AUDITORIA INTERNA BASEADA

EM RISCOS (ABR)

Setembro de 2011

CONTEDO
1. Reflexes, Definies e Premissas
2. Variveis a considerar na ABR
3. Matriz de Risco de Auditoria Referncias e clculos

4. Debate

Alguns (dos muitos) adjetivos da Auditoria Interna

1. Auditoria Transacional (ou das Transaes)
Dos negcios e atividades, baseada no exame de documentos

2. Auditoria Analtica
Da segurana do Controle Interno, baseado em fluxogramas e testes de
conformidade

3. Auditoria Integrada
Que cobre todos os aspectos: transacional, financeiro, TI, contbil,
controle interno, compliance, etc.

4. Auditoria Contnua (ou Permanente / Continuada)

Verificao permanente de determinado processo, negcio, fluxo, ciclo,
etc.

5. Auditoria Baseada em Riscos (ABR)

Definies

AUDITORIA INTERNA uma atividade independente e objetiva que

presta servios de avaliao (assurance) e consultoria, e tem como
objetivo adicionar valor e melhorar as operaes de uma
organizao. Auxilia a organizao a alcanar seus objetivos,
adotando uma abordagem sistemtica e disciplinada para a
avaliao e melhoria da eficcia dos processos de gerenciamento de
riscos, de controle e governana corporativa
Fonte: IIA / IAIB

Definies

RISCO todo ato ou fato que, se ocorrer (probabilidade), afeta

negativamente (ameaa) e de forma significativa (impacto) a
capacidade que tem a organizao de atingir seus objetivos
estratgicos.

AUDITORIA INTERNA BASEADA EM RISCOS uma metodologia

que associa a auditoria interna ao arcabouo global de gesto de
riscos de uma organizao. Possibilita que uma auditoria interna d
garantia ao conselho diretivo de que os processos de gesto de
riscos esto gerenciando os riscos de maneira eficaz em relao ao
apetite por riscos.
Fonte: IIA / IAIB

Premissas e/ou Reflexes

A Auditoria interna baseada em riscos s pode ser praticada se
houver, na organizao, um adequado processo de gesto de riscos.
Portanto, a auditoria do processo de gesto de riscos passa a ser
fundamental para garantir uma base confivel para o planejamento
Caso no haja um processo efetivo de gesto de riscos, a Auditoria
interna deve priorizar recomendaes visando implement-lo
Planejamentos de Auditoria interna com base em riscos pressupem
alteraes na forma de gerir a atividade

Os planejamentos de Auditoria interna passam a ser dinmicos e, por

isso, implicam em algum grau de flexibilidade com relao ao
conjunto de negcios, atividades e processos da organizao
Auditorias internas baseadas em risco tambm passam a ser
dinmicas e, por isso, necessitam de algum grau de flexibilidade com
relao a escopos, alcances, objetivos e recomendaes

O Planejamento de Auditoria Interna em Seguros

Regulamentos a considerar
Sobre o sistema de controles internos em geral
- Circular SUSEP 249 (seguro direto)
- Circular SUSEP 363 (resseguro)
- Circular BACEN 2.554 (instituies financeiras)
Tratam sobre o monitoramento da consistncia e da efetividade do
Sistema de Controles Internos e da Governana de TI, assim como da
verificao da conformidade dos negcios e atividades a leis e
regulamentos e a polticas e normas internas.

Circular 249 - Art. 3 - Inciso VIII Pargrafos 1 e 2 - Os controles

internos devem ser periodicamente revisados, devendo a atividade de
auditoria interna fazer parte do sistema de controle interno.

