Auditoria Baseada em Riscos - ABR
Prof. Francisco Chaves
Adaptado de:
Francesco de Cicco (Risk Management, 2007)
PMBOK®
Instituto de Auditores do Reino Unido e Irlanda – IIA
▪ Atividade Profissional de Auditoria Interna (AI): alcançar sua missão como
alicerce da governança;
▪ Atuação no contexto do próprio arcabolço (framework) de gestão de riscos
da organização.
“Abordagem conhecida como Auditoria Baseada em Riscos - ABR” (IIA, 2003).
PMBOK®
ABR – questões abordadas:
▪ Por que a ABR deve ser introduzida;
▪ Como a ABR pode ser implementada; e
▪ As vantagens da ABR.
Foco:
“Áreas para as quais a ABR requer ações que diferem de outras metodologias de AI”
“Toda organização é diferente: com atitude diferente em relação aos riscos; estrutura
diferente; processos diferentes ; e linguagem diferente”.
PMBOK®
IIA - The Institute of Internal Auditors
▪ Define ABR como “metodologia que associa a Auditoria Interna (AI) ao
arcabolço global de gestão de riscos de uma organização.
▪ A ABR possibilita que uma AI dê garantia ao Conselho Diretivo de que
os processos de gestão de riscos estão gerenciando os riscos de maneira
eficaz em relação ao apetite por riscos”.
“O estabelecimento de metas e a avaliação de funcionários
podem tornar-se aspectos mais complexos”.
Gestão de Riscos
Alguns Conceitos
Risco: Condição com potencial para causar danos.
Perigo: Caracteriza uma relativa exposição ao risco.
Dano: Severidade de lesar ou perda física, funcional ou econômica,
que pode resultar da “materialização” de um risco.
Perda: Custo/gasto não planejado, que pode ou não ser recuperado.
PARADOXO ARRISCADO
▪ Não se consegue combater o risco, porque vive-se do risco;
▪ A razão do ser humano na terra é o próprio risco;
▪ Inovar, empreender e arriscar são sinônimos.
Adaptado de: Prof. Dr. Paulo R. A. de Oliveira
Palestra: “Proteção social da saúde do trabalhador” - maio de 2015.
IIA - The Institute of Internal Auditors
Na ABR a AI deve poder concluir que:
▪ A direção identificou, avaliou e respondeu aos riscos acima e abaixo de
seu apetite por riscos;
▪ As respostas aos riscos são eficazes, mas não excessivas na gestão dos
riscos inerentes;
▪ Quando os riscos residuais não estão alinhados ao apetite por riscos, são
tomadas ações para reparar isso;
▪ Os processos de gestão de riscos, incluindo a eficácia das respostas e a
conclusão das ações, estão sendo monitorados pela direção para garantir
que continuem a operar de maneira eficar; e
▪ Riscos, respostas e ações estão sendo classificados e relatados
adequadamente.
Auditoria Baseada em Riscos (ABR)
● Uma evolução da auditoria convencional;
● Auditoria convencional: foco na avaliação do sistema de
controle interno da organização;
● A Auditoria Baseada em Riscos (ABR): foco na avaliação da
postura da administração perante os riscos – o apetite por
riscos;
● A auditoria deixa de ser reativa e passa a ser preventiva;
● Gerenciamento de riscos: considerado como função
estratégica e diferencial competitivo para a organização.
Auditoria Convencional versus Auditoria Baseada em Riscos (ABR)
Área de Auditoria Auditoria Convencional
(AC)
Auditoria Baseada em Riscos
(ABR)
Foco da auditoria Sistema de controle interno Risco do negócio
Foco de teste Atividades de controle Atividades de mitigação dos
riscos
Foco de relatório Adequação e eficácia do
controle interno
Adequação e eficácia da
mitigação dos riscos
Resultados de
auditoria
Controle novo ou melhoria Mitigação de risco apropriada
Auditoria convencional: Focada nos processos operacionais
Auditoria baseada em riscos: Focada no negócio
Auditoria Convencional versus Auditoria Baseada em Riscos (ABR)
Enfoque Tradicional (AC)Foco nos controles
Enfoque em Riscos (ABR)Foco nos riscos
Testes com base em programa de trabalho
- endereçando objetivos de controle
padrão
Testes com base nos riscos de negócio,
identificados no levantamento de
informações
Testes de todos os controles
Testes focalizados - somente dos controles
que minimizam os riscos relevantes
Inspecionar, detectar e reagir aos riscos de
negócios
Antecipar e prevenir riscos de negócios
na origem
Maior parte do tempo gasto em testes,
validação e consolidação
Maior parte do tempo gasto em
levantamento e análise de informação.
