Auditoria 123

Auditoría basada en riesgo: Metodología y
aplicación práctica
Arnaldo Ribeiro, CCSA

Auditor Federal de Control Externo
Junio 2015
¿Por qué auditoría basada en riesgo?
Metodología
Aplicabilidad
Etapas, técnicas y procedimientos
Estructura de la Matriz de riesgo
Auditorías llevadas a cabo
Resultados y ventajas del enfoque
Preguntas
Normas de Auditoría del TCU – NAT (www.tcu.gov.br)
Normas Internacionales para el ejercicio professional de la Auditoría

Interna - IIA Global
Modelo COSO ERM - Enterprise Risk Management

Metodología
“...un enfoque sistemático y disciplinado para evaluar y mejorar la

eficacia de los procesos de gestión de riesgos, control y gobierno.”,
estructurada con base en cinco componentes del Coso ERM:
 Fijación de Objetivos
 Identificación de Eventos
 Evaluación de Riesgos
 Respuesta al Riesgos
 Actividades de Control
Etapas y procedimientos
Etapa 1
 Obtención del conocimiento del objeto de fiscalización:
Identificación y análisis del objetivo de la actividad
Comprender y mapear los procesos de trabajo
Identificación y documentación de los controles existentes

Etapa 1
 Productos:
Diagramas de Flujos/mapas de proceso
Descripciones narrativas
Etapa 2
 Identificación de riesgos:
 Uso de la Matriz de Riesgos por Proceso (MRP)
Identificación y análisis de riesgos
Análisis y evaluación del diseño de los controles
Definición del alcance de la auditoría

Etapa 2: Procedimientos
Estructura de la Matriz de Riesgos por Proceso
Riscos
Riesgos Avaliação Avaliação Risco Referência
Controles
RI CI Residual Teste de CI
Fase 1
Objetivo
Identificación de riesgos
Fase 2
Fase n
Riscos
Riesgos Evaluación
Avaliação Avaliação Risco Referência
Controles
Fase 1
Objetivo
Evaluación de riesgo inherente

Fase 2
Fase n
Evaluación de riesgos: Matriz Impacto y Probabilid

Escala de Probabilidad
Riscos
Riesgos Evaluación
Avaliação Evaluación
Avaliação Risco Referência
Controles
Fase 1
Objetivo
Relacionar
CI a los
Fase 2 riesgos,
evaluar
controles
Fase n
Escala de Evaluación del Control

Classificaciones Significado
Inexistente Inexistente o no funcional/implementado.
Controle não institucionalizado, depositado na esfera de conhecimento pessoal

Débil
dos operadores do processo, em geral realizado de maneira manual.
Controle razoavelmente institucionalizado e operante, em geral realizado de

Mediano
maneira manual ou automática como parte do quotidiano da gestão (...)
Controle institucionalizado, normatizado, operante e atualizado, realizado de

Satisfactorio
maneira eletrônica ou manual (...)
Controle institucionalizado, normatizado, operante e atualizado, realizado de

Fuerte
maneira eletrônica (exceto se inviável) (...)
 Resultados hasta aquí:
Controles con riesgo asociado
Riesgos sin control
Control sin riesgo

Riscos
Riesgos Evaluación
Avaliação Riesgo
Risco Referência
Controles
Fase 1
Objetivo
Fase 2
Fase n
Tabla de riesgo residual estimado

Riscos
Riesgos Evaluación
Avaliação Riesgo
Risco Referência
Controles
Fase 1
Objetivo
Fase 2
Fase n
Diseño de procedimientos de prueba de controles
Ref. Procedimientos
PA - 1 Comparar los saldos .....
PA - 2 Verifique la exactitud...
PA - 3 Cotejar los...
PA - N ...
Riscos
Riesgos Evaluación
Avaliação Riesgo
Risco Referência
Referência
Controles Proc.
RI CI Residual Testeprueba
de CI
Fase 1 PA – 1 e 2
PA - 2
Objetivo
N/A
Fase 2 PA - N
PA – X, Y, Z
N/A
Fase n PA – N
PA – N
Etapas posteriores
Aprobación del Planeamiento de Auditoría

 Fase de Ejecución
 Aplicación de los procedimientos, obtener las evidencias de auditoría...
 Revisión de la MRP (reavaliación del riesgo ihnerente y/o de control, etc.)
Elaboración del Informe

Auditorías llevadas a cabo
 2013 - Renuncia de los ingresos públicos

 Producir y estructurar conocimiento acerca del gobierno corporativo,
gestión de riesgos y desempeño
 5 políticas públicas
 1,8 Billón de dólares
 gastos en investigaciones y desarrolo

