Auditoria com base no COSO 2013 e orientada pelo Risco Modelo prático ... · transações e processos corporativos (Atividades de controle). Exemplos de operação conjunta de componentes:

Auditoria com base no COSO 2013 e orientada pelo Risco Modelo prático da ANAC

Cosme Leandro do Patrocínio ANAC

ESTRUTURA DESTA APRESENTAÇÃO

Título: Auditoria orientada pelo COSO e com orientada pelo Risco

Órgão:

CONTEXTO PARA A CONSTRUÇÃO DO MODELO

UM MODELO PRÁTICO – EM TESTE

Sumário da Apresentação

Agência Nacional de Aviação Civil - ANAC

CONTEXTO

VAMOS FALAR UM POUCO DO COSO 2013!

COSO 2013

• O sistema de controle interno consiste em cinco componentes integrados, com dezessete princípios associados.

• Os cinco componentes são:

– AMBIENTE DE CONTROLE

– AVALIAÇÃO DE RISCOS

– ATIVDADES DE CONTROLE

– INFORMAÇÃO E COMUNICAÇÃO

– ATIVIDADES DE MONITORAMENTO

E OS 17 PRINCÍPIOS COSO 2013?

• 2 - A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno.

• 6 - A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.

• 7 - A organização identifica os riscos à realização de seus objetivos por toda a entidade e analisa os riscos como uma base para determinar a forma como devem ser gerenciados.

• 9 - A organização identifica e avalia as mudanças que poderiam afetar, de forma significativa, o sistema de controle interno.

• 1 - A organização demonstra ter comprometimento com a integridade e os valores éticos.

• 3 - A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação e as autoridades e responsabilidades adequadas na busca dos objetivos.

• 4 - A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos.

• 5 - A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos.

• 8 - A organização considera o potencial para fraude na avaliação dos riscos à realização dos objetivos.

• 17 - A organização avalia e comunica deficiências no controle interno em tempo hábil aos responsáveis por tomar ações corretivas, inclusive a estrutura de governança e alta administração, conforme aplicável.

• 6 - A organização especifica os objetivos com clareza suficiente, a fim de permitir a identificação e a avaliação dos riscos associados aos objetivos.

• 10 - A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos.

• 12 - A organização estabelece atividades de controle por meio de políticas que estabelecem o que é esperado e os procedimentos que colocam em prática essas políticas.

• 13 - A organização obtém ou gera e utiliza informações significativas e de qualidade para apoiar o funcionamento do controle interno.

• 14 - A organização transmite internamente as informações necessárias para apoiar o funcionamento do controle interno, inclusive os objetivos e responsabilidades pelo controle.

• 15 - A organização comunica-se com os públicos externos sobre assuntos que afetam o funcionamento do controle interno.

• 16 - A organização seleciona, desenvolve e realiza avaliações contínuas e/ou independentes para se certificar da presença e do funcionamento dos componentes do controle interno.

• 11 - A organização seleciona e desenvolve atividades gerais de controle sobre a tecnologia para apoiar a realização dos objetivos.

Definição de Auditoria Interna – IIA Brasil

“A auditoria interna é uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança”.

Definição de Auditoria Interna – IIA Brasil

Independência = Isenção para a avaliação (Auditoria)

Objetividade = Imparcialidade no julgamento (Auditor)

Missão da Auditoria Interna – IIA Brasil

“Aumentar e proteger o valor organizacional, fornecendo avaliação (assurance), assessoria (advisory) e percepção (insight) baseadas em risco.”

Princípios Fundamentais para a Prática Profissional de Auditoria Interna – IIA Brasil

Os Princípios Fundamentais, vistos como um todo, articulam a eficácia da auditoria interna. Todos os princípios devem estar presentes e atuantes com eficácia. Caso não estejam, significa que a atividade de auditoria interna não é tão eficaz quanto poderia ser no alcance de sua missão.

Demonstrar integridade (retidão e imparcialidade).

Princípios Fundamentais para a Prática Profissional de Auditoria Interna – IIA Brasil Princípios Fundamentais:

Demonstrar competência e zelo profissional devido.


Ser objetivo e livre de influências indevidas (independente).


Estar alinhado com as estratégias, objetivos e riscos da organização.


Estar apropriadamente posicionado e adequadamente equipado.


Demonstrar qualidade e melhoria contínua.