Partes do Controle Interno e seu Monitoramento pela

Auditoria Interna

M
O
N
I
T
O
R
A
M
E
N
T
O

AMBIENTE DE CONTROLE
OBJETIVOS
ESTRATGICOS
GESTO DE
RISCOS
ATIVIDADES DE
CONTROLE

C
O
M
U
N
I
C
A

AMBIENTE DE CONTROLE

Framework COSO II

M
O
N
I
T
O
R
A
M
E
N
T
O

Framework COBIT

O Planejamento de Auditoria Interna em Seguros

Regulamentos a considerar
Sobre os processos, sub processos e atividades prioritrias
- Circular SUSEP n 280:
Define os elementos do Controle Interno (COSO II)
Indica o que deve ser avaliado para cada um
Menciona as Atividades de Controle prioritrias

Subscrio e emisso de aplices, certificados e ttulos

Regulao de sinistros, concesso de benefcios, resgates e sorteios
Tesouraria
Investimentos
Jurdico

O Planejamento de Auditoria Interna em Seguros

Regulamentos a considerar
Sobre os controles internos especficos
- Circular SUSEP n 380
Obriga a reviso do Sistema de Controles Internos especfico para a
preveno de delitos de lavagem de dinheiro pela Auditoria Interna
- Circular SUSEP n 344
Obriga a reviso do Sistema de Controles Internos especfico para a
preveno de fraudes internas e externas pela Auditoria Interna

O Planejamento de Auditoria Interna em Seguros

Regulamentos a considerar
Outras demandas regulamentares

- Circular SUSEP n 340

Obriga o acompanhamento, pela Auditoria Interna, da execuo dos planos

de ao demandados pela SUSEP em face de fiscalizaes com escopo de
avaliao do Sistema de Controles Internos
- Resoluo BACEN 3.849
Determina a validao, pela auditoria Interna, dos relatrios semestrais da
Ouvidoria

O Planejamento de Auditoria Interna em Seguros

Outros aspectos a considerar
Plano estratgico e respectivas aes estratgicas
Resultados do processo de Avaliao de riscos
Requerimentos da Holding, se for o caso
Requerimentos do Conselho de Administrao, do Comit de Auditoria e da
Alta Direo
Durao e resultados de auditorias anteriores

Histrico anterior de trabalhos especiais

Outras circunstncias relacionadas Holding

Um exemplo hipottico
Grupo estrangeiro, com sede em pas da Unio Europia, com 4
empresas no Brasil, no ligado a banco
Empresa A
Automvel
Residencial
Incndio
Transporte
Empresa B
Vida
Previdncia
Empresa C
Capitalizao

Empresa D
DTVM
Dados Gerais
1.000 funcionrios
30 Sucursais
Organizao por negcio, com
back office comum
Poltica: quadro de Auditoria
Interna com no mximo 0,5%
do total (5 profissionais)
Produtividade: 10 trabalhos /
ano por Auditor 50
trabalhos

Unio Europia - Solvncia II Campo de atuao da Auditoria

Interna
SISTEMA DE
GOVERNO

Perspectiva Econmica Baseada em

Riscos
Subscrio

Estrutura Transparente

Mercado
Crdito

Responsabilidades Claras

Operacional
Responsabilidades Segregadas

Liquidez
Concentrao

Comunicao Eficaz

Gesto de Riscos
Funes de
Governo

Atuarial
Compliance

Identificao de Riscos

Avaliao de Riscos
Quantificao de Riscos
Capital e Provises ($)
Processos / Normas
Verificao da conformidade

Auditoria Interna (mbito de atuao)

mbito de atuao da Auditoria Interna

Auditorias relacionadas ao Controle Interno em geral (exceto Atividades

de Controle) Framework COSO II

Processo de Planejamento Estratgico

Processo Gesto de Riscos
Processos de Comunicao e Divulgao
Processos de Monitorao Permanente
Ambiente de Controle
5 trabalhos de campo

mbito de atuao da Auditoria Interna

Auditorias relacionadas s Atividades de Controle

Subscrio (7 negcios)
Emisso (7 negcios)
Sinistros (7 negcios)
Tesouraria
Investimentos
Jurdico (Contencioso e Sinistro Judicial)
25 trabalhos de campo

mbito de atuao da Auditoria Interna

Auditorias relacionadas Governana de TI Framework COBIT

Domnio Planejar e Organizar

Domnio Adquirir e Implementar
Domnio Entregar e Suportar
Domnio Monitorar e Avaliar

Outras auditorias de TI

Desenvolvimento de Sistemas
Sistemas Operacionais
Segurana Lgica
Segurana Fsica
Telecomunicaes
Uso de recursos disposio de usurios finais
10 trabalhos de campo

mbito de atuao da Auditoria Interna

Auditorias derivadas da Solvncia II

Governana corporativa
Modelo interno de clculo de capital adicional
Clculo de Provises
Processos atuariais
Processos de Compliance

