Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITORIA INTERNA https://play.google.com/store/apps/details?id=br.com.cefis.cefisapp&hl=pt_BR https://apps.apple.com/br/app/cefis/id1353968500 AUDITORIA INTERNA Neste curso prático de auditoria interna você aprenderá sobre todas as características e metodologia de trabalho relacionada a este tema, entenderá sobre a composição de uma matriz de risco, procedimentos, modelo das três linhas, planejamento e muitos outros pontos para colocar em prática os conhecimentos adquiridos. Assista este conteúdo com o instrutor Wallan Afonso, Graduado em Ciências Contábeis, Pós Graduado em Controladoria e Finanças pela Universidade Federal de Goiás. Aponte a câmera para o código QR ou acesse: www.cefis.com.br Você aprenderá: • Metodologia de trabalho ................................... 5 • Modelo das três linhas ..................................... 11 • Primeira e segunda linha .................................. 14 • Matriz de risco (processos levantados ............ 19 • Plano anual - planejamento .............................. 28 https://cefis.com.br/curso/auditoria-interna/2396 https://cefis.com.br/curso/auditoria-interna/2396 https://cefis.com.br/curso/auditoria-interna/2396 Auditoria interna • Auditoria interna O Departamento de Auditoria Interna tem como missão exercer uma atividade independente, no objetivo de avaliar e realizar consultoria orientada, devido a uma filosofia de agregar valor para melhorar as operações da organização. Esse departamento auxiliará a organização a alcançar seus objetivos, trazendo uma abordagem sistemática e disciplinada com intuito de avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança da organização. “AI é uma atividade independente e objetiva que presta serviços de avaliação (assurance) e de consultoria e tem como objetivo adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos adotando uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de riscos, de controle, e governança corporativa.” 3 Auditoria interna • Usuários a) Alta Administração: Presidência, Conselho Fiscal, de Administração e Comitê de Auditoria. b) Gestores da Empresa: Diretores, Gerentes, Supervisores, etc. c) Auditores Independentes: Para subsidiar os trabalhos de Auditoria independente (AE) 4 • Posição organizacional Presidência; Auditoria Interna; Diretoria Técnica; Diretoria Financeira; Diretoria Administrativa; Diretoria de... • Politica de confidencialidade A atividade de auditoria interna, com rígida prestação de contas acerca da confidencialidade e salvaguarda de registros e informações, está autorizada ao acesso completo, livre e... Auditoria interna • Politica de confidencialidade ... irrestrito a todo e qualquer registro, propriedades físicas e pessoal pertinente da organização para a condução de qualquer trabalho de auditoria. Solicita-se a todos os funcionários que auxiliem a atividade de auditoria interna no cumprimento de seus papéis e responsabilidades. A atividade de auditoria interna também terá acesso livre e irrestrito conforme estabelecido pelo Conselho Administrativo e Presidência a sua época não extrapolando seu caráter institucional nunca exercendo poder de polícia. 5 • Metodologia de trabalho “Compreende os exames, análises, avaliações, levantamentos e comprovações, metodologicamente estruturados para a avaliação da integridade, adequação, eficácia, eficiência e economicidade dos processos, dos sistemas de informações e de controles internos integrados ao ambiente, e de gerenciamento de riscos, para subsidiar à administração da entidade no cumprimento de seus objetivos.” (NBC TI 01, 12.1.1.3) Auditoria interna • Metodologia de trabalho • Mapeamento dos processos • Identificação dos riscos dos negócios • Desenvolvimento dos controles internos • Teste de efetividade dos controles Exames, Análises, Avaliações da... Integridade, Adequação, Eficácia, Eficiência, Economicidade dos... Processos; Sistemas de informação; Controles. 