Embed Size (px)
Citation preview
Arnaldo Ribeiro, CCSAAuditor Federal de Control Externo
Auditoría basada en riesgo: Metodología y aplicación práctica
Junio 2015
¿Por qué auditoría basada en riesgo?MetodologíaAplicabilidad
Etapas, técnicas y procedimientos
Estructura de la Matriz de riesgo
Auditorías llevadas a caboResultados y ventajas del enfoque
Sumario de la presentación
Normas de Auditoría del TCU – NAT (www.tcu.gov.br)
Normas Internacionales para el ejercicio professional de la Auditoría Interna - IIA Global
Modelo COSO ERM - Enterprise Risk Management
¿Por qué auditoria basada en riesgo?
Metodología
“...un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.”, estructurada con base en cinco componentes del Coso ERM:Fijación de Objetivos Identificación de EventosEvaluación de RiesgosRespuesta al RiesgosActividades de Control
Etapas y procedimientos
Etapa 1
Obtención del conocimiento del objeto de fiscalización:
Identificación y análisis del objetivo de la actividad
Comprender y mapear los procesos de trabajo
Identificación y documentación de los controles existentes
Etapas y procedimientos
Etapa 1
Productos:
Diagramas de Flujos/mapas de proceso
Descripciones narrativas
Etapas y procedimientos
Etapa 2
Identificación de riesgos:
Uso de la Matriz de Riesgos por Proceso (MRP)
Identificación y análisis de riesgos
Análisis y evaluación del diseño de los controles
Definición del alcance de la auditoría
Etapa 2: Procedimientos
Estructura de la Matriz de Riesgos por Proceso
Avaliação RI
Controles
Avaliação CI
Risco Residual
ReferênciaTeste de CI
Objetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Identificación de riesgos
Etapa 2: Procedimientos
Avaliação RI
Controles
Avaliação CI
Risco Residual
ReferênciaTeste de CI
Objetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Evaluación RI
Evaluación de riesgo inherente
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Evaluación de riesgos: Matriz Impacto y Probabilid
Etapa 2: Procedimientos
Escala de Probabilidad
Etapa 2: Procedimientos
Avaliação RI
Controles
Avaliação CI
Risco Residual
ReferênciaTeste de CI
Objetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Evaluación RI
Controles
Evaluación CI
Relacionar CI a los riesgos, evaluar controles
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Classificaciones Significado
Inexistente Inexistente o no funcional/implementado.
Débil Controle não institucionalizado, depositado na esfera de conhecimento pessoal dos operadores do processo, em geral realizado de maneira manual.
Mediano Controle razoavelmente institucionalizado e operante, em geral realizado de maneira manual ou automática como parte do quotidiano da gestão (...)
Satisfactorio Controle institucionalizado, normatizado, operante e atualizado, realizado de maneira eletrônica ou manual (...)
Fuerte Controle institucionalizado, normatizado, operante e atualizado, realizado de maneira eletrônica (exceto se inviável) (...)
Escala de Evaluación del Control
Etapas y procedimientos
Resultados hasta aquí:
Controles con riesgo asociado
Riesgos sin control
Control sin riesgo
Etapa 2: Procedimientos
Avaliação RI
Controles
Avaliação CI
Risco Residual
ReferênciaTeste de CI
Objetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Evaluación RI
Controles
Evaluación CI
Riesgo Residual
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Tabla de riesgo residual estimado
Etapa 2: Procedimientos
Avaliação RI
Controles
Avaliação CI
Risco Residual
ReferênciaTeste de CI
Objetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Evaluación RI
Controles
Evaluación CI
Riesgo Residual
Estructura de la Matriz de Riesgos por Proceso
Etapa 2: Procedimientos
Diseño de procedimientos de prueba de controles
Ref. Procedimientos
PA - 1 Comparar los saldos .....
PA - 2 Verifique la exactitud...
PA - 3 Cotejar los...
PA - N ...
Etapa 2: Procedimientos
Avaliação RI
Controles
Avaliação CI
Risco Residual
ReferênciaTeste de CI
Objetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Evaluación RI
Controles
Evaluación CI
Riesgo Residual
ReferênciaProc. prueba
PA - 2
N/A
PA - N
PA – X, Y, Z
N/A
PA – 1 e 2
PA – N
PA – N
Estructura de la Matriz de Riesgos por Proceso
Etapas posteriores
Aprobación del Planeamiento de AuditoríaFase de Ejecución
Aplicación de los procedimientos, obtener las evidencias de auditoría...
Revisión de la MRP (reavaliación del riesgo ihnerente y/o de control, etc.)
Elaboración del Informe
Auditorías llevadas a cabo
2013 - Renuncia de los ingresos públicos
Producir y estructurar conocimiento acerca del gobierno corporativo,
gestión de riesgos y desempeño
5 políticas públicas
1,8 Billón de dólares
gastos en investigaciones y desarrolo
Auditorías llevadas a cabo
Lei de Informática da ZFM
Inovar-Auto
Lei do Bem
PADIS e PATVD
Lei de Informática
- 10 20 30 40 50 60 70
47.36
41.45
57.64
36.55
43.90
58.14
44.39
61.60
42.20
55.59
índices de riesgos/calidad de la gesti ónNAI NAR
Auditorías llevadas a cabo
2014 - Contratos de gestión de servicios públicos
contratos de gestión con seis entidades privadas
Organización pública hace la supervisión
Autoevalución de control (CSA)
Etapa 2: Procedimientos
Avaliação RI
Controles
Avaliação CI
Risco Residual
ReferênciaTeste de CI
Objetivo
Fase 1
Fase 2
Fase n
RiscosRiesgos
Evaluación RI
Controles
Evaluación CI
Riesgo Residual
Estructura de la Matriz de Riesgos por Proceso
Auditorías llevadas a cabo
Impacto
Probabilidad
R1
R3
R6
R4
R2
R17
R13
R11
R10R16
R12
R22
R24
R5
Distribución de los riesgos residuales
R19
R20
R7
R8
R9
R10R14
R15
R18
R21
R23
Juicio: 3.304/2014-TCU-Plenário
9.1. determinar à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação (SE/MCTI) que:...9.1.4. apresente, em 180 (cento e oitenta) dias a contar da ciência desta deliberação, plano de ação contendo medidas para o aperfeiçoamento dos controles internos relativos aos eventos de risco 5, 10, 16, 18, 19, 20 e 24, evidenciados na presente auditoria (v. itens 4.2 e 4.6 do Relatório precedente), bem como os respectivos responsáveis e os prazos de conclusão;...
Vision estructurada del objeto fiscalizado, con informaciones sobre:
Objetivos, procesos, Riesgo inherente, controles internos, riesgo residual,
calidad de la gestión
Enfoque en riesgos Contribución para el alcance de los objetivos organizacionales
Enfoque en el processo
Envuelve diversos sectores de la organización en una sola acción de
fiscalización
Resultados y ventajas
Muchas gracias!
Tribunal de Cuentas de la UniónSecretaria de Dessarrollo Económico
Arnaldo Ribeiro, CCSAAuditor Federal de Control Externo
Teléfono: +55 (61) [email protected]
