Você está na página 1de 40

AUDITORIA BASEADA EM

RISCOS
Tribunal de Contas da União
Roberta Mallab Coscarelli
O que é a ABR?

Abordagem do Auditor Risco de Auditoria


Abordagem que utiliza a avaliação de É o risco de que o relatório de auditoria
riscos para a definição de escopo, possa ser inapropriado às circunstâncias
natureza, época e extensão dos do trabalho.
procedimentos adicionais de auditoria,
com o propósito de reduzir o risco de
emitir opinião ou conclusão inadequada
às circunstâncias do trabalho.
(Issai 100/46, 48 e 49)

A preocupação com o Risco de Auditoria é proporcional ao nível de


asseguração que os usuários esperam obter do relatório de auditoria.

2
Para que serve a ABR?

Para garantir que a auditoria irá agregar valor à organização


auditada, aos processos decisórios do gestor ou para responsabilizar
adequadamente gestores que cometeram irregularidades.

COMO?

Construindo uma visão ampla, realista e atualizada das


potencialidades e dos riscos mais relevantes em relação ao objeto
de auditoria.

3
HELLO!

4
Riscos de Auditoria

5
Risco de
auditoria

6

Utilizando riscos como ferramenta, a equipe de
auditoria tenderá a solicitar informações
apenas sobre processos de trabalho que
tenham ameaças materialmente relevantes,
evitando solicitações genéricas e/ou de
documentos que dificilmente serão utilizados.

7
Finalidades

✓ Identificar gargalos;
✓ Delimitar os responsáveis e responsabilidades em cada etapa ou atividade,
essencial para endereçar deliberações e associar a riscos de histórico pessoal de
pessoas físicas e jurídicas;
✓ Estimar os recursos, mão de obra, insumos e tempo necessários para a produção;
✓ Entender e identificar riscos ligados a padrões adotados para procedimentos da
gestão e do operacional;
✓ Entender funções, responsabilidades e autoridades entre os responsáveis e
organizações auditadas;

8
Finalidades

✓ Identificar a existência de retrabalho, de atividades redundantes e tarefas de


baixo valor agregado que merecem ser evidenciadas em auditorias operacionais;
✓ Identificar riscos específicos ligados a cada atividade e produto que compõe os
processos de trabalho do objeto;
✓ Identificar quais atividades estão ligadas à produção e quais estão ligadas a
controles instituídos;
✓ Identificar as tecnologias (ou a falta delas) que são empregadas nos processos de
trabalho do objeto.

9
10
11

DICA: estudar os principais critérios antes da
aplicação das técnicas para construção da
visão geral irá ajudar a equipe a exercitar seu
ceticismo profissional.

12

A atividade de buscar e sistematizar os riscos
acontece durante todo o planejamento e é bom que
seja bem preparada para que toda a equipe esteja na
mesma página na hora de executar os procedimentos
de valoração dos riscos.

13
Levantamento de riscos

Passo 1: Colecionar fatores de risco desde os primeiros momentos da auditoria


Passo 2: Identificar as atividades chave para o funcionamento do objeto
Passo 3: Associar fatores de risco às atividades chave do objeto
Passo 4: Construir o acervo de riscos utilizando a sintaxe do risco

14
SINTAXE DO RISCO
DEVIDO A (fonte + vulnerabilidade) + PODERÁ ACONTECER (evento
indesejável) + O QUE PODERÁ LEVAR A (objetivo impactado) +
IMPACTANDO EM (impactos estimados)."

