xxi conferência anual - ipai · impresso em portugal. o nome kpmg, o logótipo e “cutting...

XXI Conferência Anual - IPAI

Desenvolvimento do Plano de Auditoria Interna

Lisboa, VIP Grand Lisboa Hotel & Spa

20 Novembro 2014

© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”).

AGENDA

1.Etapas que precedem o Desenvolvimento do Plano

2.Desenvolvimento do Plano de Auditoria Interna

3.Factores Potenciadores de Reavaliação do Plano

Objectivo da Apresentação

© 2014 KPMG Advisory - Consultores de Gestão S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”). 3

Slide da Apresentação de Resultados do III Survey de AI (IPAI/KPMG) no VIII Fórum do IPAI (20 Junho 2013)

Importa, pois, continuar a investir em:

• Desenvolvimento de planos e programas de auditoria interna orientados aos principais riscos da organização;

• Formação específica em auditoria interna, na qual se incluem as certificações internacionalmente reconhecidas;

• Desenvolvimento de auditorias a Sistemas de Informação;

• Desenvolvimento da Auditoria e Monitorização Contínuas (CA/CM);

• Avaliações Externas da Qualidade da função de AI.

Plano de Acção


Objectivo da Apresentação

Etapas que precedem o Desenvolvimento do Plano

Desenvolvimento do Plano de Auditoria Interna

Factores Potenciadores de Reavaliação do Plano

PARTILHAR CONHECIMENTO E IDEIAS SOBRE:

1

2

3

PARA PERMITIR CONSTRUIREM UM PLANO MAIS ROBUSTO

1. Etapas que precedem o Desenvolvimento do Plano


1ª ETAPA


AnáliseEstratégica

Avaliação de Risco

DesenvolvimentoPlano Auditoria

2ª ETAPA 3ª ETAPA

Execução e Reporting

4ª ETAPA

Follow-up

5ª ETAPA

Melhoria Contínua

Boa Prática O Responsável de Auditoria Interna deve estabelecer um plano baseado no risco, no sentido de determinar as prioridades da actividade de Auditoria Interna, consistente com os objectivos da Organização.

Ciclo da Actividade de Auditoria Interna

Foco nas Etapas que precedem o Desenvolvimento do Plano de Auditoria

1ª ETAPA



2ª ETAPA


1ª ETAPA



1.1 Compreender o Sector e o Negócio

Objectivos Principais

• Compreender a organização ao nível:- Sector/mercado e tendências - Modelo de governo - Estrutura organizacional - Estratégia e objectivos- Performance histórica em termos de

risco e controlo, incluindo IT - Assurance providers que possam existir

Comentário

• Se o nosso objectivo é o de contribuir para a consecução dos objectivos estratégicos, operacionais, de reporting e de compliance é imperativo que o nosso ponto de partida para a construção de um Plano de Auditoria Interna seja o de obter:

1) um conhecimento da estratégia e objectivos da organização

2) conhecimento do próprio Sector/ mercado no qual operamos


1ª ETAPA



1.2 Análise das Necessidades dos Stakeholders


• Identificar os Stakeholders-Chave e compreender as suas necessidades, preocupações e motivações, obtendo um entendimento, através de reuniões presenciais, relativamente a:- Visão sobre a estratégia e objectivos- Iniciativas ou projectos relevantes - Riscos emergentes- Áreas de risco e melhoria de processo- Alterações tecnológicas previstas - Reportes que recepcionam das áreas

Comentário

O Responsável de Auditoria Interna (AI) deve comunicar directamente com cada Stakeholder para compreender as suas expectativas relativamente à AI e permitir um entendimento sobre o papel da função. Deverá compreender as necessidades e preocupações dos Stakeholders para determinar como a AI pode acrescentar valor. Poder-se-á documentar e confirmar esssasexpectativas, prioritizando-as, o que será um input importante para o plano.


2ª ETAPA



2.1 Compreender o processo de Enterprise Risk Management (ERM) (se aplicável)


• Compreender a abordagem ERM existente• Efectuar um assessment de alto nível do

processo de gestão de risco da organização.• Decidir com base na maturidade do ERM se

a AI vai: 1) Desenvolver uma avaliação de risco de raiz (Maturidade Básica);2) Utilizar a avaliação de risco existente, complementando-a (Maturidade Intermédia).3) Utilizar a avaliação de risco como input para o desenvolvimento plano (Maturidade Avançada).

