Você está na página 1de 27
Metodologia de Auditoria com Foco em Riscos. 28 de Novembro de 2003 ©2003 Deloitte Touche
Metodologia de Auditoria com Foco em Riscos. 28 de Novembro de 2003 ©2003 Deloitte Touche

Metodologia de Auditoria com Foco em Riscos.

28 de Novembro de 2003

©2003 Deloitte Touche Tohmatsu

Dados do Projeto

Colaboradores:

• Bancos

– ABN Amro Real

– Banco Ficsa

– Banco Itaú

– Banco Nossa Caixa

– Bradesco

– Caixa Econômica Federal

– HSBC

• Febraban

• Deloitte

Período de Execução:

Agosto de 2002 a Fevereiro de 2003

Conteúdo do Livro

1. Introdução

2. Definições Iniciais

2.1 O que é Risco?

2.2 O que é Controle?

2.3 Visão Geral do COSO e de seus Componentes de Controle

3. O que é Gestão de Risco?

3.1 Introdução

3.2 Etapas do Processo de Gestão de Riscos

3.3 Linguagem Comum de Riscos e Processos

3.3.1 Linguagem Comum de Riscos

3.3.2 Linguagem Comum de Processos

3.4 A Gestão de Riscos como Vantagem Competitiva

4. O Papel Esperado da Auditoria Interna na Gestão de Riscos

4.1 Introdução

4.2 A Demanda pela Atuação com Foco no Risco

4.3 Atribuições e Responsabilidades da Auditoria Interna vs. Demais Áreas

4.4 Auditoria Interna e a Gestão de Riscos

4.5 Auditoria Interna como Agente de Mudança

Conteúdo do Livro

5. Metodologia de Auditoria com Foco em Riscos

5.1 Introdução

5.2 Entendimento do Processo

5.3 Avaliação dos Riscos Inerentes ao Processo

5.4 Análise da Estrutura de Controles

5.5 Validação (Teste) dos Controles Existentes

5.6 Identificação de Oportunidades de Melhoria para os Aspectos Observados

5.7 Comunicação dos Resultados

5.8 Follow-up

6. Principais Ferramentas Utilizadas na Auditoria Interna

6.1 Extração e Análise de Dados

6.2 Programas de Trabalho

6.3 Control and Risk Self-Assessment

6.4 Indicadores de Vulnerabilidades

7. Caso Prático de Implantação de Metodologia de Auditoria com Foco em Riscos

8. Como as Auditorias Internas tem Atuado na Gestão de Riscos?

9. Referências – Sites de Pesquisa

Top 10 Banking Issues

• Gerenciamento integrado de riscos (enterprise wide)

• Identificação dos riscos com alto grau de impacto e probabilidade de ocorrência

• Implementação de um efetivo Programa de Prevenção à Lavagem de Dinheiro (AMLP)

• Otimização de capital

• Reestabelecimento da credibilidade pública (Governança)

• Tratamento de novas e complexas regulamentações (Sarbanes-Oxley e Basiléia II)

• Implementação de Modelos de Compliance

• Planejamento para cenários extremos (continuidade dos negócios)

• Altos investimentos realizados em Tecnologia da Informação

• Integração de plataformas tecnológicas em virtude de fusões e aquisições

Evolução Histórica da Gestão de Riscos

Evolução Histórica da Gestão de Riscos Integrado Funções / Áreas Instrumentos Processos Risco de Estratégia Risco

Integrado

Funções /

Áreas

Instrumentos

Processos

Risco de Estratégia Risco Operacional Risco de Mercado Risco de Crédito
Risco de Estratégia
Risco Operacional
Risco de Mercado
Risco de Crédito
Risco Operacional Risco de Mercado Risco de Crédito BásicoBásico // GRGR ReatReativoivo
BásicoBásico // GRGR ReatReativoivo EstrEstratégicoatégico // GRGR PrPróó--AtiAtivvoo
BásicoBásico // GRGR ReatReativoivo
EstrEstratégicoatégico // GRGR PrPróó--AtiAtivvoo

Sarbanes-Oxley

Basileia 2 (*)

Kon TraG

Cadbury

Turnbull

Basileia

FDICIA

COBIT

COSO

CoCo

G-30

ANZ

ISO

Padrões de Controle Interno e Gestão de Riscos

1946

1991

1994 1995

1996 1997

1998 1999

2001

2002

(*) Documento definitivo a ser emitido no final de 2003

Definição de Risco

“Risco é a incerteza inerente a um conjunto de possíveis conseqüências (ganhos e perdas), as quais ocorrem como resultado de escolhas e decisões exigidas por toda organização.”

