Metodologia de Auditoria com Foco em Riscos.

28 de Novembro de 2003

2003 Deloitte Touche Tohmatsu

Dados do Projeto
Colaboradores:
Bancos
ABN Amro Real Banco Ficsa Banco Ita Banco Nossa Caixa Bradesco Caixa Econmica Federal HSBC

Febraban Deloitte

Perodo de Execuo:
Agosto de 2002 a Fevereiro de 2003

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Contedo do Livro
1. Introduo 2. Definies Iniciais
2.1 O que Risco? 2.2 O que Controle? 2.3 Viso Geral do COSO e de seus Componentes de Controle

3. O que Gesto de Risco?

3.1 Introduo 3.2 Etapas do Processo de Gesto de Riscos 3.3 Linguagem Comum de Riscos e Processos
3.3.1 Linguagem Comum de Riscos 3.3.2 Linguagem Comum de Processos

4. O Papel Esperado da Auditoria Interna na Gesto de Riscos

4.1 4.2 4.3 4.4 4.5 Introduo A Demanda pela Atuao com Foco no Risco Atribuies e Responsabilidades da Auditoria Interna vs. Demais reas Auditoria Interna e a Gesto de Riscos Auditoria Interna como Agente de Mudana

3.4 A Gesto de Riscos como Vantagem Competitiva

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Contedo do Livro
5. Metodologia de Auditoria com Foco em Riscos
5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 6.1 6.2 6.3 6.4 Introduo Entendimento do Processo Avaliao dos Riscos Inerentes ao Processo Anlise da Estrutura de Controles Validao (Teste) dos Controles Existentes Identificao de Oportunidades de Melhoria para os Aspectos Observados Comunicao dos Resultados Follow-up Extrao e Anlise de Dados Programas de Trabalho Control and Risk Self-Assessment Indicadores de Vulnerabilidades

6. Principais Ferramentas Utilizadas na Auditoria Interna

7. Caso Prtico de Implantao de Metodologia de Auditoria com Foco em Riscos 8. Como as Auditorias Internas tem Atuado na Gesto de Riscos? 9. Referncias Sites de Pesquisa

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Top 10 Banking Issues

Gerenciamento integrado de riscos (enterprise wide) Identificao dos riscos com alto grau de impacto e probabilidade de ocorrncia Implementao de um efetivo Programa de Preveno Lavagem de Dinheiro (AMLP) Otimizao de capital Reestabelecimento da credibilidade pblica (Governana) Tratamento de novas e complexas regulamentaes (Sarbanes-Oxley e Basilia II) Implementao de Modelos de Compliance Planejamento para cenrios extremos (continuidade dos negcios) Altos investimentos realizados em Tecnologia da Informao Integrao de plataformas tecnolgicas em virtude de fuses e aquisies

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Evoluo Histrica da Gesto de Riscos

Instrumentos Funes / reas Processos Integrado

Risco de Estratgia

Risco Operacional

Risco de Mercado Risco de Crdito

Bsico / GR Reativo

Estratgico / GR PrPr-Ativo

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Padres de Controle Interno e Gesto de Riscos

Sarbanes-Oxley

1946

ISO

1991

1994 1995 1996 1997 1998 1999 2001 2002

(*) Documento definitivo a ser emitido no final de 2003

Metodologia de Auditoria com Foco em Riscos (Febraban)

Turnbull

Basileia

2003 Deloitte Touche Tohmatsu

Basileia 2 (*)

Kon TraG

FDICIA COSO Cadbury

CoCo ANZ

COBIT

G-30

Definio de Risco
Risco a incerteza inerente a um conjunto de possveis conseqncias (ganhos e perdas), as quais ocorrem como resultado de escolhas e decises exigidas por toda organizao.

Risco est relacionado escolha, no ao acaso.

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Definio de Controles

Coso ERM

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Definio de Gesto de Riscos

Gesto de Riscos representa um enfoque estruturado e disciplinado que alinha estratgia, processos, pessoal, tecnologia e conhecimentos, objetivando avaliar e gerenciar as incertezas naturais enfrentadas pelas organizaes como forma de criao de valor.
People Process

Strategy

Technology
10 Metodologia de Auditoria com Foco em Riscos (Febraban)

Knowledge

2003 Deloitte Touche Tohmatsu

Etapas do Processo de Gesto de Riscos

Polticas Limites e Indicadores de risco
Divulgao e Divulgao Divulgao e e Monitoramento Monitoramento Monitoramento

