Post on 04-Nov-2018
XXI Conferência Anual - IPAI
Desenvolvimento do Plano de Auditoria Interna
Lisboa, VIP Grand Lisboa Hotel & Spa
20 Novembro 2014
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”).
AGENDA
1.Etapas que precedem o Desenvolvimento do Plano
2.Desenvolvimento do Plano de Auditoria Interna
3.Factores Potenciadores de Reavaliação do Plano
Objectivo da Apresentação
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 3
Slide da Apresentação de Resultados do III Survey de AI (IPAI/KPMG) no VIII Fórum do IPAI (20 Junho 2013)
Importa, pois, continuar a investir em:
• Desenvolvimento de planos e programas de auditoria interna orientados aos principais riscos da organização;
• Formação específica em auditoria interna, na qual se incluem as certificações internacionalmente reconhecidas;
• Desenvolvimento de auditorias a Sistemas de Informação;
• Desenvolvimento da Auditoria e Monitorização Contínuas (CA/CM);
• Avaliações Externas da Qualidade da função de AI.
Plano de Acção
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 4
Objectivo da Apresentação
Etapas que precedem o Desenvolvimento do Plano
Desenvolvimento do Plano de Auditoria Interna
Factores Potenciadores de Reavaliação do Plano
PARTILHAR CONHECIMENTO E IDEIAS SOBRE:
1
2
3
PARA PERMITIR CONSTRUIREM UM PLANO MAIS ROBUSTO
1. Etapas que precedem o Desenvolvimento do Plano
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 6
1ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
AnáliseEstratégica
Avaliação de Risco
DesenvolvimentoPlano Auditoria
2ª ETAPA 3ª ETAPA
Execução e Reporting
4ª ETAPA
Follow-up
5ª ETAPA
Melhoria Contínua
Boa Prática O Responsável de Auditoria Interna deve estabelecer um plano baseado no risco, no sentido de determinar as prioridades da actividade de Auditoria Interna, consistente com os objectivos da Organização.
Ciclo da Actividade de Auditoria Interna
Foco nas Etapas que precedem o Desenvolvimento do Plano de Auditoria
1ª ETAPA
AnáliseEstratégica
Avaliação de Risco
2ª ETAPA
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 7
1ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
AnáliseEstratégica
1.1 Compreender o Sector e o Negócio
Objectivos Principais
• Compreender a organização ao nível:- Sector/mercado e tendências - Modelo de governo - Estrutura organizacional - Estratégia e objectivos- Performance histórica em termos de
risco e controlo, incluindo IT - Assurance providers que possam existir
Comentário
• Se o nosso objectivo é o de contribuir para a consecução dos objectivos estratégicos, operacionais, de reporting e de compliance é imperativo que o nosso ponto de partida para a construção de um Plano de Auditoria Interna seja o de obter:
1) um conhecimento da estratégia e objectivos da organização
2) conhecimento do próprio Sector/ mercado no qual operamos
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 8
1ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
AnáliseEstratégica
1.2 Análise das Necessidades dos Stakeholders
Objectivos Principais
• Identificar os Stakeholders-Chave e compreender as suas necessidades, preocupações e motivações, obtendo um entendimento, através de reuniões presenciais, relativamente a:- Visão sobre a estratégia e objectivos- Iniciativas ou projectos relevantes - Riscos emergentes- Áreas de risco e melhoria de processo- Alterações tecnológicas previstas - Reportes que recepcionam das áreas
Comentário
O Responsável de Auditoria Interna (AI) deve comunicar directamente com cada Stakeholder para compreender as suas expectativas relativamente à AI e permitir um entendimento sobre o papel da função. Deverá compreender as necessidades e preocupações dos Stakeholders para determinar como a AI pode acrescentar valor. Poder-se-á documentar e confirmar esssasexpectativas, prioritizando-as, o que será um input importante para o plano.