“Risco está relacionado à escolha, não ao acaso.”
“Risco está relacionado à escolha, não ao acaso.”

Definição de Controles

Definição de Controles Coso ERM 9 Metodologia de Auditoria com Foco em Riscos (Febraban) ©2003 Deloitte

Coso ERM

Definição de Gestão de Riscos

“Gestão de Riscos representa um enfoque estruturado e disciplinado que alinha estratégia, processos, pessoal, tecnologia e conhecimentos, objetivando avaliar e gerenciar as incertezas naturais enfrentadas pelas organizações como forma de criação de valor.”

People

Process

Strategy
Strategy

Technology

Knowledge

Etapas do Processo de Gestão de Riscos

Identificação Identificação Identificação Identificação Identificação Identificação Divulgação e
Identificação
Identificação
Identificação
Identificação
Identificação
Identificação
Divulgação e
Divulgação e
Divulgação e
Divulgação e
Divulgação e
Divulgação e
Avaliação
Avaliação
Avaliação
Avaliação
Avaliação
Avaliação
Monitoramento
Monitoramento
Monitoramento
Monitoramento
Monitoramento
Monitoramento
Riscos
Riscos
Riscos
Elaboração do
Elaboração do
Elaboração do
Elaboração do
Elaboração do
Elaboração do
Priorização
Priorização
Priorização
Priorização
Priorização
Priorização
Plano de Ação
Plano de Ação
Plano de Ação
Plano de Ação
Plano de Ação
Plano de Ação
Definição da
Definição da
Definição da
Definição da
Definição da
Definição da
Estratégia
Estratégia
Estratégia
Estratégia
Estratégia
Estratégia
Reter
Reduzir
Transferir
Explorar
Evitar

Políticas Limites e Indicadores de risco

Inventário de ameaças

Impacto e probabilidade

Criticidade dos riscos

Definir as ações para gerenciar os riscos

Modelo de Classificação de Processos

ATENDIMENTO A CLIENTES DEFINIÇÃO DE ESTRATÉGIAS MARKETING E AÇÃO COMERCIAL GESTÃO DE PRODUTOS CAPTAÇÃO/
ATENDIMENTO A CLIENTES
DEFINIÇÃO DE ESTRATÉGIAS
MARKETING E
AÇÃO COMERCIAL
GESTÃO DE
PRODUTOS
CAPTAÇÃO/
CRÉDITO
CUSTÓDIA
COMERCIALIZAÇÃO
OPERAÇÕES COM
T.V.M. E CÂMBIO
ESTRUTURAÇÃO
DE OPERAÇÕES
ADM. DE RECURSOS
DE TERCEIROS
GESTÃO DE RISCOS
TECNOLOGIA DA INFORMAÇÃO
TECNOLOGIA DA INFORMAÇÃO
CONTROLADORIA
CONTROLADORIA
GESTÃO FISCAL E JURÍDICA
GESTÃO FISCAL E JURÍDICA
RECURSOS HUMANOS
RECURSOS HUMANOS
SERVIÇOS ADMINISTRATIVOS
SERVIÇOS ADMINISTRATIVOS
RELACIONAMENTO EXTERNO
RELACIONAMENTO EXTERNO