Auditorias derivadas dos CI Especficos

Lavagem de dinheiro (4)

Preveno a fraude (4)
Ouvidoria (2)
15 trabalhos de campo

mbito de atuao da Auditoria Interna

Auditorias requeridas pela Holding

Processo de consolidao das demonstraes financeiras

Pagamento de comisses
Compras de recursos de TI
Fluxo de caixa

Auditorias requeridas pelo Comit de Auditoria

Processo de recebimento e tratamento de denncias
Resseguros

6 trabalhos de campo

mbito de atuao da Auditoria Interna

Auditorias requeridas pela Alta Direo

Salvados
Ressarcimento
Folha de Pagamento
Sucursais da regio Sudeste (10)

Trabalhos Especiais

Apurao de fraudes / situaes anmalas (6)

Pareceres (4)

23 trabalhos de campo

mbito de atuao da Auditoria Interna - Consolidao

Resumo dos trabalhos de Auditoria Interna

Elementos do Controle Interno (*)

5
Atividades de Controle
25
Governana de TI (*)
4
Sistemas
6
Derivados da Solvncia II
5
Derivados dos CI especficos (*)
10
Requeridos pela Holding (*)
4
Requeridos pelo Comit de Auditoria (*)
2
Requeridos pela Alta Direo
13
Trabalhos Especiais (*)
10
TOTAL
84
Capacidade da Auditoria Interna
50
(*) Obrigatrios
35
Margem
15
No obrigatrios (A priorizar)
49
Ou, quais dos 49 devem ser os 15 possveis? Matriz de Riscos

Matriz de Risco de Auditoria Interna - Premissas

Variveis a considerar
Resultados da Avaliao de riscos (IR, PO, GC) e do Gap analysis de
governana de TI

Insero ou no no Planejamento estratgico

Requerimento ou no de Conselho, Comit de Auditoria ou Alta Direo
Existncia ou no de normativas
Valores envolvidos

Auditoria Anterior (resultados, tempo desde a ltima, etc.)

Alteraes relevantes (Negcios, Gestores, Sistemas, etc.)
Juzo Profissional

Matriz de Risco de Auditoria Interna Formatao

Atribuir pesos a cada varivel, consideradas suas sub variveis

Calcular a importncia de cada processo
Estabelecer critrio de definio das auditorias prioritrias
Exemplo:

Acima de 66% dos pontos Auditar obrigatoriamente

Entre 33% e 66% dos pontos Auditar se possvel
Abaixo de 33% dos pontos - No auditar
Documentar para apresentao ao Comit de Auditoria / Auditoria
Externa / SUSEP

Matriz de Risco de Auditoria Interna - Clculos

AUDITORIA INTERNA
Matriz de Risco - 2011 (Exemplo parcial - "Atividades de Controle")

Varivel 1
Resultados da avaliao dos RO

Processo / Atividade /
Aspecto

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Subscrio - Automvel
Emisso - Automvel
Sinistros - Automvel
Subscrio - Residencial
Emisso - Residencial
Sinistros - Residencial
Subscrio - Incndio
Emisso - Incndio
Sinistros - Incndio
Subscrio - Transporte
Emisso - Transporte
Sinistros - Transporte
Subscrio - Vida
Emisso - Vida
Sinistros - Vida
Subscrio - Previdncia
Emisso - Previdncia
Resgates - Previdncia
Subscrio - Capitalizao
Emisso - Capitalizao
Resgate - Capitalizao
Jurdico - Contencioso
Jurdico - Sinistro judicial
Tesouraria
Investimentos

I.R. P.O. G.C. Mdia

76,22
72,72
72,89
79,30
4,60
86,00
96,00
79,10
77,60
81,40
79,30
79,20
78,90
77,00
72,72
78,70
78,50
82,80
74,30
74,40
79,10
78,80
78,70
80,60
80,40

47,75
52,17
52,05
57,90
25,10
23,10
44,70
51,30
46,80
36,30
57,90
52,80
58,90
35,40
52,17
19,40
40,50
33,50
55,30
52,50
51,30
48,10
19,40
59,30
45,60