6 • Procedimentos de auditoria e as etapas de execução A execução dos trabalhos de auditoria interna compreende as seguintes etapas: • reunião de abertura dos trabalhos com o auditado; • estudo e avaliação dos controles internos; • aplicação dos programas de auditoria (exames e coleta de evidências); Auditoria interna • Procedimentos de auditoria e as etapas de execução • registro em papéis de trabalho; e • elaboração do relatório de auditoria. A Execução dos trabalhos ou exames é também nomeada “trabalho de campo” e trata-se da aplicação do programa de auditoria e da coleta de evidências. Essa realização de provas e reunião de evidências deve ser em quantidade (números de amostra) e qualidade (eficiência operacional), baseando-se em objetivos, critérios selecionados durante o planejamento. Portanto, adaptou-se estes procedimentos para execução dos trabalhos dentro do contexto AEE e suas mantidas conforme quadro a seguir: 7 • Finalidade Tem por finalidade agregar valor ao resultado da organização, apresentando subsídios para o aperfeiçoamento dos processos, da gestão e dos controles internos, por meio da recomendação de soluções para as não-conformidades apontadas nos relatórios. Auditoria interna • Finalidade (NBC TI 01, 12.1.1.4) AI tem como função principal avaliar o processo de gestão, nos seus principais aspectos: • Governança corporativa • Gestão de riscos • Aderência às normas regulatórias • Eficiência e Eficácia dos processos • Detecção de desvios e vulnerabilidade dos CI’s A Auditoria Interna deve assessorar a Administração da entidade no trabalho de prevenção de Fraudes e Erros, obrigando-se a informá-la, sempre por escrito, de maneira reservada, sobre quaisquer indícios ou confirmações de irregularidades detectadas no decorrer de seu trabalho. FRAUDE: Ato intencional de omissão e/ou manipulação de transações e operações, adulteração de documentos, registros, relatórios, informações e demonstrações contábeis, tanto em termos físicos quanto monetários. 8 Auditoria interna • Finalidade ERRO – Ato não-intencional de omissão, desatenção, desconhecimento ou má interpretação de fatos na elaboração de registros, informações e demonstrações contábeis, bem como de transações e operações da entidade, tanto em termos físicos ou monetários. 9 • Auditoria interna x auditoria externa AUDITOR INTERNO: Empregado da organização Menor grau de independência Auditoria contábil e Operacional Objetivos principais: • Verificar o seguimento das NI’s • Verificar a necessidade de aprimorar as NI’s • Verificar a necessidade de novas NI’s • Auditar as demonstrações contábeis • Auditar os processos operacionais. Auditoria interna • Auditoria interna x auditoria externa Maior volume de testes: O Auditor interno possui maior disponibilidade de tempo para executar os serviços de auditoria. AUDITOR EXTERNO: Sem vínculo empregatício Maior grau de independência Auditoria contábil O principal objetivo é emitir uma opinião sobre as demonstrações contábeis, atestando se estas refletem adequadamente a posição econômica patrimonial e financeira da Entidade. E, se as Demonstrações Contábeis foram elaboradas de acordo com os PCGA e normas de contabilidade aplicáveis. Menor volume de testes: Interesse em erros possam alterar de modo relevante as informações das Demonstrações Contábeis. 10 Auditoria interna • Modelo das três linhas As organizações são empreendimentos humanos, operando em um mundo cada vez mais incerto, complexo, interconectado e volátil. Geralmente, elas têm vários stakeholders com interesses diversos, mutáveis e, às vezes, concorrentes. Os stakeholdersconfiam a supervisão organizacional a um corpo administrativo, que, por sua vez, delega recursos e autoridade à gestão para tomar as ações apropriadas, incluindo o gerenciamento de riscos. Por esses e outros motivos, as organizações precisam de estruturas e processos eficazes para permitir o atingimento dos objetivos, ao mesmo tempo em que apoiam uma forte governança e gerenciamento de riscos. Como o corpo administrativo recebe relatórios da gestão sobre atividades, resultados e previsões, o corpo administrativo e a gestão confiam na auditoria interna para prestar avaliação objetiva e independente e aconselhar sobre todos os assuntos, além de promover e facilitar a inovação e a melhoria. 