Comunicar-se com eficácia.


Prestar avaliações com base em riscos.


Ser perspicaz, proativo e focado no futuro.


Promover a melhoria organizacional.


Definição de Controle Interno – COSO 2013

“Controle Interno é um processo conduzido pela estrutura de governança, pela administração e por outros profissionais da entidade, e desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade!”

OUTROS PROFISSIONAIS DA ENTIDADE

ADMINISTRAÇÃO

ESTRUTURA DE GOVERNANÇA

CONTROLE INTERNO

Controle Interno – COSO 2013

Processo Entrada Segurança Razoável

Requisitos para um Controle Interno Eficaz COSO 2013

“Cada um dos cinco componentes de controle interno e dos princípios relevantes deve estar presente e funcionando”

“A Estrutura COSO estabelece que os componentes e princípios relevantes são requisitos para um sistema de controle interno eficaz. Porém, não estabelece a forma como a administração avalia a sua eficácia.”

Requisitos para um Controle Interno Eficaz COSO 2013 “Ao verificar se um componente está presente e funcionando, a estrutura de governança precisa determinar até que ponto os princípios relevantes estão presentes e funcionando.”

Requisitos para um Controle Interno Eficaz COSO 2013 “O fato de um princípio estar presente e funcionando não implica que a organização busque o mais alto nível de desempenho na sua aplicação.”

Requisitos para um Controle Interno Eficaz COSO 2013 “A administração exerce julgamento ao ponderar o custo e o benefício de desenhar, implementar e aplicar o controle interno.”


“A Estrutura COSO requer que todos os componentes operem em conjunto e de forma integrada. Operar em conjunto significa determinar que todos os cinco componentes coletivamente reduzem a nível aceitável o risco de não se realizar um objetivo.”


Normas de conduta esperada (Ambiente de controle) reduzindo o risco de fraude (Avaliação de risco).

Exemplos de operação conjunta de componentes:


Processamento de informações relevantes e de qualidade (Comunicação e informação) apoiando os controles de transações e processos corporativos (Atividades de controle).



Identificação e monitoramento de deficiências do controle interno (Atividades de monitoramento), exigindo a compreensão das estruturas, das linhas de subordinação, das autoridades e responsabilidades da entidade (Ambiente de controle) e dos meios de comunicação (Informação e comunicação).



“Refere-se a uma insuficiência em um ou mais componentes e princípios relevantes que reduz a probabilidade de uma entidade realizar seus objetivos.”

Deficiências de controle interno


Avaliações independentes da auditoria interna é uma das fontes para a identificação de deficiências de controle interno.



Para avaliar se os componentes e princípios estão presentes e funcionando, deve-se levar em conta os controles que põem em prática os princípios.

• Cabe ressaltar que os controles são inter-relacionados e podem apoiar múltiplos objetivos e princípios.



“A Estrutura COSO requer julgamento no desenho, na implementação e na aplicação do controle interno e também na avaliação de sua eficácia.”


Controle Interno – Estrutura Integrada COSO 2013

Objetivos

Operacionais Divulgação

Conformidade

Risco Inerente

Eventos


Risco Inerente

Probabilidade Impacto

Controle Resposta ao Risco

Tratamento


Controle Resposta ao Risco

Segurança razoável

Objetivos

Realização dos objetivos


Objetivos

Entidade Divisão

Unidade Operacional Função


Objetivos Função


Objetivos Processo

Pessoas – Normas – Estrutura Organizacional – Tecnologia – Recursos

Estabelecidos – Fixados – Especificados

Informações internas e externas

Avaliações contínuas ou independentes


Objetivos Atividades de

Controle

Ambiente de Controle Avaliação de Riscos

Comunicação e Informação

Atividades de Monitoramento

MODELO PRÁTICO

Metodologia para execução de trabalhos auditoria interna Questões basilares para a construção do modelo

Metodologia para execução de trabalhos auditoria interna

Como evidenciar a objetividade do auditor?

Questões basilares para a construção do modelo


Como o processo deve levar o auditor a observar os princípios fundamentais da auditoria interna?



Como assegurar que todos os requisitos de um controle interno eficaz serão avaliados de forma suficiente?



Como estruturar as informações obtidas e produzidas no processo de execução de auditoria e transformá-las em conhecimento organizacional?



Como fazer?