Comentário

Para compreender a abordagem de ERM implementada importa colocar questões: 1)Existe uma clara metodologia associada ao

processo de Gestão de Risco ?2)Que processos para identificar os principais

riscos? Workshops, surveys, entrevistas? Como é que se atribuí o rate aos riscos? Através de probabilidade e impacto? Definições formalizadas?

3)Como os resultados da actividade de gestão de risco são recolhidos e reportados?


2ª ETAPA



2.2 Desenvolver uma avaliação de risco da organização (1/5)


• Actualizar e validar à avaliação de risco efectuada pela Área de Gestão de Risco ou, caso não exista, estruturar e desenvolver e uma nova avaliação de risco, por exemplo, de rating qualitativo.

Comentário

Suportando-se na Análise Estratégica realizada o CAE procura:- Identificar e avaliar as principais áreas de risco da organização, focando-nos nos principais processos de negócio e projectos (e.g. implementação de sistemas, aquisições). - Prioritizar através de rating qualitativo(análise qualitativa e opiniões subjectivas) de processos, sistemas e iniciativas, através de critérios de materialidade e complexidade do processo, se inclui controlos sobre riscos relevantes, a criticidade dos sistemas.

Boa Prática Se não existir um framework de Gestão de Risco implementado na Organização, o CAE deve utilizar o seu próprio julgamento dos riscos, após considerar o input do Senior Management e do Board.


2ª ETAPA





MA

JO

R P

RO

CE

SS

PROCESS PRIORITY RATING

RETAIL OPERATIONS SHARED SERVICES FUNCTIONS (LONDON)

Lo

nd

on

Sin

gap

ore

Ho

ng

Ko

ng

Me

lbo

urn

e

Ne

w Y

ork

Ch

icag

o

Hu

man

re

sou

rce

s

Tax

Fin

ance

Le

gal

Info

rmat

ion

T

ech

no

log

y

Man

age

info

rmat

ion

tech

no

logy Manage the business of IT

Develop and manage IT customer relationships

Manage business resiliency and risk

Manage enterprise information

Develop and maintain IT solutions

Deliver and support IT services

Manage IT knowledge

Man

age

fin

anci

al re

sou

rce

s

Perform planning & management accounting

Perform revenue accounting

Perform management accounting

Manage fixed assets

Manage Payroll

Manage Accounts payable

Manage treasury operations

Manage taxes


2ª ETAPA




Objectivos Principais (Alternativo)

• Actualizar e validar à avaliação de risco efectuada pela Área de Gestão de Risco ou estruturar e desenvolver uma nova avaliação de risco com maior grau de sofisticação, podendo no limite ser quantitativo para alguns riscos.

Comentário

O CAE suportando-se da Análise Estratégica desenvolve uma Avaliação de Risco:1) Estabelecendo os critérios de avaliação dos riscos significativos, considerando o apetite ao risco, a probabilidade e impacto.2) Desenvolvendo workshops, reuniões individuais, questionários para a identificação e prioritização e categorização dos riscos.3) Confirmando superiormente a prioritizaçãodos riscos na matriz de riscos, considerando o apetite ao risco.



2ª ETAPA





3j Loss of building, together with key staff or technology infrastructure

1c Adverse changes in law and government affecting the company’s business model

5a Loss of market share or revenue through competition or regulation

5b Introduction of competing products and technologies by other companies

5c Inability to attract and retain key employees

1b Failure to develop global management and information systems

4d Exposure to litigation related to the company’s products/services

3h Deficient products/services provided resulting in loss of reputation

1

Top 8 Risks#

2

3

4

5

6

7

8

Insignificant

Likelihood of Risk Occurrence

Minor

Moderate

Major

Remote Unlikely Possible Likely Almost certain

1f

3e4c

4e4f

4j

1c

1d1e

2b

3g

3b 3d3f

3a

3h

4b

4d

4g

4h

4i

5a

5c

1a2c

2a

5b

3j

3i3c

1b

4a

Catastrophic

Ris

k C

onse

quen

ce


2ª ETAPA




Maj

orPr

oces

sProcess Priority Rating

Tran

spor

tatio

n Fa

ilure

Prod

uctF

ailu

re

Prod

uct f

eatu

re

mis

mat

ch w

ith

regu

latio

ns

Brib

ery a

nd

Cor

rupt

ion

Failu

re to

ach

ieve

gr

oss

mar

gin

Inef

ficie

nt p

rodu

ct

capa

city

Poor

sys

tem

m

aint

enan

ce

Lost

or in

accu

rate

or

der e

nter

ed in

to

syst

em

Loss

of M

ajor

Ve

ndor

Due

to

Fina

ncia

l diff

icul

ties

Une

thic

al S

ourc

ing

Poor

cos

t con

trol

Ris

k R

atin

g

Proc

urem

ent

INITIATIVE Roll-out new vendor performance management system•Roll-out system•User training

