Auditoria baseada em risco
Maria Lúcia Lima Novembro/2013
Conteúdo
Conceito de risco
Gestão de risco
Risco e auditoria
Técnicas de diagnóstico • Análise SWOT
• Diagrama de Verificação de Riscos (DVR)
• Mapa de processo
Conceitos de Risco
• Possibilidade de que um evento ocorra e afete negativamente a realização dos objetivos (COSO II -ERM)
• Combinação da probabilidade de um evento e suas consequências (ISO Guide 73)
• Efeito da incerteza nos objetivos. Desvio (positivo ou negativo) em relação ao esperado (ISO 31000)
• Possibilidade de algo acontecer e ter um impacto nos objetivos. Medido em termos de consequências e probabilidades (AS/NZS 4360)
Conceitos
Para estabelecer controles, primeiro é necessário que objetivos sejam definidos e, como todos os objetivos envolvem riscos, existe a necessidade de mitigar esses riscos, identificando-os, avaliando-os e decidindo se devem ser modificados por algum tratamento.
probabilidade
Conceito de Risco - Diagrama
Que riscos afetam as organizações?
• Estratégicos – Políticos
– Econômicos: inflação, juros altos
– Sociais: mudanças demográficas, residenciais
– Atendimento ao cliente
• Imagem
• Operacionais (do dia a dia) – Competitividade
– Físicos: incêndio, por exemplo
– Contratual
• Financeiros
• Segurança – Patrimonial
– Do trabalho
– De informações: tecnológico, físico
• Humanos
• De regulação – Legislativo
– Ambiental
– Legal
• Pessoal – Profissional
– Gestão: perda de pessoal
Riscos que afetam o Setor Público
• Mudanças no cenário econômico
– Redução da arrecadação
• Desvios de Recursos
• Deficiências na inovação e introdução de novas tecnologias
• Inconsistência de programas e projetos
– Não resolvem os problemas
– Resultados não esperados
Riscos que afetam o Setor Público
• Falhas na regulação de serviços ou atividades
– Danos ambientais
– Danos econômicos
• Na execução de projetos
– Demora
– Custos excedidos
• Nos serviços prestados
– Falta de capacidade para atender a demanda
– Qualidade insuficiente Fonte: (NAO, 2000)
Exercício
Em grupos de 4 pessoas, responda: que riscos afetam sua organização?
Gestão de Riscos
Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco (ISO 31000)
Objetivos da Gestão de Risco
• Fornecer base sólida e segura para tomada de decisão e planejamento
• Identificar melhor oportunidades e ameaças
• Tirar proveito de incertezas e variabilidades
• Ter gestão pró-ativa (em vez de reativa)
• Tornar mais eficaz a alocação e o uso de recursos
• Melhorar a gestão de incidentes e reduzir perdas e custos
• Melhorar a segurança e confiança das partes envolvidas
• Melhorar a conformidade com a legislação
• Melhorar a governança corporativa
Estrutura da gestão de riscos
• Conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização (ISO 31000)
FUNDAMENTOS ARRANJOS ESTRUTURA
Fundamentos
• Política
– declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos
• Objetivos
• Mandatos
• Comprometimento
Arranjos
• Planos (abordagem, componentes, recursos)
• Relacionamentos
• Responsabilidades
• Recursos
• Processos
• Atividades
ISO 31000
• Baseada na AS/NZS 4360:2004 – consagrada internacionalmente.
• Fornece princípios e diretrizes genéricas para a gestão de riscos.
• Aplicada a ampla gama de atividades, incluindo estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos.
• Aplicada a qualquer tipo de risco, independentemente de sua natureza.
ISO 31000
• Não pretende uniformizar a gestão de riscos entre organizações.
• A concepção e a implementação de planos e estruturas para GR precisarão considerar necessidades variadas da organização (objetivos, contexto, estrutura etc.).
• Fornece abordagem comum para apoiar normas que tratem de riscos e/ou setores específicos, e não substituí-las.
