paint 2016 título do slide plano anual de atividades da ... · para aumentar a probabilidade de...

Título do slide

Setor ou data ou apresentador

PAINT 2016 Plano Anual de Atividades da Auditoria Interna

Ação 6.1 – Auditoria Baseada em Risco

Coordenação: Rosiane Melo

● Controle; ● Controle Interno; ● Framework COSO;● Gestão de Risco;● Auditoria Baseada em Risco.

ROTEIRO DA APRESENTAÇÃOROTEIRO DA APRESENTAÇÃO

CONTROLE

Marcelo Alexandrino e Vicente Paulo

“É o poder-dever de vigilância, orientação e correção que a própria Administração, ou outro Poder, diretamente ou por meio de órgão especializado exerce sobre sua atuação administrativa”.

Heraldo da Costa Reis

“A função controle é indispensável para acompanhar a execução de programas; apontar falhas e desvios; velar pela boa utilização, manutenção e guarda dos bens patrimoniais, e pela perfeita aplicação dos princípios adotados e constatar a veracidade das operações realizadas”.

FINALIDADE CONTROLE

CONTROLE INTERNO

Instituto de Auditores Internos do Brasil, Audibra

INTOSAI

"É um processo fundamental efetuado por todos em uma entidade, projetado para identificar riscos e fornecer garantia razoável de que, ao se buscar cumprir a missão da entidade, os seguintes objetivos gerais serão atingidos: executar operações de forma organizada, ética, econômica, eficiente e eficaz; estar em conformidade com as leis e os regulamentos aplicáveis; salvaguardar recursos contra perda, abuso e dano; e cumprir as obrigações de accountability".

Devem ser entendidos como qualquer ação tomada pela administração (assim compreendida tanto a Alta Administração como os níveis gerenciais apropriados) para aumentar a probabilidade de que os objetivos e metas estabelecidos sejam atingidos.

Controle Interno segundo o COSO

É um processo integrado efetuado pela direção e corpo de funcionários, e é estruturado para enfrentar os riscos e fornecer razoável segurança de que na consecução da missão da entidade os seguintes objetivos gerais serão alcançados:

- Executar as operações de maneira ordenada, ética, econômica, eficiente e eficaz;- Cumprimento das obrigações de accountability;- Cumprimento das leis e regulamentos; e- Salvaguarda de recursos contra prejuízo por desperdício, abuso, má administração, erros, fraudes e irregularidades.

Controle Interno segundo o COSO 2013

- Conduzido para atingir objetivos em uma ou mais categorias – operacional, divulgação e conformidade;

- Um processo que consiste em tarefas e atividades contínuas – um meio para um fim, não um fim em si mesmo;

- Realizado por pessoas – não se trata simplesmente de um manual de políticas e procedimentos, sistemas e formulários, mas diz respeito a pessoas e às ações que elas tomam em cada nível da organização para realizar o controle interno;

- Capaz de proporcionar segurança razoável - mas não absoluta, para a estrutura de governança e alta administração de uma entidade;

- Adaptável à estrutura da entidade – flexível na aplicação para toda a entidade ou para uma subsidiária, divisão, unidade operacional ou processo de negócio em particular.

O FRAMEWORK “COSO”

- O COSO - (Comitê das Organizações Patrocinadoras) é uma entidade sem fins lucrativos, criada em 1985, dedicada à melhoria dos relatórios financeiros por meio da ética, efetividade dos controles internos e governança corporativa.

- O COSO criou um modelo de estrutura de controles internos que auxilia na padronização e atendimento dos objetivos.

O FRAMEWORK “COSO”

O FRAMEWORK “COSO 2013”

OBJETIVOS OBJETIVOS

• Operações – Esses objetivos relacionam-se à eficácia e à eficiência das operações da entidade, inclusive as metas de desempenho financeiro e operacional e a salvaguarda de perdas de ativos.

• Relatório Financeiro / Divulgação – Esses objetivos relacionam-se a divulgações financeiras e não financeiras, internas e externas, podendo abranger os requisitos de confiabilidade, oportunidade, transparência ou outros termos estabelecidos pelas autoridades normativas, órgãos normatizadores reconhecidos, ou às políticas da entidade.