✓ Ênfase na base e amplitude dos testes, ações;
✓ Foco nas duas modalidades de auditoria em questão.
Auditoria Tradicional (AC) Auditoria Moderna(ABR)
Foco Foco nas demonstrações
financeiras
Foco no negócio
Direção Conformidade Desempenho
Enfoque Transações Risco e processo - em trabalho contínuo
Equipe Basicamente de auditores Equipe multidisciplinar
Relatório Parecer, carta de
recomendações
Parecer, business Model, Análise de
riscos, GAP analysis e sugestões de
melhoria.
Auditoria Baseada em Riscos (ABR) como Auditoria Moderna
Aspectos: Destaque para a Direção e para a Equipe.
Auditoria Convencional (AC) versus Auditoria Baseada em Riscos (ABR)
(Condução dos Trabalhos)
Auditoria antiga...(AC) Auditoria moderna...(ABR)
Diz o que deve ser feito para a emissão de
um Parecer
Diz como fazer uma auditoria para emissão
de um Parecer
Utiliza uma linguagem voltada ao mundo
da auditoria
Descreve como atingir os objetivos por
meio da análise dos processos do negócio
do cliente (inclui relação cliente/fornecedor)
Enfoca a auditoria como uma
administração de um projeto
Apresenta ferramentas e técnicas que
podem ser utilizadas em um trabalho de
auditoria
Descreve políticas para obtenção da
qualidade consistente
Descreve como realizar um trabalho –
conforme auditoria moderna
A AC é departamentalizada – por setores A ABR vê a empresa como sistema
integrado – um risco pode permear por
diversos setores
AC: o quê o auditor deve fazer para alcançar os resultados
ABR: como deve fazer seus trabalhos para alcançar os resultados
Auditoria Baseada em Riscos (ABR)
(Vantagens/Benefícios)
Auditoria moderna (ABR) fornece... Por meio de...
Uma forma incomum e detalhada de
entender os negócios do cliente
Foco nos negócios e na indústria que
atua
Diminuição dos riscos Foco nos riscos do negócio do cliente
Eficiência efetiva de auditoria Análise específica dos negócios
Benefício da experiência obtida no
passado
Uso de banco de dados e oportunidade
de novas experiências e aplicabilidade
em outros casos.
Oportunidade de desenvolvimento
profissional de cada membro da equipe
Enfoque de equipe, fornecendo serviços
de forma a atuar em sinergia
Relacionamento de longo prazo com os
clientes – passo para a fidelização
Foco contínuo no negócio – correlação
com os relatórios e resultados.
AC: controles, por si só, não garantem sucesso, pois são pontuais
ABR: agrega valor à organização – negócios e tendências
Auditoria Baseada em Riscos (ABR)
(Desvantagens)
Aspecto Comentário
Auditoria convencional (AC) interna é
mais fácil de praticar
Base em padrões objetivos (controles
internos, metas, legislação, normas,
políticas internas etc.
A ABR requer especialização do auditor
nas áreas afins
Na maior parte do tempo a ABR é
realizada com base em padrões
subjetivos (estratégias, negócios,
clientes, gestão de riscos etc)
Os resultados da AC são mais palpáveis Tem caráter investigativo, corretivo,
reativo. Já, “As medidas de
prevenção (na ABR) embaçam
seus resultados pela
subjetividade”
Estágios da Implementação da ABR
1. Avaliação da maturidade dos riscos
Obtenção de um panorama do quanto o Conselho determina, avalia, maneja e
monitora os riscos. Isso dá uma indicação da confiabilidade do cadastro de riscos
para planejamento da auditoria.
2. Planejamento de auditorias periódicas
Identificação de auditorias de garantia e consultorias para um período específico,
por meio da identificação e priorização de todas as áreas nas quais o Conselho
requer a garantia objetiva, incluindo os processos de gestão de riscos, o manejo dos
riscos-chave e o registro e relato dos riscos.
