A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Metodologia para auditoria baseada em riscos no STJ

PublicouHeloísa Flores Rios Alterado mais de 7 anos atrás

Apresentações semelhantes

Apresentação em tema: "Metodologia para auditoria baseada em riscos no STJ"— Transcrição da apresentação:

1 Metodologia para auditoria baseada em riscos no STJ

2 Ambiente atual da auditoria
Stakeholders Externos STJ Etc... SGP AMG

3 Recursos limitados (Tempo, Pessoal e Dinheiro)
Desafios Recursos limitados (Tempo, Pessoal e Dinheiro) Muitas Informações Muitos Stakeholders

4 Motivações Normativa Recomendada Resolução CNJ n. 171 de 01/03/2013
IN STJ/GP n. 17 de 17/12/2015 (Política de Gestão de Riscos) Normativa TCU AC /15-P “ Incluir nas atividades de auditoria interna a avaliação da governança e da gestão de riscos da organização” Recomendada

5 Motivações Benefícios Resultados Otimização na alocação de recursos
Otimização na comunicação com as partes interessadas Entendimento mais claro do objeto e objetivo da auditoria Resultados Melhoria da definição do valor entregue Manutenção da continuidade dos trabalhos Promoção da Gestão de Riscos Mensuração objetiva da capacidade

6 Abordagem RA = RI x RC x RD RD = RA/RDR RDR

7 Definições Risco de Auditoria (RA) Risco inerente (RI)
Risco de que o auditor expresse uma opinião de auditoria inadequada Risco de Auditoria (RA) Risco inerente ao negócio independente da existência de controle Risco inerente (RI) Risco relacionado com a probabilidade dos controles internos não serem eficazes. Definido por RC=1 - Confiança no controle Risco de controle (RC) Resultado da composição do RI com RC Risco de distorção relevante (RDR) Risco dos procedimentos executados pelo auditor não detectem uma distorção. Quanto maior o risco de detecção relevante, menor deve ser o risco de detecção aceitável. Risco de detecção (RD)

8 Independe do auditor (área de negócios)
Definições O risco de auditoria é um valor fixado conforme o nível de confiança desejado. Geralmente é definido 5% de risco de auditoria, o que resulta em um nível de confiança de 95%. RA = RI x RC x RD Calculado Independe do auditor (área de negócios)

9 Risco de detecção X Recursos

10 Macroprocesso (ISO 31000) Definir o RA desejado
Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Atualizar a base de conhecimento

11 Levantar e avaliar os riscos inerentes
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria O risco inerente é a ligação entre a auditoria interna e o arcabouço geral de gestão de riscos institucional.

12 Levantar e avaliar os riscos inerentes
O setor auditado possui gestão de riscos? A gestão de riscos está alinhada com o apetite e os padrões do Tribunal? Sim A gestão de riscos está alinhada com o apetite de riscos e os padrões do Tribunal? Não Identificar e avaliar os riscos Utilizar riscos identificados para o cálculo dos riscos inerentes Recomendar que o setor realize a gestão de riscos Sim Utilizar riscos identificados para o cálculo dos riscos inerentes Não Identificar e avaliar riscos Recomendar melhorias na gestão de riscos do setor

13 Levantar e avaliar os riscos inerentes
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Qualquer metodologia pode ser utilizada na fase de levantamento e avaliação de riscos inerentes Mas é importante manter a consistência Durante todo o ciclo (levantamento de informação, execução e monitoramento) de vida da auditoria deve-se seguir o mesmo padrão

14 Levantar e avaliar os riscos inerentes
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Processo CAUT Definir processos de negócio Realizar análise de impacto no negócio (BIA) Realizar análise SWOT Avaliar Riscos Analisar riscos Objetivo ou Macroprocesso Engenharia de Software P# Processo de Negócio P01 Gerenciamento de Projetos P02 Gerenciamento de Requisitos P03 Gerenciamento de Configuração

15 Levantar e avaliar os riscos inerentes
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Processo CAUT Definir processos de negócio Realizar análise de impacto no negócio (BIA) Realizar análise SWOT Avaliar Riscos Analisar riscos P# Processo de Negócio IMPACTO Crítico? Gera impacto operacional? Gera impacto financeiro? Gera impacto de imagem? Gera impacto legal? Gera impacto de saúde ou ao meio-ambiente? P01 Gerenciamento de Projetos Sim Não P02 Gerenciamento de Requisitos P03 Gerenciamento de Configuração P04 Gerenciamento de Processos

16 Levantar e avaliar os riscos inerentes
Processo CAUT Definir processos de negócio Realizar análise de impacto no negócio (BIA) Realizar análise SWOT Avaliar Riscos Analisar riscos Objetivo ou Macroprocesso Engenharia de Software Forças Oportunidades S01 Pessoal capacitado O01 Resoluções do CNJ S02 Ações de treinamento O02 Acórdãos do TCU S03 Planejamento Estratégico O03 Boas práticas documentadas S04 Infraestrutura tecnológica O04 Fraquezas Ameaças F01 Falta de processos formais A01 Mudanças tecnológicas F02 Alta rotatividade A02 Mudanças legais (Ex. Novo CPC) F03 Falta de apoio da alta administração A03 Contingenciamento Orçamentário F04 Falta do alinhamento estratégico (ausencia de PETI e PDTI) A04 Influência Política F05 Gestão excessivamente técnica A05 F06 Gestão de competência A06 F07 Falta de integração entre desenvolvimento e infraestrutura A07 F08 Empirismo A08

