dimensão procura trazer critérios de avaliação de determinado aspecto, relevante do ponto de vista de negócio para a Companhia Dimensão Processo tem papel relevante, mas divide o peso de alimentar o Universo de Auditoria com outras Dimensões Requisitos Cíclicos e Rotação de Ênfase também são utilizados
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI Abordagem Multidimensional RISCOS FORM.REF.(CVM 480) BASE: Mapa de Processos da Cia. Atualmente existem 485 Processos Mapeados CARTA CONTROLES AUD.EXT. CONTRATOS SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS CONTAS CONTÁBEIS Abordagem Multidimensional RISCOS FORM.REF.(CVM 480) Critérios: Foram definidos critérios, com pesos específicos e pontuação correspondente, utilizados para priorizar os Processos. Exemplos: SOX Avaliação de Riscos Existência de Políticas CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE Impacto no Serviço ao Cliente Histórico de Fraudes Requisitos Regulatórios SITES (LOCALIDADES FÍSICAS) SOCIETÁRIO
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS RISCOS FORM.REF.(CVM 480) INFRA TI CONTRATOS Abordagem Multidimensional CARTA CONTROLES AUD.EXT. BASE: Mapa de Sistemas da Cia. Atualmente existem 45 Sistemas Classificados como Críticos SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS RISCOS FORM.REF.(CVM 480) INFRA TI Exemplos: CONTRATOS Abordagem Multidimensional Critérios: Foram definidos critérios, com pesos específicos e pontuação correspondente, para priorizar os Sistemas. CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE Gestão de Acesso Histórico de Fraudes CONTAS Recém Implantado CONTÁBEIS Desenvolvido in-house Previsão de phase-off SITES (LOCALIDADES FÍSICAS) SOCIETÁRIO
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS RISCOS FORM.REF.(CVM 480) INFRA TI CARTA CONTROLES AUD.EXT. CONTRATOS CONTAS CONTÁBEIS Abordagem Multidimensional SUSTENTABILIDADE BASE: Bancos de Dados e Sistemas Operacionais que suportam os principais sistemas. SITES (LOCALIDADES FÍSICAS) SOCIETÁRIO
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS INFRA TI Abordagem Multidimensional RISCOS 20-F BASE: Todos os contratos vigentes da Cia. De forma a SISTEMAS racionalizar os esforços, selecionamos os 200 contratos mais relevantes financeiramente RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. CONTRATOS SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI Abordagem Multidimensional RISCOS 20-F Critérios: Foram definidos critérios, com pesos específicos e pontuação correspondente, para priorizar os contratos. Exemplos: Impacto no Serviço ao Cliente Histórico de Litígio RISCOS FORM.REF.(CVM 480) Histórico de Fraude Impacto Regulatório CARTA CONTROLES AUD.EXT. CONTRATOS SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS Abordagem Multidimensional BASE: Contas Contábeis registradas no Plano de Contas da Cia. De forma a racionalizar os esforços, selecionamos as 100 Contas mais relevantes financeiramente para Ativo, Passivo e Resultado RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS Abordagem Multidimensional RISCOS FORM.REF.(CVM 480) Critérios: As Contas Contábeis selecionadas são associados a um ou mais Processos da Cia., e estes processos sofrem uma priorização CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS RISCOS FORM.REF.(CVM 480) INFRA TI CONTRATOS CONTAS CONTÁBEIS Abordagem Multidimensional CARTA CONTROLES AUD.EXT. BASE: Localidades Físicas consideradas Críticas, segundo Projeto de GCN SUSTENTABILIDADE SITES (LOCALIDADES FÍSICAS) SOCIETÁRIO
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI CONTRATOS Abordagem Multidimensional RISCOS 20-F BASE: Empresas da estrutura societária do Grupo Oi, mas com administração independente. Exemplo: SEREDE (empresa de Prestação de Serviços de Rede) RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS SISTEMAS INFRA TI Abordagem Multidimensional RISCOS 20-F BASE: Formulário ISE (Índice de Sustentabilidade Empresarial), que é a base para a construção do índice ISE (BM&FBovespa), e seleção das empresas RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. CONTRATOS SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: Abordagem Multidimensional PROCESSOS RISCOS 20-F SISTEMAS RISCOS FORM.REF.(CVM 480) INFRA TI CARTA CONTROLES AUD.EXT. CONTRATOS BASE: Formulários 20-F (arquivado na SEC), Form. de Referência CVM 480 (arquivado na CVM) e Carta de Controles CONTAS do CONTÁBEIS Auditor Externo. SUSTENTABILIDADE SITES (LOCALIDADES FÍSICAS) SOCIETÁRIO