11 Auditoria interna • Modelo das três linhas O Modelo de Três Linhas ajuda as organizações a identificar estruturas e processos que melhor auxiliam no atingimento dos objetivos e facilitam uma forte governança e gerenciamento de riscos. O modelo é aplicável a todas as organizações e é otimizado por: • Adotar uma abordagem baseada em princípios e adaptar o modelo para atender aos objetivos e circunstâncias organizacionais. • Focar na contribuição que o gerenciamento de riscos oferece para atingir objetivos e criar valor, bem como questões de “defesa” e proteção de valor. • Compreender claramente os papéis e responsabilidades representados no modelo e os relacionamentos entre eles. • Implantar medidas para garantir que as atividades e os objetivos estejam alinhados com os interesses priorizados dos stakeholders. 12 Auditoria interna • Governança A governança de uma organização requer estruturas e processos apropriados que permitam: • Prestação de contas por parte de um corpo administrativo aos stakeholders quanto à supervisão organizacional através da integridade, liderança e transparência. • Ações (incluindo o gerenciamento de riscos) da gestão para atingir os objetivos da organização por meio da tomada de decisões baseada em riscos e da aplicação de recursos. • Avaliação e assessoria por uma função de auditoria interna independente, para oferecer clareza e confiança, além de promover e facilitar a melhoria contínua, por meio de investigação rigorosa e comunicação perspicaz. 13 • Corpo administrativo O corpo administrativo garante que: • Estruturas e processos adequados estejam em vigor para uma governança eficaz. Auditoria interna • Corpo administrativo • Os objetivos e atividades organizacionais estejam alinhados com os interesses priorizados dos stakeholders. O corpo administrativo: • Delega responsabilidades e oferece recursos à gestão para atingir os objetivos da organização, garantindo que as expectativas legais, regulatórias e éticas sejam atendidas. • Estabelece e supervisiona uma função de auditoria interna independente, objetiva e competente para oferecer clareza e confiança no progresso em direção ao atingimento dos objetivos. 14 • Primeira e segunda linha A responsabilidade da gestão de atingir os objetivos organizacionais compreende os papéis da primeira e segunda linhas. Os papéis de primeira linha estão mais diretamente alinhados com a entrega de produtos e/ou serviços aos clientes da organização, incluindo funções de apoio. Auditoria interna • Primeira e segunda linha Os papéis de segunda linha fornecem assistência no gerenciamento de riscos. Os papéis de primeira e segunda linha podem ser combinados ou separados. Alguns papéis de segunda linha podem ser atribuídos a especialistas, para fornecer conhecimentos complementares, apoio, monitoramento e questionamento àqueles com papéis de primeira linha. Os papéis de segunda linha podem se concentrar em objetivos específicos do gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da informação e tecnologia; sustentabilidade; e avaliação da qualidade. Como alternativa, os papéis de segunda linha podem abranger uma responsabilidade mais ampla pelo gerenciamento de riscos, como o gerenciamento de riscos corporativos. No entanto, a responsabilidade pelo gerenciamento de riscos segue fazendo parte dos papéis de primeira linha e dentro do escopo da gestão. 15 Auditoria interna • Terceira linha A auditoria interna presta avaliação e assessoria independentes e objetivas sobre a adequação e eficácia da governança e do gerenciamento de riscos. Isso é feito através da aplicação competente de processos sistemáticos e disciplinados, expertise e conhecimentos. Ela reporta suas descobertas à gestão e ao corpo administrativo para promover e facilitar a melhoria contínua. Ao fazê-lo, pode considerar a avaliação de outros prestadores internos e externos. Os termos “primeira linha”, “segunda linha” e “terceira linha” do modelo original são mantidos para familiaridade. No entanto, as “linhas” não pretendem denotar elementos estruturais, mas uma diferenciação útil de papéis. Logicamente, os papéis do corpo administrativo também constituem uma "linha", mas essa convenção não foi adotada para evitar confusão. A numeração (primeira, segunda, terceira) não deve ser considerada como significando operações sequenciais. Em vez disso, todos os papéis operam simultaneamente. 