(TCU) - Auditoria baseada em risco
Transcript of (TCU) - Auditoria baseada em risco
![Page 1: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/1.jpg)
Auditoria baseada em risco
Maria Lúcia Lima Novembro/2013
![Page 2: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/2.jpg)
Conteúdo
Conceito de risco
Gestão de risco
Risco e auditoria
Técnicas de diagnóstico • Análise SWOT
• Diagrama de Verificação de Riscos (DVR)
• Mapa de processo
![Page 3: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/3.jpg)
Conceitos de Risco
• Possibilidade de que um evento ocorra e afete negativamente a realização dos objetivos (COSO II -ERM)
• Combinação da probabilidade de um evento e suas consequências (ISO Guide 73)
• Efeito da incerteza nos objetivos. Desvio (positivo ou negativo) em relação ao esperado (ISO 31000)
• Possibilidade de algo acontecer e ter um impacto nos objetivos. Medido em termos de consequências e probabilidades (AS/NZS 4360)
![Page 4: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/4.jpg)
Conceitos
Para estabelecer controles, primeiro é necessário que objetivos sejam definidos e, como todos os objetivos envolvem riscos, existe a necessidade de mitigar esses riscos, identificando-os, avaliando-os e decidindo se devem ser modificados por algum tratamento.
![Page 5: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/5.jpg)
probabilidade
Conceito de Risco - Diagrama
![Page 6: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/6.jpg)
Que riscos afetam as organizações?
• Estratégicos – Políticos
– Econômicos: inflação, juros altos
– Sociais: mudanças demográficas, residenciais
– Atendimento ao cliente
• Imagem
• Operacionais (do dia a dia) – Competitividade
– Físicos: incêndio, por exemplo
– Contratual
• Financeiros
• Segurança – Patrimonial
– Do trabalho
– De informações: tecnológico, físico
• Humanos
• De regulação – Legislativo
– Ambiental
– Legal
• Pessoal – Profissional
– Gestão: perda de pessoal
![Page 7: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/7.jpg)
Riscos que afetam o Setor Público
• Mudanças no cenário econômico
– Redução da arrecadação
• Desvios de Recursos
• Deficiências na inovação e introdução de novas tecnologias
• Inconsistência de programas e projetos
– Não resolvem os problemas
– Resultados não esperados
![Page 8: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/8.jpg)
Riscos que afetam o Setor Público
• Falhas na regulação de serviços ou atividades
– Danos ambientais
– Danos econômicos
• Na execução de projetos
– Demora
– Custos excedidos
• Nos serviços prestados
– Falta de capacidade para atender a demanda
– Qualidade insuficiente Fonte: (NAO, 2000)
![Page 9: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/9.jpg)
Exercício
Em grupos de 4 pessoas, responda: que riscos afetam sua organização?
![Page 10: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/10.jpg)
Gestão de Riscos
Atividades coordenadas para dirigir e controlar uma organização no que se refere ao risco (ISO 31000)
![Page 11: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/11.jpg)
Objetivos da Gestão de Risco
• Fornecer base sólida e segura para tomada de decisão e planejamento
• Identificar melhor oportunidades e ameaças
• Tirar proveito de incertezas e variabilidades
• Ter gestão pró-ativa (em vez de reativa)
• Tornar mais eficaz a alocação e o uso de recursos
• Melhorar a gestão de incidentes e reduzir perdas e custos
• Melhorar a segurança e confiança das partes envolvidas
• Melhorar a conformidade com a legislação
• Melhorar a governança corporativa
![Page 12: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/12.jpg)
Estrutura da gestão de riscos
• Conjunto de componentes que fornecem os fundamentos e os arranjos organizacionais para a concepção, implementação, monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda a organização (ISO 31000)
FUNDAMENTOS ARRANJOS ESTRUTURA
![Page 13: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/13.jpg)
Fundamentos
• Política
– declaração das intenções e diretrizes gerais de uma organização relacionadas à gestão de riscos
• Objetivos
• Mandatos
• Comprometimento
![Page 14: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/14.jpg)
Arranjos
• Planos (abordagem, componentes, recursos)
• Relacionamentos
• Responsabilidades
• Recursos
• Processos
• Atividades
![Page 15: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/15.jpg)
ISO 31000
• Baseada na AS/NZS 4360:2004 – consagrada internacionalmente.
• Fornece princípios e diretrizes genéricas para a gestão de riscos.
• Aplicada a ampla gama de atividades, incluindo estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos.
• Aplicada a qualquer tipo de risco, independentemente de sua natureza.