3. Auditorias individuais
Realização de tarefas individuais baseadas em riscos, incluindo a mitigação de
riscos individuais ou de grupos de riscos.
Os Três Estágios da Auditoria Baseada em Riscos (ABR)
Estágios Objetivos Etapas
1º Estágio: Avaliação
da maturidade dos
riscos – obtenção do
panorama em função do
conselho/direção par o
planejamento
▪ Avaliar a maturidade de riscos da
organização;
▪ Relatar tal avaliação à direção e
ao comitê de auditoria;
▪ Definir estratégia de auditoria.
▪ Discutir (diretores/gerentes) o
entendimento e maturidade de
riscos existente;
▪ Obter documentos refs. à gestão de
riscos na organização;
▪ Concluir sobre maturidade e relatar
à direção e comitê;
▪ Trabalhar com direção sobre ações
propostas em função da avaliação;
▪ Decidir estratégia de auditoria p
avaliação e obter aprovação
(direção/comitê)
2º Estágio:
Planejamento
auditorias periódicas –
identificação de
auditorias de garantia e
consultorias. Priorização
das áreas em que o
conselho requer garantia
objetiva (manejo, riscos-
chave registro e relato)
▪ Harmonizar todas as respostas de
gestão de riscos e processos para
os quais é exigida garantia
objetiva da Auditoria Interna;
▪ Elaborar plano de auditoria com
enumeração de todas a serem
realizadas no período/ano
▪ Identificar as respostas e processos
de gestão de riscos que requerem
garantia objetiva;
▪ Categorizar e priorizar riscos;
▪ Associar riscos a tarefas de
auditoria;
▪ Elaborar plano específico de
auditoria;
▪ Relatar à direção e ao comitê de
auditoria.
Os Três Estágios da Auditoria Baseada em Riscos (ABR)
(Continuação…)
Estágios Objetivos Etapas
3º Estágio: Auditorias
individuais– execução
de tarefas individuais
baseadas em riscos para
obter garantias sobre
partes do arcabouço de
gestão, com mitigação
de riscos individuais ou
de grupos de riscos
▪ A direção identificou, avaliou e
respondeu aos riscos - acima e
abaixo do apetite por riscos;
▪ As respostas aos riscos são
eficazes, mas não em excesso, no
gerenciamento dos riscos
inerentes;
▪ Se os riscos individuais não são
compatíveis com o apetite por
riscos – tomar ações para
remediação;
▪ Os processos de gestão de riscos
são monitorados pela direção
garantindo sua operação eficaz;
▪ Riscos, respostas e ações estão
sendo classificados e relatados
adequadamente.
▪ Definição do escopo planejado da
tarefa;
▪ Avaliação da maturidade de riscos
da unidade que está sendo auditada;
▪ Conclusões sobre a maturidade de
riscos da unidade auditada;
▪ Confirmação do escopo da tarefa;
▪ Discussão e observação dos
controles de monitoramento;
▪ Verificação das evidências,
explicações, retrabalhos etc.;
▪ Documentação dos resultados da
auditoria;
▪ Análise da avaliação dos riscos
residuais – pela direção;
▪ Conclusões sobre respostas e
processos de gestão de riscos
cobertos pela tarefa;
▪ Relato e realimentação (feedback);
▪ Sumário das conclusões da
auditoria para o comitê de
auditoria.
Estágios da ABR Legenda
Fluxo trabalho de auditoria
Fonte quando possível
Relatórios de AI
1. Avaliação da
Maturidade de
Riscos
Estratégia Global
das Auditorias
2. Planejamento
de Auditorias
Periódicas
Plano de
Auditorias
Requisitos de
Garantia
Comitê
de
Auditoria
3. Auditorias
Individuais
Cadastro de
Riscos
Resultados das
Auditorias
Comitê
de
Auditoria
Estágio 1: Ações para atingir os objetivos
1. Discutir com diretoria, o entendimento sobre maturidade de riscos. Ver o que já
foi feito: treinamentos, entrevistas, workshops;
2. Obter documentos que detalhem: objetivos/política da organização, definição do
“apetite” por riscos, se há metodologia de riscos e na tomada de decisão, o
cadastro dos riscos, outros documentos que registrem comprometimento da
direção em relação à gestão de riscos;
3. Avaliar e concluir sobre o grau de maturidade de riscos: habilitado, gerenciado,
definido, consciente e ingênuo (ex. Testes de auditoria);
4. Relatar as conclusões e implicações. O IIA considera que organizações com
grau de maturidade ingênuo ou consciente, não estão em conformidade com as
Diretrizes e Código de governança Corporativa;
5. Discutir com a Direção, quais ações propostas - p. ex., consultoria para AI;
6. Definir estratégia de auditoria, com aprovação da Diretoria e Comitê de
Auditoria.
