Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditoria
Baseada
em Riscos
Introdução
Parabéns!
Espero que esse manual seja útil e eleve seu trabalho para o
próximo nível!
Conte comigo,
Marlon de Freitas
Auditoria sem Grilo
Quem Sou Eu!
Eu me chamo Marlon de Freitas, tenho 38 anos e sou natural de Porto Alegre – RS.
Bacharel em Ciências Contábeis e MBA em Gestão Financeira e Controladoria –
FGV/RS.
Trabalho há pouco mais de 12 anos com Auditoria Interna, Externa, Controles
Internos e Gestão de Riscos. Nesse tempo, pude atuar em Indústrias, Clubes de
Futebol, Federações, Escritórios de Auditoria e Consultoria.
Desde 2021, atuo como consultor sênior em uma ”big four”, trabalhando com
Auditoria, Controles Internos e Riscos em empresas nacionais e multinacionais de
segmentos como Petróleo, Automotivo, Manufatura, Óleo e Gás, Minério, Veículos
Fabris, etc.
Bom proveito!
Sumário
1. Introdução
2. Metodologia Da Auditoria Baseada Em Riscos
2.1 Plano Anual De Atividades Da Auditoria Interna
2.2 Plano De Trabalho
2.3 Reunião De Abertura Do Trabalho
2.3.1 Reunião De Abertura Com O Gestor Da Área
2.4 Coleta E Análise De Dados
2.4.1 Fluxo Das Atividades Da Auditoria Baseada Em Riscos
2.4.2 Programa De Trabalho
2.4.3 Amostragem
2.5 Elaboração Do Relatório De Auditoria Baseada Em Riscos
2.5.1 Monitoramento Dos Planos De Providências
2.6 Reunião De Encerramento Do Trabalho
2.7 Papéis De Trabalho
2.8 Fluxograma
Anexo 1 – Modelo Do Plano De Trabalho
Anexo 2 – Modelo De Papel De Trabalho
> A direção identificou, avaliou e respondeu aos riscos acima e abaixo de seu apetite por
riscos;
> As respostas dos riscos são eficazes, mas não excessivas na gestão dos riscos
inerentes, dentro do apetite por riscos;
> Quando os riscos residuais não estão alinhados ao apetite por riscos, são tomadas
ações para reparar isso;
> Os processos de gestão de riscos, incluindo a eficácia das respostas e a conclusão de
ações, estão sendo monitorados pela direção para garantir que continuem a operar de
maneira eficaz; e
> Riscos, respostas e ações estão sendo classificados e relatados adequadamente.
Uma vez que a Auditoria Baseada em Riscos não trata de auditar riscos, mas sim auditar
o manejo dos riscos, seu foco recai sobre as ações tomadas pela equipe da direção para
responder aos riscos. Deve-se agir de forma a reforçar o princípio fundamental de que o
gestor é responsável pela gestão dos riscos.
Por fim, o técnico deverá expor as observações inerentes ao trabalho, permitindo a área
auditada o conhecimento completo do trabalho a ser realizado.
De modo a dar início aos trabalhos, realiza-se reunião junto à área definida, a
qual tem por objetivo principal a abertura do trabalho de Auditoria Baseada em
Riscos e apresentação do Plano de Trabalho.
b) Diante da Matriz de Riscos que foi validada pela área, o técnico deve visualizar a coluna
controle/tratamento, onde estão informados os controles que foram analisados como
suficientes para a mitigação dos riscos, bem como, aqueles ineficientes e até mesmo,
inexistentes. Na auditoria baseada em riscos, o técnico deve se acercar de que os
tratamentos dados aos riscos elencados à área estão sendo suficientes, e até mesmo,
apurar o surgimento de novas situações anteriormente identificadas.
Em relação aos controles considerados suficientes, se estiver no escopo da auditoria verificá-los, o técnico
deve conduzir as suas ações de modo a garantir que seguem eficazes. Já, no que diz respeito aos controles
que deveriam melhorar, ou até mesmo serem criados, a análise se dará através de busca de evidências de
que no momento da auditoria, eles estão implementados, e de forma mais direta, deve se buscar o
resultado de que estes controles estão sendo eficientes em relação aos riscos aos quais estão ligados.
Abaixo, algumas formas de analisar se os riscos estão sendo de fato tratados e eficazes:
- Buscar relatórios que indiquem a posição atual e comparar coma situação anterior, verificando se houve
melhoria nos resultados.
- Solicitar evidências dos controles que foram sugeridos para serem melhorados ou criados se foram de
fato implementados. Para este caso, não há uma fórmula padrão de buscar esta evidência, pois vai depender
do tipo de controle que deveria ter sido criado ou melhorado. A evidência pode ser uma tela de um sistema,
um e-mail, um formulário, enfim, algo que o técnico entenda suficiente para validar este ponto da auditoria.
Vale lembrar, que neste momento a análise se dá no controle que deveria ter sido trabalhado, podendo, o
mesmo, estar criado, devidamente evidenciado e não ter mitigado o risco a que ele deveria suportar. Este
será um ponto do relatório de auditoria.
c) Analisar o item da Matriz “Resposta aos Riscos”, da seguinte forma:
d) Outro ponto em que o técnico deverá se concentrar na Auditoria Baseada em Riscos são as
ações que foram informadas no “Relatório de Auditoria” nos campos “Providências, prazo e
responsáveis”. Neste ponto da auditoria, devem-se buscar evidências de que foi observado
como uma ação que a área/unidade tomaria para a eficiência e eficácia dos controles está
sendo praticada. Igualmente aos controles, estas evidências dependerão do tipo da ação de
monitoramento que a área/unidade se comprometeu a fazer.
e) Na Auditoria de riscos, o técnico deve refazer os testes realizados quando da
construção da Matriz de Riscos, bem como, se achar necessário e conforme o prazo do
trabalho, fazer novos testes, aplicando aos mesmos riscos já avaliados, bem como, a
outros que tenham sido identificados. As mudanças nos resultados dos testes que
venham a surgir na auditoria devem ser mencionadas no relatório de auditoria e inseridas
na matriz de riscos, citando no relatório.
f) O programa de trabalho do auditor será a Matriz de Riscos. A partir dela deverão ser
inseridas as colunas para que possam ser informadas as evidências e análises feitas nos
controles, no monitoramento e também, os novos testes aplicados.
À medida que o serviço progride, poderão ser localizadas condições e situações que
exijam alterações nos programas iniciais. Tendo sempre em mente o objetivo a ser
alcançado.
• Seleção dos testes: extensão dos testes a efetuar e proceder à seleção de itens ou operações que
serão objeto de exame específico.
• Formalização dos itens selecionados: itens e atividades selecionados devem ser anotados nos
papéis de trabalho, com detalhes suficientes para sua compreensão.
Conforme Attie (2012, p. 240), “[..] O programa de trabalho procura encorajar o processamento
ordenado do serviço e fornecer registro formal do que se pretende executar para chegar ao objetivo
final [...]”.
2.4.3 Amostragem
A amostra tem que ser representativa da população. Para uma amostra ser
representativa, cada item da população deve ter a mesma chance de ser
selecionado.
A seleção deve ser sempre imparcial, não só no sentido do objetivo final a ser
alcançado, como também no sentido de não facilitar demais o trabalho a ser
realizado.
• Concisão: precisam ser concisos de forma que todos entendam sem ser
necessária a presença de quem os preparou.
auditoriasemgrilo
auditoriasemgrilo