16 Auditoria interna • Papeis 1º linha Liderar e dirigir ações (incluindo gerenciamento de riscos) e aplicação de recursos para atingir os objetivos da organização. • Manter um diálogo contínuo com o corpo administrativo e reportar: resultados planejados, reais e esperados, vinculados aos objetivos da organização; e riscos. • Estabelecer e manter estruturas e processos apropriados para o gerenciamento de operações e riscos (incluindo controle interno). • Garantir a conformidade com as expectativas legais, regulatórias e éticas. 17 • Papeis 2º linha Fornecer expertise complementar, apoio, monitoramento e questionamento quanto ao gerenciamento de riscos, incluindo: • Desenvolvimento, implantação e melhoria contínua das práticas de gerenciamento de riscos (incluindo controle interno) nos níveis de processo, sistemas e entidade. Auditoria interna • Papeis 2º linha • O atingimento dos objetivos de gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da informação e tecnologia; sustentabilidade; e avaliação da qualidade. • Fornecer análises e reportar sobre a adequação e eficácia do gerenciamento de riscos (incluindo controle interno). 18 • Papeis auditoria interna Mantém a prestação de contas primária perante o corpo administrativo e a independência das responsabilidades da gestão. • Comunica avaliação e assessoria independentes e objetivas à gestão e ao corpo administrativo sobre a adequação e eficácia da governança e do gerenciamento de riscos (incluindo controle interno), para apoiar o atingimento dos objetivos organizacionais e promover e facilitar a melhoria contínua. • Reporta ao corpo administrativo prejuízos à independência e objetividade e implanta salvaguardas conforme necessário. Auditoria interna • Matriz de risco (processos levantados) A matriz de risco é uma ferramenta que auxilia visualizar a probabilidade de um determinado cenário ocorrer em uma organização e o impacto do mesmo. A partir desta correlação de informações possibilitando que a terceira linha de defesa (Auditoria Interna) atue nos riscos que necessitem ser dirimidos. Através do Plano de Auditoria, atua-se nos processo com maior tendência a risco, pois, caso identifique a existência de não conformidade a auditoria informará a alta gestão, através do relatório de auditoria, podendo está atuar para que as problemáticas sejam retidas ou evitadas. Portanto, na essência, a melhor maneira de minimizar os riscos organizacionais consiste em identificar e controlar as fragilidades.Considerando-se tal afirmativa, foi desenvolvido uma matriz de riscos conforme os processos levantados, sendo que o rol de processos poderá aumentar conforme trabalho em campo: Uma matriz é um modelo de tabela organizada em linhas e colunas que formam pequenas células/quadrantes, analisada com base... 19 Auditoria interna • Matriz de risco (processos levantados) ... em dois eixos: eixo vertical: probabilidade; eixo horizontal: impacto. 20 Auditoria interna • Matriz de risco (processos levantados) Probabilidade: A probabilidade, na maioria das vezes, corresponde ao eixo vertical da matriz de risco e indica o quão previsível é que um risco ocorra. Ou seja, se algo pode acontecer com frequência ou será um evento raro. Dessa forma, o nível de probabilidade pode ser alto, médio e baixo ou ser mais detalhado como muito baixo, baixo, moderado, alto e muito alto. Também é possível associar os níveis a porcentagens, se preferir. Impacto: O impacto corresponde ao eixo horizontal da matriz de risco e indica as consequências quando um potencial risco acontece de fato. Um impacto causa prejuízos ou danos ao processo de trabalho como paralisações ou um alto custo para fazer uma reparação. Mas um evento também pode gerar oportunidades e não apenas riscos. Então, a estrutura da matriz de risco serve para os dois contextos. 