Definimos que o objetivo e o escopo dos trabalhos são limitados pelo Processo de Negócio

Programa de Auditoria

Planeja-

mento

Evidências

Achados

Conclusões

Execução Relatório de Auditoria

Relatório

Fases da execução do trabalho de Auditoria

Programa de Auditoria

Planejamento

Planejamento dos trabalhos da auditoria


Levantamento inicial de informações do processo

Fases do planejamento do trabalho da auditoria


Conceituação do processo

Legislação, normativos e referências técnicas aplicáveis

Objetivos do processo





Operacional Divulgação Conformidade





Projetos relacionados

Auditorias interna e externas realizadas no processo

Estrutura organizacional



Estrutura Organizacional


Unidades

Titulares e Substitutos

Atribuições e Competências definidas





Projetos relacionados

Auditorias interna e externas realizadas no processo

Estrutura organizacional

Suporte da TI ao processo

Análise das informações da ouvidoria




Estudo do fluxograma e elaboração do Mapa de Riscos e Controle do processo (MRC)



Objetivos

Processo



Validação do fluxograma do processo com o gestor

Identificação das Atividades Relevantes e de seus Objetivos-Chave

Identificação dos Riscos de cada Objetivo-Chave

Atividades de controle implementadas



Risco Inerente Importância do Risco Avaliação do Controle

Atividade de Execução Relevante

Objetivo-Chave da Atividade

Evento (Risco)

Imp

acto

Pro

bab

ilid

ade

Res

ult

ado

Atividade de Controle

Nív

el d

e Ef

icác

ia Comentário

Ris

co R

esid

ual

R10.1 1 a 5 1 a 5 1 a 5

R10.2

1 a 5 1 a 5 1 a 5

R10.3

1 a 5 1 a 5 1 a 5

R10.n 1 a 5 1 a 5 1 a 5





Modelo de Governança do processo


Modelo de governança do processo

Principal

Estrutura de Governança:

- [Unidade de governança do processo]

Diretrizes e Incentivos Diretrizes

Indicadores instituídos

Definição de metas

Avaliação de desempenho

Ética

Recursos

Estrutura

Agente

Estrutura de Gestão:

[Unidade gestora do processo]

Supervisão Prestação de contas

Indicadores resultantes

Avaliações Independentes





Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC)



Objetivos

Riscos Inerente

Probabilidade Impacto

Controles Resposta ao risco


Objetivos Processo

Pessoas – Normas – Estrutura Organizacional – Tecnologia – Recursos

Objetivos Estabelecidos – Fixados – Especificados

Informações internas e externas

Avaliações contínuas e independentes


Objetivos Atividades de

Controle

Ambiente de Controle Avaliação de Riscos

Comunicação e Informação

Atividades de Monitoramento


IMPORTANTE

Para ter segurança razoável que os objetivos do processo serão alcançados, o COSO define que os seus 5 componentes de controle e 17 princípios devem estar presentes e funcionando.

(Controle interno eficaz)



Então, como assegurar que nos trabalhos de auditoria interna a presença e o funcionamento dos 5 componentes de controle e dos 17 princípios serão avaliados, e de forma objetiva?



• O caminho tomado foi identificar os 17 riscos que os princípios do COSO buscam mitigar e transformá-los em riscos inerentes aos processos, pois entendemos que na perspectiva do risco a objetividade das avaliações aumenta.

• A profundidade dos testes de auditoria também irá depender dos resultados das avaliações dos riscos inerentes ao processo e dos controles.



Princípio 1

“A organização demonstra ter comprometimento com a integridade e os valores ético”

Risco 1

Conduta antiética de agentes executores do processo. (normas de conduta - corregedoria - comissão de ética)



Princípio 2

“A estrutura de governança demonstra independência em relação aos seus executivos e supervisiona o desenvolvimento e o desempenho do controle interno.”

Risco 2

Sobreposição dos interesses do executivo sobre os da estrutura de governança do processo. (objetividade;

independência; segregação de funções; supervisão pela estrutura de governança).



