Planejamento de Auditoria com uso de

Matriz de Riscos

Arnaldo Ribeiro, CIA, CCSA

Novembro 2016
 AGENDA

Propsito da avaliao de riscos em auditoria

Modelo de Risco de Auditoria

Processo de Auditoria Baseada em Risco

Autoavaliao de Controles (CSA)
 Princpios Fundamentais de
Auditoria do Setor Pblico - ISSAI
100, 40:
 auxiliar o auditor a gerenciar os
riscos de emitir opinio ou
relatrio que seja inadequado nas
circunstncias da auditoria.
 Financeiras: o risco de que o auditor expresse uma concluso
inadequada quando as informaes financeiras apresentam distores
relevantes (ISSAI 200, 50)
 operacionais: o risco de obter concluses incorretas ou incompletas
sobre o desempenho, fornecendo informaes desequilibradas ou
deixando de agregar valor para os usurios (ISSAI 300, 28)
 conformidade: o objeto ou a informao do objeto apresentam
distores relevantes de conformidade em relao s normas
aplicveis, o auditor deixa de modificar sua opinio ou abord-las em
seu relatrio (ISSAI 400, 46 e 54)
 Identificao e avaliao de objetivos, riscos e controles
Normas de  71. Para determinar a extenso e o alcance da auditoria que
ser proposta, a unidade tcnica deve dispor de informaes
Auditoria relativas aos objetivos relacionados ao objeto que ser
auditado e aos riscos relevantes associados a esses
objetivos, bem como confiabilidade dos controles adotados
do TCU para tratar esses riscos...
 71.1. Alternativamente, caso a auditoria seja proposta sem
que as informaes relativas aos objetivos, riscos e controles
do objeto auditado estejam disponveis, tais informaes
devero ser obtidas na fase de planejamento do trabalho...
IPPF
 2210 Objetivos do Trabalho de Auditoria
 2210.A1 Os auditores internos devem conduzir uma avaliao preliminar dos riscos
relevantes para a atividade sob reviso. Os objetivos do trabalho de auditoria devem
refletir os resultados desta avaliao.

 2201 Consideraes sobre o Planejamento

No planejamento dos trabalhos de auditoria, os auditores internos devem
considerar:
...
Os riscos significativos para os objetivos, recursos e operaes da atividade e os meios
pelos quais o impacto potencial dos riscos mantido em um nvel aceitvel.
 Definio de Auditoria Interna
A auditoria interna uma atividade independente e objetiva de avaliao
(assurance) e de consultoria, desenhada para adicionar valor e melhorar as
operaes de uma organizao.
Ela auxilia uma organizao a realizar seus objetivos a partir da aplicao de uma
abordagem sistemtica e disciplinada para avaliar e melhorar a eficcia dos
processos de gerenciamento de riscos, controle e governana.
 Abordagem da auditoria na gesto de riscos
Maturidade Caractersticas da Gesto de Riscos Abordagem da Auditoria Interna

Ingnuo Nenhuma abordagem formal Promover a Gesto de Riscos

Utilizar a avaliao de riscos feita pela
prpria auditoria
Maior
Consciente Abordagem dispersa em silos interveno e Promover abordagem formal
envolvimento Utilizar a avaliao de risco feita pela
Nenhuma
direto inicial no prpria auditoria
interveno.
IIA 2009, Norma 2120
Definido - 1, 3 - poltica
Estrutura, Em e processo estabelecidos
programa dee Volta de
Facilitar a Gesto ao seu
Riscos
situaes em que comunicados
a organizao gesto de riscos papel tradicional
Utilizar avaliao de risco feita pela gesto,
no tenha processos formais de
Apetite a risco definido de
onde apropriado avaliao e
gesto de risco, o responsvel pela assegurao dos
Gerenciado
auditoria Gesto de
precisa Riscos totalmente implementada
discutir Auditar a Gesto de Riscos
processos
formalmente com a administrao Utilizar avaliao de risco
integrados de feita pela gesto,
e com o conselho as suas onde apropriado ERM e SCI
Controlado Gesto
obrigaes de entender, de Riscos
gerenciar e e Controle Interno totalmente Auditar Gesto de Riscos e SCI
integrados s operaes
monitor o riscos da organizao... Utilizar avaliao de risco feita pela gesto
O Modelo de Risco em Auditoria

RA = RI x RC x RD
RDR = (RI x RC)
RD = RA/RDR, isto
RD = RA / (RI x RC)
 Processo de Auditoria Baseada em Risco
Fatores de risco
(ambiente)
Riscos inerentes
(transaes)
Identificao de riscos
Objetivo da Auditoria
Elaborao do Programa
Avaliao de riscos de Auditoria:
inerentes (RI) -Testes de controle
Identificao dos -Procedimentos substantivos
objetivos do Objeto
Avaliao das respostas
- Controles (RC) Obteno de evidncias
de controle