21 Auditoria interna • Matriz de risco (processos levantados) Assim como a probabilidade, o impacto também é dividido por nível, por exemplo: muito baixo, baixo, moderado, alto e muito alto. OBSERVAÇÃO: ao construir a planilha da matriz de risco, a probabilidade e o impacto precisam ter a mesma quantidade de níveis. Dessa forma, se forem 3 níveis de probabilidade, serão 3 níveis de impacto. Já se forem 5, o outro também terá 5. 22 Magnitude Escala de Impactos Descrição I Muito baixo Degradação de operações ou atividades de processos, projetos ou programas da organização, porém causando impactos mínimos nos objetivos de prazo, custo, qualidade, escopo, imagem ou relacionadas ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas (clientes internos/externos, beneficiários). 1 Baixo Degradação de operações ou atividades de processos, projetos ou programas da organização, causando impactos pequenos nos objetivos. 2 Médio Interrupção de operações ou atividades de processos, projetos ou programas, causando impactos significativos nos objetivos, porém recuperáveis. 5 Alto Interrupção de operações ou atividades de processos, projetos ou programas da organização, causando impactos de reversão muito difícil nos objetivos. 8 Muito alto Paralisação de operações ou atividades de processos, projetos ou programas da organização, causando impactos irreversíveis/catastróficos nos objetivos. 10 Auditoria interna • Matriz de risco (processos levantados) 23 Magnitude Escala de Probabilidades Descrição I Muito baixa Evento improvável de ocorrer. Excepcionalmente poderá até ocorrer, porém não há elementos ou informações que indiquem essa possibilidade. 1 Baixa Evento raro de ocorrer. O evento poderá ocorrer de forma inesperada, havendo poucos elementos ou informações que indicam essa possibilidade. 2 Média Evento possível de ocorrer. Há elementos e/ou informações que indicam moderadamente essa possibilidade. 5 Alta Evento provável de ocorrer. É esperado que o evento ocorra, pois os elementos e as informações disponíveis indicam de forma consistente essa possibilidade. 8 Muito alta Evento praticamente certo de ocorrer. Inequivocamente o evento ocorrerá, pois os elementos e informações disponíveis indicam claramente essa possibilidade. 10 O que é risco? O risco normalmente é definido como a incerteza de um resultado ou de um evento. Ele pode referir-se tanto a uma ameaça negativa quanto a uma oportunidade positiva para uma empresa assumir um risco que vale a pena e pode trazer uma vantagem competitiva sobre concorrentes avessos ao risco. Auditoria interna • Matriz de risco (processos levantados) O que é recomendações da auditoria? A recomendação de auditoria tem por objetivo: a) O saneamento das impropriedades ou inconformidades identificadas; b) O aprimoramento dos controles internos avaliados. 24 • Plano anual de auditoria interna O Plano Anual de Auditoria Interna é o documento em que estão registradas as principais atividades que serão desenvolvidas ao longo do exercício seguinte pelo departamento de auditoria interna, ou seja, ele deve ser elaborado com a finalidade de definir os trabalhos prioritários a serem realizados no período, objeto do plano no intuito de atender as expectativas da alta administração, representada pela presidência ou quem a esta designar. Auditoria interna • Plano anual de auditoria interna É notório que o departamento de Auditoria Interna, após aprovação do plano de trabalho, tendência a executar seus trabalhos de forma autônoma, pois, compreende que os procedimentos de auditoria estão autorizados. Considerando-se tal afirmativa, os trabalhos da auditoria obterão a oportunidade e relevância necessária, uma vez que estarão alinhados ao planejamento estratégico da atual gestão. Neste sentido, apresento procedimentos mapeados que comporão a matriz de risco, na qual se baseia o plano anual a ser aprovado: Plano de Trabalho da Auditoria Interna: 25 Auditoria interna • Plano anual de auditoria interna 26 Macroprocesso Processo Auditado Objeto de Auditoria (processos) Riscos Associados (Código) Nível de Riscos Associados Nível Risco _Departamento Compras Processos de Compras Auditar as diretrizes para realização de compras nos sistemas Protheus/Union da AEE Comp 01 54 Alto _Departamento Compras Processo de Compras Via Termo Auditar as normatizações referente as compras da instituição que são adquiridas diretamente pelos Departamentos Solicitantes Comp 02 54 Alto _Departamento Compras Cadastro Sistêmicos Fornecedor e demais Auditar as diretrizes para realizar cadastros no sistema para realizar os processos internos na AEE Comp 03 63 Alto _Núcleo Administrativo Contratação Serviços Manutenção Auditar as diretrizes para realização de manutenções preventivas e/ou corretivas NAD 01 49 Alto _Núcleo Financeiro/Tesouraria Manutenção e Utilização Veículos da AEE Auditar as diretrizes para utilização e manutenção dos veículos da AEE e suas Mantidas NAD 02 35 Médio _Núcleo Financeiro/Tesouraria Processos Uni social Auditar as normatizações relativas a concessão, atendimento e manutenção das bolsas e incentivos ofertados pelas mantidas da AEE NAF 01 64 Alto _Tesouraria Confronto de Caixa Auditar as diretrizes para operação do caixa (pagamento e recebimentos) da Tesouraria da AEE TESO 1 35 Médio _Tesouraria Contas a Pagar Auditar diretrizes para receber, cadastrar e controlar o vencimento de títulos devidos a fornecedores e prestadores de serviços das instituições e mantidas pela AEE TESO 2 35 Médio -Tesouraria Controles de Atendimentos Aditar as diretrizes para controle de adiantamentos de valores a fornecedores, professores e demais funcionários da AEE TESO 3 40 Alto _Departamento Engenharia Auditoria de Obras e Investimentos Auditar as premissas adotadas na mensuração de entrega de obras executadas pela AEE e suas mantidas NAD 03 36 Médio Auditoria interna • Plano anual de auditoria interna Será composto por todos os processos identificados e não mapeados. Quadro de Execução Proposto 27 Nível do Risco Percentual para Execução Detalhamento Extremo ou Demandas 100% Riscos classificados como “Extremo” ou trabalhos por demandas da presidência, conselho ou diretoria serão auditados em sua totalidade Alto 60% Riscos classificados como “Alto”serão auditados conforme determinação e avaliação do percentual global Médio 30% Riscos classificados como “Médio” serão auditados conforme determinação e avaliação do percentual global Baixo 10% Riscos classificados como “Baixo” serão auditados conforme determinação e avaliação do percentual global Auditoria interna • Plano anual - planejamento O executivo chefe de auditoria deve estabelecer um plano baseado em riscos para determinar as prioridades da atividade de auditoria interna, de forma consistente com as metas da organização: 2010.A1 – O planejamento dos trabalhos da atividade de auditoria interna deve ser baseado em uma avaliação de risco documentada, realizada pelo menos anualmente. As informações fornecidas pela alta administração e pelo conselho devem ser consideradas neste processo. 2010.A2 – O executivo chefe de auditoria deve identificar e considerar as expectativas da alta administração, conselho e outras partes interessadas, acerca dos pareceres e outras conclusões de auditoria interna. 2010.C1 – O executivo chefe de auditoria deveria se basear, ao considerar a aceitação de propostas de trabalhos de consultoria, no potencial destes trabalhos para aperfeiçoar o gerenciamento de riscos, de adicionar valor e de melhorar as operações da organização. Os trabalhos aceitos devem ser incluídos no planejamento. 28 Auditoria interna • Plano anual - planejamento Para desenvolver o plano baseado em riscos, o executivo chefe de auditoria se reúne com a alta administração e o conselho e obtém um entendimento das estratégias, objetivos-chave de negócios, riscos associados e processos de gerenciamento de riscos da organização. O executivo chefe de auditoria interna deve revisar e ajustar o plano conforme necessário, em resposta às mudanças do negócio, riscos, operações, programas, sistemas e controles da organização. 29 https://play.google.com/store/apps/details?id=br.com.cefis.cefisapp&hl=pt_BR https://apps.apple.com/br/app/cefis/id1353968500
Compartilhar