![Page 16: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/16.jpg)
ISO 31000
• Não pretende uniformizar a gestão de riscos entre organizações.
• A concepção e a implementação de planos e estruturas para GR precisarão considerar necessidades variadas da organização (objetivos, contexto, estrutura etc.).
• Fornece abordagem comum para apoiar normas que tratem de riscos e/ou setores específicos, e não substituí-las.
![Page 17: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/17.jpg)
ISO 31000 – a quem se destina
• Responsáveis pelo desenvolvimento da política de gestão de riscos na organização.
• Responsáveis por assegurar que os riscos são eficazmente gerenciados na organização como um todo ou em uma área, atividade ou projeto específicos.
• Aos que precisam avaliar a eficácia de uma organização em gerenciar riscos.
• A quem elabora normas, guias, procedimentos e códigos de práticas que estabelecem como o risco deve ser gerenciado.
![Page 18: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/18.jpg)
O que é preciso para a GR?
• Um processo estruturado de gestão de riscos
– Com objetivos bem definidos
• A organização deve ter objetivos bem definidos
• A cúpula da organização deve ser receptiva para todos os tipos de comunicações acerca de riscos, incluindo-se más notícias
• Uma definição única de risco na organização
![Page 19: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/19.jpg)
O que é preciso para a GR?
• Treinamento em GR
• Definição de responsabilidades pela GR
• As unidades organizacionais devem:
– Identificar
– Registrar (relatórios, etc)
– Informar os riscos à cúpula da organização
– Adotar medidas mitigadoras
– Monitorar os riscos
![Page 20: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/20.jpg)
Estrutura para Gerenciar Riscos
FONTE: ISO 31000
![Page 21: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/21.jpg)
Processo de Gestão de Riscos
![Page 22: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/22.jpg)
Estabelecimento do Contexto
• Definir o ambientes (interno e externo)
• Compreender a organização (uso da análise SWOT)
• Estabelecer: objetivos, metas, estratégias, programas, escopo, parâmetros, recursos, registros
• Escolher critérios em relação aos quais os riscos serão avaliados
• Definir estrutura para o restante do processo
![Page 23: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/23.jpg)
Comunicação e Consulta
• Diálogo com as partes envolvidas durante todas as fases da GR
• Desenvolver plano de comunicação – Desde o início
– Que aborde questões relacionadas com o risco propriamente dito, suas causas, suas consequências (se conhecidas) e as medidas que estão sendo tomadas para tratá-lo.
![Page 24: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/24.jpg)
Monitoramento e Análise Crítica
• Medir o desempenho da gestão de riscos (usando indicadores);
• medir periodicamente o progresso obtido, ou o desvio, em relação ao plano de gestão de riscos;
• analisar criticamente de forma periódica se a política, o plano e a estrutura da GR ainda são apropriados, dado o contexto externo e interno das organizações;
![Page 25: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/25.jpg)
• informar sobre os riscos, o progresso do plano de gestão de riscos e como a política de gestão de riscos está sendo seguida;
• analisar criticamente a eficácia da estrutura da GR.
Monitoramento e Análise Crítica
![Page 26: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/26.jpg)
Processo de Gestão de Riscos
![Page 27: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/27.jpg)
Processo de Avaliação de Riscos
• Identificação de riscos
• Análise de riscos
• Avaliação de riscos
![Page 28: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/28.jpg)
Identificar • Fontes de risco
• Áreas de impacto
• Eventos de risco • Causas e consequências
• O que pode acontecer?
• Quando, onde, como, por quê?