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 9
2ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
Avaliação de Risco
2.1 Compreender o processo de Enterprise Risk Management (ERM) (se aplicável)
Objectivos Principais
• Compreender a abordagem ERM existente• Efectuar um assessment de alto nível do
processo de gestão de risco da organização.• Decidir com base na maturidade do ERM se
a AI vai: 1) Desenvolver uma avaliação de risco de raiz (Maturidade Básica);2) Utilizar a avaliação de risco existente, complementando-a (Maturidade Intermédia).3) Utilizar a avaliação de risco como input para o desenvolvimento plano (Maturidade Avançada).
Comentário
Para compreender a abordagem de ERM implementada importa colocar questões: 1)Existe uma clara metodologia associada ao
processo de Gestão de Risco ?2)Que processos para identificar os principais
riscos? Workshops, surveys, entrevistas? Como é que se atribuí o rate aos riscos? Através de probabilidade e impacto? Definições formalizadas?
3)Como os resultados da actividade de gestão de risco são recolhidos e reportados?
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 10
2ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
Avaliação de Risco
2.2 Desenvolver uma avaliação de risco da organização (1/5)
Objectivos Principais
• Actualizar e validar à avaliação de risco efectuada pela Área de Gestão de Risco ou, caso não exista, estruturar e desenvolver e uma nova avaliação de risco, por exemplo, de rating qualitativo.
Comentário
Suportando-se na Análise Estratégica realizada o CAE procura:- Identificar e avaliar as principais áreas de risco da organização, focando-nos nos principais processos de negócio e projectos (e.g. implementação de sistemas, aquisições). - Prioritizar através de rating qualitativo(análise qualitativa e opiniões subjectivas) de processos, sistemas e iniciativas, através de critérios de materialidade e complexidade do processo, se inclui controlos sobre riscos relevantes, a criticidade dos sistemas.
Boa Prática Se não existir um framework de Gestão de Risco implementado na Organização, o CAE deve utilizar o seu próprio julgamento dos riscos, após considerar o input do Senior Management e do Board.
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 11
2ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
Avaliação de Risco
2.2 Desenvolver uma avaliação de risco da organização (2/5)
Boa Prática Se não existir um framework de Gestão de Risco implementado na Organização, o CAE deve utilizar o seu próprio julgamento dos riscos, após considerar o input do Senior Management e do Board.
MA
JO
R P
RO
CE
SS
PROCESS PRIORITY RATING
RETAIL OPERATIONS SHARED SERVICES FUNCTIONS (LONDON)
Lo
nd
on
Sin
gap
ore
Ho
ng
Ko
ng
Me
lbo
urn
e
Ne
w Y
ork
Ch
icag
o
Hu
man
re
sou
rce
s
Tax
Fin
ance
Le
gal
Info
rmat
ion
T
ech
no
log
y
Man
age
info
rmat
ion
tech
no
logy Manage the business of IT
Develop and manage IT customer relationships
Manage business resiliency and risk
Manage enterprise information
Develop and maintain IT solutions
Deliver and support IT services
Manage IT knowledge
Man
age
fin
anci
al re
sou
rce
s
Perform planning & management accounting
Perform revenue accounting
Perform management accounting
Manage fixed assets
Manage Payroll
Manage Accounts payable
Manage treasury operations
Manage taxes
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 12
2ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
Avaliação de Risco
2.2 Desenvolver uma avaliação de risco da organização (3/5)
Objectivos Principais (Alternativo)
• Actualizar e validar à avaliação de risco efectuada pela Área de Gestão de Risco ou estruturar e desenvolver uma nova avaliação de risco com maior grau de sofisticação, podendo no limite ser quantitativo para alguns riscos.
Comentário
O CAE suportando-se da Análise Estratégica desenvolve uma Avaliação de Risco:1) Estabelecendo os critérios de avaliação dos riscos significativos, considerando o apetite ao risco, a probabilidade e impacto.2) Desenvolvendo workshops, reuniões individuais, questionários para a identificação e prioritização e categorização dos riscos.3) Confirmando superiormente a prioritizaçãodos riscos na matriz de riscos, considerando o apetite ao risco.