Elementos potenciais em uma estratégia de auditoria ABR
1. Tipo de garantia que se espera dar;
2. Arcabolço que será utilizado para o planejamento da auditoria;
3. Tipo de consultoria que se espera fornecer.
Organizações com grau de maturidade de riscos ingênuo ou consciente
não conseguirão implementar a ABR imediatamente. Mas, os benefícios
podem ser alguns aspectos, p. ex., a AI pode ajudar a melhorar os processos
de gestão, relatando à direção e ao comitê de auditoria, e promovendo a
gestão de riscos em todas as atividades de AI.
Variedade de estratégias de auditoria
GRAU
DE MATURIDADE
DE
RISCOS
DA ORGANIZAÇÃO
Ing
ênu
o
Estratégia (I):
Registro – não há gestão de riscos
Consultoria , promover gestão de riscos
Plano de auditoria (arcabolço alternativo)
Garantia de processos de controleEstratégia (C)
Relatos de gestão de riscos fraca
Consultoria, promover gestão deriscos
Plano auditoria (arcabolço alternativo)
Garantia dos processos de controle
Estratégia (D)
Relatos de deficiências na gestão de riscos
Consultoria para integrar gestão de riscos
Corrigir/adequar a visão da direção sobre riscos
Garantia das políticas de gestão de riscos
Estratégia (G)
Visão da direção impulsiona plano auditoria
Garantia de gestão de riscos e mitigação
Consultoria para melhorar gestão de riscos
Estratégia (H)
Visão da direção impulsiona planoauditoria
Garantia de gestão de riscos emitigação
Consultoria conforme necessário
Avaliação do grau de maturidade de riscos da organização
Ingênuo Consciente Definido Gerenciado HabilitadoExs. de Testes
de Auditoria
Características-
chave
Nenhuma
abordagem formal
p gestão riscos
Abordagem p
gestão de riscos
dispersa
Estratégias,
políticas
implementadas.
Apetite por riscos
definido
Abordagem
corporativa p gestão
riscos desenvolvida
e comunicada
Gestão de riscos e
controles
incorporados às
operações
Processo
Objetivos da
organização
definidos
Possivelmente Sim – mas
abordagem pode
não ser consistente
Sim Sim Sim Checar se objetivos
são definidos e
comunicados pelo
conselho
Direção foi treinada p
compreender riscos e
responder por eles
Não Algum treinamento
- limitado
Sim Sim Sim Entrevistar gerentes
– confirmar
entendimentos
sobre riscos
Sistema pontuação
para avaliar riscos foi
definido
Não Improvável – sem
definição de
abordagem
consistente
Sim Sim Sim checar se o sistema
de pontuação foi
aprovado,
comunicado e se
está sendo usado
Apetite por riscos da
organização foi
definido em termos
do sistema de
pontuação
Não Não Sim Sim Sim Checar documento
no qual grupo de
controle aprovou
“apetite” por riscos
Avaliação do grau de maturidade de riscos da organização(continuação…)
Ingênuo Consciente Definido Gerenciado HabilitadoExs. Testes de
Auditoria
Processo
Riscos não
analisados pela
organização
regularmente
Não Alguns riscos são
analisados
criticamente, não
frequentemente
Análises críticas
regulares,
provavelmente
anuais
Análises críticas
regulares,
provavelmente
trimestrais
Análises críticas
regulares,
provavelmente
trimestrais
Buscar evidências
de análise crítica -
regularmente pela
diretoria
Administração relata
riscos para diretores
quando as respostas
não conduziram
riscos para nível
aceitável pelo
Conselho
Não Não Sim, mas pode não
ser um processo
formal
Sim Sim Para riscos acima
de “aceitáveis” –
verificar se o
Conselho foi
informado sobre
tais riscos
Novos projetos
significativos são
avaliados quanto a
risco, rotineiramente
Não Não Maioria dos
Projetos
Todos os projetos Todos os projetos Examinar propostas
de projeto para uma
análise dos riscos
que possam
ameaça-los
Responsabilidade
pela determinação
avaliação e manejo
dos riscos está
incluída nas
descrições de cargos
não não limitada Maioria das
descrições de
cargos
Sim Examinar
descrições de
cargos. Verificar
instruções para
estabelecer
descrições de
cargos
Avaliação do grau de maturidade de riscos da organização(continuação…)
Ingênuo Consciente Definido Gerenciado HabilitadoExs. Testes de
Auditoria
Processo
Gerentes dão
garantia da eficácia
de sua gestão de
riscos
Não Não Não Alguns gerentes Sim Examinar a
garantia fornecida.