Gerar lista abrangente das fontes de risco e eventos impactantes nos objetivos
Identificação de Riscos
![Page 29: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/29.jpg)
Compreender os riscos
Identificar fatores que afetam consequências e probabilidades
Determinar o nível de risco
Considerar: divergência de opinião entre especialistas, incertezas, disponibilidade, qualidade e quantidade das informações
Identificar controle existentes
Tipos de análise: qualitativa, semiquantitativa, quantitativa
Análise de Riscos
![Page 30: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/30.jpg)
• Decidir que riscos precisam ser tratados
• Decidir as prioridades de tratamento
• Avaliação de riscos envolve comparar o nível de risco encontrado com critérios estabelecidos
• Considerar a tolerância aos riscos assumida
• Considerar requisitos legais e regulamentares
Avaliação de Riscos
![Page 31: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/31.jpg)
Tratamento de Riscos
• Identificação das opções de tratamento Aceitar o risco
Modificar probabilidade ou consequência do risco
Evitar o risco
Transferir o risco
• Análise e avaliação das opções de tratamento. • Equilibrar custos e esforços da implementação com
benefícios decorrentes
• As opções não são mutuamente exclusivas
• Preparação e implementação dos planos de tratamento, definindo prioridades
• Análise e avaliação dos riscos residuais
![Page 32: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/32.jpg)
–O risco é baixo diante da perda potencial ou ameaça combinado com a probabilidade de sua ocorrência
–O custo de implementar o controle necessário excede a perda ou ameaça potencial
Aceitar o Risco
![Page 33: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/33.jpg)
– Implementar controles
Modificar o Risco
![Page 34: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/34.jpg)
–Contratar terceiros (outsourcing, joint ventures, previsão em contratos)
Modificar o Risco
![Page 35: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/35.jpg)
– Intensificar treinamento
–Alterar procedimentos
Modificar o Risco
![Page 36: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/36.jpg)
–Cessar a atividade porque o custo potencial é muito alto
Evitar o Risco
![Page 37: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/37.jpg)
–Contratar seguros
Transferir o Risco
![Page 38: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/38.jpg)
Síntese da Resposta ao Risco
![Page 39: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/39.jpg)
Apetite para o Risco
• Quantidade e tipo de riscos que uma organização está preparada para buscar, manter ou assumir.
![Page 40: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/40.jpg)
É diferente para cada tipo de organização
O apetite para riscos estará em algum ponto do espectro
Apetite para riscos
Avesso a risco Alto apetite para risco
Maioria das
empresas
Empresas de
tecnologia de ponta
Governo, indústrias
químicas e de saúde
Investidores,
empreendedores
![Page 41: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/41.jpg)
![Page 42: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/42.jpg)
Possibilidades de Uso do Conceito de Risco pela Auditoria Interna
![Page 43: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/43.jpg)
Auditoria Interna - Possibilidades
RISCO
Avaliar os Riscos
Avaliar a Gestão de
Riscos
Planejamento das Auditorias
Apontar Providências Necessárias
Funcionamento da Gestão de Risco
![Page 44: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/44.jpg)
• Visão geral da organização
• Identificação de processos ineficientes, controles desnecessários e retrabalhos
• Atuação como catalisador de mudanças
Auditoria Interna - Possibilidades
![Page 45: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/45.jpg)
• Há outra maneira de conseguir o mesmo resultado com menos esforço ou menos custo?
• Há duplicação de esforços?
• Qual foi a última vez em que o processo foi revisado pelo gestor? Que mudanças foram feitas? Qual a efetividade delas?
Auditoria Interna – Perguntas a fazer
![Page 46: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/46.jpg)
Exercício
Em grupos de 4 pessoas, responda:
Que áreas da sua organização você já audita?
Que áreas você poderia auditar e ainda não audita?
Que áreas você poderia auditar com enfoque em risco?
![Page 47: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/47.jpg)
O que auditar?
• Forma mais simples de pensar em auditoria baseada em risco –> auditar o que realmente importa para a organização. Provavelmente aí estão os maiores riscos.
• O gestor não avaliou nem identificou os riscos => oportunidade para a auditoria interna.
• Atraia o interesse do gestor, comece falando dos objetivos dele, de como alcançá-los e como medi-los.
Essência da Auditoria Baseada em Risco – Foco no cliente
![Page 48: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/48.jpg)
Passos da Auditoria
Objetivos da
organização Riscos
Procedimentos e processos de
mitigação
![Page 49: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/49.jpg)
Falsas ideias sobre risco
• Risco é preocupação só da área financeira e da seguradora
Risco deve ser preocupação de todos
• Risco aparece na agenda uma vez por ano
Risco é um processo contínuo
• Gerenciamento de risco é mais uma burocracia desnecessária
GR é uma forma de reduzir burocracia, identificar controles desnecessários e superposição de atividades
![Page 50: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/50.jpg)
Avaliação da Gestão de Riscos
![Page 51: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/51.jpg)
Avaliação da Gestão de Riscos
• A atividade de auditoria interna deve assistir à organização por meio da identificação e avaliação de exposições significativas a riscos e da contribuição para a melhoria dos sistemas de gerenciamento de riscos e de controle.
• A atividade de auditoria interna deve monitorar e avaliar a efetividade do sistema de gerenciamento de risco da organização.
• A atividade de auditoria interna deve avaliar os riscos de exposição no
que diz respeito à governança corporativa da organização, operações e sistemas de informação relativos a:
• confiabilidade e integridade das informações financeiras e operacionais; • efetividade e eficiência das operações; • salvaguarda do patrimônio; • obediência às leis, regulamentos e contratos.