61,98
62,44
62,47
68,60
14,85
54,55
70,35
65,20
62,20
58,85
68,60
66,00
68,90
56,20
62,44
49,05
59,50
58,15
64,80
63,45
65,20
63,45
49,05
69,95
63,00

62,0
62,4
62,5
68,6
14,9
54,6
70,4
65,2
62,2
58,9
68,6
66,0
68,9
56,2
62,4
49,1
59,5
58,2
64,8
63,5
65,2
63,5
49,1
70,0
63,0

Nvel do
Pontuao
risco

Mdio
Mdio
Mdio
Alto
Baixo
Mdio
Alto
Mdio
Mdio
Mdio
Alto
Mdio
Alto
Mdio
Mdio
Mdio
Mdio
Mdio
Mdio
Mdio
Mdio
Mdio
Mdio
Alto
Mdio

5
5
5
10
0
5
10
5
5
5
10
5
10
5
5
5
5
5
5
5
5
5
5
10
5

Varivel 2
ltima Auditoria Tempo

Varivel 3
ltima Auditoria Conceito

Varivel 4
Existncia de
Normativa

Realizada
H
h
Pontuao Resultado Pontuao
Pontuao
normativa?
(Anos)

1
2
3
3
2
1
2
3
1
3
2
1
1
2
3
3
2
1
2
3
1
3
2
1
2

0
5
10
10
5
0
5
10
0
10
5
0
0
5
10
10
5
0
5
10
0
10
5
0
5

Bom
Regular
Ruim
Ruim
Regular
Bom
Regular
Ruim
Bom
Ruim
Regular
Bom
Bom
Regular
Ruim
Ruim
Regular
Bom
Regular
Ruim
Bom
Ruim
Regular
Bom
Regular

0
5
10
10
5
0
5
10
0
10
5
0
0
5
10
10
5
0
5
10
0
10
5
0
5

Sim
Sim
Sim
No
Sim
Sim
Sim
Sim
Sim
No
No
Sim
Sim
Sim
No
No
Sim
Sim
Sim
Sim
No
Sim
Sim
No
Sim

5
5
5
10
5
5
5
5
5
10
10
5
5
5
10
10
5
5
5
5
10
5
5
10
5

Matriz de Risco de Auditoria Interna - Clculos

AUDITORIA INTERNA
Matriz de Risco - 2011 (Exemplo parcial - "Atividades de Controle")
Varivel 5
Importncia
Econmica

Varivel 6
Planejamento
Estratgico

Varivel 7
Juzo Profissional
Sub variveis

Processo / Atividade /
Aspecto

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Subscrio - Automvel
Emisso - Automvel
Sinistros - Automvel
Subscrio - Residencial
Emisso - Residencial
Sinistros - Residencial
Subscrio - Incndio
Emisso - Incndio
Sinistros - Incndio
Subscrio - Transporte
Emisso - Transporte
Sinistros - Transporte
Subscrio - Vida
Emisso - Vida
Sinistros - Vida
Subscrio - Previdncia
Emisso - Previdncia
Resgates - Previdncia
Subscrio - Capitalizao
Emisso - Capitalizao
Resgate - Capitalizao
Jurdico - Contencioso
Jurdico - Sinistro judicial
Tesouraria
Investimentos

% do total Pontuao

39,97%
39,16%
46,09%
18,30%
18,27%
14,57%
11,32%
11,29%
7,81%
25,78%
24,63%
16,56%
4,25%
4,25%
14,98%
0,38%
0,38%
0,11%
0,11%
1,21%
1,21%
26,15%
73,85%
10,00%
90,00%

10
10
10
5
5
5
5
5
5
5
5
5
5
5
5
5
5
5
5
5
5
5
15
5
15

Relao com
Pontuao
o PE
Mudana em
regulamentos
No
Parcial
No
No
Parcial
Sim
Sim
No
Parcial
Sim
Parcial
No
Sim
Parcial
No
No
Parcial
Sim
Sim
No
Parcial
Sim
Parcial
No
Parcial

