Manual de

Auditoria
Baseada
em Riscos
Introdução

Parabéns!

Você acaba de receber em mãos o seu Manual Definitivo de

como estruturar uma Auditoria Baseada em Riscos.

Nesse manual você entenderá a importância de pensar a

Auditoria se baseando nos riscos que existem na sua empresa
para que o principal objetivo seja alcançado: agregar valor à
organização.

Espero que esse manual seja útil e eleve seu trabalho para o
próximo nível!

Meu desejo é de sucesso para você!

Conte comigo,
Marlon de Freitas
Auditoria sem Grilo
Quem Sou Eu!

Eu me chamo Marlon de Freitas, tenho 38 anos e sou natural de Porto Alegre – RS.
Bacharel em Ciências Contábeis e MBA em Gestão Financeira e Controladoria –
FGV/RS.

Trabalho há pouco mais de 12 anos com Auditoria Interna, Externa, Controles
Internos e Gestão de Riscos. Nesse tempo, pude atuar em Indústrias, Clubes de
Futebol, Federações, Escritórios de Auditoria e Consultoria.

Desde 2021, atuo como consultor sênior em uma ”big four”, trabalhando com
Auditoria, Controles Internos e Riscos em empresas nacionais e multinacionais de
segmentos como Petróleo, Automotivo, Manufatura, Óleo e Gás, Minério, Veículos
Fabris, etc.

Desde 2014 também empreendo digitalmente na área de auditoria com sites/blog

de nicho, congressos, conteúdos gratuitos e pagos, para fortalecer o segmento e os
profissionais que atuam nele.

Nossa missão aqui é trazer a Auditoria ao alcance de todos, ajudando você a

aprender de uma forma diferente!

Bom proveito!
Sumário

1. Introdução
2. Metodologia Da Auditoria Baseada Em Riscos
2.1 Plano Anual De Atividades Da Auditoria Interna
2.2 Plano De Trabalho
2.3 Reunião De Abertura Do Trabalho
2.3.1 Reunião De Abertura Com O Gestor Da Área
2.4 Coleta E Análise De Dados
2.4.1 Fluxo Das Atividades Da Auditoria Baseada Em Riscos
2.4.2 Programa De Trabalho
2.4.3 Amostragem
2.5 Elaboração Do Relatório De Auditoria Baseada Em Riscos
2.5.1 Monitoramento Dos Planos De Providências
2.6 Reunião De Encerramento Do Trabalho
2.7 Papéis De Trabalho
2.8 Fluxograma
Anexo 1 – Modelo Do Plano De Trabalho
Anexo 2 – Modelo De Papel De Trabalho

Auditoria Sem Grilo

1 Introdução

Auditoria Sem Grilo

1. INTRODUÇÃO

Nos últimos anos, a necessidade de gerenciar riscos passou a ser

reconhecida como um elemento essencial para a boa prática da
governança corporativa. Com isso, as organizações passaram a sofrer
pressões cada vez maiores para identificar todos os riscos empresariais
que enfrentam e para explicar como os gerenciam. Na verdade,
admitiu-se que as atividades que envolvem a gestão de riscos
representam um papel principal e essencial na manutenção de um
bom sistema de controles internos.

Enquanto a responsabilidade pela gestão de riscos é da direção, um

dos papéis principais da auditoria interna é dar garantia de que tais
riscos tenham sido gerenciados adequadamente. O IIA – Instituto de
Auditores Internos do Reino Unido e Irlanda acredita que a melhor
maneira de uma atividade profissional de auditoria interna alcançar
sua missão como alicerce da governança é posicionando seu trabalho
no contexto do próprio arcabouço (framework) de gestão de riscos da
organização.
A Auditoria Baseada em Riscos possibilita que uma auditoria interna dê garantia ao
conselho diretivo de que os processos de gestão de riscos estão gerenciando os riscos
de maneira eficaz em relação ao apetite por riscos.

A auditoria interna deve poder concluir que:

> A direção identificou, avaliou e respondeu aos riscos acima e abaixo de seu apetite por
riscos;
> As respostas dos riscos são eficazes, mas não excessivas na gestão dos riscos
inerentes, dentro do apetite por riscos;
> Quando os riscos residuais não estão alinhados ao apetite por riscos, são tomadas
ações para reparar isso;
> Os processos de gestão de riscos, incluindo a eficácia das respostas e a conclusão de
ações, estão sendo monitorados pela direção para garantir que continuem a operar de
maneira eficaz; e
> Riscos, respostas e ações estão sendo classificados e relatados adequadamente.