15
Sintaxe dos riscos

1) Devido à ausência de orientação estratégica com foco nos problemas e falhas na coordenação entre
as instâncias de decisão quanto à aplicação dos recursos, poderá ocorrer baixa efetividade na
orientação do Plano Anual de Investimentos, o que poderá levar a incentivos ao desenvolvimento de
produtos e serviços desvinculados de CT&I e/ou que pouco favorecem o ambiente produtivo, e
impactar em não incremento dos níveis de produtividade/inovação;

1) Devido ao sistema de avaliação com dados de desembolso e de destinação dos recursos aplicados,
ou seja, informações de cunho mais descritivo das ações realizadas do que resultados e impactos
propriamente ditos, poderá ocorrer ausência de efetiva avaliação dos resultados e impactos
decorrentes da política de incentivos, o que poderá levar a manutenção de financiamento de ações
que tenham baixo impacto no desenvolvimento de tecnologia e inovação voltada para o ambiente
produtivo, e impactar em agravamento da dependência tecnológica do país. (riscos 5 e 9, do
powerpoint unidos – sugestão reunião de priorização dos riscos);

16
Fontes/ vulnerabilidades

17

É comum que depois de construir a visão geral, incluindo aí o
mapeamento de processos e o mapeamento de produtos, que
as equipes ainda tenham alguma dificuldade ou insegurança
para fechar o acervo de riscos na sintaxe recomendada.
Isso ocorre porque nem sempre é simples determinar o nexo
de causa e efeito entre os fatores de risco já identificados pela
equipe e nem todos os fatores de risco já estão descobertos
no planejamento.

18
Técnicas de Diagnóstico

19
Acervo de riscos

Atividades necessárias:
✓ Revisar em equipe os fatores de risco colecionados e relacionados com as
atividades chave;
✓ Elaborar documento ou quadro colaborativo para discussão da sintaxe de riscos;
✓ Promover oficina de montagem dos riscos do objeto;
✓ Complementar os riscos com técnicas de diagnóstico (se aplicável);
✓ Promover oficinas de feedback com chefia, responsáveis e demais partes de
auditoria (se aplicável).

20
Avaliando os riscos

21
Análise de probabilidade

22
Análise de impacto

23
Diagrama de Verificação de Riscos
(DVR)

24
Avaliando os controles internos

25

Os produtos e atividades relacionados a avaliação de
controles irão nos ajudar a separar os riscos a que o
gestor já responde adequadamente daqueles que
precisam ser evidenciados na fase de execução de
auditoria, nos permitindo focar nos processos de trabalho
em que temos mais chances de agregar valor.

26
Participação ativa dos
responsáveis

27
Participação ativa dos
responsáveis

28
Avaliação dos controles

Atividades necessárias:
1.Definir as atividades e os controles em nível de atividade a serem testados
2.Desenvolver os instrumentos de avaliação
3.Executar os testes de controle de desenho e de efetividade
4.Documentar resultados
5.Inserir os resultados na matriz de riscos e controles

29

A responsabilidade pela gestão de riscos é dos gestores
e não dos auditores e quem define o apetite ao risco é o
responsável pela atividade, cabendo ao auditor apenas
analisar se a resposta adotada está adequada dentro da
discricionariedade do gestor.

30
Avaliação dos controles

31
Avaliação dos controles

Escala de avaliação preliminar dos Controles (desenho e implementação)


Avaliação do Nível de Confiança nos
Situação do controle existente Risco de Controle (RC), ou seja, 1 - NC Tipo de Teste
Controle* controles (NC)
Nenhum nível de confiança.
Controle não existe, não funciona ou não está
Inexistente Considerando RI igual a 1,00 e NC igual 1,00 Testes substantivos
implementado.
a zero, temos 1,00 - 0.

Controle não institucionalizado; está na esfera de Nível de Confiança de 20%. Os controles


Fraco conhecimento pessoal dos operadores do são capazes de mitigar 20% dos eventos. 0,80 + Testes substantivos
processo; em geral realizado de maneira manual. Risco de controle = 1,00 - 0,20.

Controle razoavelmente institucionalizado, mas


Nível de Confiança de 40%. Os controles
pode falhar por não contemplar todos os aspectos Testes substantivos/Testes
Mediano são capazes de mitigar 40% dos eventos. 0,60
relevantes do risco ou porque seu desenho ou as de Controles
Risco de controle = 1,00 - 0,40.
ferramentas que o suportam não são adequados.