ÍNDICES DE RIESGOS/CALIDAD DE LA GESTIÓN
NAI NAR
55.59
Lei de Informática
43.90
42.20
PADIS e PATVD
36.55
61.60
Lei do Bem
57.64
44.39
Inovar-Auto
41.45
58.14
Lei de Informática da ZFM
47.36
- 10 20 30 40 50 60 70
2014 - Contratos de gestión de servicios públicos

contratos de gestión con seis entidades privadas
Organización pública hace la supervisión
Autoevalución de control (CSA)

Riscos
Riesgos Evaluación
Avaliação Riesgo
Risco Referência
Controles
Fase 1
Objetivo
Fase 2
Fase n
Distribución de los riesgos residuales
R12 R24
R11
R22
R2 R13
R7 R14 R10
I R21
R17
R19 R8 R15
m R9 R18 R23 R6
p
a R20
R5
c R16
R4 R10
t
o
R3
R1
Probabilidad
Juicio: 3.304/2014-TCU-Plenário
9.1. determinar à Secretaria-Executiva do Ministério da Ciência, Tecnologia e

Inovação (SE/MCTI) que:
...
9.1.4. apresente, em 180 (cento e oitenta) dias a contar da ciência desta
deliberação, plano de ação contendo medidas para o aperfeiçoamento dos
controles internos relativos aos eventos de risco 5, 10, 16, 18, 19, 20 e 24,
evidenciados na presente auditoria (v. itens 4.2 e 4.6 do Relatório precedente),
bem como os respectivos responsáveis e os prazos de conclusão;
...
 Vision estructurada del objeto fiscalizado, con informaciones
sobre:
 Objetivos, procesos, Riesgo inherente, controles internos, riesgo residual,
calidad de la gestión
 Enfoque en riesgos
 Contribución para el alcance de los objetivos organizacionales
 Enfoque en el processo
 Envuelve diversos sectores de la organización en una sola acción de
fiscalización
???
Muchas gracias!
Tribunal de Cuentas de la Unión

Secretaria de Dessarrollo Económico
Arnaldo Ribeiro, CCSA

Auditor Federal de Control Externo
Teléfono: +55 (61) 3316.7751
arnaldorg@tcu.gov.br

Auditoria 123

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Auditoria 123

Hochgeladen von

Copyright:

Verfügbare Formate

Auditoría basada en riesgo: Metodología y

Arnaldo Ribeiro, CCSA

Normas Internacionales para el ejercicio professional de la Auditoría

Modelo COSO ERM - Enterprise Risk Management

“...un enfoque sistemático y disciplinado para evaluar y mejorar la

Identificación y análisis del objetivo de la actividad

Comprender y mapear los procesos de trabajo

Identificación y documentación de los controles existentes

Diagramas de Flujos/mapas de proceso

Identificación y análisis de riesgos

Análisis y evaluación del diseño de los controles

Definición del alcance de la auditoría

Estructura de la Matriz de Riesgos por Proceso

Estructura de la Matriz de Riesgos por Proceso

Evaluación de riesgo inherente

Evaluación de riesgos: Matriz Impacto y Probabilid

Estructura de la Matriz de Riesgos por Proceso

Escala de Evaluación del Control

Inexistente Inexistente o no funcional/implementado.

Controle não institucionalizado, depositado na esfera de conhecimento pessoal

Controle razoavelmente institucionalizado e operante, em geral realizado de

Controle institucionalizado, normatizado, operante e atualizado, realizado de

Controle institucionalizado, normatizado, operante e atualizado, realizado de

 Resultados hasta aquí:

Controles con riesgo asociado

Riesgos sin control

Control sin riesgo

Estructura de la Matriz de Riesgos por Proceso

Tabla de riesgo residual estimado

Estructura de la Matriz de Riesgos por Proceso

Diseño de procedimientos de prueba de controles

Estructura de la Matriz de Riesgos por Proceso

Aprobación del Planeamiento de Auditoría

 Revisión de la MRP (reavaliación del riesgo ihnerente y/o de control, etc.)

Elaboración del Informe

 2013 - Renuncia de los ingresos públicos

 1,8 Billón de dólares

 gastos en investigaciones y desarrolo

2014 - Contratos de gestión de servicios públicos

Organización pública hace la supervisión

Autoevalución de control (CSA)

Estructura de la Matriz de Riesgos por Proceso

9.1. determinar à Secretaria-Executiva do Ministério da Ciência, Tecnologia e

Tribunal de Cuentas de la Unión

Arnaldo Ribeiro, CCSA

Das könnte Ihnen auch gefallen