Princípio 3

“A administração estabelece, com a supervisão da estrutura de governança, as estruturas, os níveis de subordinação, e as autoridades e responsabilidades adequadas na busca dos objetivos”

Risco 3

Tomada de decisão por agente executor do processo sem competência institucional. (regimento Interno; delegações

de competências e de atribuições)



Princípio 4

“A organização demonstra comprometimento para atrair, desenvolver e reter talentos competentes, em linha com seus objetivos”

Risco 4

Indisponibilidade de pessoal competente para a execução do processo. (conhecimento, habilidade e atitude; lotação

ideal; etc)



Princípio 5

“A organização faz com que as pessoas assumam responsabilidade por suas funções de controle interno na busca pelos objetivos”

Risco 5

Incapacidade de acompanhar o desempenho do processo. (prestação de contas - indicadores - estabelecimento de metas

pela estrutura de governança e de gestão)



Princípio 10

“A organização seleciona e desenvolve atividades de controle que contribuem para a redução, a níveis aceitáveis, dos riscos à realização dos objetivos”

Risco 10

Exposição do processo a níveis inaceitáveis de risco.



Risco

Imp

acto

Pro

bab

ilid

ade

Controle

Avaliação do Controle

No

ta d

o

Co

ntr

ole

Ris

co R

esi

du

al

Questão Direcionadora

01 - 1 a 5 1 a 5 1 a 5 ?

02 - 1 a 5 1 a 5 1 a 5 ?

... - 1 a 5 1 a 5 1 a 5 ?

10 - 1 a 5 1 a 5 1 a 5 ?

... - 1 a 5 1 a 5 1 a 5 ?

17 - 1 a 5 1 a 5 1 a 5 ?




• Para elevar a objetividade na avaliação do impacto e da probabilidade de ocorrência de evento de risco e da avaliação do controle interno, foram estabelecidas réguas.

Planejamento dos trabalhos da auditoria Preenchimento do Mapa de Objetivos, Riscos e Controle (MORC)

Régua para avaliação do Impacto Escala de impacto

Descritor Descrição Nível

Muito Baixo

Impacto insignificante nos objetivos - Degradação na operação do processo em avaliação, porém

causando impactos mínimos para a Agência (em termos financeiros, danos à imagem, afetação da

qualidade de produtos e serviços).

1

Baixo Impacto mínimo nos objetivos - Degradação na operação do processo em avaliação, causando

pequenos impactos para a Agência. 2

Médio Impacto mediano nos objetivos - Degradação na operação do processo em avaliação, causando

impactos para a Agência, com possibilidade de recuperação. 3

Alto

Impacto significante nos objetivos, com possibilidade remota de recuperação - Interrupção do

processo em avaliação, causando impactos significativos para a Agência, porém passíveis de

recuperação.

4

Muito Alto Impacto máximo nos objetivos, sem possibilidade de recuperação - Interrupção do processo em

avaliação, causando impactos irreversíveis para a Agência. 5


Régua para avaliação da Probabilidade Escala de probabilidade

Descritor Descrição Ocorrências Nível

Muito Baixa

Evento extraordinário para os padrões conhecidos da gestão e operação do processo.

Sem histórico de ocorrência. Até 5 1

Baixa Evento casual, inesperado. Muito embora raro, há histórico de ocorrência conhecido

por parte dos principais gestores e operadores do processo. > 5 até 10 2

Média Evento esperado, de frequência reduzida. Com histórico de ocorrência parcialmente

conhecido pela maioria dos gestores e operadores do processo. >10 até 15 3

Alta Evento usual, corriqueiro. Devido à sua ocorrência habitual, seu histórico é

amplamente conhecido por parte dos gestores e operadores do processo. > 15 até 20 4

Muito Alta

Evento repetitivo e constante. Se repete seguidamente, de maneira assídua, numerosa

e não raro de modo acelerado. Interfere de modo claro no ritmo das atividades, sendo

evidente para os que conhecem o processo.

> 20 5


Régua para avaliação do controle

NACI Nível de

eficácia Descrição

0 – 1 Inexistente Ausência completa de controle.

1 – 2 Fraco

Controle depositado na esfera de conhecimento pessoal dos operadores do processo, em geral

realizado individualmente e de maneira manual. Há um elevado grau de confiança no

conhecimento das pessoas e, consequentemente, maior probabilidade de erros.

2 – 3 Mediano

Controle pode falhar por não contemplar todos os aspectos relevantes do risco, pois embora a

atividade de controle implementada mitigue nuances do risco associado, não o faz

apropriadamente, seja por não contemplar todos os seus aspectos relevantes ou por ser

ineficiente em seu desenho técnico ou nas ferramentas utilizadas.