Linguagem Comum de Riscos

RiscosRiscos EExxternosternos

Competição

Disponibilidade de

Capital

Regulamentação

Interrupção do

Negócio

RiscosRiscos InteInternosrnos

OPEROPERACIONAACIONALL

FraudeFraude IInntteernarna

Fraude Interna

Atividade não Autorizada

FraudeFraude ExtExteernarna

Fraude Externa

Segurança das Informações

RelRelaaçõesções TrabTrabalhialhissttaass

Processos Trabalhistas

InteInterrupçrrupçãoão NegóciNegóciooss // FalhasFalhas dede SiSistemasstemas

Disponibilidade

PráticasPráticas ComComeerrcciaiaisis

Confidencialidade

Comercialização

Falhas de Produtos

Obrigações com Clientes

Aconselhamento

ExecuçãoExecução ee GestãoGestão dede ProcessoProcessoss

Integridade

Reporte

Formalização

Custódia

Correspondentes

Fornecedores e Terceiros

MercadoMercado

Taxa de Juros

Câmbio

Ações

Liquidez

Commodities

Derivativos

CrCréédditoito

Inadimplência

Liquidação

Garantia

Concentração

EstrEstratatégégicoico

Planejamento

Indicadores e Metas

Recursos Humanos

Precificação

Custo de Oportunidade

Gestão

Integrada

de RIscos

Estratégias de Gestão de Riscos

Risco inerente ao modelo de negócios ou às operações normais

Aceitar

Aceitar

Aceitar

Rejeita r

Rejeita r

Rejeita r

Fora da estratégia, uma vez que o custo do controle é superior ao risco

SimSim
SimSim
NãoNão
NãoNão
o custo do controle é superior ao risco SimSim NãoNão Reduzir Reduzir Transferir Transferir Explorar

Reduzir

Reduzir

Transferir

Transferir

Explorar

Explorar

Reter

Reter

E E

vitar

vitar

Manter o risco, precificar ou planejar conforme grau de tolerência

Controlar ou

diversificar o

risco

Necessita que alguém esteja disposto e tenha capacidade financeira para correr o risco

Pode aumentar o grau de exposição na medida em que possibilita vantagens competitivas

Qualquer ação que elimine totalmente a fonte de um risco específico

O Papel Esperado do Auditor Interno na Gestão de Riscos

Mudanças no Enfoque da Auditoria

Programa de Programa de Programa de Trabalho Trabalho Sinalizadores Sinalizadores Execução da Auditoria
Programa de
Programa de
Programa de
Trabalho
Trabalho
Sinalizadores Sinalizadores
Execução da Auditoria
Priorização Priorização dos dos
riscos riscos a a serem serem
auditados
auditados

Riscos

Controles

Testes

Enfoque Tradicional

Foco em Riscos

Universo de Auditoria Abrangência Abrangência e e Ocorrências Ocorrências customização customização dos dos
Universo de Auditoria
Abrangência Abrangência e e
Ocorrências Ocorrências
customização customização dos dos
testes
Produtos Produtos
Processos Processos
Áreas Áreas
testes
Relatório Relatório
Execução Execução dos dos testes testes
Auditoria Auditoria
Riscos Riscos
Matriz de Riscos
Escopo
Elaboração Elaboração dos dos
Pontos Pontos de de Auditoria Auditoria
Auto-
Auto-
Auditorias Auditorias
Horas
avaliação avaliação
Anteriores Anteriores
Equipe
Datas
Comentários Comentários da da Área Área
Acompanhamento dos
dos Sinalizadores
Sinalizadores
Acompanhamento

O Papel Esperado do Auditor Interno na Gestão de Riscos

Quadro Comparativo

Enfoque Tradicional
Enfoque Tradicional

Foco em Riscos

Foco em Riscos
Foco em Riscos
Foco em Riscos

Foco nos controles

Foco nos riscos

Testes com base em programa de trabalho endereçando objetivos de controle padrão

Testes com base nos riscos de negócio identificados no levantamento de informações

Testes de todos os controles

Testes focalizados, somente dos controles que minimizam os riscos relevantes

Inspecionar, detectar e reagir aos riscos de negócios

Antecipar e prevenir riscos de negócios na origem

Maior parte do tempo gasto em testes, validação e consolidação

Maior parte do tempo gasto em levantamento e análise de informação

O Papel Esperado do Auditor Interno na Gestão de Riscos

Quadro Comparativo

SOX / GR

Entendimento e mapeamento do Processo de Negócios
Entendimento e
mapeamento
do Processo
de Negócios
Identificação dos Riscos e Controles
Identificação
dos Riscos
e Controles