Controle institucionalizado e embora passível de Nível de Confiança de 60%. Os controles


Satisfatório aperfeiçoamento, é sustentado por ferramentas são capazes de mitigar 60% dos eventos. 0,40 + Testes de controle
adequadas e mitiga o risco razoavelmente. Risco de controle = 1,00 - 0,60.

Controle institucionalizado e sustentado por


Nível de Confiança de 80%. Os controles
ferramentas adequadas, podendo ser considerado
Forte são capazes de mitigar 80% dos eventos. 0,20 + Testes de controle
em um nível de "melhor prática"; mitiga o risco em
Risco de controle = 1,00 - 0,80.
todos os aspectos relevantes.

* Não há controle perfeito. Todos têm limitações que impedem que NC seja igual a 1 (um). Por isto, não há RC < 0,20. Limitações do controle: relação custo-benefício; burla pela administração; conluio; erros de
julgamento; falha humana (causada por fadiga, doença...); eventos externos.

32
Avaliação dos controles

33
Avaliação dos controles

34
Construção do Plano de
Auditoria

Matriz de riscos e controles (MRC)

Questões de auditoria
Procedimentos de coleta e análise

Matriz de planejamento

35
Produtos da auditoria

1 2 3
Plano de Relatório Relatório de
Auditoria preliminar auditoria

Testes e análises
Comentários dos gestores
(execução)

36
Participação ativa dos
responsáveis

Deixar de determinar a(o) <NOME DO ÓRGÃO OU ENTIDADE>, com fundamento no inciso I do parágrafo
único do art. 16 da Resolução-TCU 315, de 2020, tendo em conta que a unidade jurisdicionada dispõe-se a
<INDICAR AS MEDIDAS PREVENTIVAS OU CORRETIVAS QUE SERIAM OBJETO DA DETERMINAÇÃO>, no prazo
de <INDICAR O PRAZO>, sem prejuízo de que o TCU verifique a efetiva implementação e os impactos dela
resultantes.

Deixar de dar ciência a(o) <NOME DO ÓRGÃO OU ENTIDADE>, com fundamento no inciso I do parágrafo
único do art. 16 da Resolução-TCU 315, de 2020, tendo em conta que a unidade jurisdicionada dispõe-se a
<INDICAR AS MEDIDAS PREVENTIVAS OU CORRETIVAS QUE SERIAM OBJETO DA CIÊNCIA>, no prazo de
<INDICAR O PRAZO>, sem prejuízo de que o TCU verifique a efetiva implementação e os impactos dela
resultantes. TCU verifique a efetiva implementação e os impactos dela resultantes.

Deixar de recomendar a(o) <NOME DO ÓRGÃO OU ENTIDADE>, com fundamento no inciso I do parágrafo
único do art. 16 da Resolução-TCU 315, de 2020, tendo em conta que estão em estudo <INDICAR OS OUTROS
APRIMORAMENTOS CAPAZES DE PROPORCIONAR OS RESULTADOS PRÁTICOS PRETENDIDOS COM A
RECOMENDAÇÃO>, a serem concluídos no prazo de <INDICAR O PRAZO>, sem prejuízo de que o TCU
verifique a efetiva implementação e os impactos dela resultantes.

37
Como melhorar?

✓ Transparência
✓ Controles internos
✓ Prevenção à corrupção
✓ Gestão de riscos
✓ Governança

Envie e-mail para pnpcmg@tcu.gov.br com as seguintes informações:


✓ Nome da organização
✓ Nome e e-mail do responsável pela autoavaliação
38
Para saber mais

https://portal.tcu.gov.br/biblioteca-digital/abordagem-de-auditoria-baseada-em-risco-
no-contexto-da-auditoria-operacional-8A81881F750376EF01755B7087C60695.htm

https://portal.tcu.gov.br/imprensa/videos/auditoria-baseada-em-risco-parte-1.htm

https://portal.tcu.gov.br/imprensa/videos/auditoria-baseada-em-risco-parte-2.htm

Envie e-mail para secex-mg@tcu.gov.br

39
Muito obrigada!

40

Você também pode gostar