• Cumprimento das Regras / Conformidade – Esses objetivos relacionam-se ao cumprimento de leis e regulamentações às quais a entidade está sujeita.

COMPONENTES DO CONTROLE INTERNO COMPONENTES DO CONTROLE INTERNO

A

MB

IEN

TE

DE

CO

NT

RO

LE

AM

BIE

NT

E D

E C

ON

TR

OL

E - É a base de todo o SIC. Fornece o conjunto de regras e a estrutura, além de criar um clima que influi na qualidade do controle interno em seu conjunto.

- Exerce uma influência geral na forma pela qual se estabelecem as estratégias e os objetivos, e na maneira pela qual os procedimentos de controle são estruturados.

Elementos do ambiente de controle são:

- A integridade pessoal e profissional e os valores éticos da direção e do quadro de pessoal;- A Competência; (conhecimentos e habilidades); - O “perfil dos superiores” (filosofia e perfil da direção); - Estrutura organizacional (áreas-chave autoridade /responsabilidade); - As políticas e práticas de recursos humanos.


A

VA

LIA

ÇÃ

O D

E R

ISC

OS

AV

AL

IAÇ

ÃO

DE

RIS

CO

S

- É o processo de identificação e análise dos riscos relevantes para o alcance dos objetivos da entidade e para determinar uma resposta apropriada.

- Identificação do risco; - Mensuração do risco;

- Avaliação da tolerância da organização ao risco; e

- Desenvolvimento de resposta.

- Controles Detectivos – são os que visam detectar fatos indesejados já ocorridos. - Controles Preventivos – são os desenhados para agir sobre a probabilidade de ocorrência de um determinado evento, reduzindo ou impedido os resultados indesejados.


AT

IVID

AD

ES

DE

CO

NT

RO

LE

AT

IVID

AD

ES

DE

CO

NT

RO

LE

- Políticas de ações estabelecidas para diminuir os riscos e alcançar os objetivos da entidade;- Para serem efetivos, os procedimentos de controle devem: ser apropriados; funcionar consistentemente de acordo com um plano de longo prazo; ter custo adequado; ser abrangentes, razoáveis e diretamente relacionados aos objetivos de controle;- As atividades de controle devem existir em toda a organização, em todos os níveis e em todas as funções. Elas incluem uma gama de procedimentos de controle de detecção e prevenção como, por exemplo:

Procedimentos de autorização e execução; Segregação de funções;


AT

IVID

AD

ES

DE

CO

NT

RO

LE

AT

IVID

AD

ES

DE

CO

NT

RO

LE

Controles de acesso a recursos e registros;

Verificações e conciliações; Avaliação de desempenho operacional;

Avaliação das operações;

Processos e atividades, e;

Supervisão.


IN

FO

RM

AÇ

ÃO

& C

OM

UN

ICA

ÇÃ

O

INF

OR

MA

ÇÃ

O &

CO

MU

NIC

AÇ

ÃO

- A informação e a comunicação são essenciais para a concretização de todos os objetivos do controle interno.

- Uma condição prévia para a informação confiável e relevante sobre as transações e eventos é o registro imediato e sua classificação adequada.

- Informação relevante deve ser identificada, armazenada e comunicada de uma forma e em determinado prazo, que permita que os funcionários realizem o controle interno e suas outras responsabilidades (comunicação tempestiva às pessoas adequadas).

- A comunicação eficaz deve fluir para baixo, para cima e através da organização, por todos seus componentes e pela estrutura inteira.


IN

FO

RM

AÇ

ÃO

& C

OM

UN

ICA

ÇÃ

O

INF

OR

MA

ÇÃ

O &

CO

MU

NIC

AÇ

ÃO

- Os SCI devem ser monitorados para avaliar a qualidade de sua atuação ao longo do tempo.

- O monitoramento é obtido através de atividades rotineiras, avaliações específicas ou a combinação de ambas. Pode ser realizado da seguinte forma: monitoramento contínuo e avaliações específicas.

- O monitoramento do controle interno deve incluir políticas e procedimentos que busquem assegurar que os achados de auditoria e outras avaliações sejam adequados e prontamente resolvidos.