ISO 31000 – a quem se destina
• Responsáveis pelo desenvolvimento da política de gestão de riscos na organização.
• Responsáveis por assegurar que os riscos são eficazmente gerenciados na organização como um todo ou em uma área, atividade ou projeto específicos.
• Aos que precisam avaliar a eficácia de uma organização em gerenciar riscos.
• A quem elabora normas, guias, procedimentos e códigos de práticas que estabelecem como o risco deve ser gerenciado.
O que é preciso para a GR?
• Um processo estruturado de gestão de riscos
– Com objetivos bem definidos
• A organização deve ter objetivos bem definidos
• A cúpula da organização deve ser receptiva para todos os tipos de comunicações acerca de riscos, incluindo-se más notícias
• Uma definição única de risco na organização
O que é preciso para a GR?
• Treinamento em GR
• Definição de responsabilidades pela GR
• As unidades organizacionais devem:
– Identificar
– Registrar (relatórios, etc)
– Informar os riscos à cúpula da organização
– Adotar medidas mitigadoras
– Monitorar os riscos
Estrutura para Gerenciar Riscos
FONTE: ISO 31000
Processo de Gestão de Riscos
Estabelecimento do Contexto
• Definir o ambientes (interno e externo)
• Compreender a organização (uso da análise SWOT)
• Estabelecer: objetivos, metas, estratégias, programas, escopo, parâmetros, recursos, registros
• Escolher critérios em relação aos quais os riscos serão avaliados
• Definir estrutura para o restante do processo
Comunicação e Consulta
• Diálogo com as partes envolvidas durante todas as fases da GR
• Desenvolver plano de comunicação – Desde o início
– Que aborde questões relacionadas com o risco propriamente dito, suas causas, suas consequências (se conhecidas) e as medidas que estão sendo tomadas para tratá-lo.
Monitoramento e Análise Crítica
• Medir o desempenho da gestão de riscos (usando indicadores);
• medir periodicamente o progresso obtido, ou o desvio, em relação ao plano de gestão de riscos;
• analisar criticamente de forma periódica se a política, o plano e a estrutura da GR ainda são apropriados, dado o contexto externo e interno das organizações;
• informar sobre os riscos, o progresso do plano de gestão de riscos e como a política de gestão de riscos está sendo seguida;
• analisar criticamente a eficácia da estrutura da GR.
Monitoramento e Análise Crítica
Processo de Gestão de Riscos
Processo de Avaliação de Riscos
• Identificação de riscos
• Análise de riscos
• Avaliação de riscos
Identificar • Fontes de risco
• Áreas de impacto
• Eventos de risco • Causas e consequências
• O que pode acontecer?
• Quando, onde, como, por quê?
Gerar lista abrangente das fontes de risco e eventos impactantes nos objetivos
Identificação de Riscos
Compreender os riscos
Identificar fatores que afetam consequências e probabilidades
Determinar o nível de risco
Considerar: divergência de opinião entre especialistas, incertezas, disponibilidade, qualidade e quantidade das informações
Identificar controle existentes
Tipos de análise: qualitativa, semiquantitativa, quantitativa
Análise de Riscos
• Decidir que riscos precisam ser tratados
• Decidir as prioridades de tratamento
• Avaliação de riscos envolve comparar o nível de risco encontrado com critérios estabelecidos
• Considerar a tolerância aos riscos assumida
• Considerar requisitos legais e regulamentares
Avaliação de Riscos
Tratamento de Riscos
• Identificação das opções de tratamento Aceitar o risco
Modificar probabilidade ou consequência do risco
Evitar o risco
Transferir o risco
• Análise e avaliação das opções de tratamento. • Equilibrar custos e esforços da implementação com
benefícios decorrentes
• As opções não são mutuamente exclusivas
• Preparação e implementação dos planos de tratamento, definindo prioridades
• Análise e avaliação dos riscos residuais
–O risco é baixo diante da perda potencial ou ameaça combinado com a probabilidade de sua ocorrência
–O custo de implementar o controle necessário excede a perda ou ameaça potencial
Aceitar o Risco
– Implementar controles
Modificar o Risco
–Contratar terceiros (outsourcing, joint ventures, previsão em contratos)
Modificar o Risco
– Intensificar treinamento
–Alterar procedimentos
Modificar o Risco
–Cessar a atividade porque o custo potencial é muito alto
Evitar o Risco
–Contratar seguros
Transferir o Risco
Síntese da Resposta ao Risco
Apetite para o Risco
• Quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir.
É diferente para cada tipo de organização
O apetite para riscos estará em algum ponto do espectro
Apetite para riscos
Avesso a risco Alto apetite para risco
Maioria das
empresas
Empresas de
tecnologia de ponta
Governo, indústrias
químicas e de saúde
Investidores,
empreendedores
Possibilidades de Uso do Conceito de Risco pela Auditoria Interna
Auditoria Interna - Possibilidades
RISCO
Avaliar os Riscos
Avaliar a Gestão de
Riscos
Planejamento das Auditorias
Apontar Providências Necessárias
Funcionamento da Gestão de Risco
• Visão geral da organização
• Identificação de processos ineficientes, controles desnecessários e retrabalhos
• Atuação como catalisador de mudanças
Auditoria Interna - Possibilidades
• Há outra maneira de conseguir o mesmo resultado com menos esforço ou menos custo?
• Há duplicação de esforços?
• Qual foi a última vez em que o processo foi revisado pelo gestor? Que mudanças foram feitas? Qual a efetividade delas?
Auditoria Interna – Perguntas a fazer
Exercício
Em grupos de 4 pessoas, responda:
Que áreas da sua organização você já audita?
Que áreas você poderia auditar e ainda não audita?
Que áreas você poderia auditar com enfoque em risco?
O que auditar?
• Forma mais simples de pensar em auditoria baseada em risco –> auditar o que realmente importa para a organização. Provavelmente aí estão os maiores riscos.
• O gestor não avaliou nem identificou os riscos => oportunidade para a auditoria interna.
• Atraia o interesse do gestor, comece falando dos objetivos dele, de como alcançá-los e como medi-los.
Essência da Auditoria Baseada em Risco – Foco no cliente
Passos da Auditoria
Objetivos da
organização Riscos
Procedimentos e processos de
mitigação
Falsas ideias sobre risco
• Risco é preocupação só da área financeira e da seguradora
Risco deve ser preocupação de todos
• Risco aparece na agenda uma vez por ano
Risco é um processo contínuo
• Gerenciamento de risco é mais uma burocracia desnecessária
GR é uma forma de reduzir burocracia, identificar controles desnecessários e superposição de atividades
Avaliação da Gestão de Riscos
Avaliação da Gestão de Riscos
• A atividade de auditoria interna deve assistir à organização por meio da identificação e avaliação de exposições significativas a riscos e da contribuição para a melhoria dos sistemas de gerenciamento de riscos e de controle.
• A atividade de auditoria interna deve monitorar e avaliar a efetividade do sistema de gerenciamento de risco da organização.
• A atividade de auditoria interna deve avaliar os riscos de exposição no
que diz respeito à governança corporativa da organização, operações e sistemas de informação relativos a:
• confiabilidade e integridade das informações financeiras e operacionais; • efetividade e eficiência das operações; • salvaguarda do patrimônio; • obediência às leis, regulamentos e contratos.
O que avaliar na GR
• Riscos foram identificados e avaliados?
• Houve resposta aos riscos?
• As respostas são eficazes?
– Riscos inerentes considerando o apetite
• Houve ações para os riscos residuais não alinhados com o apetite?
• Processo de GR é monitorado pela direção?
• Riscos, respostas e ações foram classificados e relatados adequadamente?
Estágios da Avaliação da GR
1. Avaliação da Maturidade da Organização
2. Elaboração de plano de auditorias periódicas para verificar os riscos
3. Realização de auditoria anual sobre o sistema de GR para garantia
Maturidade da Organização em GR
• Ingênua
– nenhuma abordagem ou
consciência sobre risco
• Consciente
– alguns departamentos
Maturidade da Organização em GR
• Riscos definidos
– a maioria dos departamentos
• Riscos Gerenciados
– abordagem corporativa em desenvolvimento
• Habilitada
– gerenciamento de riscos plenamente incorporado
1. Avaliação da Maturidade da Organização
• Identificar e analisar em que estágio a organização se encontra no que se refere à maturidade com relação ao gerenciamento de risco.
• Considerar a cultura organizacional e sua atitude em relação ao risco (se está mais propensa a ter aversão ao risco ou a aceitar riscos).
2. Plano de Auditoria - verificar os Riscos
• Os departamentos já identificam os riscos e registram respostas a esses riscos
• Auditoria Interna verifica:
– que riscos são adequadamente gerenciados
– quando verificar
– como verificar
• Categorizar e priorizar os riscos
– associar riscos às auditorias
– realizar auditorias
– relatar à direção e ao comitê de auditoria
3. Auditoria anual abrangente - GR
• Visão sistêmica sobre toda a gestão de risco
– avaliação da maturidade em maior profundidade
• Verifica-se:
– se, em geral, os riscos residuais estão abaixo do apetite de risco da organização (se não, se a direção foi informada)
– se processos de gestão de risco estão sendo monitorados pela gerência
Atuação da AI x Estágio da Organização
Estágio da Organização Trabalho da Auditoria Interna Estratégia da
Auditoria Interna
Habilitada Verificar o funcionamento
da GR como um todo
Asseguração
Consultoria
Riscos Gerenciados Ajudar o gestor com as
respostas aos riscos
Riscos definidos
Ajudar o gestor a
completar a sua lista de
riscos
Consciente Realizar auditorias de
riscos
Treinar o gestor ou ele
pensará que GR é somente
trabalho da AI
Não se pode adotar a
abordagem de
avaliação da GR Ingênua
Levantamento de Eventos de Riscos
Levantamento de eventos de risco
Principais etapas
1) Coleta preliminar de informações
2) Aplicação de técnicas de diagnóstico
3) Mapeamento de processos
4) Identificação de eventos de risco
5) Elaboração da matriz de riscos
6) Elaboração do relatório
1) Coleta preliminar de informações
idade ou programa (forma de
• Forma de organização, funcionamento, responsáveis, atribuições, contexto em que se insere.
• Identificação dos objetivos da organização.
FOCO NO RISCO!
2) Aplicação de técnicas de diagnóstico
Principais
• Identificação de stakeholders
• Análise SWOT e DVR
• Entrevistas (gestores e especialistas)
FOCO NO RISCO!
3) Mapeamento de processos
• Escolher processos a mapear
- Como identifico os processos?
• Mapear processos
• Quantos serão mapeados?
É mapeamento, não é redesenho nem modelamento.
4) Identificação de eventos de risco
• Identificar eventos a partir das atividades dos mapas de
processo.
• Identificar eventos que tenham impacto nos objetivos da entidade.
• Etapa mais demorada do levantamento.
• Se necessário, visitar locais de implementação.
5) Elaboração da matriz de eventos de risco
Nome do
processo
Objetivo do
processo
Materiali-
dade (R$
milhões)
Riscos Causas Efeitos Mecanismos de
controle
Propostas
Piso da
atenção
básica (Pab)
variável
Estimular a
implantação, nos
municípios, de
saúde da família,
agentes
comunitários de
saúde, saúde na
escola.
12.100 Dificuldade de
realização de
procedimentos
médicos básicos e
de enfermagem.
Falta de
estrutura
mínima nas
unidades básicas
de saúde.
Sobrecarga das
unidades de
atendimento
secundário e
terciário.