![Page 52: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/52.jpg)
O que avaliar na GR
• Riscos foram identificados e avaliados?
• Houve resposta aos riscos?
• As respostas são eficazes?
– Riscos inerentes considerando o apetite
• Houve ações para os riscos residuais não alinhados com o apetite?
• Processo de GR é monitorado pela direção?
• Riscos, respostas e ações foram classificados e relatados adequadamente?
![Page 53: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/53.jpg)
Estágios da Avaliação da GR
1. Avaliação da Maturidade da Organização
2. Elaboração de plano de auditorias periódicas para verificar os riscos
3. Realização de auditoria anual sobre o sistema de GR para garantia
![Page 54: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/54.jpg)
Maturidade da Organização em GR
• Ingênua
– nenhuma abordagem ou
consciência sobre risco
• Consciente
– alguns departamentos
![Page 55: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/55.jpg)
Maturidade da Organização em GR
• Riscos definidos
– a maioria dos departamentos
• Riscos Gerenciados
– abordagem corporativa em desenvolvimento
• Habilitada
– gerenciamento de riscos plenamente incorporado
![Page 56: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/56.jpg)
1. Avaliação da Maturidade da Organização
• Identificar e analisar em que estágio a organização se encontra no que se refere à maturidade com relação ao gerenciamento de risco.
• Considerar a cultura organizacional e sua atitude em relação ao risco (se está mais propensa a ter aversão ao risco ou a aceitar riscos).
![Page 57: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/57.jpg)
2. Plano de Auditoria - verificar os Riscos
• Os departamentos já identificam os riscos e registram respostas a esses riscos
• Auditoria Interna verifica:
– que riscos são adequadamente gerenciados
– quando verificar
– como verificar
• Categorizar e priorizar os riscos
– associar riscos às auditorias
– realizar auditorias
– relatar à direção e ao comitê de auditoria
![Page 58: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/58.jpg)
3. Auditoria anual abrangente - GR
• Visão sistêmica sobre toda a gestão de risco
– avaliação da maturidade em maior profundidade
• Verifica-se:
– se, em geral, os riscos residuais estão abaixo do apetite de risco da organização (se não, se a direção foi informada)
– se processos de gestão de risco estão sendo monitorados pela gerência
![Page 59: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/59.jpg)
Atuação da AI x Estágio da Organização
Estágio da Organização Trabalho da Auditoria Interna Estratégia da
Auditoria Interna
Habilitada Verificar o funcionamento
da GR como um todo
Asseguração
Consultoria
Riscos Gerenciados Ajudar o gestor com as
respostas aos riscos
Riscos definidos
Ajudar o gestor a
completar a sua lista de
riscos
Consciente Realizar auditorias de
riscos
Treinar o gestor ou ele
pensará que GR é somente
trabalho da AI
Não se pode adotar a
abordagem de
avaliação da GR Ingênua
![Page 60: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/60.jpg)
Levantamento de Eventos de Riscos
![Page 61: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/61.jpg)
Levantamento de eventos de risco
Principais etapas
1) Coleta preliminar de informações
2) Aplicação de técnicas de diagnóstico
3) Mapeamento de processos
4) Identificação de eventos de risco
5) Elaboração da matriz de riscos
6) Elaboração do relatório
![Page 62: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/62.jpg)
1) Coleta preliminar de informações
idade ou programa (forma de
• Forma de organização, funcionamento, responsáveis, atribuições, contexto em que se insere.
• Identificação dos objetivos da organização.
FOCO NO RISCO!
![Page 63: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/63.jpg)
2) Aplicação de técnicas de diagnóstico
Principais
• Identificação de stakeholders
• Análise SWOT e DVR
• Entrevistas (gestores e especialistas)
FOCO NO RISCO!
![Page 64: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/64.jpg)
3) Mapeamento de processos
• Escolher processos a mapear
- Como identifico os processos?
• Mapear processos
• Quantos serão mapeados?
É mapeamento, não é redesenho nem modelamento.
![Page 65: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/65.jpg)
4) Identificação de eventos de risco
• Identificar eventos a partir das atividades dos mapas de
processo.
• Identificar eventos que tenham impacto nos objetivos da entidade.
• Etapa mais demorada do levantamento.
• Se necessário, visitar locais de implementação.
![Page 66: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/66.jpg)
![Page 67: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/67.jpg)
5) Elaboração da matriz de eventos de risco
Nome do
processo
Objetivo do
processo
Materiali-
dade (R$
milhões)
Riscos Causas Efeitos Mecanismos de
controle
Propostas
Piso da
atenção
básica (Pab)
variável
Estimular a
implantação, nos
municípios, de
saúde da família,
agentes
comunitários de
saúde, saúde na
escola.