Universo de Auditoria Dimensões consideradas: Abordagem Multidimensional PROCESSOS RISCOS 20-F SISTEMAS RISCOS FORM.REF.(CVM 480) INFRA TI CARTA CONTROLES AUD.EXT. CONTRATOS Critérios: Os riscos apresentados SUSTENTABILIDADE nestes Formulários e na Carta de Controles do Auditor Externos são associados CONTAS CONTÁBEIS à Processos da Cia., e estes processos SOCIETÁRIO sofrem uma priorização SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Abordagem Multidimensional Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS INFRA TI CONTRATOS RISCOS FORM.REF.(CVM 480) CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE CONTAS CONTÁBEIS SOCIETÁRIO SITES (LOCALIDADES FÍSICAS)
Universo de Auditoria Dimensões consideradas: PROCESSOS RISCOS 20-F SISTEMAS CONTAS CONTÁBEIS Abordagem Multidimensional RISCOS FORM.REF.(CVM 480) APÓS O LEVANTAMENTO DE TODAS AS INFORMAÇÕES, INFRA DEFINIÇÃO TI E PONTUAÇÃO DE CRITÉRIOS, TODAS AS DIMENSÕES TÊM SEUS ELEMENTOS PRIORIZADOS. ISSO GERA CONTRATOS UM UNIVERSO DE AUDITORIA ABRANGENTE E CONFIÁVEL. CARTA CONTROLES AUD.EXT. SUSTENTABILIDADE SITES (LOCALIDADES FÍSICAS) SOCIETÁRIO
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.
Plano de Auditoria Modelo Conceitual ENTREVISTA COM EXECUTIVOS AGORA QUE TEMOS UM UNIVERSO DE AUDITORIA ABRANGENTE E CONFIÁVEL, VAMOS FALAR SOBRE OUTRA FONTE IMPORTANTE DE INSUMOS PARA O PLANO DE AUDITORIA: A ENTREVISTA COM OS EXECUTIVOS DA CIA.
Entrevista com Executivos O objetivo da entrevista com os Executivos é identificar os principais riscos, preocupações e problemas da Cia. na visão destes Executivos, além de capturar sugestões de trabalhos para o Plano de Auditoria. Para esta etapa, selecionamos os 60 principais Executivos da Cia. Para facilitar a operação e compilação dos resultados, dividimos os Executivos em 2 grupos: 40 Executivos entrevistas detalhadas e sugestões de trabalhos de Auditoria 20 Executivos (Alta Administração) este grupo de Executivos participa da validação do primeiro Draft do Plano de Auditoria (etapa posterior)
Entrevista com Executivos As Entrevistas de levantamento com os 40 Executivos auxiliam a levantar temas relevantes para análise da Auditoria Interna, através de algumas perguntas abertas: Principais mudanças previstas para o próximo ano (processos, sistemas, organograma,...) Principais desafios da área no próximo ano Como a Auditoria Interna pode ajudar a Cia. no ponto de vista do Executivo? Todas as entrevistas são documentadas e catalogadas. As sugestões mais relevantes, não consideradas no Universo de Auditoria, são eventualmente agregadas ao Draft do Plano de Auditoria
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA ENTREVISTA COM EXECUTIVOS RADAR A.I.
Plano de Auditoria Modelo Conceitual FINALMENTE, VAMOS TRATAR DO RADAR DA AUDITORIA INTERNA, QUE TAMBÉM AUXILIA NA DEFINIÇÃO DO PLANO DE AUDITORIA. RADAR A.I.
Radar da Auditoria Interna O Radar da Auditoria Interna é uma base de dados viva, alimentada ao longo do ano de duas maneiras: Pedidos da Administração: pedidos de trabalhos ou avaliações feitos pela Administração Auditoria Interna: ao final de cada trabalho, a equipe de Auditoria registra no Radar (i) sub-processos que ficaram fora do escopo de avaliação; (ii) áreas de preocupação que foram identificadas ao longo do trabalho No momento do desenvolvimento do Draft do Plano de Auditoria, todos os itens do Radar são avaliados, sob a ótica de relevância, e incluídos sob forma de trabalho de Auditoria
Plano de Auditoria Modelo Conceitual UNIVERSO DE AUDITORIA RADAR A.I. ENTREVISTA COM EXECUTIVOS O DRAFT DO PLANO DE AUDITORIA É RESULTADO DA COMBINAÇÃO DO UNIVERSO DE AUDITORIA, ENTREVISTA COM EXECUTIVOS E RADAR DA AUDITORIA. NESTE MOMENTO, É HORA DE VALIDAR E APROVAR O DRAFT DO PLANO DE AUDITORIA.