Supervisão,
acompanhamento e
avaliação pela
esfera estadual.
Fiscalização de Orientação
Centralizada para avaliar a
regularidade da aplicação dos
recursos da Atenção Básica pelos
municípios, abrangendo, entre
outras atividades, o Programa
Saúde da Família.
Controle
Social
Aumentar a
participação
popular no
acompanhamen-to
da aplicação dos
recursos.
9,71 Deficiência no
acompanhamento da
aplicação dos
recursos.
Composição
inadequada dos
conselhos de
saúde.
Desperdício de
recursos.
CIB, CIT, SNA Auditoria Operacional nos
Conselhos de Saúde visando
analisar sua estrutura e atuação
como fiscalizadores dos recursos
repassados pelo Fundo Nacional
de Saúde aos fundos estaduais e
municipais de saúde.
• A partir da matriz, elaborar o relatório.
• Principal capítulo: eventos de risco identificados.
• Usar as mesmas regras adotadas para elaboração de relatório de auditoria.
6) Elaboração do relatório
Foco no risco desde o início.
Risco não significa problema. Área de risco é onde há potencial de causar impacto no resultado.
Evento de risco não é achado de auditoria.
Levantamento não é auditoria.
Levantamento não é auditoria em controles.
Lembretes
Técnicas de diagnóstico
Técnicas de diagnóstico
Análise SWOT
Diagrama de Verificação de Riscos
Mapa de processo
O que significa SWOT?
É um acrônimo formado pelas palavras inglesas:
S trengths - forças
W eaknesses - fraquezas
O pportunities - oportunidades
T hreats - ameaças
Análise SWOT
Integra as metodologias de planejamento estratégico organizacional
Ferramenta facilitadora do diagnóstico institucional
Ferramenta para organizar opinião sobre o ambiente no qual opera o objeto analisado
Análise do ambiente
Ambiente Interno Ambiente Externo
Forças: características internas que podem afetar de modo positivo o desempenho.
Oportunidades: características externas não controláveis com potencial para ajudar a melhorar o desempenho.
Fraquezas: características internas que podem inibir ou restringir o desempenho.
Ameaças: características externas não controláveis que podem comprometer o desempenho.
Exemplos de variáveis ambientes
AMBIENTE INTERNO
Sistema de atendimento ao beneficiário (informação, ouvidoria, linha 0800).
Qualidade da operação do serviço.
Divulgação do programa.
AMBIENTE EXTERNO
o Tecnologias existentes usadas por outros órgãos/programas.
o Política econômica.
o Legislação.
o Impactos no meio ambiente.
o Sistema financeiro.
Exemplos de variáveis ambientes
AMBIENTE INTERNO
Infra-estrutura do serviço;
Sistema de planejamento;
Controle de custos;
Distribuição de insumos;
Recursos humanos;
Programas de capacitação.
AMBIENTE EXTERNO
o Organizações da sociedade civil (Sindicatos, ONGS, Redes de Especialistas);
o População alvo;
o Infra-estrutura na comunidade beneficiária;
o Fatores geográficos;
o Fatores climáticos;
o Fornecedores de insumos.
Fontes de informação
Especialistas
Gestores
Revistas especializadas
Mídia
Relatórios internos
Relatórios contratados
Auditorias anteriores
Pesquisas acadêmicas
Meios de aplicação
Coleta de dados: legislação, documentos, entrevistas;
Oficina com gestores;
Validação com especialistas;
Validação com gestores.