0
5
0
0
5
10
10
0
5
10
5
0
10
5
0
0
5
10
10
0
5
10
5
0
5

0
0
0
5
5
5
10
0
0
0
15
0
0
0
10
0
5
5
5
10
0
0
0
15
5

Mudana de
gestores

Opinio pessoal

0
0
0
10
10
10
5
5
0
0
0
0
5
0
0
0
10
10
10
5
0
0
0
0
5

0
0
0
0
0
0
0
0
0
0
0
0
10
5
0
15
0
0
0
0
0
10
0
0
5

Pontuao

Pontuao
total

0
0
0
15
15
15
15
5
0
0
15
0
15
5
10
15
15
15
15
15
0
10
0
15
15

20
35
40
60
40
40
55
40
20
50
55
15
45
35
50
55
45
40
50
50
25
55
40
40
55

Matriz de Risco de Auditoria Interna - Clculos

AUDITORIA INTERNA
Matriz de Risco - 2011 (Exemplo parcial - "Atividades de Controle")
Varivel 1 Varivel 2 Varivel 3 Varivel 4 Varivel 5 Varivel 6 Varivel 7

Processo / Atividade /
Aspecto

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Subscrio - Residencial
Subscrio - Incndio
Emisso - Transporte
Subscrio - Previdncia
Jurdico - Contencioso
Investimentos
Subscrio - Transporte
Sinistros - Vida
Subscrio - Capitalizao
Emisso - Capitalizao
Subscrio - Vida
Emisso - Previdncia
Sinistros - Automvel
Emisso - Residencial
Sinistros - Residencial
Emisso - Incndio
Resgates - Previdncia
Jurdico - Sinistro judicial
Tesouraria
Emisso - Automvel
Emisso - Vida
Resgate - Capitalizao
Subscrio - Automvel
Sinistros - Incndio
Sinistros - Transporte

Pontuao Pontuao Pontuao Pontuao Pontuao Pontuao Pontuao

10
10
10
5
5
5
5
5
5
5
10
5
5
0
5
5
5
5
10
5
5
5
5
5
5

10
5
5
10
10
5
10
10
5
10
0
5
10
5
0
10
0
5
0
5
5
0
0
0
0

10
5
5
10
10
5
10
10
5
10
0
5
10
5
0
10
0
5
0
5
5
0
0
0
0

10
5
10
10
5
5
10
10
5
5
5
5
5
5
5
5
5
5
10
5
5
10
5
5
5

5
5
5
5
5
15
5
5
5
5
5
5
10
5
5
5
5
15
5
10
5
5
10
5
5

0
10
5
0
10
5
10
0
10
0
10
5
0
5
10
0
10
5
0
5
5
5
0
5
0

15
15
15
15
10
15
0
10
15
15
15
15
0
15
15
5
15
0
15
0
5
0
0
0
0

Pontuao
total

60
55
55
55
55
55
50
50
50
50
45
45
40
40
40
40
40
40
40
35
35
25
20
20
15

Matriz de Risco de Auditoria Interna Clculos (Nvel II)

AUDITORIA INTERNA
Matriz de Risco - Nvel II - (Exemplo parcial - "Subscrio Incndio")

Negcio
Residencial Massificado
Comercial Massificado
Fabril Massificado
Grandes Riscos

I.R. P.O.
79,10
80,60
79,10
76,22

51,30
59,30
51,30
47,75

Varivel 1
Varivel 2
Varivel 3
Varivel 4
Risco Operacional
Normativa
Materialidade
Plano Estratgico
Nvel do
H
Relao
G.C. Mdia
Pontuao
Pontuao % do total Pontuao
Pontuao
risco
normativa
com o PE
65,20 65,2 Mdio
5
No
10
38,85%
15
No
0
69,95 70,0
Alto
10
Sim
5
9,93%
5
No
0
65,20 65,2 Mdio
5
Sim
5
40,02%
15
No
0
61,98 62,0 Mdio
5
No
10
11,20%
5
Sim
10

Total
30
20
25
30

Pode (e deve) ser aplicado tambm nas auditorias obrigatrias, tornando-se,

nesse caso, o Nvel I

OBRIGADO!

Assizio Oliveira
E-mail: oliveiraa@mapfre.com.br