3 – 4 Satisfatório Controle normatizado e embora passível de aperfeiçoamento, está sustentado por ferramentas

adequadas e mitiga o risco razoavelmente.

4 – 5 Forte Controle mitiga o risco associado em todos os aspectos relevantes, podendo ser enquadrado

num nível de “melhor prática”..


Matriz de Risco – Impacto x Probabilidade

Nivel de Risco

P R O B A B I L I D A D E

Muito Baixa Baixa Média Alta Muito Alta

1 2 3 4 5

I

M

P

A

C

T

O

Muito Alto

5 Alto Alto Muito Alto Muito Alto Muito Alto

Alto 4 Médio Médio Alto Alto Muito Alto

Médio 3 Baixo Médio Médio Alto Alto

Baixo 2 Muito Baixo Baixo Baixo Médio Médio

Muito Baixo

1 Muito Baixo Muito Baixo Muito Baixo Muito Baixo Muito Baixo

Impacto & Probabilidade = Risco Inerente

R I S C O I N E R E N T E

Muito Baixo Baixo Médio Alto Muito Alto

Apuração - Ordem de Grandeza


Matriz de Risco – Risco Inerente x Controle

Risco Residual C O N T R O L E

Forte Satisfatório Mediano Fraco Inexistente

5 4 3 2 1

R

I

S

C

O

I

N

E

R

E

N

T

E

Muito Alto

5 Baixo Médio Alto Muito Alto Muito Alto

Alto 4 Muito Baixo Baixo Médio Alto Alto

Médio 3 Muito Baixo Muito Baixo Baixo Médio Médio

Baixo 2 Muito Baixo Muito Baixo Muito Baixo Baixo Baixo

Muito Baixo

1 Muito Baixo Muito Baixo Muito Baixo Muito Baixo Muito Baixo

R Inerente & Controles = Risco Residual

R I S C O R E S I D U A L

Muito Baixo Baixo Médio Alto Muito Alto

Apuração - Ordem de Grandeza






Definição dos objetivos e do escopo do trabalho



Concluídos: a Parte Inicial do Programa de Auditoria; o MRC; e o MORC, o auditor tem informações suficientes e objetivas para identificar e propor os OBJETIVOS e o ESCOPO do trabalho de auditoria, alinhados com os componentes e princípios do COSO.








Elaboração dos procedimentos de auditoria a serem aplicados


– Os processos desenhados podem ser alterados durante o tempo sem o conhecimento das pessoas que o descreveram e essas alterações, geralmente, não são incluídas na documentação disponível. Dessa forma, para determinar o funcionamento real dos controles é preciso:

Planejamento dos trabalhos da Auditoria

Conversar com quem executa os controles ou é afetado por eles

Examinar os registros de execução


Planejamento dos trabalhos da Auditoria

REF. RISCOS PROCEDIMENTOS DE AUDITORIA INSTRUMENTOS DE AVALIAÇÃO PT

R1

- QUESTÃO 1 Existem processos administrativos disciplinares relacionados com servidores que atuam na área auditada? Se sim, os problemas identificados ainda representam riscos ao alcance do objetivo do processo auditado? - PROCEDIMENTOS DE TESTE (Q1) T1 – Verificar, por meio de [Entrevista] à Corregedoria, se existem processos administrativos disciplinares relacionados com servidores que atuam na unidade auditada. T2 – Verificar, por meio de [Documento] fornecido pela Corregedoria se as falhas exploradas pelos servidores, identificadas nos processos administrativos disciplinares ainda representam riscos ao alcance do objetivo do processo auditado. Caso afirmativo, verificar por meio de [Entrevista] com o gestor do processo quais providências foram adotadas para minimizar os riscos relacionados com ocorrência.

Entrevista

Documento PT-1



Após a conclusão de todas as etapas do Planejamento dos trabalhos da auditoria, o Programa de Auditoria é aprovado pelo supervisor dos trabalhos e a equipe está apta para iniciar a etapa de Execução dos trabalhos de campo.


FIM Cosme Leandro do Patrocínio – ANAC

Contatos: cosme.patrocí[email protected]

Tel.: 3314-4147

mailto:cosme.patrocí[email protected]

Documents

Auditoria com base no COSO 2013 e orientada pelo Risco Modelo prático ... · transações e processos corporativos (Atividades de controle). Exemplos de operação conjunta de componentes: