SlideShare ist ein Scribd-Unternehmen logo

Implemente a Auditoria Baseada em Riscos e otimiza sua gestão

Luiz Deoclecio Fiore, CRMA Certified
Luiz Deoclecio Fiore, CRMA Certified

O documento discute a implementação da Auditoria Baseada em Riscos (ABR) nas organizações, fornecendo diretrizes gerais sobre como abordá-la e praticá-la. A ABR é uma metodologia que fornece garantia de que os processos de gestão de riscos estão operando conforme requerido, avaliando se os riscos estão sendo gerenciados dentro de um nível aceitável. O documento explica os objetivos e princípios da ABR, como ela se relaciona com os diferentes níveis de maturidade da gestão de

1 von 8
Downloaden Sie, um offline zu lesen
Implemente a Auditoria Baseada em Riscos em sua organização! Francesco De Cicco Diretor-Executivo do QSP Coordenador do NGR Introdução O foco do trabalho dos auditores internos mudou tremendamente na última década. Houve uma transição da auditoria baseada em sistemas para a auditoria baseada em processos, e a ênfase atual é na Auditoria Baseada em Riscos (ABR). A ABR é um termo muito usado e muito mal compreendido. Este paper visa a apresentar a posição do QSP/NGR - Núcleo de Gestão de Riscos em relação à ABR e oferecer algumas diretrizes gerais sobre como abordá-la e praticá-la. O presente paper foi pautado no conteúdo do Manual Como implementar a Auditoria Baseada em Riscos nas organizações: uma abordagem inovadora, lançado recentemente pelo QSP. Contexto A definição atual de auditoria interna adotada pelo IIA – The Institute of Internal Auditors, do Reino Unido, e subscrita pelo QSP/NGR, é: "Atividade independente de garantia e consultoria, designada para agregar valor e melhorar as operações de uma organização. Auxilia a organização a atingir seus objetivos aplicando uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gestão de riscos, controles e governança.” Os auditores internos devem adotar uma abordagem baseada em riscos compatível com a abordagem adotada por sua organização. Há muitos enfoques que poderiam ser utilizados, dependendo de quanto a auditoria interna é capaz de se apoiar nos processos de gestão de riscos da organização. Isso possibilita ao auditor evitar a duplicação dos processos já realizados pela direção e lhe permite questionar os processos e as conclusões da direção sobre os riscos da companhia.
Pode ser que os auditores internos digam que sempre concentraram seus esforços nas áreas de maiores riscos da organização. Contudo, a experiência mostra que essa abordagem tem sido direcionada pela avaliação de riscos efetuada pela própria auditoria interna. A principal diferença é que o foco da ABR é entender e analisar a avaliação de riscos efetuada pela direção e basear os esforços de auditoria em torno dessa avaliação. Quais os objetivos da Auditoria Baseada em Riscos? O principal objetivo da ABR é fornecer garantia independente para o conselho de administração (ou para a alta direção) da organização de que: • os processos de gestão de riscos colocados em prática na empresa (abrangendo todos os níveis da companhia) estão operando conforme planejado; • tais processos de gestão de riscos têm um arcabouço sólido; • as respostas que a direção tem dado aos riscos são adequadas e eficazes na redução desses riscos a um nível aceitável para o conselho; • está em vigor uma estrutura sólida de controles para mitigar suficientemente os riscos que a direção deseja tratar. A ABR começa com os objetivos do negócio e se concentra nos riscos que foram identificados pela direção e que podem comprometer a consecução desses objetivos. O papel da auditoria interna é avaliar até que ponto é adotada e aplicada uma abordagem robusta de gestão de riscos pela direção em toda a organização, conforme planejado, para reduzir riscos a um nível aceitável (o chamado Apetite por Riscos). Embora a principal contribuição da auditoria interna seja fornecer garantia sobre o tratamento de riscos efetuado na organização (mediante processos de governança e controles), ela também pode aconselhar quanto a outros aspectos de resposta aos riscos, como as decisões de terminar, transferir ou tolerar riscos. A abordagem da Auditoria Baseada em Riscos é descrita a seguir de forma esquemática:
Objetivos Corporativos Identificação de riscos para a consecução dos objetivos Qual é o Apetite por Riscos da organização? O processo de gestão de riscos é adequado e eficaz na identificação, avaliação, manejo e relato de riscos? Sim Não Utilize a visão da Facilite a própria organização em identificação Facilite a relação aos riscos de riscos junto melhoria tanto quanto possível à direção Determine o Universo de Riscos Determine o escopo e a prioridade das tarefas de auditoria Com base nos riscos, selecione as áreas a serem avaliadas Para cada área, analise a adequação dos processos de gestão de riscos para identificar e manejar riscos Se estiver quase tudo OK Se não estiver OK Avalie os processos e determine como a Facilite a identificação de riscos e a direção obtém garantia de que as avaliação de: · riscos inerentes atividades de gestão de riscos estão . controles sendo realizadas conforme planejado · riscos residuais Dê garantia onde estiver OK ou facilite a melhoria onde não estiver
A prática da Auditoria Baseada em Riscos Pontos importantes: • O escopo da ABR inclui riscos estratégicos e riscos do negócio. • O ponto de partida é determinar se a organização estabeleceu objetivos apropriados, e então determinar se a empresa tem ou não um processo adequado para identificar, avaliar e manejar os riscos que causam impacto nesses objetivos. • Num ambiente maduro de gestão de riscos, o foco do trabalho de auditoria pode ser: o auditar a infra-estrutura de gestão de riscos como, por exemplo, recursos, documentação, métodos e relatórios; o auditar o sistema de controles de toda a organização e de cada área ou departamento; o realizar auditorias individuais que sejam predominantemente sobre riscos específicos. Caso vários riscos sejam controlados através de um sistema ou processo comum, talvez seja apropriado realizar uma auditoria combinada desse sistema ou processo. • Em ambientes de gestão de riscos menos maduros, caso as tarefas das auditorias individuais focalizem predominantemente todo um sistema, processo ou unidade de negócio, a auditoria interna deve analisar criticamente os objetivos do negócio e os processos de gestão de riscos dentro de cada uma dessas partes auditáveis. • Quando os processos de gestão de riscos forem adequados e enraizados, a auditoria interna, quando possível, se apóia na própria visão da organização com relação aos riscos, a fim de determinar o trabalho de auditoria que ela necessita conduzir. • Quando não puder se basear nos processos de gestão de riscos, a auditoria interna deve realizar sua própria avaliação de riscos (em conjunto com a direção), para determinar o nível preciso do trabalho necessário, e então focalizar a forma como a direção se assegura de que as atividades de gestão de riscos estão sendo praticadas conforme o planejado. • O resultado final de cada tarefa de auditoria individual deve ser assegurar que os riscos estão sendo gerenciados dentro de um nível aceitável (conforme definido no Apetite por Riscos da organização), ou facilitar e/ou definir melhorias conforme necessário.
Processo contínuo de gestão de riscos É óbvio, mas é importante enfatizar, que nem todas as organizações estão no mesmo estágio de implementação da gestão de riscos. O diagrama a seguir estabelece uma série de graus de maturidade da gestão de riscos e a abordagem da auditoria interna que pode ser adotada em cada estágio. Grau de Maturidade da Características Principais Abordagem da Gestão de Riscos Auditoria Interna Ingênuo Nenhuma abordagem formal Promove a gestão de riscos desenvolvida para a gestão e se baseia na avaliação de de riscos. riscos da própria auditoria. Consciente Abordagem para a gestão Promove a abordagem de riscos dispersa em corporativa de gestão de “silos”. riscos e se baseia na avaliação de riscos da própria auditoria. Definido Estratégia e políticas Facilita a gestão de riscos/se implementadas e relaciona com a gestão de comunicadas. Apetite por riscos e usa a avaliação dos Riscos definido. riscos pela direção quando apropriado. Gerenciado Abordagem corporativa para Audita os processos de a gestão de riscos gestão de riscos e utiliza a desenvolvida e comunicada. avaliação dos riscos pela direção conforme apropriado. Habilitado Gestão de riscos e controles Audita os processos de internos totalmente gestão de riscos e utiliza a incorporados às operações. avaliação dos riscos pela direção conforme apropriado. Cada organização deve determinar como ela deseja implementar a gestão de riscos. Isso ajudará a determinar seu Apetite por Riscos e o nível de “Maturidade de Riscos”. Por exemplo, nem todas as organizações desejarão atingir completamente o grau de risco Habilitado, pois talvez tenham que pesar os custos em relação à visão que têm dos benefícios potenciais. Cabe à alta direção e à equipe de gerentes determinar até que ponto desse processo contínuo desejarão chegar. Além da Maturidade de Riscos da organização, a extensão da avaliação de riscos que a própria auditoria interna deve realizar também depende do grau e da velocidade das mudanças estratégicas e organizacionais.
Conclusão A ABR não impede o uso de auditorias baseadas em sistemas e/ou processos, conforme as circunstâncias exijam. É, porém, uma abordagem que focaliza as questões que realmente interessam à organização e fornece garantias em relação ao arcabouço (framework) de gestão de riscos adotado pela empresa. A Auditoria Baseada em Riscos possibilita que a auditoria interna se ligue diretamente a esse framework de gestão de riscos, alavancando dessa forma as sinergias. Leitura complementar Aos interessados em utilizar a ABR como uma nova maneira de ampliar as sinergias entre todas as auditorias internas (financeiras, da qualidade, ambiental, da segurança da informação, da segurança e saúde no trabalho, etc.) conduzidas em suas organizações, recomendo a leitura do artigo: Auditoria Baseada em Riscos: mudando o paradigma das auditorias internas. Glossário Extraído do manual: Auditoria Baseada em Riscos - Como implementar a ABR nas organizações: uma abordagem inovadora Copyright  2007, Risk Tecnologia Editora. _______________________________________________________________ Análise de Riscos: uso sistemático das informações disponíveis para determinar a probabilidade de que ocorram eventos especificados e a magnitude de suas conseqüências, isto é, seu impacto. Apetite por Riscos: nível de risco considerado aceitável pelo conselho ou direção, que pode ser estabelecido em relação à organização como um todo, para grupos diferentes de riscos ou em termos de riscos individuais. Arcabouço (Framework) de Gestão de Riscos: totalidade de estruturas, metodologia, procedimentos e definições que uma organização decidiu utilizar para implementar seus processos de gestão de riscos. Auditoria Baseada em Riscos: metodologia que fornece garantia de que o arcabouço de gestão de riscos está operando conforme requerido pelo conselho. Avaliação de Riscos: processo utilizado para determinar as prioridades da gestão de riscos através da comparação do nível de risco com padrões, níveis-alvo de risco ou outros critérios pré-determinados. Cadastro de Riscos: lista completa, identificada pela direção, dos riscos que ameaçam os objetivos da organização.
Conselho: grupo diretivo de uma organização, como o conselho de administração, conselho de diretores, chefe de uma agência ou órgão legislativo, conselho de governantes ou curadores de uma organização sem fins lucrativos. Controle: qualquer ação tomada pela direção, pelo conselho e por outras partes para gerenciar os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos sejam atingidos. A direção planeja, organiza e dirige o desempenho das ações necessárias para manter os riscos em um nível aceitável, ou para aumentar a probabilidade do resultado desejado. Corporação: qualquer organização estabelecida para atingir um conjunto de objetivos. Diretor: membro de um conselho de comando, como o diretor da empresa, curador, conselheiro ou governante. Facilitação: trabalho com um grupo (ou indivíduo) para tornar mais fácil para o grupo (ou indivíduo) atingir os objetivos que o grupo tenha estabelecido para a reunião ou atividade. Isso envolve ouvir, observar, questionar e apoiar o grupo e seus membros. Não envolve realizar o trabalho nem tomar decisões. Garantia: apresentação de uma opinião ou conclusão em relação à credibilidade das informações divulgadas e ao processo que fornece tais informações, ou em relação à confiabilidade dos processos de acordo com sua conformidade com certos critérios. O receptor da opinião pode ficar seguro ou não, dependendo de outras influências por ele sofridas. Gestão Corporativa de Riscos (EWRM – Enterprise-wide Risk Management): processo estruturado, consistente e contínuo em toda a organização, para identificar, avaliar, estabelecer respostas e relatar oportunidades e ameaças que afetam a consecução de seus objetivos. Identificação de Riscos: processo para determinar quais eventos podem ocorrer e afetar os objetivos da organização, e quais são suas causas-raízes. Manejo de Riscos: implementação das respostas a riscos, que reduzem suas ameaças para abaixo do nível do apetite por riscos. Quando isso não for possível, deve-se relatar o risco ao conselho. Maturidade de Riscos: grau de adoção e aplicação, por parte da direção, de uma abordagem de gestão de riscos robusta, conforme planejada, em toda a organização, a fim de identificar, avaliar, decidir sobre respostas e relatar oportunidades e ameaças que afetam a consecução dos objetivos da organização. Monitoramento: processos que relatam à direção, em intervalos apropriados, o sucesso, ou não, das respostas a riscos. Plano de Auditorias Periódicas: lista de auditorias a serem conduzidas em um período de tempo especificado. Pontuação de Controle: diferença entre a pontuação do risco inerente e a pontuação do risco residual em um sistema quantitativo. Quanto maior for o valor, maior será a importância da gama de respostas que criarão a diferença. Também conhecida como ‘pontuação de resposta’.
Processo de Avaliação de Riscos: processo completo de identificação, análise e avaliação de riscos. Processos de Gestão de Riscos: processos para identificar, analisar, avaliar, manejar e controlar eventos ou situações potenciais, a fim de fornecer garantia adequada em relação à consecução dos objetivos da organização. Respostas a Riscos: meios através dos quais uma organização decide gerenciar cada risco. As principais categorias são: eliminar a atividade geradora do risco; tolerar o risco; transferi-lo para outra organização; ou tratá-lo, reduzindo seu impacto ou probabilidade. Controles internos são uma forma de tratar um risco. Risco: possibilidade de ocorrência de um evento que terá um impacto na consecução dos objetivos. O risco é mensurado em termos de conseqüência e probabilidade. Risco Inerente (ou Bruto): situação de um risco (mensurado em termos de impacto e probabilidade) sem levar em consideração qualquer resposta ao risco que a organização possa já ter adotado. Risco Residual (ou Líquido): situação de um risco (mensurado em termos de impacto e probabilidade) após levar em consideração qualquer resposta de gestão de riscos que a organização possa já ter adotado. Serviços de Consultoria: atividades de aconselhamento e outras relacionadas a serviços a clientes, cuja natureza e escopo são acordados com o cliente e cuja finalidade é agregar valor e melhorar os processos da organização de governança, gestão de riscos e os de controle, sem que o auditor interno assuma responsabilidades gerenciais. São exemplos: pareceres, conselhos, facilitação e treinamento. Serviços de Garantia: exame objetivo de evidências com o propósito de fornecer à organização uma avaliação independente dos processos de gestão de riscos, processos de controle ou processos de governança. São exemplos: exames financeiros, de desempenho, de conformidade legal, de segurança e due diligence. Universo de Auditorias: lista de auditorias que mostra os processos por elas cobertos e a importância ou prioridade desses processos.

Empfohlen

O que e_abr
O que e_abrO que e_abr
O que e_abrandrealeixes
 
Gestão de riscos sul américa
Gestão de riscos sul américaGestão de riscos sul américa
Gestão de riscos sul américaUniversidade Federal Fluminense
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Gerenciamento Risco Pwc
Gerenciamento Risco PwcGerenciamento Risco Pwc
Gerenciamento Risco PwcLuiz Deoclecio Fiore, CRMA Certified
 
Apresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosApresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosCaio Petrônios
 
A risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionA risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionNuno Silva
 
Gerenciamento de Riscos Corporativos FGV 2017
Gerenciamento de Riscos Corporativos FGV 2017 Gerenciamento de Riscos Corporativos FGV 2017
Gerenciamento de Riscos Corporativos FGV 2017 FAIR PLAY AD / @VeronicaRRSouza
 
Eletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosEletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosQualikadi Assessoria Técnica
 

Empfohlen

O que e_abr
O que e_abrO que e_abr
O que e_abrandrealeixes
 
Gestão de riscos sul américa
Gestão de riscos sul américaGestão de riscos sul américa
Gestão de riscos sul américaUniversidade Federal Fluminense
 
Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Si segurança e privacidade (1Sem2014)
Si segurança e privacidade (1Sem2014)Pedro Garcia
 
Gerenciamento Risco Pwc
Gerenciamento Risco PwcGerenciamento Risco Pwc
Gerenciamento Risco PwcLuiz Deoclecio Fiore, CRMA Certified
 
Apresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosApresentação sobre gerenciamento de riscos
Apresentação sobre gerenciamento de riscosCaio Petrônios
 
A risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionA risk-management-standard-portuguese-version
A risk-management-standard-portuguese-versionNuno Silva
 
Gerenciamento de Riscos Corporativos FGV 2017
Gerenciamento de Riscos Corporativos FGV 2017 Gerenciamento de Riscos Corporativos FGV 2017
Gerenciamento de Riscos Corporativos FGV 2017 FAIR PLAY AD / @VeronicaRRSouza
 
Eletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosEletrobras politica de-gestao-de-riscos
Eletrobras politica de-gestao-de-riscosQualikadi Assessoria Técnica
 
Auditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laAuditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laFrancesco De Cicco
 
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdfWCTreinamentos
 
Gestão de riscos sul américa
Gestão de riscos sul américaGestão de riscos sul américa
Gestão de riscos sul américaUniversidade Federal Fluminense
 
FTA Risk Advisory Services - 2018
FTA Risk Advisory Services - 2018FTA Risk Advisory Services - 2018
FTA Risk Advisory Services - 2018Marcelo Couceiro
 
Fta risk management_2018-july
Fta risk management_2018-julyFta risk management_2018-july
Fta risk management_2018-julyMarcelo Couceiro
 
Gestão riscos estratégicos
Gestão riscos estratégicosGestão riscos estratégicos
Gestão riscos estratégicosSymnetics Business Transformation
 
Taking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Aula03
Aula03Aula03
Aula03paulopcc
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRelliando dias
 
gestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfgestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfBrbaraMonteiro35
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - CosoFelipe Prado
 
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaGestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaCompanyWeb
 
Implementação da Gestão de Riscos Corporativos
Implementação da Gestão de Riscos CorporativosImplementação da Gestão de Riscos Corporativos
Implementação da Gestão de Riscos CorporativosCompanyWeb
 
Gestão de Riscos nas Operações Empresariais
Gestão de Riscos nas Operações EmpresariaisGestão de Riscos nas Operações Empresariais
Gestão de Riscos nas Operações EmpresariaisConselho Regional de Administração de São Paulo
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Jefferson Oliveira
 
Gestão de Riscos – a norma ABNT NBR ISO 31000
Gestão de Riscos – a norma ABNT NBR ISO 31000Gestão de Riscos – a norma ABNT NBR ISO 31000
Gestão de Riscos – a norma ABNT NBR ISO 31000Guilherme Witte Cruz Machado
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
OnBehalf Brasil
OnBehalf Brasil OnBehalf Brasil
OnBehalf Brasil Luiz Deoclecio Fiore, CRMA Certified
 
Melhores Práticas Comitê De Auditoria
Melhores Práticas Comitê De AuditoriaMelhores Práticas Comitê De Auditoria
Melhores Práticas Comitê De AuditoriaLuiz Deoclecio Fiore, CRMA Certified
 

Weitere ähnliche Inhalte

Ähnlich wie Implemente a Auditoria Baseada em Riscos e otimiza sua gestão

Auditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laAuditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laFrancesco De Cicco
 
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdfWCTreinamentos
 
FTA Risk Advisory Services - 2018
FTA Risk Advisory Services - 2018FTA Risk Advisory Services - 2018
FTA Risk Advisory Services - 2018Marcelo Couceiro
 
Fta risk management_2018-july
Fta risk management_2018-julyFta risk management_2018-july
Fta risk management_2018-julyMarcelo Couceiro
 
Taking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfHugoAmaral31
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRelliando dias
 
gestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfgestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfBrbaraMonteiro35
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - CosoFelipe Prado
 
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaGestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaCompanyWeb
 
Implementação da Gestão de Riscos Corporativos
Implementação da Gestão de Riscos CorporativosImplementação da Gestão de Riscos Corporativos
Implementação da Gestão de Riscos CorporativosCompanyWeb
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Jefferson Oliveira
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 

Ähnlich wie Implemente a Auditoria Baseada em Riscos e otimiza sua gestão (20)

Auditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-laAuditoria Baseada em Riscos: por que sua organização deve implementá-la
Auditoria Baseada em Riscos: por que sua organização deve implementá-la
 
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf
20211008_Modulo_t-RIsk_APR_Analise_Preliminar_de_Riscos.pdf
 
Gestão de riscos sul américa
Gestão de riscos sul américaGestão de riscos sul américa
Gestão de riscos sul américa
 
FTA Risk Advisory Services - 2018
FTA Risk Advisory Services - 2018FTA Risk Advisory Services - 2018
FTA Risk Advisory Services - 2018
 
Fta risk management_2018-july
Fta risk management_2018-julyFta risk management_2018-july
Fta risk management_2018-july
 
Gestão riscos estratégicos
Gestão riscos estratégicosGestão riscos estratégicos
Gestão riscos estratégicos
 
Taking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos CorporativosTaking - Gestão Integrada de Riscos Corporativos
Taking - Gestão Integrada de Riscos Corporativos
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
 
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdfLuz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
Luz_Solucoes_Workshop_Gerenciamento_Riscos.pdf
 
Aula03
Aula03Aula03
Aula03
 
Gerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BRGerência de Riscos Para certificação MPS-BR
Gerência de Riscos Para certificação MPS-BR
 
gestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdfgestao-de-riscos-eficaz.pdf
gestao-de-riscos-eficaz.pdf
 
CGU - Controles Internos - Coso
CGU - Controles Internos - CosoCGU - Controles Internos - Coso
CGU - Controles Internos - Coso
 
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de DefesaGestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
Gestão Eficaz da GRC - Governança, Risco e Conformidade | Três Linhas de Defesa
 
Implementação da Gestão de Riscos Corporativos
Implementação da Gestão de Riscos CorporativosImplementação da Gestão de Riscos Corporativos
Implementação da Gestão de Riscos Corporativos
 
Gestão de Riscos nas Operações Empresariais
Gestão de Riscos nas Operações EmpresariaisGestão de Riscos nas Operações Empresariais
Gestão de Riscos nas Operações Empresariais
 
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
Gerenciamento de riscos abordando os assuntos tratados no PMBOK®, ISO 31000 e...
 
Gestão de Riscos – a norma ABNT NBR ISO 31000
Gestão de Riscos – a norma ABNT NBR ISO 31000Gestão de Riscos – a norma ABNT NBR ISO 31000
Gestão de Riscos – a norma ABNT NBR ISO 31000
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 

Mehr von Luiz Deoclecio Fiore, CRMA Certified

Mehr von Luiz Deoclecio Fiore, CRMA Certified (6)

OnBehalf Brasil
OnBehalf Brasil OnBehalf Brasil
OnBehalf Brasil
 
Melhores Práticas Comitê De Auditoria
Melhores Práticas Comitê De AuditoriaMelhores Práticas Comitê De Auditoria
Melhores Práticas Comitê De Auditoria
 
Estudo.De.Caso.2 Banco.Real&Brasil Telecom
Estudo.De.Caso.2 Banco.Real&Brasil TelecomEstudo.De.Caso.2 Banco.Real&Brasil Telecom
Estudo.De.Caso.2 Banco.Real&Brasil Telecom
 
Estudo.De.Caso.1 Natura&Vale
Estudo.De.Caso.1 Natura&ValeEstudo.De.Caso.1 Natura&Vale
Estudo.De.Caso.1 Natura&Vale
 
Gerenciamento De Riscos Da InovaçãO Tecnologica
Gerenciamento De Riscos Da InovaçãO TecnologicaGerenciamento De Riscos Da InovaçãO Tecnologica
Gerenciamento De Riscos Da InovaçãO Tecnologica
 
Coso Erm Executive Summary Portuguese
Coso Erm Executive Summary PortugueseCoso Erm Executive Summary Portuguese
Coso Erm Executive Summary Portuguese
 

Implemente a Auditoria Baseada em Riscos e otimiza sua gestão

  • 1. Implemente a Auditoria Baseada em Riscos em sua organização! Francesco De Cicco Diretor-Executivo do QSP Coordenador do NGR Introdução O foco do trabalho dos auditores internos mudou tremendamente na última década. Houve uma transição da auditoria baseada em sistemas para a auditoria baseada em processos, e a ênfase atual é na Auditoria Baseada em Riscos (ABR). A ABR é um termo muito usado e muito mal compreendido. Este paper visa a apresentar a posição do QSP/NGR - Núcleo de Gestão de Riscos em relação à ABR e oferecer algumas diretrizes gerais sobre como abordá-la e praticá-la. O presente paper foi pautado no conteúdo do Manual Como implementar a Auditoria Baseada em Riscos nas organizações: uma abordagem inovadora, lançado recentemente pelo QSP. Contexto A definição atual de auditoria interna adotada pelo IIA – The Institute of Internal Auditors, do Reino Unido, e subscrita pelo QSP/NGR, é: "Atividade independente de garantia e consultoria, designada para agregar valor e melhorar as operações de uma organização. Auxilia a organização a atingir seus objetivos aplicando uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gestão de riscos, controles e governança.” Os auditores internos devem adotar uma abordagem baseada em riscos compatível com a abordagem adotada por sua organização. Há muitos enfoques que poderiam ser utilizados, dependendo de quanto a auditoria interna é capaz de se apoiar nos processos de gestão de riscos da organização. Isso possibilita ao auditor evitar a duplicação dos processos já realizados pela direção e lhe permite questionar os processos e as conclusões da direção sobre os riscos da companhia.
  • 2. Pode ser que os auditores internos digam que sempre concentraram seus esforços nas áreas de maiores riscos da organização. Contudo, a experiência mostra que essa abordagem tem sido direcionada pela avaliação de riscos efetuada pela própria auditoria interna. A principal diferença é que o foco da ABR é entender e analisar a avaliação de riscos efetuada pela direção e basear os esforços de auditoria em torno dessa avaliação. Quais os objetivos da Auditoria Baseada em Riscos? O principal objetivo da ABR é fornecer garantia independente para o conselho de administração (ou para a alta direção) da organização de que: • os processos de gestão de riscos colocados em prática na empresa (abrangendo todos os níveis da companhia) estão operando conforme planejado; • tais processos de gestão de riscos têm um arcabouço sólido; • as respostas que a direção tem dado aos riscos são adequadas e eficazes na redução desses riscos a um nível aceitável para o conselho; • está em vigor uma estrutura sólida de controles para mitigar suficientemente os riscos que a direção deseja tratar. A ABR começa com os objetivos do negócio e se concentra nos riscos que foram identificados pela direção e que podem comprometer a consecução desses objetivos. O papel da auditoria interna é avaliar até que ponto é adotada e aplicada uma abordagem robusta de gestão de riscos pela direção em toda a organização, conforme planejado, para reduzir riscos a um nível aceitável (o chamado Apetite por Riscos). Embora a principal contribuição da auditoria interna seja fornecer garantia sobre o tratamento de riscos efetuado na organização (mediante processos de governança e controles), ela também pode aconselhar quanto a outros aspectos de resposta aos riscos, como as decisões de terminar, transferir ou tolerar riscos. A abordagem da Auditoria Baseada em Riscos é descrita a seguir de forma esquemática:
  • 3. Objetivos Corporativos Identificação de riscos para a consecução dos objetivos Qual é o Apetite por Riscos da organização? O processo de gestão de riscos é adequado e eficaz na identificação, avaliação, manejo e relato de riscos? Sim Não Utilize a visão da Facilite a própria organização em identificação Facilite a relação aos riscos de riscos junto melhoria tanto quanto possível à direção Determine o Universo de Riscos Determine o escopo e a prioridade das tarefas de auditoria Com base nos riscos, selecione as áreas a serem avaliadas Para cada área, analise a adequação dos processos de gestão de riscos para identificar e manejar riscos Se estiver quase tudo OK Se não estiver OK Avalie os processos e determine como a Facilite a identificação de riscos e a direção obtém garantia de que as avaliação de: · riscos inerentes atividades de gestão de riscos estão . controles sendo realizadas conforme planejado · riscos residuais Dê garantia onde estiver OK ou facilite a melhoria onde não estiver
  • 4. A prática da Auditoria Baseada em Riscos Pontos importantes: • O escopo da ABR inclui riscos estratégicos e riscos do negócio. • O ponto de partida é determinar se a organização estabeleceu objetivos apropriados, e então determinar se a empresa tem ou não um processo adequado para identificar, avaliar e manejar os riscos que causam impacto nesses objetivos. • Num ambiente maduro de gestão de riscos, o foco do trabalho de auditoria pode ser: o auditar a infra-estrutura de gestão de riscos como, por exemplo, recursos, documentação, métodos e relatórios; o auditar o sistema de controles de toda a organização e de cada área ou departamento; o realizar auditorias individuais que sejam predominantemente sobre riscos específicos. Caso vários riscos sejam controlados através de um sistema ou processo comum, talvez seja apropriado realizar uma auditoria combinada desse sistema ou processo. • Em ambientes de gestão de riscos menos maduros, caso as tarefas das auditorias individuais focalizem predominantemente todo um sistema, processo ou unidade de negócio, a auditoria interna deve analisar criticamente os objetivos do negócio e os processos de gestão de riscos dentro de cada uma dessas partes auditáveis. • Quando os processos de gestão de riscos forem adequados e enraizados, a auditoria interna, quando possível, se apóia na própria visão da organização com relação aos riscos, a fim de determinar o trabalho de auditoria que ela necessita conduzir. • Quando não puder se basear nos processos de gestão de riscos, a auditoria interna deve realizar sua própria avaliação de riscos (em conjunto com a direção), para determinar o nível preciso do trabalho necessário, e então focalizar a forma como a direção se assegura de que as atividades de gestão de riscos estão sendo praticadas conforme o planejado. • O resultado final de cada tarefa de auditoria individual deve ser assegurar que os riscos estão sendo gerenciados dentro de um nível aceitável (conforme definido no Apetite por Riscos da organização), ou facilitar e/ou definir melhorias conforme necessário.
  • 5. Processo contínuo de gestão de riscos É óbvio, mas é importante enfatizar, que nem todas as organizações estão no mesmo estágio de implementação da gestão de riscos. O diagrama a seguir estabelece uma série de graus de maturidade da gestão de riscos e a abordagem da auditoria interna que pode ser adotada em cada estágio. Grau de Maturidade da Características Principais Abordagem da Gestão de Riscos Auditoria Interna Ingênuo Nenhuma abordagem formal Promove a gestão de riscos desenvolvida para a gestão e se baseia na avaliação de de riscos. riscos da própria auditoria. Consciente Abordagem para a gestão Promove a abordagem de riscos dispersa em corporativa de gestão de “silos”. riscos e se baseia na avaliação de riscos da própria auditoria. Definido Estratégia e políticas Facilita a gestão de riscos/se implementadas e relaciona com a gestão de comunicadas. Apetite por riscos e usa a avaliação dos Riscos definido. riscos pela direção quando apropriado. Gerenciado Abordagem corporativa para Audita os processos de a gestão de riscos gestão de riscos e utiliza a desenvolvida e comunicada. avaliação dos riscos pela direção conforme apropriado. Habilitado Gestão de riscos e controles Audita os processos de internos totalmente gestão de riscos e utiliza a incorporados às operações. avaliação dos riscos pela direção conforme apropriado. Cada organização deve determinar como ela deseja implementar a gestão de riscos. Isso ajudará a determinar seu Apetite por Riscos e o nível de “Maturidade de Riscos”. Por exemplo, nem todas as organizações desejarão atingir completamente o grau de risco Habilitado, pois talvez tenham que pesar os custos em relação à visão que têm dos benefícios potenciais. Cabe à alta direção e à equipe de gerentes determinar até que ponto desse processo contínuo desejarão chegar. Além da Maturidade de Riscos da organização, a extensão da avaliação de riscos que a própria auditoria interna deve realizar também depende do grau e da velocidade das mudanças estratégicas e organizacionais.
  • 6. Conclusão A ABR não impede o uso de auditorias baseadas em sistemas e/ou processos, conforme as circunstâncias exijam. É, porém, uma abordagem que focaliza as questões que realmente interessam à organização e fornece garantias em relação ao arcabouço (framework) de gestão de riscos adotado pela empresa. A Auditoria Baseada em Riscos possibilita que a auditoria interna se ligue diretamente a esse framework de gestão de riscos, alavancando dessa forma as sinergias. Leitura complementar Aos interessados em utilizar a ABR como uma nova maneira de ampliar as sinergias entre todas as auditorias internas (financeiras, da qualidade, ambiental, da segurança da informação, da segurança e saúde no trabalho, etc.) conduzidas em suas organizações, recomendo a leitura do artigo: Auditoria Baseada em Riscos: mudando o paradigma das auditorias internas. Glossário Extraído do manual: Auditoria Baseada em Riscos - Como implementar a ABR nas organizações: uma abordagem inovadora Copyright  2007, Risk Tecnologia Editora. _______________________________________________________________ Análise de Riscos: uso sistemático das informações disponíveis para determinar a probabilidade de que ocorram eventos especificados e a magnitude de suas conseqüências, isto é, seu impacto. Apetite por Riscos: nível de risco considerado aceitável pelo conselho ou direção, que pode ser estabelecido em relação à organização como um todo, para grupos diferentes de riscos ou em termos de riscos individuais. Arcabouço (Framework) de Gestão de Riscos: totalidade de estruturas, metodologia, procedimentos e definições que uma organização decidiu utilizar para implementar seus processos de gestão de riscos. Auditoria Baseada em Riscos: metodologia que fornece garantia de que o arcabouço de gestão de riscos está operando conforme requerido pelo conselho. Avaliação de Riscos: processo utilizado para determinar as prioridades da gestão de riscos através da comparação do nível de risco com padrões, níveis-alvo de risco ou outros critérios pré-determinados. Cadastro de Riscos: lista completa, identificada pela direção, dos riscos que ameaçam os objetivos da organização.
  • 7. Conselho: grupo diretivo de uma organização, como o conselho de administração, conselho de diretores, chefe de uma agência ou órgão legislativo, conselho de governantes ou curadores de uma organização sem fins lucrativos. Controle: qualquer ação tomada pela direção, pelo conselho e por outras partes para gerenciar os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos sejam atingidos. A direção planeja, organiza e dirige o desempenho das ações necessárias para manter os riscos em um nível aceitável, ou para aumentar a probabilidade do resultado desejado. Corporação: qualquer organização estabelecida para atingir um conjunto de objetivos. Diretor: membro de um conselho de comando, como o diretor da empresa, curador, conselheiro ou governante. Facilitação: trabalho com um grupo (ou indivíduo) para tornar mais fácil para o grupo (ou indivíduo) atingir os objetivos que o grupo tenha estabelecido para a reunião ou atividade. Isso envolve ouvir, observar, questionar e apoiar o grupo e seus membros. Não envolve realizar o trabalho nem tomar decisões. Garantia: apresentação de uma opinião ou conclusão em relação à credibilidade das informações divulgadas e ao processo que fornece tais informações, ou em relação à confiabilidade dos processos de acordo com sua conformidade com certos critérios. O receptor da opinião pode ficar seguro ou não, dependendo de outras influências por ele sofridas. Gestão Corporativa de Riscos (EWRM – Enterprise-wide Risk Management): processo estruturado, consistente e contínuo em toda a organização, para identificar, avaliar, estabelecer respostas e relatar oportunidades e ameaças que afetam a consecução de seus objetivos. Identificação de Riscos: processo para determinar quais eventos podem ocorrer e afetar os objetivos da organização, e quais são suas causas-raízes. Manejo de Riscos: implementação das respostas a riscos, que reduzem suas ameaças para abaixo do nível do apetite por riscos. Quando isso não for possível, deve-se relatar o risco ao conselho. Maturidade de Riscos: grau de adoção e aplicação, por parte da direção, de uma abordagem de gestão de riscos robusta, conforme planejada, em toda a organização, a fim de identificar, avaliar, decidir sobre respostas e relatar oportunidades e ameaças que afetam a consecução dos objetivos da organização. Monitoramento: processos que relatam à direção, em intervalos apropriados, o sucesso, ou não, das respostas a riscos. Plano de Auditorias Periódicas: lista de auditorias a serem conduzidas em um período de tempo especificado. Pontuação de Controle: diferença entre a pontuação do risco inerente e a pontuação do risco residual em um sistema quantitativo. Quanto maior for o valor, maior será a importância da gama de respostas que criarão a diferença. Também conhecida como ‘pontuação de resposta’.
  • 8. Processo de Avaliação de Riscos: processo completo de identificação, análise e avaliação de riscos. Processos de Gestão de Riscos: processos para identificar, analisar, avaliar, manejar e controlar eventos ou situações potenciais, a fim de fornecer garantia adequada em relação à consecução dos objetivos da organização. Respostas a Riscos: meios através dos quais uma organização decide gerenciar cada risco. As principais categorias são: eliminar a atividade geradora do risco; tolerar o risco; transferi-lo para outra organização; ou tratá-lo, reduzindo seu impacto ou probabilidade. Controles internos são uma forma de tratar um risco. Risco: possibilidade de ocorrência de um evento que terá um impacto na consecução dos objetivos. O risco é mensurado em termos de conseqüência e probabilidade. Risco Inerente (ou Bruto): situação de um risco (mensurado em termos de impacto e probabilidade) sem levar em consideração qualquer resposta ao risco que a organização possa já ter adotado. Risco Residual (ou Líquido): situação de um risco (mensurado em termos de impacto e probabilidade) após levar em consideração qualquer resposta de gestão de riscos que a organização possa já ter adotado. Serviços de Consultoria: atividades de aconselhamento e outras relacionadas a serviços a clientes, cuja natureza e escopo são acordados com o cliente e cuja finalidade é agregar valor e melhorar os processos da organização de governança, gestão de riscos e os de controle, sem que o auditor interno assuma responsabilidades gerenciais. São exemplos: pareceres, conselhos, facilitação e treinamento. Serviços de Garantia: exame objetivo de evidências com o propósito de fornecer à organização uma avaliação independente dos processos de gestão de riscos, processos de controle ou processos de governança. São exemplos: exames financeiros, de desempenho, de conformidade legal, de segurança e due diligence. Universo de Auditorias: lista de auditorias que mostra os processos por elas cobertos e a importância ou prioridade desses processos.