12.100 Dificuldade de
realização de
procedimentos
médicos básicos e
de enfermagem.
Falta de
estrutura
mínima nas
unidades básicas
de saúde.
Sobrecarga das
unidades de
atendimento
secundário e
terciário.
Supervisão,
acompanhamento e
avaliação pela
esfera estadual.
Fiscalização de Orientação
Centralizada para avaliar a
regularidade da aplicação dos
recursos da Atenção Básica pelos
municípios, abrangendo, entre
outras atividades, o Programa
Saúde da Família.
Controle
Social
Aumentar a
participação
popular no
acompanhamen-to
da aplicação dos
recursos.
9,71 Deficiência no
acompanhamento da
aplicação dos
recursos.
Composição
inadequada dos
conselhos de
saúde.
Desperdício de
recursos.
CIB, CIT, SNA Auditoria Operacional nos
Conselhos de Saúde visando
analisar sua estrutura e atuação
como fiscalizadores dos recursos
repassados pelo Fundo Nacional
de Saúde aos fundos estaduais e
municipais de saúde.
![Page 68: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/68.jpg)
• A partir da matriz, elaborar o relatório.
• Principal capítulo: eventos de risco identificados.
• Usar as mesmas regras adotadas para elaboração de relatório de auditoria.
6) Elaboração do relatório
![Page 69: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/69.jpg)
Foco no risco desde o início.
Risco não significa problema. Área de risco é onde há potencial de causar impacto no resultado.
Evento de risco não é achado de auditoria.
Levantamento não é auditoria.
Levantamento não é auditoria em controles.
Lembretes
![Page 70: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/70.jpg)
Técnicas de diagnóstico
![Page 71: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/71.jpg)
Técnicas de diagnóstico
Análise SWOT
Diagrama de Verificação de Riscos
Mapa de processo
![Page 73: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/73.jpg)
O que significa SWOT?
É um acrônimo formado pelas palavras inglesas:
S trengths - forças
W eaknesses - fraquezas
O pportunities - oportunidades
T hreats - ameaças
![Page 74: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/74.jpg)
Análise SWOT
Integra as metodologias de planejamento estratégico organizacional
Ferramenta facilitadora do diagnóstico institucional
Ferramenta para organizar opinião sobre o ambiente no qual opera o objeto analisado
![Page 75: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/75.jpg)
Análise do ambiente
Ambiente Interno Ambiente Externo
Forças: características internas que podem afetar de modo positivo o desempenho.
Oportunidades: características externas não controláveis com potencial para ajudar a melhorar o desempenho.
Fraquezas: características internas que podem inibir ou restringir o desempenho.
Ameaças: características externas não controláveis que podem comprometer o desempenho.
![Page 76: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/76.jpg)
Exemplos de variáveis ambientes
AMBIENTE INTERNO
Sistema de atendimento ao beneficiário (informação, ouvidoria, linha 0800).
Qualidade da operação do serviço.
Divulgação do programa.
AMBIENTE EXTERNO
o Tecnologias existentes usadas por outros órgãos/programas.
o Política econômica.
o Legislação.
o Impactos no meio ambiente.
o Sistema financeiro.
![Page 77: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/77.jpg)
Exemplos de variáveis ambientes
AMBIENTE INTERNO
Infra-estrutura do serviço;
Sistema de planejamento;
Controle de custos;
Distribuição de insumos;
Recursos humanos;
Programas de capacitação.
AMBIENTE EXTERNO
o Organizações da sociedade civil (Sindicatos, ONGS, Redes de Especialistas);
o População alvo;
o Infra-estrutura na comunidade beneficiária;
o Fatores geográficos;
o Fatores climáticos;
o Fornecedores de insumos.
![Page 78: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/78.jpg)
Fontes de informação
Especialistas
Gestores
Revistas especializadas
Mídia
Relatórios internos
Relatórios contratados
Auditorias anteriores
Pesquisas acadêmicas
![Page 79: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/79.jpg)
Meios de aplicação
Coleta de dados: legislação, documentos, entrevistas;
Oficina com gestores;
Validação com especialistas;
Validação com gestores.