Para iscos-chave,
verificar se os
controles e o
sistema de gestão
de monitoramento
estão operando
Gerentes são
avaliados quanto ao
seu desempenho na
gestão de riscos
Não Não Não Alguns gerentes Sim Examinar amostra
de avaliações,
buscando
evidências sobre
avaliação dos
gerentes -
adequação quanto
ao seu desempenho
em relação à gestão
de riscos
Abordagem de
Auditoria Interna
Promove a gestão
de riscos e se
baseia em método
alternativo de
planejamento de
auditorias
Promove
abordagem
corporativa de
gestão de riscos e
se baseia em
método alternativo
de planejamento de
auditorias
Facilita a gestão de
riscos ou se
relaciona com a
gestão de riscos e
usa a avaliação dos
riscos pela direção
quando apropriado
Audita os
processos de gestão
de riscos e utiliza a
avaliação dos
riscos pela direção
conforme
apropriado
Audita os
processos de gestão
de riscos e utiliza a
avaliação dos
riscos pela direção
conforme
apropriado
---
A Auditoria Interna (AI) e o Comitê de Auditoria
A Auditoria Interna (AI) O Comitê de Auditoria
Deve analisar criticamente os requisitos de
garantia do comitê de auditoria e o cadastro de
riscos, e enumerar as respostas para as quais é
necessária a garantia objetiva – e informações
sobre riscos aos quais estão relacionadas.
Pode rejeitar a garantia objetiva da AI para o
manejo de todos os riscos. Motivos: a
quantidade de garantia de outras fontes; as
habilidades e competências da atividade de AI
em área específica; e a disponibilidade de
garantia objetiva de outras fontes.
Deve fornecer garantias em partes do
arcabouço de gestão de riscos em si – nos
processos utilizados para identificar e avaliar os
riscos e para decidir quais são as respostas
apropriadas; nos processos para relatar os
riscos para toda organização; e controles de
monitoramento desses processos.
Pode priorizar riscos para a direção, para os
quais gostaria de ter a garantia objetiva,
favorecendo riscos inerentes maiores. Pode não
ser necessária a garantia objetiva para todos os
riscos, todos os anos.
Pode desejar analisar criticamente (detalhes) os
requisitos de garantia do comitê, para garantir
que não se deixe uma lacuna na garantia.---
Não tem que dar garantia em relação a todos os
aspectos do arcabouço de gestão de riscos. ---
Estágio 2: Elaboração do plano de auditoria Legenda
Fluxo trabalho de auditoria
Fonte quando possível
Relatórios de AIEstratégia Global
das Auditorias
Cadastro
de Riscos
Requisitos
de Garantia
Identificar
respostas que
exigem garantia
Priorizar e
categorizar
respostas
Associar
respostas a
auditoria
Elaborar Plano
de Auditorias
Periódicas
RelatóriosDireçãoComitê de
Auditoria
Plano
de Auditorias
Lista de respostas por
categoria e dados de
prioridades e riscos
Lista de auditorias:
dados, respostas,
riscos e prioridades
Perfil dos auditores que utilizam a ABR
▪ Premissa: conhecimento da entidade;
▪ Uso de técnicas não relacionadas à sua formação acadêmica tradicional;
▪ Versatilidade e flexibilidade para o entendimento e avaliação dos riscos.