Elaboração

AUDITORIA INTERNA

Entendimento/ mapeamento do Processo de Negócios
Entendimento/
mapeamento
do Processo
de Negócios
Identificação dos Riscos e Controles
Identificação
dos Riscos
e Controles

Utilização, revisão e/ou atualização

Monitora aderência aos procedimentos
Monitora
aderência aos
procedimentos

Planos de

Ação

Acompanhamento e Suporte à Implementação

de Ação Acompanhamento e Suporte à Implementação Planejamento e Execução de Testes • Operacional
de Ação Acompanhamento e Suporte à Implementação Planejamento e Execução de Testes • Operacional
de Ação Acompanhamento e Suporte à Implementação Planejamento e Execução de Testes • Operacional
Planejamento e Execução de Testes • Operacional
Planejamento
e Execução
de Testes
• Operacional

• Financeiro

• Compliance

• Gestão

Relatório de Recomendações

Follow-up

das

Recomendações

• Natureza dos Problemas

• Responsável

• Ações corretivas

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo Avaliação dos riscos inerentes ao processo
Entendimento do Processo
Avaliação dos riscos inerentes
ao processo

Análise da estrutura de Controles

inerentes ao processo Análise da estrutura de Controles Validação dos controles (testes) existentes

Validação dos controles (testes) existentes

Identificação de oportunidades de melhoria para processos observados
Identificação de oportunidades
de melhoria para processos
observados

Comunicação dos resultados

para processos observados Comunicação dos resultados Follow-up Levantar processo detalhado. Consultar

Follow-up

Levantar processo detalhado. Consultar informações existentes (relatórios emitidos, políticas e

procedimentos).

Fluxogramas

Não

Transação

Autori zação para pagamento

Registro da NFE

pré-

no Contas a

aprovada?

Pagar

Sim

Conferências da

NFE coma

documentação

de recebimento

Nota fiscal de entrada
Nota fiscal
de entrada

Sinópse do Ambiente de Negócios

Nota fiscal de entrada Sinópse do Ambiente de Negócios 1 8 Metodologia de Auditoria com Foco

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo Avaliação dos riscos inerentes ao processo
Entendimento do Processo
Avaliação dos riscos inerentes
ao processo

Análise da estrutura de Controles

inerentes ao processo Análise da estrutura de Controles Validação dos controles (testes) existentes

Validação dos controles (testes) existentes

Identificação de oportunidades de melhoria para processos observados Comunicação dos resultados
Identificação de oportunidades
de melhoria para processos
observados
Comunicação dos resultados
Follow-up
Follow-up

Analisar informações obtidas na etapa anterior

Linguagem Comum de Riscos

obtidas na etapa anterior Linguagem Comum de Riscos Matriz de Riscos (Inerentes) 1 9 Metodologia de
obtidas na etapa anterior Linguagem Comum de Riscos Matriz de Riscos (Inerentes) 1 9 Metodologia de

Matriz de Riscos (Inerentes)

Linguagem Comum de Riscos Matriz de Riscos (Inerentes) 1 9 Metodologia de Auditoria com Foco em

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo Avaliação dos riscos inerentes ao processo
Entendimento do Processo
Avaliação dos riscos inerentes
ao processo

Análise da estrutura de Controles

inerentes ao processo Análise da estrutura de Controles Validação dos controles (testes) existentes

Validação dos controles (testes) existentes

de Controles Validação dos controles (testes) existentes Identificação de oportunidades de melhoria para processos

Identificação de oportunidades de melhoria para processos observados

de oportunidades de melhoria para processos observados Comunicação dos resultados Follow-up Analisar indicadores

Comunicação dos resultados

para processos observados Comunicação dos resultados Follow-up Analisar indicadores de desempenho e identificar

Follow-up

Analisar indicadores de desempenho e identificar deficiências nos controles implementados.

Comparar estrutura atual com melhores práticas de mercado.