![Page 80: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/80.jpg)
Como analisar a situação
Identificar a correlação entre pontos fortes e fracos com as oportunidades e ameaças
Identificar que ações devem ser realizadas para tirar o máximo proveito das oportunidades e dos pontos fortes com o objetivo de minimizar o impacto das ameaças e neutralizar os pontos fracos
![Page 81: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/81.jpg)
Passo a passo da SWOT
Em uma folha de papel, desenhar 2 colunas denominadas ”Ambiente Interno e Ambiente Externo”;
Na coluna ambiente interno, abrir 2 caixas denominadas “Forças” e “Fraquezas”;
![Page 82: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/82.jpg)
Passo a passo da SWOT
Na coluna ambiente externo, abrir 2 caixas denominadas ”Oportunidades” e “Ameaças”;
Utilizando um bloco de “post-it”, iniciar “brainstorming” para o preenchimento do quadro;
![Page 83: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/83.jpg)
Passo a passo da SWOT
Na caixa “Forças” listar os pontos fortes do objeto da auditoria, que são as características positivas internas que uma organização pode explorar para atingir suas metas;
Na caixa “Fraquezas”, listar as características negativas internas que podem inibir ou restringir o desempenho da organização;
![Page 84: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/84.jpg)
Passo a passo da SWOT
Na caixa “Oportunidades”, listar as características do ambiente externo com potencial para ajudar ou exceder as metas planejadas;
Na caixa “Ameaças”, listar as características do ambiente externo que podem impedir o alcance das metas planejadas.
![Page 85: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/85.jpg)
Exemplo
![Page 86: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/86.jpg)
DVR
![Page 87: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/87.jpg)
Diagrama de verificação de riscos (DVR)
O DVR é uma ferramenta de diagnóstico que ajuda a avaliar a capacidade do auditado de identificar e gerir seus riscos.
![Page 88: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/88.jpg)
Para que usar?
Identificar os riscos que podem afetar o desempenho do programa, projeto, área, departamento
Auxiliar na formulação do problema de auditoria
Assegurar que áreas de risco serão investigadas com profundidade durante a auditoria
Sistematizar e estruturar o conhecimento dos gestores sobre seu ambiente
![Page 89: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/89.jpg)
Modelo de diagrama de verificação de risco
Alta Probabilidade
Baixo impacto
Baixa probabilidade
Baixo impacto
Alta Probabilidade
Alto impacto
Baixa Probabilidade
Alto impacto Alto
Baixo
Alta Baixa
Impacto
potencial
no alcance
dos
objetivos
Probabilidade de
ocorrência
![Page 90: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/90.jpg)
probabilidade
Áreas de atenção no diagrama de verificação de risco
![Page 91: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/91.jpg)
Passos a seguir
Identificação dos pontos fracos e ameaças a partir da análise SWOT.
![Page 92: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/92.jpg)
Determinar a existência de controles e estabelecer o impacto e as probabilidades de ocorrência de risco, no contexto desses controles.
Nível de risco
Impacto
Potencial
Probabilidade de ocorrência
Alto
Baixo
Passos a seguir
![Page 93: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/93.jpg)
Conclusões para a auditoria
A partir do DVR, a equipe será capaz de identificar as áreas que poderão ser investigadas com maior profundidade.
![Page 94: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/94.jpg)
Exemplo
![Page 95: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/95.jpg)
Mapa de Processo
![Page 96: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/96.jpg)
O que são processos?
Fonte: MARANHÃO E MACIEIRA. O processo nosso de cada dia.
“Processo é a maneira pela qual se realiza uma operação.”
• Outras maneiras de se conceituar processo:
Conceito de Processo Fonte
Conjunto de atividades inter-relacionadas ou interativas que transforma insumos (entradas) em produtos (saídas).
Associação Brasileira de Normas Técnicas.
Conjunto de atividades, funções ou tarefas identificadas, que ocorrem em um período de tempo e que produzem algum resultado.
Metodologia IDEF Definition for Function Modeling.
Sequência de passos, tarefas e atividades que convertem entradas de fornecedores em uma saída, adicionando valor às entradas, transformando-as ou usando-as para produzir alguma coisa.
Dianne Galloway, em Mapping Work Process.
Uma série de etapas criadas para produzir um serviço ou um produto.
Geary A. Rummler e Alan P. Brache, em Melhores Desempenhos das Empresas.
![Page 97: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/97.jpg)
• É a representação gráfica de um processo de trabalho por meio de diagrama que contém a sequência de passos e etapas necessárias à consecução de determinada atividade.
• Portanto, a técnica de mapeamento de processo fornece:
⁻ a representação gráfica de operações;
⁻ o detalhamento de sequência de etapas;
⁻ os agentes envolvidos;
⁻ os fluxos de informação, dados e documentos.
O que é um mapa de processo?