Uma vez que a Auditoria Baseada em Riscos não trata de auditar riscos, mas sim auditar
o manejo dos riscos, seu foco recai sobre as ações tomadas pela equipe da direção para
responder aos riscos. Deve-se agir de forma a reforçar o princípio fundamental de que o
gestor é responsável pela gestão dos riscos.

A seguir você vai conhecer a metodologia de uma Auditoria baseada em riscos.

 Metodologia da Auditoria
2 Baseada em Riscos

Auditoria Sem Grilo

 Na execução da Auditoria Baseada em Riscos deverão ser observadas
algumas etapas, as quais serão executadas ordenadamente, visando
excelência na efetividade da auditoria e obtenção de resultados
satisfatórios.

De tal forma, cabe ao auditor executar seu trabalho seguindo o fluxo

descrito nos itens que serão mostrados a seguir.
 Plano Anual de
2.1 Atividades da Auditoria

Auditoria Sem Grilo

 O Plano Anual de Atividades da Auditoria Interna é desenvolvido pela Gerência de
Auditoria Interna, contemplando o cronograma anual das áreas e processos que serão
auditados.

O Plano Anual de Atividades da Auditoria Interna – PAINT contempla o

planejamento das ações da Auditoria Interna – AUDIN, pauta suas atividades
antecipadamente de forma a garantir a legalidade, a legitimidade dos atos e o alcance
dos resultados quanto à economicidade, à eficiência e à eficácia da gestão, propondo
ações preventivas e corretivas para melhoria da gestão.

O Presente Plano Anual de Atividades de Auditoria Interna é elaborado em

consonância com as legislações, normas internas, procedimentos e diretrizes adotadas
pela (NOME DA SUA EMPRESA).

As atividades planejadas no PAINT são compatibilizadas de acordo com a capacidade de

execução da Auditoria Interna, considerando o quantitativo de recursos humanos
alocados na área de Auditoria Interna, materialidade, riscos e relevância dos processos
a serem analisados.
 Definidas as áreas e processos que serão auditados, cabe o ordenamento e
priorização das áreas em virtude do apetite ao risco que cada uma apresenta
relacionados aos processos envolvidos a cada uma, estabelecendo-se o
cronograma a ser seguido na Auditoria Baseada em Riscos.

Cada área apresenta riscos inerentes ao seu processo, todavia, alguns

possuem maior impacto financeiro e operacional quanto às atividades
desempenhadas.

Além da avaliação do apetite ao risco de cada área da entidade, deve-se levar

em consideração, ainda, a eficiência dos controles internos de cada processo
referente à área auditada, bem como, a vigência dos procedimentos vinculados e
o que não há formalização de procedimentos.
2.2 Plano de Trabalho

Auditoria Sem Grilo

 O plano de trabalho apresentado no ANEXO I, desenvolvido pelos auditores técnicos
envolvidos e validado pelo Gestor da área, tem como proposto apresentar, na reunião de
abertura com as áreas, os objetivos, escopo do trabalho, cronograma da execução das
atividades e demais informações que se julguem necessárias. Ou seja, trata-se do
planejamento das ações que serão desenvolvidas durante todo o processo de Auditoria
Baseada em Riscos.

Devem ser informados, ainda, os prazos de execução do trabalho, de resposta do auditado

e de avaliação das respostas.

Por fim, o técnico deverá expor as observações inerentes ao trabalho, permitindo a área
auditada o conhecimento completo do trabalho a ser realizado.

Uma vez elaborado o Plano de Trabalho, na reunião de abertura é realizada a apresentação

do mesmo para a área que será auditada.

O Plano de Trabalho é elaborado pelo coordenador do trabalho em conjunto com o

técnico que executará a atividade e após encaminhado para aprovação do Gestor da área de
Auditoria Interna. O Plano de Trabalho deverá ser salvo em local específico definido
anterioremente.
 Reunião de Abertura
2.3 do Trabalho

Auditoria Sem Grilo

2.3.1 Reunião de abertura com o gestor da área

De modo a dar início aos trabalhos, realiza-se reunião junto à área definida, a
qual tem por objetivo principal a abertura do trabalho de Auditoria Baseada em
Riscos e apresentação do Plano de Trabalho.