COSO

estrutura atual com melhores práticas de mercado. COSO COBIT Matriz de Controles Internos 2 0 Metodologia

COBIT

atual com melhores práticas de mercado. COSO COBIT Matriz de Controles Internos 2 0 Metodologia de
atual com melhores práticas de mercado. COSO COBIT Matriz de Controles Internos 2 0 Metodologia de

Matriz de Controles Internos

de mercado. COSO COBIT Matriz de Controles Internos 2 0 Metodologia de Auditoria com Foco em
de mercado. COSO COBIT Matriz de Controles Internos 2 0 Metodologia de Auditoria com Foco em

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo Avaliação dos riscos inerentes ao processo
Entendimento do Processo
Avaliação dos riscos inerentes
ao processo

Análise da estrutura de Controles

inerentes ao processo Análise da estrutura de Controles Validação dos controles (testes) existentes

Validação dos controles (testes) existentes

Identificação de oportunidades de melhoria para processos observados
Identificação de oportunidades
de melhoria para processos
observados

Comunicação dos resultados

para processos observados Comunicação dos resultados Follow-up Consolidar informações e priorizar principais

Follow-up

Consolidar informações e priorizar principais constatações.

A M B IMPACTO
A
M
B
IMPACTO

Riscos Residuais

Acesso Crédito Disponibilidade Conformidade Infra-estrutura Fraude Integridade Autorização Regulamentação
Acesso
Crédito
Disponibilidade
Conformidade
Infra-estrutura
Fraude
Integridade
Autorização
Regulamentação
Recursos
Humanos
Indicadores de
Performance
Terceirização

B

Aceitável

M

atenção

A

PROBABILIDADE

Recomendações

R1. …

R2. …

R3. …

e c o m e n d a ç õ e s R1. … R2. …

Relatório

Detalhado

a ç õ e s R1. … R2. … R3. … Relatório Detalhado Sumário Gerencial 2

Sumário Gerencial

… R2. … R3. … Relatório Detalhado Sumário Gerencial 2 1 Metodologia de Auditoria com Foco

Principais Ferramentas

• Extração e Análise de Dados

• Programas de Trabalho

• Control and Risk Self-Assessment

• Indicadores de Vulnerabilidades

• Banco de Dados dos Trabalhos

Caso Prático

Benefícios:

• Aumento da eficiência na execução dos trabalhos de auditoria

• Alinhamento de conceitos de gestão de riscos

• Focalização em problemas relevantes

• Padronização da documentação gerada durante os trabalhos de auditoria

• Redução do tempo de revisão dos trabalhos por parte das lideranças e gerências

• Redução do tempo de emissão dos relatórios finais

• Otimização da qualidade do reporte à alta administração

Resultados da Pesquisa

• Pesquisa realizada junto a 21 Instituições, cujos ativos somados representam R$ 742,4 bilhões (68% dos ativos do mercado).

• Foco da Pesquisa:

– Auditoria com Foco em Riscos

– Aspectos Gerais da Auditoria Interna

• Principais Resultados:

– Metodologias, ferramentas e conscientização sobre auditoria com foco em riscos ainda necessitam ser aprimorados.

– As Instituições possuem um plano formal de Auditoria Interna, elaborado para o período de 1 ano.

– 42,8% não efetuaram a definição de processos, sub-processos e atividades.

– 38,1% não definiram uma linguagem comum de riscos.

– 66,7% não estabeleceram um dicionário de riscos.

Resultados da Pesquisa

– Áreas com maior nível de exposição a riscos e respectiva alocação de tempo da Auditoria Interna:

1 o Crédito (18%) 2 o Tesouraria (10%) 3 o Tecnologia da Informação (12%) 4 o Asset Management (4%) 5 o Internacional (3%) 6 o Suporte Operacional (Back-office) (15%) 7 o Contábil e Gerencial (8%) 8 o Mercado de Capitais (3%) 9 o Canais de Comercialização (10%) 10 o Outras (17%)

– Quase a totalidade das Instituições possui uma área responsável por gestão de riscos. Em 3 casos, a gestão é realizada por áreas distintas, conforme a natureza do risco (crédito, mercado e operacional).

– 70% das Instituições afirmaram que o nível de intergração entre as áreas de Auditoria Interna e a Gestão de Riscos é elevado.

– Utilização de metodologia formal para identificação e definição dos riscos de negócios (alta 45% e médio 55%).

www.deloitte.com.br

Juarez Lopes de Araújo

jlaraujo@deloitte.com.br

Deloitte Touche Tohmatsu. All Rights Reserved.

A member firm of Deloitte Touche Tohmatsu