Boa Prática Se não existir um framework de Gestão de Risco implementado na Organização, o CAE deve utilizar o seu próprio julgamento dos riscos, após considerar o input do Senior Management e do Board.
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 13
2ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
Avaliação de Risco
2.2 Desenvolver uma avaliação de risco da organização (4/5)
Boa Prática Se não existir um framework de Gestão de Risco implementado na Organização, o CAE deve utilizar o seu próprio julgamento dos riscos, após considerar o input do Senior Management e do Board.
3j Loss of building, together with key staff or technology infrastructure
1c Adverse changes in law and government affecting the company’s business model
5a Loss of market share or revenue through competition or regulation
5b Introduction of competing products and technologies by other companies
5c Inability to attract and retain key employees
1b Failure to develop global management and information systems
4d Exposure to litigation related to the company’s products/services
3h Deficient products/services provided resulting in loss of reputation
1
Top 8 Risks#
2
3
4
5
6
7
8
Insignificant
Likelihood of Risk Occurrence
Minor
Moderate
Major
Remote Unlikely Possible Likely Almost certain
1f
3e4c
4e4f
4j
1c
1d1e
2b
3g
3b 3d3f
3a
3h
4b
4d
4g
4h
4i
5a
5c
1a2c
2a
5b
3j
3i3c
1b
4a
Catastrophic
Ris
k C
onse
quen
ce
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 14
2ª ETAPA
1. Etapas que precedem o Desenvolvimento do Plano
Avaliação de Risco
2.2 Desenvolver uma avaliação de risco da organização (5/5)
Maj
orPr
oces
sProcess Priority Rating
Tran
spor
tatio
n Fa
ilure
Prod
uctF
ailu
re
Prod
uct f
eatu
re
mis
mat
ch w
ith
regu
latio
ns
Brib
ery a
nd
Cor
rupt
ion
Failu
re to
ach
ieve
gr
oss
mar
gin
Inef
ficie
nt p
rodu
ct
capa
city
Poor
sys
tem
m
aint
enan
ce
Lost
or in
accu
rate
or
der e
nter
ed in
to
syst
em
Loss
of M
ajor
Ve
ndor
Due
to
Fina
ncia
l diff
icul
ties
Une
thic
al S
ourc
ing
Poor
cos
t con
trol
Ris
k R
atin
g
Proc
urem
ent
INITIATIVE Roll-out new vendor performance management system•Roll-out system•User training
Procurement Planning
Vendor Selection
Purchasing
Receiving
Vendor Performance Management
Quality Assurance
Man
age
Fina
ncia
l Res
ourc
es
INITIATIVE Expand into new markets•Expand Retail division into China•Expand Retail division in Africa•Establish new distribution business in Australia
Perform planning and budgeting
Perform revenue accounting
Perform management reporting
Manage fixed assets
Sub Process / Initiatives
RisksComentário Após a determinação da Matriz de Riscos vamos mapear os riscos identificados com os processos da organização. Existem riscos que atravessam vários processos, bem como processos aos quais se encontram associados diversos riscos, identificando-se os Focos de Auditoria baseados no risco, representados por
2. Desenvolvimento do Plano de Auditoria
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 16
DesenvolvimentoPlano Auditoria
3ª ETAPA
2. Desenvolvimento do Plano de Auditoria Interna
3.1 Elementos-Base de suporte ao Desenvolvimento do Plano (1/2)
O CAE vai desenvolver o plano de AI, com base num conjunto de elementos relevantes:
Risco: Auditorias a desenvolver dado o score de risco gerado pelo risk assessment anual.
Regulatório: Auditorias a desenvolver considerando os requisitos regulamentares e legais, bem como as políticas internas e procedimentos.
Ciclo de Auditoria: Auditorias que deverão ser desenvolvidas numa base periódica, nãonecessariamente anual, sobre objectos do universo auditável.
Riscos Emergentes: Novos processos significativos, tecnologia, produtos e serviços ou áreasem desenvolvimento.