Neste momento do trabalho deve ser exposta ao gestor da área, a importância

do trabalho da auditoria baseada em riscos, visando à conscientização da
necessidade de implantação deste novo modelo de auditoria e buscando o apoio da
gestão, o qual é fundamental e primordial para o sucesso do trabalho.

Salientar da necessidade de participação e colaboração dos demais funcionários

da área. É imprescindível, portanto, estabelecer uma relação de parceria com a
área, mostrando que a Auditoria é uma construção conjunta, onde é indispensável
haver interesse e comprometimento da área para que tudo seja corretamente
analisado.
 Devem ser verificados junto ao gestor da área quais são as pessoas responsáveis
pelos processos definidos, de modo a possibilitar acesso às informações e processos
operacionais, por meio de solicitação de documentos, legislações e procedimentos
pertinentes à operação.

Na reunião de abertura, o técnico deverá averiguar junto ao gestor qual o

processo mais crítico sob sua gestão e qual processo interno demanda maior
controle. Tal definição permitirá o direcionamento dos testes de auditoria a serem
aplicados.

Após a reunião de abertura junto ao gestor da área, será solicitada a matriz de

riscos, para fins de avaliar o tratamento dos riscos.
 Coleta e Análise
2.4 de Dados

Auditoria Sem Grilo

 A Auditoria baseada em riscos tem como ponto de partida a Matriz de Riscos que
a área já validou quando foi realizado o trabalho de avaliação e gestão de riscos da
empresa.

Diferentemente da avaliação de controle interno, quando as visitas são

programadas com as áreas/unidades que serão avaliadas, a auditoria baseada em
riscos não se utiliza desta forma de abordagem, sendo iniciados os trabalhos,
independente de agendamento com o auditado.
2.4.1 Fluxo das Atividades da Auditoria Baseada em Riscos

a) Analisar a Matriz de Riscos da área/unidade auditada antes do início do trabalho. Os

pontos que serão analisados com maior detalhamento na auditoria não necessariamente
serão aqueles que foram apontados como riscos de alta possibilidade de ocorrência e de
grande impacto, e cujos controles foram considerados insatisfatórios, mas sim, aquilo que
a critério da Auditoria seja relevante para o momento, bem como, o prazo que será
estipulado para a execução dos trabalhos.

b) Diante da Matriz de Riscos que foi validada pela área, o técnico deve visualizar a coluna
controle/tratamento, onde estão informados os controles que foram analisados como
suficientes para a mitigação dos riscos, bem como, aqueles ineficientes e até mesmo,
inexistentes. Na auditoria baseada em riscos, o técnico deve se acercar de que os
tratamentos dados aos riscos elencados à área estão sendo suficientes, e até mesmo,
apurar o surgimento de novas situações anteriormente identificadas.
 Em relação aos controles considerados suficientes, se estiver no escopo da auditoria verificá-los, o técnico
deve conduzir as suas ações de modo a garantir que seguem eficazes. Já, no que diz respeito aos controles
que deveriam melhorar, ou até mesmo serem criados, a análise se dará através de busca de evidências de
que no momento da auditoria, eles estão implementados, e de forma mais direta, deve se buscar o
resultado de que estes controles estão sendo eficientes em relação aos riscos aos quais estão ligados.

Abaixo, algumas formas de analisar se os riscos estão sendo de fato tratados e eficazes:

- Buscar relatórios que indiquem a posição atual e comparar coma situação anterior, verificando se houve
melhoria nos resultados.

- Solicitar evidências dos controles que foram sugeridos para serem melhorados ou criados se foram de
fato implementados. Para este caso, não há uma fórmula padrão de buscar esta evidência, pois vai depender
do tipo de controle que deveria ter sido criado ou melhorado. A evidência pode ser uma tela de um sistema,
um e-mail, um formulário, enfim, algo que o técnico entenda suficiente para validar este ponto da auditoria.
Vale lembrar, que neste momento a análise se dá no controle que deveria ter sido trabalhado, podendo, o
mesmo, estar criado, devidamente evidenciado e não ter mitigado o risco a que ele deveria suportar. Este
será um ponto do relatório de auditoria.
 c) Analisar o item da Matriz “Resposta aos Riscos”, da seguinte forma:

Evitar: buscar evidência que o risco foi extinto.

Transferir: evidenciar as formas utilizadas para transferir os riscos que a área/unidade

adotou, analisando a efetividade da resposta.