Decises sobre riscos Obteno de evidncias

residuais (RR ou RDR) substantivas

Escopo de Auditoria Elaborao do Relatrio

Incluir no planejamento da auditoria procedimentos
preliminares de avaliao de risco, mediante entendimento do
objeto e do seu ambiente, inclusive do controle interno,
destinada a:
 Levantar informaes preliminares
Pesquisar/requisitar informaes ou documentos que as contm, para
entender o negcio e o contexto das operaes.
Misso, viso, Objetivos estratgicos, tticos, operacionais
Trabalhos anteriores, base normativa
Anlise SWOT, DVR, Ishikawa, etc.
 Realizar procedimentos analticos preliminares
Desenvolver expectativas por meio de anlises quantitativas de informaes
histricas de atividades, resultados, indicadores, oramento e outras.
 Indagar administrao e a outros (5W2H)
Desenvolver percepes em relao atividade que ser auditada (objetivos,
riscos, aspectos de relevncia).
 Observar e inspecionar operaes e atividades
 Entender como as operaes e as atividades so executadas e controladas.
 Documentao do entendimento

 Convm que um Memorando Descritivo seja elaborado para descrever

os elementos do processo referenciar os demais documentos utilizados
para registrar o entendimento do objeto:

Mapa de Processo ou Fluxograma

Matriz SWOT e DVR

QACI, se aplicado, e resumo avaliativo do controle interno
 Na fase de relatrio o memorando descritivo, revisado aps a fase de
execuo, compor a seo Viso Geral do Objeto do relatrio da
auditoria.
Elaborao da Matriz de Avaliao de Riscos

1. Identificao dos riscos inerentes

2. Anlise dos riscos inerentes (RI = I x P)
Matriz de
3. Identificao dos controles que mitigam os riscos inerentes Avaliao
de Riscos
4. Avaliao do desenho e da implementao dos controles internos
5. Definio da abordagem de auditoria
6. Elaborao e aprovao do Programa de Trabalho
7. Fase Execuo

8. Fase Relatrio
Identificao dos riscos inerentes

Matriz de Avaliao do Riscos

Riscos Avaliao Avaliao Risco

Respostas Abordagem
RI CI Residual
Fase 1
Objetivo

Identificao dos riscos inerentes

Fase 2

Fase n
 Componentes do risco

RISCO

CAUSA EVENTO CONSEQUNCIA

Impacto em um
Fontes do risco Incidente
objetivo

Vulnerabilidades Irregularidade Perda

Norma ISO 31000: 2009, item 2.15

 Causa = fonte + vulnerabilidade
 Fonte de risco: elemento que, individualmente ou combinado, tem o
potencial intrnseco para dar origem ao risco:
 Pessoas
 Processos
 Sistemas
 Infraestrutura fsica/organizacional
 Tecnologia [de produto ou de produo]
 Eventos externos (no gerenciveis)
 Vulnerabilidade: inexistncia/falta, inadequao, insuficincia associada
a uma fonte de risco.
 Exemplos de Causas
Da Fonte
 Pessoas

Vulnerabilidades
 Em nmero insuficiente
 Sem capacitao
 Perfil inadequado
 Desmotivadas
 ...
 Sintaxe para descrio do risco

Devido a <CAUSA ou FATOR DE RISCO = Fonte + Vulnerabilidade>, poder acontecer

<EVENTO>, o que poder levar a <CONSEQUNCIA> impactando no/na <DIMENSO DE
OBJETIVO>.
Os componentes do risco tambm podem ser descritos em colunas separadas de planilhas
ou registros de bancos de dados.

Evento Causa Consequncia/Impacto

Avaliao dos riscos inerentes

Matriz de Avaliao de Riscos

Riscos Avaliao
Extremo Avaliao Risco Referncia
Respostas
RI CI Residual Teste de CI
Fase 1
Objetivo

Avaliar nvel de Risco Inerente

Fase 2

Fase n
 Matriz Impacto x Probabilidade
Legenda Nvel de Risco
Probabilidade
Extremo
Alto
1 2 5 8 10
Mdio
Muito Baixa Baixa Mdia Alta Muito Alta
Baixo
10
10 20 50 80 100
Muito Alto
Extremo
Extremo
8 Alto
8 16 40 64 80
Alto
Impacto

5
5 10 Mdio 25 Alto 40 50
Mdio
2
2 4 10 16 20
Baixo
Baixo
1
1 2 5 8 10
Muito Baixo Baixo
Escala de Probabilidades
Exemplo Qualitativo
Magnitude Descrio P
Evento Improvvel de ocorrer. Excepcionalmente poder at ocorrer, porm no h
Muito Baixa 1
elementos ou informaes que indiquem essa possibilidade.

Evento Raro de ocorrer. O evento poder ocorrer de forma inesperada, havendo poucos
Baixa 2
elementos ou informaes que indicam essa possibilidade.