Processo de Implantação da ABR
Visão dos Modelos Básicos
AUDITORIA CONVENCIONAL ABR (Foco em Riscos)
Foco nas políticas e procedimentos
existentesFoco nos riscos estratégicos
Detecção de problemas e falhasIdentificação dos riscos e otimização
de processos
Restrito a linhas funcionaisCompartilha o conhecimento com a
organização
Abordagens e orientações mais
reativas.
Compreensão do negócio e
orientação pró ativa.
Metodologia de Auditoria Interna Baseada em Riscos
▪ Abordagem top-down (“de cima para baixo”)
▪ Enfoque nos riscos estratégicos;
▪ Direciona os recursos de Auditoria Interna para áreas de maior importância
e valor.
Obs: Abordagem top-down é a diferença mais relevante entre ABR e AC.
Norma ABNT NBR ISO 9001:2015
Sistema de Gestão da Qualidade - Requisitos
Generalidades (0.1 da Norma)
▪ Ajudar, por decisão estratégica, uma organização a melhorar seu desempenho
global;
▪ Prover uma base sólida para iniciativas de desenvolvimento sustentável.
Benefícios potenciais
▪ Prover produtos/serviços que atendam aos requisitos dos clientes e aos requisitos
regulamentares aplicáveis;
▪ Aumentar a satisfação dos clientes;
▪ Abordar os riscos e oportunidades associados;
▪ Demonstrar conformidades com requisitos de SGQ.
“A norma emprega a abordagem de processo (interações), que incorpora o ciclo PDCA (recursos,
melhorias), e a mentalidade de risco (fatores de desvios)”.
Norma ABNT NBR ISO 9001:2015
A Mentalidade de Risco (0.3.3 da Norma)
▪ É essencial para se conseguir um SGQ eficaz;
▪ Conceito correlato às ações preventivas para eliminar não conformidades
potenciais;
▪ Análise de não conformidades para tomada de ação para prevenir recorrências;
Abordagem de Riscos e Oportunidades
▪ A organização precisa planejar e implementar ações para abordar riscos e
oportunidades;
▪ Estabelece base para aumento da eficácia do SGQ, para conseguir resultados
melhorados e para prevenção de efeitos negativos.
“Um desvio positivo proveniente de um risco pode oferecer uma oportunidade”.
Exemplos de Mapeamento de Riscos via ABR
Fonte: Adaptado de - Sebrae/CE (2010)
# RISCO
1Falta de engajamento de equipes para desenvolver ações no interior do
país
2Restrição em inovação por falta de maturidade dos clientes e dos
colaboradores
3Cadastro com deficiências técnicas (insuficiente)para atender as reais
necessidades dos clientes
4Deficiência no monitoramento/acompanhamento da execução dos
projetos – subutilização de ferramentas e indicadores de gestão
5 Comunicação interna inadequada – falta de integração entre ações
6Descumprimento de obrigações (contrapartida financeira) -
comprometimento de planos propostos
7Limitação no atingimento de estratégias de atuação pela restrição do
portfólio de produtos
8Falta de foco de atuação e visão de médio/longo prazo dos empresários
(cultura individualista)
9Tomada de decisão equivocada por influência de informações
gerenciais nos sistemas existentes.
Referências
CCPS. Center for Chemical Process Safety. Diretrizes para segurança de processo baseada
em riscos. Tradução Petrobras/Recursos Humanos/Universidade Petrobras. – 1. ed. – Rio de
Janeiro: Interciência, 2014.
De Cicco. F. Auditoria baseada em riscos - como implementar a ABR nas organizações:
uma abordagem inovadora. Centro da Qualidade, Segurança e Produtividade para Brasil e
América Latina, QSP. Série Risk Management. 2007.
POMMARENING EDVAN JR.; BENCKE FERNANDO FANTONI. Auditoria
convencional e auditoria baseada em riscos; contribuições à gestão organizacional.
Unoesc & Ciência – ACSA, Joaçaba/SC, v.2, n.1., p. 15-26, jan./jun.2011.
PINTO, R.C.S. & BEZERRA,L.B. Implantação da auditoria baseada em risco em uma
entidade do sistema S”: o caso Sebrae/CE. Revista Ambiente Contábil. Universidade
Federal do Rio Grande do Norte. ISSN 2176-9036. Vol.7.n.2, jul/dez 2015.