RELAÇÃO ENTRE OBJETIVOS E COMPONENTES

. Existe uma relação direta entre os objetivos, que são o que a entidade busca alcançar, os componentes, que representam o que é necessário para atingir os objetivos, e a estrutura organizacional da entidade (as unidades operacionais e entidades legais, entre outras).

- As três categorias de objetivos – operacional, divulgação e conformidade – são representadas pelas colunas.

- Os cinco componentes são representados pelas linhas.

- A estrutura organizacional da entidade é representada pela terceira dimensão.

GESTÃO DE RISCOS

- Instrução Normativa CGU nº 24/2015 (PAINT e RAINT) - Art. 10;

- ACÓRDÃO Nº 2524/2015 - TCU – Plenário – EMBRAPA“ (…) 9.1.1 aprove e implemente uma política de gestão de risco integrada para todas as áreas de atuação da empresa, abordando os conteúdos preconizados na ISO 31000, feitas as adaptações julgadas necessárias ao contexto específico da Embrapa;

9.1.2 adote estratégias para assegurar a compreensão uniforme, na empresa, da terminologia e dos conceitos utilizados em gestão de riscos, para implementar a capacitação e o treinamento dos empregados quanto ao tema e para atribuir responsabilidades para gerenciar riscos;

GESTÃO DE RISCOS

- ACÓRDÃO Nº 2524/2015 - TCU – Plenário – EMBRAPA

“ 9.1.3 proceda à estruturação, sistematização e implementação de processo de gestão de riscos por meio da utilização de métodos, técnicas e ferramentas de apoio para identificação, avaliação e implementação de respostas a riscos;

9.1.5 elabore plano de tratamento de riscos contendo ações selecionadas após uma avaliação do custo-benefício das alternativas de resposta a riscos;

ABNT NBR ISO 31000/2009 (gestão de riscos)

- Princípios, estrutura e processos; - Atividades coordenadas;

- Risco: Efeito da incerteza nos objetivos

- Risco pode ser positivo ou negativo

- Riscos são mitigados, não eliminados

ABNT NBR ISO 31000/2009 - DEFINIÇÕES

- Apetite ou propensão ao risco – Grau de exposição aos riscos considerado aceitável pela instituição para atingir seus objetivos;

- Nível de risco - amplitude de um risco em termos de consequência e probabilidade; - O risco pode ser modificado em termos de sua probabilidade ou de seu impacto (consequência)

- Risco inerente - risco do negócio, do processo ou da atividade, independente dos controles adotados;

- Risco residual - aquele que permanece após a mitigação por controles;

ABNT NBR ISO 31000/2009 - DEFINIÇÕES

- Identificação de riscos - processo de busca, reconhecimento e descrição de riscos;

- Avaliação de riscos - processo de comparar os resultados da análise de riscos com os critérios.

- Critérios de risco - referência contra a qual risco é avaliado;

- Tratamento de riscos - processo de modificar o risco.

ABNT NBR ISO 31000/2009 - GESTÃO DE RISCOS

- Processos da gestão de riscos

Identificação Identificação Análise Análise Avaliação Avaliação Tratamento

Tratamento

- Comunicação e consulta

- Monitoramento e análise crítica - Todos os processos


- POSSÍVEIS TRATAMENTOS

Evitá-los Evitá-los

Mitigá-los, pela definição dos planos de ação e controles internos Mitigá-los, pela definição dos planos de ação e controles internos

Compartilhá-los Compartilhá-los

Aceitá-los Aceitá-los

- A decisão depende principalmente do grau de apetite ao risco da instituição, previamente homologado pelo seu conselho de administração. (Politica de Gestão de Riscos das Empresas Eletrobras)


- CASO EMBRAPA -

- 2013: TCU – realiza levantamento para avaliar a maturidade da gestão de riscos em 65 entidades da Administração Pública Federal indireta.- Níveis: Inicial, Básico, Intermediário, Aprimorado, Avançado- Embrapa foi enquadrada no nível “Aprimorado” (autoavaliação)

- 2014: TCU seleciona Embrapa para uma auditoria piloto, solicitando que ela forneça evidências que possam validar as respostas dadas ao questionário de avaliação de maturidade de gestão de riscos.- A Embrapa foi reenquadrada no nível “Básico”


- CASO EMBRAPA -

- A Embrapa produziu as evidências solicitadas:- Planejamento estratégico; Gestão da carteira de projetos; Política de Segurança de Informação; e Sistema Embrapa de Qualidade.