Mitigar: verificar as providências que a área/unidade adotou para mitigar o risco,

analisando se as probabilidades de ocorrência foram mitigadas.

Aceitar: analisar os riscos aceitos pela área/unidade, verificando os impactos ao

processo.

d) Outro ponto em que o técnico deverá se concentrar na Auditoria Baseada em Riscos são as
ações que foram informadas no “Relatório de Auditoria” nos campos “Providências, prazo e
responsáveis”. Neste ponto da auditoria, devem-se buscar evidências de que foi observado
como uma ação que a área/unidade tomaria para a eficiência e eficácia dos controles está
sendo praticada. Igualmente aos controles, estas evidências dependerão do tipo da ação de
monitoramento que a área/unidade se comprometeu a fazer.
e) Na Auditoria de riscos, o técnico deve refazer os testes realizados quando da
construção da Matriz de Riscos, bem como, se achar necessário e conforme o prazo do
trabalho, fazer novos testes, aplicando aos mesmos riscos já avaliados, bem como, a
outros que tenham sido identificados. As mudanças nos resultados dos testes que
venham a surgir na auditoria devem ser mencionadas no relatório de auditoria e inseridas
na matriz de riscos, citando no relatório.

f) O programa de trabalho do auditor será a Matriz de Riscos. A partir dela deverão ser
inseridas as colunas para que possam ser informadas as evidências e análises feitas nos
controles, no monitoramento e também, os novos testes aplicados.

g) Todas as evidências encontradas, relatórios extraídos, e-mails trocados serão papéis de

trabalho e devem ser devidamente arquivadas na pasta de trabalho, de preferência salvar
as evidências em arquivo eletrônico.
2.4.2 Programa de Trabalho

O programa de trabalho procura encorajar o processamento ordenado do

serviço e fornecer registro formal do que se pretende executar para chegar ao
objetivo final, controlar o tempo e evidenciar o trabalho realizado.

À medida que o serviço progride, poderão ser localizadas condições e situações

que exijam alterações nos programas iniciais. Tendo sempre em mente o objetivo a
ser alcançado.

Os programas de auditoria devem ter uma forma lógica e objetiva a fim de

possibilitar ao técnico eficiente desenvolvimento dos trabalhos de campo.
2.4.2 Programa de Trabalho

O programa de trabalho procura encorajar o processamento ordenado do serviço e

fornecer registro formal do que se pretende executar para chegar ao objetivo final,
controlar o tempo e evidenciar o trabalho realizado.

À medida que o serviço progride, poderão ser localizadas condições e situações que
exijam alterações nos programas iniciais. Tendo sempre em mente o objetivo a ser
alcançado.

Os programas de auditoria devem ter uma forma lógica e objetiva a fim de

possibilitar ao técnico eficiente desenvolvimento dos trabalhos de campo.

Os programas de trabalho representam um detalhamento dos procedimentos de

auditoria a serem executados para atingir os objetivos determinados no plano de
auditoria. A preparação dos programas precisa contemplar, entre outros, os seguintes
aspectos.
• Familiarização: conhecimento das normas gerais, controles e procedimentos, revisão de
trabalhos e relatórios anteriores, análise da evolução das atividades, verificação de divergências
de controles e implantação de sistemas.

• Seleção dos testes: extensão dos testes a efetuar e proceder à seleção de itens ou operações que
serão objeto de exame específico.

• Formalização dos itens selecionados: itens e atividades selecionados devem ser anotados nos
papéis de trabalho, com detalhes suficientes para sua compreensão.

• Estabelecimento de testes e procedimentos específicos: possíveis detalhamentos de itens

específicos devem ser objeto de programas separados e, por vezes, especificar minuciosamente
passo a passo o que se pretende obter.

• Conclusão: efetuar comentários, destacar os pontos levantados, concluir sobre os resultados do

trabalho feito e evidenciar a revisão e atualização do programa.

Conforme Attie (2012, p. 240), “[..] O programa de trabalho procura encorajar o processamento
ordenado do serviço e fornecer registro formal do que se pretende executar para chegar ao objetivo
final [...]”.
2.4.3 Amostragem

A amostra tem que ser representativa da população. Para uma amostra ser
representativa, cada item da população deve ter a mesma chance de ser
selecionado.

A seleção deve ser sempre imparcial, não só no sentido do objetivo final a ser
alcançado, como também no sentido de não facilitar demais o trabalho a ser
realizado.