![Page 98: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/98.jpg)
• Documentar o processo de forma que facilite a visualização de suas etapas e interações
• Identificar oportunidades de melhoria no processo
• Identificar pontos fortes para a disseminação de boas práticas
• Identificar controles internos necessários
• Identificar oportunidades de melhoria de controles internos
• Identificar riscos
• Viabilizar a avaliação dos controles internos existentes
Objetivos
![Page 99: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/99.jpg)
• Principais características:
⁻ descreve uma operação passo a passo;
⁻ método visual e interativo que favorece o trabalho em grupo e a participação do pessoal do órgão auditado;
⁻ traz informações relevantes sobre um processo, como quantidades, prazos e oportunidades.
Fonte: TCU. Auditoria na construção de cisternas para abastecimento de água.
Características de um mapa de processo
![Page 100: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/100.jpg)
• O mapa de processo pode ter diversos graus de detalhamento dependendo do propósito para o qual é elaborado.
• Informações essenciais:
⁻ descrição das atividades; ⁻ relação entre as etapas do processo; ⁻ movimento de informações e de documentos; ⁻ pontos de controle e de tomada de decisão.
• Também podem ser inseridos:
⁻ prazos; ⁻ oportunidades de melhoria; ⁻ quantidades; ⁻ custos; ⁻ observações.
Selecionar um ovo na geladeira
Quebrar o ovo Inspecionar o ovo Está
estragado?
Parte do processo de fritar um ovo Fonte: Adaptado de MARANHÃO E MACIEIRA. O processo nosso de cada dia
Que informações devem ser apresentadas no mapa ?
![Page 101: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/101.jpg)
Tipos de mapas de processo
Os mapas de processo podem representar as operações sob diversos enfoques:
Como está sendo realizado (processo real)
Como deve ser realizado (processo segundo as normas)
Como seria melhor que fosse realizado (otimização do processo para melhoria de desempenho)
![Page 102: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/102.jpg)
Retângulo: • Indica a atividade executada. • Idealmente, usar cinco palavras no máximo. • Começar com verbo de ação.
Remeter prestação de
contas
Pedido correto?
Losango: • Indica um ponto de tomada de decisão. • A resposta sempre será sim ou não.
Redução de 75% nos custos
Bandeira: • Indica uma oportunidade de melhoria. • Quantificar sempre que possível.
Ausência de formulário
padronizado
Balão ou nuvem: • Indica atenção, comentários ou explicações.
Início e fim de processo
2
Elipse: • Indica o início e o fim dos processos.
Círculo: • Indica conexão de atividades.
Que notações usar nos mapas de processo?
![Page 103: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/103.jpg)
Caixas com atividades
Pontos de decisão
Oportunidades
Diferentes cores para representar diferentes atores
Como essas notações são usadas?
![Page 104: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/104.jpg)
Balão com observações
Prazos
Notação de início e fim
Cada etapa do processo em uma área diferente do gráfico
Como essas notações são usadas?
![Page 105: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/105.jpg)
Círculo com conector que liga a outro gráfico
Como essas notações são usadas?
![Page 106: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/106.jpg)
Cada setor em uma área própria do gráfico
Como essas notações são usadas?
![Page 107: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/107.jpg)
• Prós - O mapa de processo é útil quando se deseja:
⁻ entender o funcionamento geral da organização ou programa;
⁻ identificar pontos fortes do processo visando à disseminação de boas práticas;
⁻ identificar eventos de risco e atividades de controle;
⁻ identificar oportunidades de melhoria de desempenho.
• Contras – aspectos a considerar antes de decidir usar mapeamento de processos:
⁻ o exame detalhado de processos de trabalho pode tomar bastante tempo;
⁻ trata-se de uma técnica cara;
⁻ a modificação de um processo de trabalho pode demandar muito tempo.
Uso dos mapas de processo
![Page 108: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/108.jpg)
Mapa de produtos
Sequência lógica dos resultados de processos.
Usado para identificar produtos-chave e construir indicadores de desempenho.
Cada seta, no mapa de produtos, representa um processo.
Mais estável.
Mapa de processo
Sequência lógica de tarefas, atividades e fluxo de documentos em uma organização.
Usado para identificar oportunidades de melhoria em um processo.
Esses processos contribuem para se chegar aos produtos.
Diferenças entre mapa de processo e mapa de produtos
![Page 109: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/109.jpg)
Como elaborar um mapa de um processo real?
• Defina claramente que processo será representado.
• Obtenha previamente informações por meio de entrevistas e de análise documental.
• Elabore versão preliminar do mapa para orientar seu raciocínio.