- Razões para a discrepância:

- Nível de conhecimento existente na entidade sobre gestão de riscos;- Pressão para passar imagem de uma organização que investe em gestão de riscos- Adequação da escala de concordância utilizada para captar as respostas

Mas não há gestão de riscos


- CASO EMBRAPA -

Julho 2014: Embrapa criou a Coordenadoria de Gestão de Riscos e Suporte à Decisão (CGR), que tem entre suas atribuições:

- “coordenar e articular o processo de elaboração de uma política integrada e corporativa de gestão de riscos, do nível estratégico ao operacional, bem como proceder ao acompanhamento e orientação quanto à sua implantação”

- “promover a realização de estudos, inventários e a qualificação de ativos sobre projetos, processos e parcerias da Embrapa e orientar as unidades quanto aos procedimentos de gestão de riscos”

- “promover e estimular a disseminação da cultura de gestão de riscos na Empresa”


- CASO EMBRAPA -

Equipe inicial:

Desafio inicial:- Nivelar entendimento do conceito de “riscos institucionais”

Primeiros seis meses:

- Capacitação básica- Dedicação a projeto de riscos agropecuários!- Inclusão de Plano de Ação no Projeto Especial “Modernização e Alinhamento dos Instrumentos de Governança e de Gestão Corporativa ”


RESPONSABILIDADES


EMBRAPA - METODOLOGIA


MAPA CORPORATIVO DE PROCESSOS DA EMBRAPA

MACROPROCESSOS DE INTELIGÊNCIA E ESTRATÉGIA

- INTELIGÊNCIA ESTRATÉGIGICA;

- ESTRATÉGIA E DESENVOLVIMENTO INSTITUCIONAL;

- GESTÃO DA INFORMAÇÃO E DO CONHECIMENTO;

- GESTÃO DE RISCOS E SEGURANÇA DA INFORMAÇÃO.

- Execução de projetos pilotos para validar a metodologia e estratégia para a gestão de riscos corporativos na Embrapa, de forma coordenada, e em conformidade com as diretrizes da ISO 31.000.

AUDITORIA BASEADA EM RISCOS (ABR)

- Diferença entre gestão de riscos e Auditoria Baseada em Riscos.

“Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco.” (item 2.2 da ABNT NBR ISO 31000/2009)

- Responsabilidade da Alta Administração.

ABR é uma metodologia que associa: ABR é uma metodologia que associa:

Auditoria Interna Estrutura global da gestão de riscos

da organização

Fonte: definição do The Institute of Internal Auditores – IIA.


- Garantia à alta administração de que os riscos estão sendo gerenciados de maneira eficaz;

- Tem por base o apetite por riscos (nível aceitável);

- Visa reforçar as responsabilidades da direção em relação à gestão de riscos;

A implementação da ABR ocorre em três estágios:

1) Avaliação da maturidade de riscos1) Avaliação da maturidade de riscos

2) Planejamento de auditorias periódicas 2) Planejamento de auditorias periódicas

3) Auditoria individual de garantia 3) Auditoria individual de garantia


Em que medida a direção e a administração gerenciam riscos?

- Indica a confiabilidade do controle de riscos - Define estratégia da ABR - Orienta o planejamento da auditoria

1) Avaliação da maturidade de riscos1) Avaliação da maturidade de riscos

ABR – 2º ESTÁGIO

ABR – 3º ESTÁGIO

- COSO. Controle Interno - Estrutura Integrada. Sumário Executivo. Maio 2013.

- CGU. IN 24/2015.

- Gestão de Riscos: diretrizes para a implementação da ISO 31000:2009, dez. 2009.

- Tribunal de Contas dos Municípios. TCM: Curso de Controle Interno. Junho 2015.

- UFABC. Aplicação da Auditoria Baseada em Riscos (ABR) para definição das ações do PAINT. Junho 2015.

REFERÊNCIAS

AUDITORIA INTERNA DA UFCA

ContatosE-mail: [email protected]

Telefone: 88 3572-7208

OBRIGADO!

paint 2016 título do slide plano anual de atividades da ... · para aumentar a probabilidade de...

Documents