Recomenda-se a aplicação do bom-senso ao escolher a metodologia de

amostragem, sempre que possível combinando critérios e visando o máximo de
eficiência com um mínimo de tempo aplicado aos testes.
 Elaboração do
2.5 Relatório de ABR

Auditoria Sem Grilo

 Após a avaliação dos tratamentos dos riscos é redigido o relatório de auditoria,
onde estarão descritas as constatações relativas aos que foram considerados
Insatisfatórios ou Necessitam de Melhorias nos testes de auditoria.

*Para se aprofundar na metodologia de elaboração de Relatório de Auditoria, no

final do Manual você poderá conhecer o Minicurso Comunicação e Relatório de
Auditoria.
2.5.1 Monitoramento dos planos de providências

Os resultados dos testes e as recomendações propostas pela equipe de Auditoria Baseada

em Riscos serão apresentados às áreas/unidades auditadas, que deverão informar as
providências, prazo e responsável das ações a serem tomadas para mitigar os riscos, os quais
serão avaliados e validados pela equipe que tratará do Acompanhamento do Plano de
Providências.

Após a conclusão das ações do acompanhamento do Plano de Providências, os riscos

deverão ser auditados e reavaliados pelo processo de avaliação de controle interno, auditoria
contínua/monitoramento e/ou auditoria baseada em riscos.
 Reunião Encerramento
2
.6 do Trabalho

Auditoria Sem Grilo

 Após a conclusão do relatório, o mesmo deverá ser apresentado na reunião de
encerramento com o Gestor da Unidade/Área auditada, podendo o Gestor definir os
colaboradores que participarão da reunião. Após a reunião, se necessário, fazer os
ajustes no relatório.

Na reunião deverá ser explanado ao Gestor o fluxo do relatório, conforme

Procedimento específico de relatórios de serviços prestados pela área de auditoria
interna, salientando da importância do cumprimento do prazo do envio dos planos
de providências, assim como, a implementação das ações de melhorias propostas,
informando que a mesma será avaliada e validada pelo processo de
acompanhamento.
 Papéis de Trabalho
2.7

Auditoria Sem Grilo

Os papéis de trabalho formam o conjunto de formulários e documentos
que contêm as informações e apontamentos obtidos pelo técnico durante
seus exames, bem como as provas e descrições dessas realizações.

A elaboração dos papéis de trabalho relata o exame praticado pelo

técnico, propiciando um registro escrito, de forma permanente, quanto às
informações obtidas e o julgamento profissional, por ele adotado, na
execução e identificação de seus objetivos.
 São aspectos fundamentais na elaboração dos papéis de trabalho:

• Completabilidade: necessitam ser completos por si sós.

• Objetividade: necessitam ser objetivos e demonstrar os caminhos trilhados pelo

técnico para a condução dos seus trabalhos.

• Concisão: precisam ser concisos de forma que todos entendam sem ser
necessária a presença de quem os preparou.

• Lógica: devem ser elaborados segundo o raciocínio lógico, apresentando a

sequência natural dos fatos e o objetivo a ser atingido.

• Limpeza: é necessário esmero na sua preparação, eliminando-se todas e

quaisquer imperfeições e incorreções.
 Por se tratar de documentos da organização, devem ser adequadamente
mantidos em arquivo. Com um correto ordenamento das informações e
facilidade de consulta são requisitos de qualidade no que se refere à
organização.

Os papéis de trabalho devem ser arquivados quando for documento

eletrônico em pasta específica nos meios digitais e quando documento
físico na pasta física em ordem sequencial do programa de trabalho e
relatório de auditoria baseada em riscos.
2.8 Fluxograma

Auditoria Sem Grilo

Quadro 1 – Fluxograma de Auditoria Baseada em Riscos
 Anexos

Auditoria Sem Grilo

Modelo de Plano de Trabalho
Modelo de Papel de Trabalho
MINICURSO DE
COMUNICAÇÃO E
RELATÓRIO DE AUDITORIA

Se você precisa se aprofundar em como

redigir relatórios mais rápidos e que tenham
maior persuasão nas recomendações,
conheça o minicurso. Acesse o link abaixo:

Minicursorelatorio - Auditoria sem Grilo

Onde nos achar:

auditoriasemgrilo

auditoriasemgrilo

Auditoria sem Grilo