Identificao Identificao

Identificao

Inventrio de ameaas

Avaliao Avaliao Avaliao

Riscos Riscos
Elaborao do Elaborao do Plano de Ao Ao Plano de

Impacto e probabilidade

Elaborao do Plano de Ao
Definio Definio da da

Priorizao Priorizao Priorizao

Definir as aes para gerenciar os riscos

Definio da Estratgia Estratgia Estratgia

Criticidade dos riscos

Reter Reduzir Transferir Explorar Evitar

11 Metodologia de Auditoria com Foco em Riscos (Febraban) 2003 Deloitte Touche Tohmatsu

Modelo de Classificao de Processos

DEFINIO DE ESTRATGIAS

GESTO DE RISCOS

MARKETING E AO COMERCIAL

GESTO DE PRODUTOS

ATENDIMENTO A CLIENTES

CRDITO

CUSTDIA

CAPTAO/ COMERCIALIZAO

OPERAES COM T.V.M. E CMBIO

ESTRUTURAO DE OPERAES

ADM. DE RECURSOS DE TERCEIROS

TECNOLOGIA DA INFORMAO

RECURSOS HUMANOS

CONTROLADORIA

SERVIOS ADMINISTRATIVOS

GESTO FISCAL E JURDICA

RELACIONAMENTO EXTERNO

12

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Linguagem Comum de Riscos

Riscos Externos
Competio

Riscos Internos
OPERACIONAL Fraude Interna Fraude Interna Atividade no Autorizada Prticas Comerciais Confidencialidade Comercializao Falhas de Produtos Obrigaes com Clientes Aconselhamento Execuo e Gesto de Processos Integridade Interrupo Negcios / Falhas de Sistemas Disponibilidade Reporte Formalizao Custdia Correspondentes Fornecedores e Terceiros Estratgico Planejamento Indicadores e Metas Precificao Custo de Oportunidade Concentrao Mercado Taxa de Juros Cmbio Aes Liquidez Commodities Derivativos Crdito Inadimplncia Liquidao Garantia

Disponibilidade de Capital

Fraude Externa Fraude Externa Segurana das Informaes Relaes Trabalhistas Processos Trabalhistas

Gesto Integrada de RIscos

Regulamentao

Interrupo do Negcio

Recursos Humanos

13

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Estratgias de Gesto de Riscos

Risco inerente ao modelo de negcios ou s operaes normais Fora da estratgia, uma vez que o custo do controle superior ao risco

Sim Sim

Aceitar Aceitar

Rejeitar Rejeitar

No No

Reter
Manter o risco, precificar ou planejar conforme grau de tolerncia

Reduzir
Controlar ou diversificar o risco

Transferir
Necessita que algum esteja disposto e tenha capacidade financeira para correr o risco

Explorar
Pode aumentar o grau de exposio na medida em que possibilita vantagens competitivas

Evitar
Qualquer ao que elimine totalmente a fonte de um risco especfico

14

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

O Papel Esperado do Auditor Interno na Gesto de Riscos

Mudanas no Enfoque da Auditoria
Sinalizadores Sinalizadores Programa Programade de Trabalho Trabalho Riscos Controles Testes

Enfoque Tradicional Foco em Riscos

Universo de Auditoria Produtos Produtos Processos Processos reas reas Ocorrncias Ocorrncias

Execuo da Auditoria
Priorizao Priorizaodos dos riscos riscosa aserem serem auditados auditados

Acompanhamentodos dosSinalizadores Sinalizadores Acompanhamento

Abrangncia Abrangnciae e customizao customizaodos dos testes testes

Riscos Riscos Matriz de Riscos AutoAutoavaliao avaliao Auditorias Auditorias Anteriores Anteriores

Plano Planode de Auditoria Auditoria Escopo Horas Equipe Datas

Execuo Execuodos dostestes testes

Relatrio Relatrio Auditoria Auditoria

Elaborao Elaboraodos dos Pontos Pontosde deAuditoria Auditoria

Comentrios Comentriosda darea rea

Emisso Emissodo doRelatrio Relatrio

15

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

O Papel Esperado do Auditor Interno na Gesto de Riscos

Quadro Comparativo
Enfoque Tradicional
Foco nos controles Testes com base em programa de trabalho endereando objetivos de controle padro Testes de todos os controles

Foco em Riscos
Foco nos riscos Testes com base nos riscos de negcio identificados no levantamento de informaes Testes focalizados, somente dos controles que minimizam os riscos relevantes Antecipar e prevenir riscos de negcios na origem Maior parte do tempo gasto em levantamento e anlise de informao

Inspecionar, detectar e reagir aos riscos de negcios Maior parte do tempo gasto em testes, validao e consolidao

16

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

O Papel Esperado do Auditor Interno na Gesto de Riscos

Quadro Comparativo
SOX / GR
Entendimento e mapeamento do Processo de Negcios Identificao dos Riscos e Controles Monitora aderncia aos procedimentos Acompanhamento e Suporte Implementao

Planos de Ao

Elaborao AUDITORIA INTERNA

Entendimento/ mapeamento do Processo de Negcios Identificao dos Riscos e Controles Planejamento e Execuo de Testes Relatrio de Recomendaes Follow-up das Recomendaes

Utilizao, reviso e/ou atualizao

Operacional Financeiro Compliance Gesto

Natureza dos Problemas Responsvel Aes corretivas

17

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo

Avaliao dos riscos inerentes ao processo

Levantar processo detalhado. Consultar informaes existentes (relatrios emitidos, polticas e procedimentos).