Como analisar a situação
Identificar a correlação entre pontos fortes e fracos com as oportunidades e ameaças
Identificar que ações devem ser realizadas para tirar o máximo proveito das oportunidades e dos pontos fortes com o objetivo de minimizar o impacto das ameaças e neutralizar os pontos fracos
Passo a passo da SWOT
Em uma folha de papel, desenhar 2 colunas denominadas ”Ambiente Interno e Ambiente Externo”;
Na coluna ambiente interno, abrir 2 caixas denominadas “Forças” e “Fraquezas”;
Passo a passo da SWOT
Na coluna ambiente externo, abrir 2 caixas denominadas ”Oportunidades” e “Ameaças”;
Utilizando um bloco de “post-it”, iniciar “brainstorming” para o preenchimento do quadro;
Passo a passo da SWOT
Na caixa “Forças” listar os pontos fortes do objeto da auditoria, que são as características positivas internas que uma organização pode explorar para atingir suas metas;
Na caixa “Fraquezas”, listar as características negativas internas que podem inibir ou restringir o desempenho da organização;
Passo a passo da SWOT
Na caixa “Oportunidades”, listar as características do ambiente externo com potencial para ajudar ou exceder as metas planejadas;
Na caixa “Ameaças”, listar as características do ambiente externo que podem impedir o alcance das metas planejadas.
Exemplo
DVR
Diagrama de verificação de riscos (DVR)
O DVR é uma ferramenta de diagnóstico que ajuda a avaliar a capacidade do auditado de identificar e gerir seus riscos.
Para que usar?
Identificar os riscos que podem afetar o desempenho do programa, projeto, área, departamento
Auxiliar na formulação do problema de auditoria
Assegurar que áreas de risco serão investigadas com profundidade durante a auditoria
Sistematizar e estruturar o conhecimento dos gestores sobre seu ambiente
Modelo de diagrama de verificação de risco
Alta Probabilidade
Baixo impacto
Baixa probabilidade
Baixo impacto
Alta Probabilidade
Alto impacto
Baixa Probabilidade
Alto impacto Alto
Baixo
Alta Baixa
Impacto
potencial
no alcance
dos
objetivos
Probabilidade de
ocorrência
probabilidade
Áreas de atenção no diagrama de verificação de risco
Passos a seguir
Identificação dos pontos fracos e ameaças a partir da análise SWOT.
Determinar a existência de controles e estabelecer o impacto e as probabilidades de ocorrência de risco, no contexto desses controles.
Nível de risco
Impacto
Potencial
Probabilidade de ocorrência
Alto
Baixo
Passos a seguir
Conclusões para a auditoria
A partir do DVR, a equipe será capaz de identificar as áreas que poderão ser investigadas com maior profundidade.
Exemplo
Mapa de Processo
O que são processos?
Fonte: MARANHÃO E MACIEIRA. O processo nosso de cada dia.
“Processo é a maneira pela qual se realiza uma operação.”
• Outras maneiras de se conceituar processo:
Conceito de Processo Fonte
Conjunto de atividades inter-relacionadas ou interativas que transforma insumos (entradas) em produtos (saídas).
Associação Brasileira de Normas Técnicas.
Conjunto de atividades, funções ou tarefas identificadas, que ocorrem em um período de tempo e que produzem algum resultado.
Metodologia IDEF Definition for Function Modeling.
Sequência de passos, tarefas e atividades que convertem entradas de fornecedores em uma saída, adicionando valor às entradas, transformando-as ou usando-as para produzir alguma coisa.
Dianne Galloway, em Mapping Work Process.
Uma série de etapas criadas para produzir um serviço ou um produto.
Geary A. Rummler e Alan P. Brache, em Melhores Desempenhos das Empresas.
• É a representação gráfica de um processo de trabalho por meio de diagrama que contém a sequência de passos e etapas necessárias à consecução de determinada atividade.
• Portanto, a técnica de mapeamento de processo fornece:
⁻ a representação gráfica de operações;
⁻ o detalhamento de sequência de etapas;
⁻ os agentes envolvidos;
⁻ os fluxos de informação, dados e documentos.
O que é um mapa de processo?
