[1] FEBRABAN - Metodologia de Auditoria Com Foco Em Risco - COSO (Set03)

Metodologia de Auditoria com Foco em Riscos.28 de Novembro de 2003

2003 Deloitte Touche Tohmatsu

2003 Deloitte Touche TohmatsuMetodologia de Auditoria com Foco em Riscos (Febraban)2

Dados do Projeto

Colaboradores:

Bancos ABN Amro Real Banco Ficsa Banco Ita Banco Nossa Caixa Bradesco Caixa Econmica Federal HSBC

Febraban

Deloitte

Perodo de Execuo:Agosto de 2002 a Fevereiro de 2003


Contedo do Livro

1. Introduo2. Definies Iniciais

2.1 O que Risco?2.2 O que Controle?2.3 Viso Geral do COSO e de seus Componentes de Controle

3. O que Gesto de Risco?3.1 Introduo3.2 Etapas do Processo de Gesto de Riscos3.3 Linguagem Comum de Riscos e Processos

3.3.1 Linguagem Comum de Riscos3.3.2 Linguagem Comum de Processos

3.4 A Gesto de Riscos como Vantagem Competitiva4. O Papel Esperado da Auditoria Interna na Gesto de Riscos

4.1 Introduo4.2 A Demanda pela Atuao com Foco no Risco4.3 Atribuies e Responsabilidades da Auditoria Interna vs. Demais reas4.4 Auditoria Interna e a Gesto de Riscos4.5 Auditoria Interna como Agente de Mudana


Contedo do Livro

5. Metodologia de Auditoria com Foco em Riscos5.1 Introduo5.2 Entendimento do Processo5.3 Avaliao dos Riscos Inerentes ao Processo5.4 Anlise da Estrutura de Controles5.5 Validao (Teste) dos Controles Existentes5.6 Identificao de Oportunidades de Melhoria para os Aspectos Observados5.7 Comunicao dos Resultados5.8 Follow-up

6. Principais Ferramentas Utilizadas na Auditoria Interna6.1 Extrao e Anlise de Dados6.2 Programas de Trabalho6.3 Control and Risk Self-Assessment6.4 Indicadores de Vulnerabilidades

7. Caso Prtico de Implantao de Metodologia de Auditoria com Foco em Riscos

8. Como as Auditorias Internas tem Atuado na Gesto de Riscos?9. Referncias Sites de Pesquisa


Top 10 Banking Issues

Gerenciamento integrado de riscos (enterprise wide)

Identificao dos riscos com alto grau de impacto e probabilidade de ocorrncia

Implementao de um efetivo Programa de Preveno Lavagem de Dinheiro (AMLP)

Otimizao de capital

Reestabelecimento da credibilidade pblica (Governana)

Tratamento de novas e complexas regulamentaes (Sarbanes-Oxleye Basilia II)

Implementao de Modelos de Compliance

Planejamento para cenrios extremos (continuidade dos negcios)

Altos investimentos realizados em Tecnologia da Informao

Integrao de plataformas tecnolgicas em virtude de fuses e aquisies


Evoluo Histrica da Gesto de Riscos

Risco de Estratgia

IntegradoInstrumentos

Risco de Crdito

Risco Operacional

ProcessosFunes /reas

Risco de Mercado

Bsico / GR ReativoBsico / GR Reativo Estratgico / GR PrEstratgico / GR Pr--AtivoAtivo


Padres de Controle Interno e Gesto de Riscos

1946

I

S

O

1991

F

D

I

C

I

A

C

O

S

O

C

a

d

b

u

r

y

1994

K

o

n

T

r

a

G

1995

C

o

C

o

A

N

Z

1996

C

O

B

I

T

1997

G

-

3

0

1998

B

a

s

i

l

e

i

a

1999

T

u

r

n

b

u

l

l

2001

B

a

s

i

l

e

i

a

2

(

*

)

2002

S

a

r

b

a

n

e

s

-

O

x

l

e

y

(*) Documento definitivo a ser emitido no final de 2003


Definio de Risco

Risco a incerteza inerente a um conjunto de possveis conseqncias (ganhos e perdas), as quais ocorrem como

resultado de escolhas e decises exigidas por toda organizao.

Risco est relacionado escolha, no ao acaso.


Definio de Controles

Coso ERM


Definio de Gesto de Riscos

Gesto de Riscos representa um enfoque estruturado e disciplinado que alinha estratgia, processos, pessoal, tecnologiae conhecimentos, objetivando avaliar e gerenciar as incertezas naturais enfrentadas pelas organizaes como forma de criao

de valor.

Technology Knowledge

ProcessPeople

Strategy


Etapas do Processo de Gesto de Riscos

Riscos

Divulgao e MonitoramentoDivulgao e

Monitoramento

PriorizaoPriorizao

AvaliaoAvaliao

Elaborao do Plano de AoElaborao do Plano de Ao

IdentificaoIdentificao

Definio da Estratgia


Riscos


Monitoramento

PriorizaoPriorizao

AvaliaoAvaliao

Elaborao do Plano de AoElaborao do Plano de Ao




Riscos


Monitoramento

PriorizaoPriorizao

AvaliaoAvaliao

Elaborao do Plano de AoElaborao do

Plano de Ao



Definio da

Estratgia

Inventrio de ameaas

Impacto e probabilidade

Criticidade dos riscos

Polticas Limites e

Indicadores de risco

Definir as aespara gerenciar os

riscos

ReterReduzirTransferirExplorarEvitar


Modelo de Classificao de Processos

CUSTDIACRDITO CAPTAO/COMERCIALIZAO

ESTRUTURAODE OPERAES

OPERAES COMT.V.M. E CMBIO

ATEN

DIM

ENTO

A C

LIENTES

DEFINIO DE ESTRATGIAS

CONTROLADORIA SERVIOS ADMINISTRATIVOS

GESTO FISCAL E JURDICA RELACIONAMENTO EXTERNO

ADM. DE RECURSOSDE TERCEIROS

G

E

S

T

O

D

E

R

I

S

C

O

S

MARKETING EAO COMERCIAL

GESTO DEPRODUTOS

TECNOLOGIA DA INFORMAO RECURSOS HUMANOS


Linguagem Comum de Riscos

Riscos ExternosRiscos Externos

Competio

Disponibilidade de

Capital

Regulamentao

Interrupo do

Negcio

Riscos InternosRiscos Internos

Planejamento PrecificaoIndicadores e Metas

Recursos Humanos Custo de Oportunidade

EstratgicoEstratgico

Interrupo Negcios / Interrupo Negcios / Falhas de SistemasFalhas de Sistemas

Disponibilidade

Relaes TrabalhistasRelaes Trabalhistas

Processos Trabalhistas

Fraude ExternaFraude Externa

Fraude Externa

Segurana das Informaes

Fraude InternaFraude Interna

Fraude Interna

Atividade no Autorizada

OPERACIONALOPERACIONAL

Prticas ComerciaisPrticas Comerciais

Confidencialidade

Comercializao

Falhas de Produtos

Obrigaes com Clientes

Aconselhamento

Execuo e Gesto de Execuo e Gesto de ProcessosProcessos

Integridade

Reporte

Formalizao

Custdia

Correspondentes

Fornecedores e Terceiros

MercadoMercado

Taxa de Juros

Cmbio

Aes

Liquidez

Commodities

Derivativos

CrditoCrdito

Inadimplncia

Liquidao

Garantia

Concentrao

Gesto Integrada de RIscos


Estratgias de Gesto de Riscos

RejeitarRejeitarAceitarAceitar

Transferir ExplorarReduzirReter Evitar

SimSim NoNoRejeitarRejeitarAceitarAceitar

Transferir ExplorarReduzirReter Evitar

Risco inerente ao modelo de negcios ou s operaes normais

Fora da estratgia, uma vez que o custo do controle superior ao risco

Manter o risco, precificar ou

planejar conforme grau de tolerncia

Controlar ou diversificar o

risco

Necessita que algum esteja

disposto e tenha capacidade

financeira para correr o risco

Pode aumentar o grau de

exposio na medida em

que possibilita vantagens

competitivas

Qualquer ao que elimine totalmente a fonte de um

risco especfico


O Papel Esperado do Auditor Interno na Gesto de RiscosMudanas no Enfoque da Auditoria Programa de

TrabalhoPrograma de

Trabalho

Plano de AuditoriaPlano de Auditoria

Controles

Testes

Riscos

SinalizadoresSinalizadoresPrograma de

TrabalhoPrograma de

Trabalho

Enfoque Tradicional

Matriz de Riscos

Execuo da Auditoria

Priorizao dos riscos a serem

auditados

Priorizao dos riscos a serem

auditados

Abrangncia e customizao dos

testes

Abrangncia e customizao dos

testes

Execuo dos testesExecuo dos testes

Elaborao dos Pontos de Auditoria

Elaborao dos Pontos de Auditoria

Comentrios da reaComentrios da rea

Emisso do RelatrioEmisso do Relatrio

A

c

o

m

p

a

n

h

a

m

e

n

t

o

d

o

s

S

i

n

a

l

i

z

a

d

o

r

e

s

A

c

o

m

p

a

n

h

a

m

e

n

t

o

d

o

s

S

i

n

a

l

i

z

a

d

o

r

e

s

Foco em Riscos

Universo de Auditoria

OcorrnciasOcorrncias

Relatrio AuditoriaRelatrio Auditoria

ProdutosProdutos ProcessosProcessos reasreas

RiscosRiscos

Escopo

Horas

Equipe

Datas

Auto-avaliao

Auto-avaliao

Auditorias AnterioresAuditorias Anteriores


O Papel Esperado do Auditor Interno na Gesto de RiscosQuadro Comparativo

Enfoque Tradicional Foco em Riscos

Maior parte do tempo gasto em levantamento e anlise de informao

Maior parte do tempo gasto em testes, validao e consolidao

Antecipar e prevenir riscos de negcios na origem

Inspecionar, detectar e reagir aos riscos de negcios

Testes focalizados, somente dos controles que minimizam os riscos relevantes

Testes de todos os controles

Testes com base nos riscos de negcio identificados no levantamento de informaes

Testes com base em programa de trabalho endereando objetivos de controle padro

Foco nos riscosFoco nos controles


O Papel Esperado do Auditor Interno na Gesto de RiscosQuadro Comparativo

SOX / GR

AUDITORIA INTERNA

Entendimento e mapeamentodo Processo de Negcios

Identificaodos Riscos e Controles

Monitora aderncia aosprocedimentos

Planejamento e Execuo de Testes

Relatrio de Recomendaes

Planos de Ao

Acompanhamento e Suporte

Implementao

Follow-updas

Recomendaes

Operacional Financeiro Compliance Gesto

Natureza dos Problemas Responsvel Aes corretivas

Entendimento/mapeamentodo Processo de Negcios

Identificaodos Riscos e Controles

Utilizao, reviso e/ou atualizao

Elaborao


Metodologia de Auditoria com Foco em Riscos

Levantar processo detalhado. Consultar

informaes existentes (relatrios emitidos,

polticas e procedimentos).

Entendimento do Processo

Avaliao dos riscos inerentes ao processo

Anlise da estrutura de Controles

Sinpse do Ambientede Negcios

Nota fiscalde entrada

Transaopr-

aprovada?

Autorizao para pagamento

Registro da NFE no Contas a

Pagar

Conferncias da NFE coma

documentao de recebimento

No

Sim

FluxogramasValidao dos controles (testes)

existentes

Identificao de oportunidades de melhoria para processos

observados

Comunicao dos resultados

Follow-up




Linguagem Comum de Riscos

Analisar informaes obtidas na etapa

anterior

Avaliao dos riscos inerentes ao processo


Validao dos controles (testes) existentes


observados Matriz de Riscos (Inerentes)


Follow-up




COBIT COSO Avaliao dos riscos inerentes

ao processo

Analisar indicadores de desempenho e

identificar deficincias nos controles

implementados. Comparar estrutura atual com melhores prticas de mercado.




observadosMatriz de Controles Internos


Follow-up




I

M

P

A

C

T

O

A

M

B

PROBABILIDADEB M A

AceitvelRequer ateno

Inceitvel

Acesso

Infra-estrutura

DisponibilidadeConformidade

Indicadores de Performance

Autorizao

Terceirizao

Recursos Humanos

Fraude Integridade

Crdito

Regulamentao

Riscos ResiduaisAvaliao dos riscos inerentes

ao processo

Relatrio DetalhadoAnlise da estrutura de

Controles


RecomendaesSumrio GerencialConsolidar

informaes e priorizar principais

constataes.

R1. R2. R3.


observados


Follow-up


Principais Ferramentas

Extrao e Anlise de Dados Programas de Trabalho Control and Risk Self-Assessment Indicadores de Vulnerabilidades Banco de Dados dos Trabalhos


Caso Prtico

Benefcios: Aumento da eficincia na execuo dos trabalhos de auditoria Alinhamento de conceitos de gesto de riscos Focalizao em problemas relevantes Padronizao da documentao gerada durante os trabalhos de auditoria Reduo do tempo de reviso dos trabalhos por parte das lideranas e

gerncias Reduo do tempo de emisso dos relatrios finais Otimizao da qualidade do reporte alta administrao


Resultados da Pesquisa

Pesquisa realizada junto a 21 Instituies, cujos ativos somadosrepresentam R$ 742,4 bilhes (68% dos ativos do mercado).

Foco da Pesquisa: Auditoria com Foco em Riscos Aspectos Gerais da Auditoria Interna

Principais Resultados: Metodologias, ferramentas e conscientizao sobre auditoria com foco em

riscos ainda necessitam ser aprimorados.

As Instituies possuem um plano formal de Auditoria Interna, elaborado para o perodo de 1 ano.

42,8% no efetuaram a definio de processos, sub-processos e atividades.

38,1% no definiram uma linguagem comum de riscos.

66,7% no estabeleceram um dicionrio de riscos.


Resultados da Pesquisa

reas com maior nvel de exposio a riscos e respectiva alocao de tempo da Auditoria Interna:

1o Crdito (18%)2o Tesouraria (10%)3o Tecnologia da Informao (12%)4o Asset Management (4%)5o Internacional (3%)6o Suporte Operacional (Back-office) (15%)7o Contbil e Gerencial (8%)8o Mercado de Capitais (3%)9o Canais de Comercializao (10%)10o Outras (17%)

Quase a totalidade das Instituies possui uma rea responsvel por gesto de riscos. Em 3 casos, a gesto realizada por reas distintas, conforme a natureza do risco (crdito, mercado e operacional).

70% das Instituies afirmaram que o nvel de intergrao entre as reas de Auditoria Interna e a Gesto de Riscos elevado.

Utilizao de metodologia formal para identificao e definio dos riscos de negcios (alta 45% e mdio 55%).


www.deloitte.com.br

Juarez Lopes de [email protected]

Deloitte Touche Tohmatsu. All Rights Reserved.A member firm ofDeloitte Touche Tohmatsu

Metodologia de Auditoria com Foco em Riscos.Dados do ProjetoContedo do LivroContedo do LivroTop 10 Banking IssuesEvoluo Histrica da Gesto de RiscosPadres de Controle Interno e Gesto de RiscosDefinio de RiscoDefinio de ControlesDefinio de Gesto de RiscosEtapas do Processo de Gesto de RiscosModelo de Classificao de ProcessosLinguagem Comum de RiscosEstratgias de Gesto de RiscosO Papel Esperado do Auditor Interno na Gesto de RiscosMudanas no Enfoque da AuditoriaO Papel Esperado do Auditor Interno na Gesto de RiscosQuadro ComparativoO Papel Esperado do Auditor Interno na Gesto de RiscosQuadro ComparativoMetodologia de Auditoria com Foco em RiscosMetodologia de Auditoria com Foco em RiscosMetodologia de Auditoria com Foco em RiscosMetodologia de Auditoria com Foco em RiscosPrincipais FerramentasCaso PrticoResultados da PesquisaResultados da Pesquisa

Documents

[1] FEBRABAN - Metodologia de Auditoria Com Foco Em Risco - COSO (Set03)