Governance: Auditorias a processos de governance (e.g. integridade e valores éticos).
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 17
DesenvolvimentoPlano Auditoria
3ª ETAPA
2. Desenvolvimento do Plano de Auditoria Interna
3.1 Elementos-Base de suporte ao Desenvolvimento do Plano (2/2)
O CAE vai desenvolver o plano de AI, com base num conjunto de elementos relevantes:
Horas descricionárias/Projectos Especiais: Tempo reservado para projectos nãoprogramados, pedidos especiais e expansão não planeada do âmbito das auditorias previstas.
Follow-up: Desenvolvimento de follow-up sobre deficiências de maior gravidade no sentido de aferir a sua adequada resolução.
Avaliação de Risco: Reuniões com os stakeholders-chave, para actualizar e confirmar o risk assessment, bem como o plano de AI.
Projectos Adicionais: Desenvolvimento das avaliações interna e externa independente da AI.
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 18
DesenvolvimentoPlano Auditoria
3ª ETAPA
2. Desenvolvimento do Plano de Auditoria Interna
3.2 Conteúdos a incluir num Plano de Auditoria Interna (1/2)
O CAE deve incluir no seu Plano de Auditoria Interna um conjunto de tópicos, nomeadamente:
A função de Auditoria interna - Missão e Âmbito.
Sumário Executivo - Refere como o plano foi desenvolvido e com base em que elementos, a composição do universo auditável, como foi realizada a prioritização dos riscos e objectos de auditoria. Inclui um resumo do plano por temas e orçamento, bem como limitações de recursos ao plano, se aplicável.
Avaliação de Risco de suporte ao Plano - Onde se incluem as matrizes de risco, bem como o Mapeamento dos Riscos e Processos para identificação dos focos da actividade de AI.
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 19
DesenvolvimentoPlano Auditoria
3ª ETAPA
2. Desenvolvimento do Plano de Auditoria Interna
3.2 Conteúdos a incluir num Plano de Auditoria Interna (2/2)
O CAE deve incluir no seu Plano de Auditoria Interna um conjunto de conteúdos, nomeadamente:
Prioritização dos objectos de auditoria - Baseada no risco e em outros critérios (e.g. ciclo de auditoria, materialidade, última notação).
Sumário das Acções de AI planeadas - Âmbito, objectivos, tempo exigido.
Cronograma detalhado das actividades de AI - Quando ocorrem e com que duração.
Plano de Comunicação com Stakeholders - Função, frequência e principais tópicos.
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 20
DesenvolvimentoPlano Auditoria
3ª ETAPA
2. Desenvolvimento do Plano de Auditoria Interna
3.3 Discussão e Aprovação do Plano de Auditoria Interna
O CAE deve apresentar e discutir com os Stakeholders-Chave (Senior Management e Board) o âmbito dos trabalhos de AI, o grau de cobertura dos riscos/áreas, os requisitos de reporte, os recursos e competências necessários (humanos e materiais) para o cumprimento do plano, bem como eventuais restrições/limitações, caso existam quer ao nível de recursos, quer ao nível da independência da própria função.
Finalmente, após eventuais ajustamentos ao plano que resultam da discussão com os Stakeholders-Chave, estes deverão proceder à sua aprovação formal.
3. Factores Potenciadores de Reavaliação do Plano
© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 22
3. Factores Potenciadores de Reavaliação do Plano
Plano de Auditoria Interna
Rapidez de Crescimento
Alterações na Estratégia e Objectivos
Alteração na disponibilidade de recursos de
AI
Alterações significativas a
nível regulamentar
Alterações--Chave na Gestão de
Topo
Resultados das
Avaliações Internas e Externas
Alteração significativas ao nível do
ControlEnvironment
Aumento significativo de
solicitações por parte do
Board
Obrigado
Rui BrancoKPMG Advisory - Consultores de Gestão, S.A.rbranco@kpmg.com+351 210 110 912
A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecer informação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica.
© 2014 KPMG Advisory - Consultores de Gestão, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal.
O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”).