• Programe um workshop ou oficina com os auditados.
• Faça um brainstorming para identificar as atividades e a sua sequência.
• Escreva as idéias em etiquetas autocolantes e afixe-as em uma folha grande de papel.
Passo a passo
O mapa de processo deve ser elaborado preferencialmente com a participação das pessoas da área ou instituição auditada, pois são elas que melhor conhecem as atividades desempenhadas, os produtos resultantes, os objetivos e a missão da instituição (TCU. Mapa de Processos).
![Page 110: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/110.jpg)
Como elaborar um mapa de processo real?
• Identifique a tarefa inicial e comece a organizar as demais na sequência das atividades.
• Ligue as tarefas por setas para indicar o fluxo das atividades.
• Use software adequado para passar o mapa a limpo.
• Valide o mapa com quem conhece o processo.
• Elabore a versão final.
Passo a passo
![Page 111: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/111.jpg)
Como elaborar um mapa de processo real?
• Envolva o pessoal que entende (do órgão auditado).
• Não pense que seu mapa preliminar é o correto.
• Esteja disposto a mudar continuamente o mapa.
• Use etiquetas autocolantes para facilitar o rearranjo de tarefas.
• Controle o tempo, pois as discussões podem se tornar acaloradas e se alongar demais.
• Aproveite para esclarecer dúvidas.
Dicas para a elaboração
![Page 112: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/112.jpg)
Como elaborar um mapa de processo?
• Ao escolher as cores e tonalidades, considere a necessidade de reproduções.
• Procure dispor as caixas em fileiras e colunas alinhadas.
• Use a menor quantidade possível de retas para conectar as caixas.
• Evite linhas diagonais.
• Procure minimizar os cruzamentos entre linhas (se inevitáveis, use alças).
Dicas para a apresentação final do diagrama
Fonte: TCU. Técnicas de Apresentação de dados.
Fonte: TCU. Técnicas de Apresentação de dados.
• O tamanho do diagrama deve permitir a transmissão do conteúdo (evite longos e estreitos apenas para se ajustarem ao formato do texto).
• Procure usar tamanhos padronizados. Evite definir o tamanho das caixas apenas para acomodar o texto.
![Page 113: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/113.jpg)
Quando usar mapas de processo para induzir melhorias?
Recomenda-se usar o mapeamento de processo como indutor de melhorias nas rotinas de trabalho quando:
• Há áreas em que o trabalho sofre atrasos ou os documentos são extraviados
• As pessoas ficam aguardando documentos, procurando o que fazer ou corrigindo erros – tempo perdido
• Há insuficiente interação entre atividades ou falhas de comunicação
• Existem múltiplas instâncias de aprovação
• Há duplicidade de tarefas
• Há áreas onde as metas fixadas não são atingidas
• Visualizam-se oportunidades de redução de custos nos processos de trabalho
• Há atividades que apresentam alto índice de falhas e erros
![Page 114: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/114.jpg)
Como usar a técnica no aperfeiçoamento de processos?
• Comece do zero.
• Foque no produto, sem se prender demais ao processo atual.
• Lembre que o mapa de processo é um meio para identificar oportunidades de melhoria e não um fim em si mesmo.
• Discuta um plano de mudança.
• Avalie os custos das mudanças.
• Elabore sistemática de avaliação do desempenho do novo processo.
• Conte com a participação dos auditados, pois é essencial para que eles se apropriem das idéias e as implementem.
Fonte: TCU. Curso Introdução à Auditoria Operacional (EAD)
Dicas para a elaboração
![Page 115: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/115.jpg)
Exemplo de Mapa de Processo
![Page 116: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/116.jpg)
Exercício
![Page 117: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/117.jpg)
Resumo – Gestão de riscos
• Gestão de riscos precisa de:
– Processo estruturado
– Objetivos da organização bem definidos
– Cúpula administrativa envolvida
![Page 118: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/118.jpg)
• Conhecer a organização
• Identificar processos ineficientes, controles desnecessários e retrabalhos
• Atuar como catalisador de mudanças
Resumo – Possibilidades para a auditoria Interna
![Page 119: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/119.jpg)
Principais etapas
Coletar informações
Aplicar SWOT e DVR
Mapear processos
Identificar eventos de risco
Elaborar matriz de riscos
Levantamento de eventos de risco
![Page 120: (TCU) - Auditoria baseada em risco](https://reader033.fdocumentos.tips/reader033/viewer/2022042619/58734de31a28ab9f558bc51c/html5/thumbnails/120.jpg)
Muito obrigada!