17 Levantar e avaliar os riscos inerentes
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Processo CAUT Definir processos de negócio Realizar análise de impacto no negócio (BIA) Realizar análise SWOT Avaliar Riscos Analisar riscos

18 Levantar e avaliar os riscos inerentes
ID Descrição Tipos de Risco (Res. CNJ 171) Relacionamentos 1 - Humano 2 - Processos 3 - Tecnológico R01 Execução de processos de desenvolvimento altamente dependente de indivíduos-chave 2 F01 F03 Falta de processos formais Falta de apoio da alta administração R02 Falhas de qualidade em processos chave de TI F02 F04 Alta rotatividade Falta do alinhamento estratégico (ausencia de PETI e PDTI) R03 Políticas, padrões, processos e práticas de TI incompatíveis com as boas práticas atuais Falta do alinhamento estratégico (ausência de PETI e PDTI) R04 Falta de capacidade das políticas, padrões, processos e práticas de TI em atender os objetivos corporativos R05 Erros de desenvolvimento, causando atrasos, retrabalho e aumento de custos 1 F06 F07 F08 Gestão de competência Falta de integração entre desenvolvimento e infraestrutura Empirismo

19 Levantar e avaliar os riscos inerentes
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Processo CAUT Definir processos de negócio Realizar análise de impacto no negócio (BIA) Realizar análise SWOT Avaliar Riscos Analisar riscos

20 Levantar e avaliar os riscos inerentes
ID Risco IMPACTO Frequência/Probalidade Índice de Risco Impacto Financeiro Impacto Operacional Impacto de Imagem Impacto Legal Impacto Total Peso 0,1 0,2 0,3 0,4 Níveis 1 - Sem prejuízo 1 - Não impacta as operações de modo sensível 1 - Não afeta a imagem da organização de forma sensível 1 - Não há impacto legal 1 1 - Nunca ocorreu,ocorreu há mais de 36 meses, ou não há base histórica 2 - Baixo 2 - Impacta levemente as operações, mas o impacto é facilmente contornável 2 - Há possibilidade do fato ser noticiado, mas sem impacto sensível na mídia 2 - Não há aderência às boas práticas, mas não fere nenhum normativo 2 2 - Ocorreu nos últimos 36 meses 3 - Médio 3 - Impacta as operações de forma sensível, mas é possível contornar o problema 3 - A ocorrência certamente será noticiada na mídia, mas afetará pouco a imagem da organização a médio prazo 3 - Alguns detalhes formais dos normativos não são completamente seguidos, mas há aderência num aspecto mais amplo 3 3 - Ocorreu nos últimos 12 meses 4 - Alto 4 - Impacta as operações de forma sensível, e há dificuldades em contornar o problema 4 - Prejuízos sensíveis à imagem da organização a médio prazo (o assunto será lembrado por mais de 3 meses) 4 - Mais de um aspecto de normativos obrigatórios não são seguidos 4 4 - Ocorreu nos últimos seis meses 5 - Muito Alto 5 - Impacta bastante as operações, e/ou não há maneira tempestiva de contornar o problema 5 - Grandes prejuízos à imagem da organização, que tendem a perdurar por mais de 6 meses 5 - Há inconformidades graves em relação aos normativos vigentes 5 5 - Ocorre com frequência R01 Execuçao de processos de desenvolvimento altamente dependente de indivíduos-chave 2,5 0,83 R02 Falhas de qualidade em processos chave de TI 2,8 0,37 R03 Políticas, padrões, processos e práticas de TI incompatíveis com as boas práticas atuais 1,9 0,38

21 Levantar e avaliar os riscos inerentes
NID ID Risco Índice de Risco Tratamento do risco (Ponderado) RP01 R01 Execução de processos de desenvolvimento altamente dependente de indivíduos-chave 0,83 Medidas preventivas RP02 R03 Políticas, padrões, processos e práticas de TI incompatíveis com as boas práticas atuais 0,38 Monitoramento e controle RP03 R02 Falhas de qualidade em processos chave de TI 0,37

22 Ponto de negociação. Utilizável em outros lugares?
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Com os riscos analisados a auditoria tem como mostrar para as partes interessadas o valor que entregará

23 Levantar e avaliar os controles internos
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Confiança do controle Descrição 0,2 Muito Baixa O controle interno é inexistente, foi mal projetado ou foi mal implementado 0,4 Baixa Os controles internos têm abordagem ad hoc 0,6 Média Alguns controles são implementados, mas não de forma apropriada 0,8 Alta Controles são implementados e mantidos de forma correta Manual de Auditoria Financeira do TCU (2015)