Validação do Plano de Auditoria A Validação do Plano de Auditoria é feita em duas etapas: alinhamento do Draft de Plano com a Estratégia da Cia e Validação da Alta Administração e Conselho. (I) ALINHAMENTO DO DRAFT DO PLANO DE AUDITORIA X PLANO ESTRATÉGICO DA CIA. (II) VALIDAÇÃO DA ALTA ADMINISTRAÇÃO e CONSELHO
Validação do Plano de Auditoria (I) A primeira etapa da Validação do Plano de Auditoria é feito pela própria Auditoria Interna: verificar o alinhamento do Draft de Plano com a Estratégia da Cia. O alinhamento com o Plano Estratégico da Cia. é feito de duas maneiras: As métricas de desempenho do Plano são denominadas Notas Oi As áreas de interesse estratégico e seus componentes são agrupados na Agenda Estratégica
Validação do Plano de Auditoria (I) Receita Receita Líquida de Serviços EBITDA NOTAS OI CHURN Total exceto pré-pago CONTACT RATE Ligações indesejáveis AGENDA ESTRATÉGICA RESIDENCIAL CORPORATIVO OPERAÇÕES MÓVEL CANAIS REDE EMPRESARIAL ATENDIMENTO TI
Validação do Plano de Auditoria (I) O processo de validação consiste em avaliar se o trabalho de Auditoria proposto: (i) Impacta uma ou mais Notas Oi (ii) Está relacionado a um ou mais itens da Agenda Estratégica Trabalhos sem relação com itens da Agenda Estratégica, ou sem impacto nas Notas Oi são reavaliados, e eventualmente, substituídos
Validação do Plano de Auditoria (I) Exemplos do Alinhamento com Plano Estratégico: TRABALHO DE AUDITORIA NOTAS OI RECEITA EBITDA CHURN CONTACT RATE REVISÃO DO PROCESSO DE CONTAS A RECEBER REVISÃO DO PROCESSO DE RETENÇÃO DO PRODUTO MÓVEL
Validação do Plano de Auditoria (I) Exemplos do Alinhamento com Plano Estratégico: TRABALHO DE AUDITORIA AGENDA ESTRATÉGICA RESIDENCIAL EMPRESARIAL OPERAÇÕES TI ATENDIMENTO AVALIAÇÃO DA GESTÃO FÍSICA DE MODENS AVALIAÇÃO DA SEGURANÇA NOS BDS ORACLE (SISTEMA SIEBEL)
Validação do Plano de Auditoria (II) A segunda etapa da validação do Draft do Plano de Auditoria é a entrevista com a Alta Administração e membros do Conselho de Administração Estas entrevistas têm o objetivo de validar o Draft apresentado neste sentido, são muito mais produtivas Todas as eventuais críticas e sugestões são compiladas, e, finalmente o Draft do Plano de Auditoria é submetido à aprovação do Comitê de Riscos e Contingências (Conselho de Administração), Conselho Fiscal e Comitê de Auditoria
Validação do Plano de Auditoria (II) Primeiro DRAFT Plano Auditoria Entrevistas de Validação (Alta Adm.) Segundo DRAFT Plano Auditoria Entrevistas com Membros CA Aprovação do Plano Auditoria (CRC/CF/CAU) AGO-NOV DEZ JAN
Validação do Plano de Auditoria (II) Finalmente, temos um Plano Anual de Auditoria aprovado:
Benefícios Abordagem Multidimensional Captura elementos que uma abordagem tradicional não leva em consideração, garantindo uma assertividade na priorização dos riscos Maior Abrangência/Cobertura Alinhamento do plano de auditoria com a Estratégia da Cia. Assegura a participação efetiva da Alta Administração e Acionistas Provê maior Transparência e Confiabilidade ao CRC/CF/CAU
Pontos de Atenção (Plano de Auditoria) Informações que suportam a montagem do plano devem ser precisas, tempestivas e confiáveis Envolvimento de Alta Administração e Conselho Tempo e dedicação dos profissionais da Auditoria Interna Estar atento ao que é importante para a Cia. (alinhamento com a direção estratégica) Criatividade e Inovação
Contatos: Marco Andre F. Tassinari Rocha (marco.tassinari@oi.net.br) Murilo Fray Villar (murilo.villar@oi.net.br)
Q&A
Obrigado