Anlise da estrutura de Controles

Validao dos controles (testes) existentes

Fluxogramas
No Autorizao para pagamento

Sinpse do Ambiente de Negcios

Registro da NFE no Contas a Pagar

Identificao de oportunidades de melhoria para processos observados

Nota fiscal de entrada

Transao praprovada?

Sim

Conferncias da NFE coma documentao de recebimento

Comunicao dos resultados

Follow-up

18

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo

Linguagem Comum de Riscos

Avaliao dos riscos inerentes ao processo

Analisar informaes obtidas na etapa anterior

Anlise da estrutura de Controles

Validao dos controles (testes) existentes

Identificao de oportunidades de melhoria para processos observados

Matriz de Riscos (Inerentes)

Comunicao dos resultados

Follow-up

19

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo

COSO
Avaliao dos riscos inerentes ao processo

COBIT

Anlise da estrutura de Controles

Validao dos controles (testes) existentes

Analisar indicadores de desempenho e identificar deficincias nos controles implementados. Comparar estrutura atual com melhores prticas de mercado.
Matriz de Controles Internos

Identificao de oportunidades de melhoria para processos observados

Comunicao dos resultados

Follow-up

20

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Metodologia de Auditoria com Foco em Riscos

Entendimento do Processo

Avaliao dos riscos inerentes ao processo

A

Riscos Residuais
Acesso Conformidade Disponibilidade Crdito

Inceitvel
Infra-estrutura Fraude Integridade Autorizao

Anlise da estrutura de Controles

M
Regulamentao Recursos Humanos Terceirizao

Indicadores de Performance

Relatrio Detalhado

IMPACTO

Aceitvel
B M

Requer ateno
A

PROBABILIDADE

Validao dos controles (testes) existentes

Identificao de oportunidades de melhoria para processos observados

Comunicao dos resultados

Consolidar informaes e priorizar principais constataes.

Recomendaes R1. R2. R3.

Sumrio Gerencial

Follow-up

21

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Principais Ferramentas
Extrao e Anlise de Dados Programas de Trabalho Control and Risk Self-Assessment Indicadores de Vulnerabilidades Banco de Dados dos Trabalhos

22

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Caso Prtico
Benefcios:
Aumento da eficincia na execuo dos trabalhos de auditoria Alinhamento de conceitos de gesto de riscos Focalizao em problemas relevantes Padronizao da documentao gerada durante os trabalhos de auditoria Reduo do tempo de reviso dos trabalhos por parte das lideranas e gerncias Reduo do tempo de emisso dos relatrios finais Otimizao da qualidade do reporte alta administrao

23

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Resultados da Pesquisa
Pesquisa realizada junto a 21 Instituies, cujos ativos somados representam R$ 742,4 bilhes (68% dos ativos do mercado). Foco da Pesquisa:
Auditoria com Foco em Riscos Aspectos Gerais da Auditoria Interna

Principais Resultados:
Metodologias, ferramentas e conscientizao sobre auditoria com foco em riscos ainda necessitam ser aprimorados. As Instituies possuem um plano formal de Auditoria Interna, elaborado para o perodo de 1 ano. 42,8% no efetuaram a definio de processos, sub-processos e atividades. 38,1% no definiram uma linguagem comum de riscos. 66,7% no estabeleceram um dicionrio de riscos.

24

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Resultados da Pesquisa
reas com maior nvel de exposio a riscos e respectiva alocao de tempo da Auditoria Interna:
1o Crdito (18%) 2o Tesouraria (10%) 3o Tecnologia da Informao (12%) 4o Asset Management (4%) 5o Internacional (3%) 6o Suporte Operacional (Back-office) (15%) 7o Contbil e Gerencial (8%) 8o Mercado de Capitais (3%) 9o Canais de Comercializao (10%) 10o Outras (17%)

Quase a totalidade das Instituies possui uma rea responsvel por gesto de riscos. Em 3 casos, a gesto realizada por reas distintas, conforme a natureza do risco (crdito, mercado e operacional). 70% das Instituies afirmaram que o nvel de intergrao entre as reas de Auditoria Interna e a Gesto de Riscos elevado. Utilizao de metodologia formal para identificao e definio dos riscos de negcios (alta 45% e mdio 55%).
2003 Deloitte Touche Tohmatsu

25

Metodologia de Auditoria com Foco em Riscos (Febraban)

www.deloitte.com.br

Juarez Lopes de Arajo

jlaraujo@deloitte.com.br

26

Metodologia de Auditoria com Foco em Riscos (Febraban)

2003 Deloitte Touche Tohmatsu

Deloitte Touche Tohmatsu. All Rights Reserved.

A member firm of Deloitte Touche Tohmatsu