24 Levantar e avaliar os controles internos
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Objetivo ou Macroprocesso Engenharia de Software Controles ID NID Risco Controle Confiança Risco de controle(1- Confiança) C01 RP01 Execução de processos de desenvolvimento altamente dependente de indivíduos-chave Manutenção de um Wiki 0,4 0,6

25 Calcular o risco de distorção relevante
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Objetivo ou Macroprocesso Engenharia de Software Controles ID NID Risco Controle Risco de controle Risco inerente Risco de distorção relevante (multiplicação) RDR01 RP01 Execução de processos de desenvolvimento altamente dependente de indivíduos-chave Manutenção de um Wiki 0,6 0,83 0,5

26 Calcular o risco de detecção
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria Para uma auditoria com 95% de confiança, apenas 5% de risco: RD = 0,05/0,5 Objetivo ou Macroprocesso Engenharia de Software Controles ID NID Risco Controle Risco de controle Risco inerente Risco de distorção relevante Risco de detecção RDR01 RP01 Execução de processos de desenvolvimento altamente dependente de indivíduos-chave Manutenção de um Wiki 0,6 0,83 0,5 0,1

27 Definir recursos para auditoria
Definir o RA desejado Levantar e avaliar os riscos inerentes Levantar e avaliar os controles internos Calcular o risco de distorção relevante Calcular o risco de detecção Definir recursos para auditoria No exemplo, a probabilidade de detectar uma inconformidade é baixa Portanto, é necessário mais recursos (melhor planejamento) Risco de detecção Recursos

28 Compartilhar conhecimento (Base de conhecimento)
Compartilhar o conhecimento É necessário manter uma base de conhecimento Servirá para mapear os riscos no planejamento O tempo e os recursos alocados para cada auditoria devem estar na base Para que em futuras auditorias o cálculo da quantidade de recursos seja aprimorado Registrar na automação usando Bizagi Studio

29 Mapeamento para o planejamento (Resolução 171)
“Art. 24. Durante a fase de planejamento, deve-se efetuar a avaliação do risco destinado a identificar áreas, sistemas e processos relevantes a serem examinados e são classificados em: I - risco humano (erro não-intencional; qualificação; fraude); II - risco de processo ( modelagem; transação; conformidade; controle técnico); e lll - risco tecnológico ( equipamentos; sistemas; confiabilidade da informação).” Compartilhar o conhecimento Esse mapeamento já foi feito na fase de avaliação de riscos. Então, basta consultar a base de conhecimento para apoiar o planejamento.

30 Compartilhar o conhecimento
FIM Compartilhar o conhecimento “Existem dois tipos de riscos: Aqueles que não podemos nos dar ao luxo de correr e aqueles que não podemos nos dar ao luxo de não correr.” (Peter Drucker)

Carregar ppt "Metodologia para auditoria baseada em riscos no STJ"

Apresentações semelhantes

Acordo de Nível de Serviço Gerenciamento de Disponibilidade

Acordo de Nível de Serviço Gerenciamento de Disponibilidade
Administração e segurança de redes

Administração e segurança de redes
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO

GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
PETI Planejamento Estratégico de TI

PETI Planejamento Estratégico de TI
Motivos para a empresa melhorar seu desempenho ambiental

Motivos para a empresa melhorar seu desempenho ambiental
Walter de Abreu Cybis Maio, 2003

Walter de Abreu Cybis Maio, 2003
Gerenciamento da Integração

Gerenciamento da Integração
Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia

Parte 2 – Marcos Regulatórios Prof. Luís Fernando Garcia
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES

FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES
GTI Claudia Salles Haddad

GTI Claudia Salles Haddad
Engenharia de Software

Engenharia de Software
A padronização dos processos facilita o controle da operação da empresa, promove a qualificação e o desenvolvimento da equipe, gerando aos clientes a percepção.

A padronização dos processos facilita o controle da operação da empresa, promove a qualificação e o desenvolvimento da equipe, gerando aos clientes a percepção.
PROJETO DO SISTEMA DE GESTÃO AMBIENTAL DO HGB

PROJETO DO SISTEMA DE GESTÃO AMBIENTAL DO HGB
Auditoria e Segurança da Informação

Auditoria e Segurança da Informação
Requisitos para o atendimento a Seção 404 da Lei Sarbanes & Oxley

Requisitos para o atendimento a Seção 404 da Lei Sarbanes & Oxley
CONSELHO FEDERAL DE CONTABILIDADE

CONSELHO FEDERAL DE CONTABILIDADE
Introdução à Qualidade

Introdução à Qualidade
CURSO TÉCNICO EM SEGURANÇA DO TRABALHO

CURSO TÉCNICO EM SEGURANÇA DO TRABALHO
Avaliação da Qualidade e Melhoria da Auditoria Interna

Avaliação da Qualidade e Melhoria da Auditoria Interna

Apresentações semelhantes

Anúncios Google