Evento possvel de ocorrer. H elementos e ou informaes que indicam moderadamente

Mdia 5
essa possibilidade.

Evento provvel de ocorrer. esperado que o evento ocorra, pois os elementos e as

Alta 8
informaes disponveis indicam de forma consistente essa possibilidade.

Evento praticamente certo de ocorrer. Inequivocamente o evento ocorrer, pois os

Muito Alta 10
elementos e informaes disponveis indicam claramente essa possibilidade.
Identificao e avaliao das respostas
aos riscos inerentes
Matriz de Avaliao de Riscos

Riscos AvaliaoRI
Avaliao Inexistente AvaliaoCI
Avaliao Risco Referncia
Controles
RI CI Residual Teste de CI
Fase 1
Objetivo

Inexistente
Associar CI aos riscos,
Avaliar o desenho e a
Fase 2 implementao dos
Inexistente controles

Fase n
 Escala para avaliao de desenho
e implementao dos controles
Situao do controle existente Avaliao do Controle

Controle inexistente ou no funcional/no implementado. 1 - Inexistente

Controle no institucionalizado, depositado na esfera de conhecimento pessoal dos

2 - Fraco
operadores do processo, em geral realizado de maneira manual.

Controle razoavelmente institucionalizado, mas pode falhar por no contemplar todos os

aspectos relevantes do risco ou porque seu desenho ou as ferramentas que o suportam 3 - Mediano
no so adequados.

Controle institucionalizado e embora passvel de aperfeioamento, sustentado por

4 - Satisfatrio
ferramentas adequadas e mitiga o risco razoavelmente.
Controle institucionalizado e sustentado por ferramentas adequadas, podendo ser
considerado em um nvel de melhor prtica; mitiga o risco em todos os aspectos 5 - Forte
relevantes.
 Nvel de Confiana e Risco de Controle
Avaliao do Controle Nvel de confiana nos controles Risco de Controle
(multiplica o RI)

Nenhum nvel de confiana. Considerando o Risco Inerente Extremo

1 - Inexistente 100
100 , o nvel de confiana nos controles seria zero temos: 100 0.

Nvel de confiana de 20%. O controles so capazes de mitigar 20%

2 - Fraco 80
dos eventos. Risco de controle = 100 20.

Nvel de confiana de 40%. O controles so capazes de mitigar 40%

3 - Mediano 60
dos eventos. Risco de controle = 100 40.

Nvel de confiana de 60%. O controles so capazes de mitigar 60%

4 - Satisfatrio 40
dos eventos. Risco de controle = 1 00 - 60.
Nvel de confiana de 80%. O controles so capazes de mitigar 80%
5 - Forte dos eventos. Risco de controle = 100 - 80. 20
Pois, devido s limitaes inerentes aos controles, eles nunca do uma garantia absoluta.
Avaliao dos Riscos residuais

Matriz de Avaliao de Riscos

Riscos Avaliao Avaliao

Avaliao Risco Abordagem
Controles
Inexistente RDR/RR
RI Desenho
CI CI Residual de
de Auditoria
Auditoria
Fase 1
Objetivo

Inexistente

Fase 2
Inexistente

Fase n
Matriz de Avaliao de Riscos
Abordagem de Auditoria
Baixo Nvel de confiana dos testes substantivos Alto

Alto Risco de Deteco Tolervel Baixo

Baixo Nvel avaliado de risco de RI e de RC Alto

Testes de Controle

Procedimentos
Substantivos
 Procedimentos

1. Identificao dos riscos inerentes

2. Anlise dos riscos inerentes (RI = I x P)
3. Identificao dos controles que mitigam os riscos inerentes
4. Avaliao do desenho dos controles e dos riscos residuais
5. Elaborao do Programa de Auditoria Baseado em Risco
Procedimentos de testes EOC controles e procedimentos substantivos)
6. Fase Execuo

7. Fase Relatrio
 Elaborao do programa de auditoria

Norma 2240 Programa de Trabalho de Auditoria

Os auditores internos devem desenvolver e documentar programas de
trabalho que atendam os objetivos do trabalho.
2240.A1 Os programas de trabalho devem incluir os procedimentos para
identificar, analisar, avaliar e documentar as informaes durante o trabalho
de auditoria. O programa de trabalho deve ser aprovado antes de ser
implantado e quaisquer ajustes devem ser prontamente aprovados.
 Resultados
55,59
Lei de Informtica
43,90

42,20
PADIS e PATVD
36,55

61,60
Lei do Bem NAI
57,64
NAR

44,39
Inovar-Auto
41,45

58,14
Lei de Informtica da ZFM
47,36

- 10 20 30 40 50 60 70
Autoavaliao de Controles
Nvel de atividade
 Definio e Propsito

Segundo a literatura do IIA:

A AAC um processo atravs do qual a eficcia do controle interno
examinada e avaliada. O objetivo prover segurana razovel de que todos
os objetivos de negcio sero alcanados (IIA, 1998).