• Documentar o processo de forma que facilite a visualização de suas etapas e interações
• Identificar oportunidades de melhoria no processo
• Identificar pontos fortes para a disseminação de boas práticas
• Identificar controles internos necessários
• Identificar oportunidades de melhoria de controles internos
• Identificar riscos
• Viabilizar a avaliação dos controles internos existentes
Objetivos
• Principais características:
⁻ descreve uma operação passo a passo;
⁻ método visual e interativo que favorece o trabalho em grupo e a participação do pessoal do órgão auditado;
⁻ traz informações relevantes sobre um processo, como quantidades, prazos e oportunidades.
Fonte: TCU. Auditoria na construção de cisternas para abastecimento de água.
Características de um mapa de processo
• O mapa de processo pode ter diversos graus de detalhamento dependendo do propósito para o qual é elaborado.
• Informações essenciais:
⁻ descrição das atividades; ⁻ relação entre as etapas do processo; ⁻ movimento de informações e de documentos; ⁻ pontos de controle e de tomada de decisão.
• Também podem ser inseridos:
⁻ prazos; ⁻ oportunidades de melhoria; ⁻ quantidades; ⁻ custos; ⁻ observações.
Selecionar um ovo na geladeira
Quebrar o ovo Inspecionar o ovo Está
estragado?
Parte do processo de fritar um ovo Fonte: Adaptado de MARANHÃO E MACIEIRA. O processo nosso de cada dia
Que informações devem ser apresentadas no mapa ?
Tipos de mapas de processo
Os mapas de processo podem representar as operações sob diversos enfoques:
Como está sendo realizado (processo real)
Como deve ser realizado (processo segundo as normas)
Como seria melhor que fosse realizado (otimização do processo para melhoria de desempenho)
Retângulo: • Indica a atividade executada. • Idealmente, usar cinco palavras no máximo. • Começar com verbo de ação.
Remeter prestação de
contas
Pedido correto?
Losango: • Indica um ponto de tomada de decisão. • A resposta sempre será sim ou não.
Redução de 75% nos custos
Bandeira: • Indica uma oportunidade de melhoria. • Quantificar sempre que possível.
Ausência de formulário
padronizado
Balão ou nuvem: • Indica atenção, comentários ou explicações.
Início e fim de processo
2
Elipse: • Indica o início e o fim dos processos.
Círculo: • Indica conexão de atividades.
Que notações usar nos mapas de processo?
Caixas com atividades
Pontos de decisão
Oportunidades
Diferentes cores para representar diferentes atores
Como essas notações são usadas?
Balão com observações
Prazos
Notação de início e fim
Cada etapa do processo em uma área diferente do gráfico
Como essas notações são usadas?
Círculo com conector que liga a outro gráfico
Como essas notações são usadas?
Cada setor em uma área própria do gráfico
Como essas notações são usadas?
• Prós - O mapa de processo é útil quando se deseja:
⁻ entender o funcionamento geral da organização ou programa;
⁻ identificar pontos fortes do processo visando à disseminação de boas práticas;
⁻ identificar eventos de risco e atividades de controle;
⁻ identificar oportunidades de melhoria de desempenho.
• Contras – aspectos a considerar antes de decidir usar mapeamento de processos:
⁻ o exame detalhado de processos de trabalho pode tomar bastante tempo;
⁻ trata-se de uma técnica cara;
⁻ a modificação de um processo de trabalho pode demandar muito tempo.
Uso dos mapas de processo
Mapa de produtos
Sequência lógica dos resultados de processos.
Usado para identificar produtos-chave e construir indicadores de desempenho.
Cada seta, no mapa de produtos, representa um processo.
Mais estável.
Mapa de processo
Sequência lógica de tarefas, atividades e fluxo de documentos em uma organização.
Usado para identificar oportunidades de melhoria em um processo.
Esses processos contribuem para se chegar aos produtos.
Diferenças entre mapa de processo e mapa de produtos
Como elaborar um mapa de um processo real?
• Defina claramente que processo será representado.
• Obtenha previamente informações por meio de entrevistas e de análise documental.
• Elabore versão preliminar do mapa para orientar seu raciocínio.
