1 Auditoría basada en riesgo: Metodología y aplicación prácticaArnaldo Ribeiro, CCSA Auditor Federal de Control Externo Junio 2015

2 Sumario de la presentación¿Por qué auditoría basada en riesgo? Metodología Aplicabilidad Etapas, técnicas y procedimientos Estructura de la Matriz de riesgo Auditorías llevadas a cabo Resultados y ventajas del enfoque

3 ¿Por qué auditoria basada en riesgo?Normas de Auditoría del TCU – NAT (www.tcu.gov.br) Normas Internacionales para el ejercicio professional de la Auditoría Interna - IIA Global Modelo COSO ERM - Enterprise Risk Management

4 Metodología “...un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.”, estructurada con base en cinco componentes del Coso ERM: Fijación de Objetivos Identificación de Eventos Evaluación de Riesgos Respuesta al Riesgos Actividades de Control

5 Etapas y procedimientosObtención del conocimiento del objeto de fiscalización: Identificación y análisis del objetivo de la actividad Comprender y mapear los procesos de trabajo Identificación y documentación de los controles existentes

6 Etapas y procedimientosProductos: Diagramas de Flujos/mapas de proceso Descripciones narrativas

7 Etapas y procedimientosIdentificación de riesgos: Uso de la Matriz de Riesgos por Proceso (MRP) Identificación y análisis de riesgos Análisis y evaluación del diseño de los controles Definición del alcance de la auditoría

8 Etapa 2: ProcedimientosEstructura de la Matriz de Riesgos por Proceso Avaliação RI Controles Avaliação CI Risco Residual Referência Teste de CI Objetivo Fase 1 Fase 2 Fase n Riscos Riesgos Identificación de riesgos

9 Etapa 2: ProcedimientosEstructura de la Matriz de Riesgos por Proceso Avaliação RI Controles Avaliação CI Risco Residual Referência Teste de CI Objetivo Fase 1 Fase 2 Fase n Riscos Riesgos Evaluación RI Evaluación de riesgo inherente

10 Etapa 2: ProcedimientosEvaluación de riesgos: Matriz Impacto y Probabilid

11 Etapa 2: ProcedimientosEscala de Probabilidad

12 Etapa 2: ProcedimientosEstructura de la Matriz de Riesgos por Proceso Avaliação RI Controles Avaliação CI Risco Residual Referência Teste de CI Objetivo Fase 1 Fase 2 Fase n Riscos Riesgos Evaluación RI Controles Evaluación CI Relacionar CI a los riesgos, evaluar controles

13 Etapa 2: ProcedimientosEscala de Evaluación del Control Classificaciones Significado Inexistente Inexistente o no funcional/implementado. Débil Controle não institucionalizado, depositado na esfera de conhecimento pessoal dos operadores do processo, em geral realizado de maneira manual. Mediano Controle razoavelmente institucionalizado e operante, em geral realizado de maneira manual ou automática como parte do quotidiano da gestão (...) Satisfactorio Controle institucionalizado, normatizado, operante e atualizado, realizado de maneira eletrônica ou manual (...) Fuerte Controle institucionalizado, normatizado, operante e atualizado, realizado de maneira eletrônica (exceto se inviável) (...)

14 Etapas y procedimientosResultados hasta aquí: Controles con riesgo asociado Riesgos sin control Control sin riesgo

15 Etapa 2: ProcedimientosEstructura de la Matriz de Riesgos por Proceso Avaliação RI Controles Avaliação CI Risco Residual Referência Teste de CI Objetivo Fase 1 Fase 2 Fase n Riscos Riesgos Evaluación RI Evaluación CI Riesgo Residual

16 Etapa 2: ProcedimientosTabla de riesgo residual estimado

17 Etapa 2: ProcedimientosEstructura de la Matriz de Riesgos por Proceso Avaliação RI Controles Avaliação CI Risco Residual Referência Teste de CI Objetivo Fase 1 Fase 2 Fase n Riscos Riesgos Evaluación RI Evaluación CI Riesgo Residual

18 Etapa 2: ProcedimientosDiseño de procedimientos de prueba de controles Ref. Procedimientos PA - 1 Comparar los saldos ..... PA - 2 Verifique la exactitud... PA - 3 Cotejar los... PA - N ...

19 Etapa 2: ProcedimientosEstructura de la Matriz de Riesgos por Proceso Avaliação RI Controles Avaliação CI Risco Residual Referência Teste de CI Objetivo Fase 1 Fase 2 Fase n Riscos Riesgos Evaluación RI Evaluación CI Riesgo Residual Referência Proc. prueba PA – 1 e 2 PA - 2 N/A PA - N PA – X, Y, Z N/A PA – N PA – N

20 Etapas posteriores Aprobación del Planeamiento de AuditoríaFase de Ejecución Aplicación de los procedimientos, obtener las evidencias de auditoría... Revisión de la MRP (reavaliación del riesgo ihnerente y/o de control, etc.) Elaboración del Informe

21 Auditorías llevadas a caboRenuncia de los ingresos públicos Producir y estructurar conocimiento acerca del gobierno corporativo, gestión de riesgos y desempeño 5 políticas públicas 1,8 Billón de dólares gastos en investigaciones y desarrolo

22 Auditorías llevadas a cabo

23 Auditorías llevadas a caboContratos de gestión de servicios públicos contratos de gestión con seis entidades privadas Organización pública hace la supervisión Autoevalución de control (CSA)

24 Etapa 2: ProcedimientosEstructura de la Matriz de Riesgos por Proceso Avaliação RI Controles Avaliação CI Risco Residual Referência Teste de CI Objetivo Fase 1 Fase 2 Fase n Riscos Riesgos Evaluación RI Evaluación CI Riesgo Residual

25 Auditorías llevadas a cabo Impacto Probabilidad R1 R3 R6 R4 R2 R17 R13 R11 R10 R16 R12 R22 R24 R5 Distribución de los riesgos residuales R19 R20 R7 R8 R9 R14 R15 R18 R21 R23

26 Juicio: 3.304/2014-TCU-Plenário9.1. determinar à Secretaria-Executiva do Ministério da Ciência, Tecnologia e Inovação (SE/MCTI) que: apresente, em 180 (cento e oitenta) dias a contar da ciência desta deliberação, plano de ação contendo medidas para o aperfeiçoamento dos controles internos relativos aos eventos de risco 5, 10, 16, 18, 19, 20 e 24, evidenciados na presente auditoria (v. itens 4.2 e 4.6 do Relatório precedente), bem como os respectivos responsáveis e os prazos de conclusão;

27 Resultados y ventajas Vision estructurada del objeto fiscalizado, con informaciones sobre: Objetivos, procesos, Riesgo inherente, controles internos, riesgo residual, calidad de la gestión Enfoque en riesgos Contribución para el alcance de los objetivos organizacionales Enfoque en el processo Envuelve diversos sectores de la organización en una sola acción de fiscalización

28 Auditor Federal de Control ExternoMuchas gracias! Tribunal de Cuentas de la Unión Secretaria de Dessarrollo Económico Arnaldo Ribeiro, CCSA Auditor Federal de Control Externo Teléfono: +55 (61)