• Programe um workshop ou oficina com os auditados.
• Faça um brainstorming para identificar as atividades e a sua sequência.
• Escreva as idéias em etiquetas autocolantes e afixe-as em uma folha grande de papel.
Passo a passo
O mapa de processo deve ser elaborado preferencialmente com a participação das pessoas da área ou instituição auditada, pois são elas que melhor conhecem as atividades desempenhadas, os produtos resultantes, os objetivos e a missão da instituição (TCU. Mapa de Processos).
Como elaborar um mapa de processo real?
• Identifique a tarefa inicial e comece a organizar as demais na sequência das atividades.
• Ligue as tarefas por setas para indicar o fluxo das atividades.
• Use software adequado para passar o mapa a limpo.
• Valide o mapa com quem conhece o processo.
• Elabore a versão final.
Passo a passo
Como elaborar um mapa de processo real?
• Envolva o pessoal que entende (do órgão auditado).
• Não pense que seu mapa preliminar é o correto.
• Esteja disposto a mudar continuamente o mapa.
• Use etiquetas autocolantes para facilitar o rearranjo de tarefas.
• Controle o tempo, pois as discussões podem se tornar acaloradas e se alongar demais.
• Aproveite para esclarecer dúvidas.
Dicas para a elaboração
Como elaborar um mapa de processo?
• Ao escolher as cores e tonalidades, considere a necessidade de reproduções.
• Procure dispor as caixas em fileiras e colunas alinhadas.
• Use a menor quantidade possível de retas para conectar as caixas.
• Evite linhas diagonais.
• Procure minimizar os cruzamentos entre linhas (se inevitáveis, use alças).
Dicas para a apresentação final do diagrama
Fonte: TCU. Técnicas de Apresentação de dados.
Fonte: TCU. Técnicas de Apresentação de dados.
• O tamanho do diagrama deve permitir a transmissão do conteúdo (evite longos e estreitos apenas para se ajustarem ao formato do texto).
• Procure usar tamanhos padronizados. Evite definir o tamanho das caixas apenas para acomodar o texto.
Quando usar mapas de processo para induzir melhorias?
Recomenda-se usar o mapeamento de processo como indutor de melhorias nas rotinas de trabalho quando:
• Há áreas em que o trabalho sofre atrasos ou os documentos são extraviados
• As pessoas ficam aguardando documentos, procurando o que fazer ou corrigindo erros – tempo perdido
• Há insuficiente interação entre atividades ou falhas de comunicação
• Existem múltiplas instâncias de aprovação
• Há duplicidade de tarefas
• Há áreas onde as metas fixadas não são atingidas
• Visualizam-se oportunidades de redução de custos nos processos de trabalho
• Há atividades que apresentam alto índice de falhas e erros
Como usar a técnica no aperfeiçoamento de processos?
• Comece do zero.
• Foque no produto, sem se prender demais ao processo atual.
• Lembre que o mapa de processo é um meio para identificar oportunidades de melhoria e não um fim em si mesmo.
• Discuta um plano de mudança.
• Avalie os custos das mudanças.
• Elabore sistemática de avaliação do desempenho do novo processo.
• Conte com a participação dos auditados, pois é essencial para que eles se apropriem das idéias e as implementem.
Fonte: TCU. Curso Introdução à Auditoria Operacional (EAD)
Dicas para a elaboração
Exemplo de Mapa de Processo
Exercício
Resumo – Gestão de riscos
• Gestão de riscos precisa de:
– Processo estruturado
– Objetivos da organização bem definidos
– Cúpula administrativa envolvida
• Conhecer a organização
• Identificar processos ineficientes, controles desnecessários e retrabalhos
• Atuar como catalisador de mudanças
Resumo – Possibilidades para a auditoria Interna
Principais etapas
Coletar informações
Aplicar SWOT e DVR
Mapear processos
Identificar eventos de risco
Elaborar matriz de riscos
Levantamento de eventos de risco
Muito obrigada!