Procurement Planning

Vendor Selection

Purchasing

Receiving

Vendor Performance Management

Quality Assurance

Man

age

Fina

ncia

l Res

ourc

es

INITIATIVE Expand into new markets•Expand Retail division into China•Expand Retail division in Africa•Establish new distribution business in Australia

Perform planning and budgeting

Perform revenue accounting

Perform management reporting

Manage fixed assets

Sub Process / Initiatives

RisksComentário Após a determinação da Matriz de Riscos vamos mapear os riscos identificados com os processos da organização. Existem riscos que atravessam vários processos, bem como processos aos quais se encontram associados diversos riscos, identificando-se os Focos de Auditoria baseados no risco, representados por

2. Desenvolvimento do Plano de Auditoria



3ª ETAPA

2. Desenvolvimento do Plano de Auditoria Interna

3.1 Elementos-Base de suporte ao Desenvolvimento do Plano (1/2)

O CAE vai desenvolver o plano de AI, com base num conjunto de elementos relevantes:

Risco: Auditorias a desenvolver dado o score de risco gerado pelo risk assessment anual.

Regulatório: Auditorias a desenvolver considerando os requisitos regulamentares e legais, bem como as políticas internas e procedimentos.

Ciclo de Auditoria: Auditorias que deverão ser desenvolvidas numa base periódica, nãonecessariamente anual, sobre objectos do universo auditável.

Riscos Emergentes: Novos processos significativos, tecnologia, produtos e serviços ou áreasem desenvolvimento.

Governance: Auditorias a processos de governance (e.g. integridade e valores éticos).



3ª ETAPA


3.1 Elementos-Base de suporte ao Desenvolvimento do Plano (2/2)

O CAE vai desenvolver o plano de AI, com base num conjunto de elementos relevantes:

Horas descricionárias/Projectos Especiais: Tempo reservado para projectos nãoprogramados, pedidos especiais e expansão não planeada do âmbito das auditorias previstas.

Follow-up: Desenvolvimento de follow-up sobre deficiências de maior gravidade no sentido de aferir a sua adequada resolução.

Avaliação de Risco: Reuniões com os stakeholders-chave, para actualizar e confirmar o risk assessment, bem como o plano de AI.

Projectos Adicionais: Desenvolvimento das avaliações interna e externa independente da AI.



3ª ETAPA


3.2 Conteúdos a incluir num Plano de Auditoria Interna (1/2)

O CAE deve incluir no seu Plano de Auditoria Interna um conjunto de tópicos, nomeadamente:

A função de Auditoria interna - Missão e Âmbito.

Sumário Executivo - Refere como o plano foi desenvolvido e com base em que elementos, a composição do universo auditável, como foi realizada a prioritização dos riscos e objectos de auditoria. Inclui um resumo do plano por temas e orçamento, bem como limitações de recursos ao plano, se aplicável.

Avaliação de Risco de suporte ao Plano - Onde se incluem as matrizes de risco, bem como o Mapeamento dos Riscos e Processos para identificação dos focos da actividade de AI.



3ª ETAPA


3.2 Conteúdos a incluir num Plano de Auditoria Interna (2/2)

O CAE deve incluir no seu Plano de Auditoria Interna um conjunto de conteúdos, nomeadamente:

Prioritização dos objectos de auditoria - Baseada no risco e em outros critérios (e.g. ciclo de auditoria, materialidade, última notação).

Sumário das Acções de AI planeadas - Âmbito, objectivos, tempo exigido.

Cronograma detalhado das actividades de AI - Quando ocorrem e com que duração.

Plano de Comunicação com Stakeholders - Função, frequência e principais tópicos.



3ª ETAPA


3.3 Discussão e Aprovação do Plano de Auditoria Interna

O CAE deve apresentar e discutir com os Stakeholders-Chave (Senior Management e Board) o âmbito dos trabalhos de AI, o grau de cobertura dos riscos/áreas, os requisitos de reporte, os recursos e competências necessários (humanos e materiais) para o cumprimento do plano, bem como eventuais restrições/limitações, caso existam quer ao nível de recursos, quer ao nível da independência da própria função.

Finalmente, após eventuais ajustamentos ao plano que resultam da discussão com os Stakeholders-Chave, estes deverão proceder à sua aprovação formal.

3. Factores Potenciadores de Reavaliação do Plano


3. Factores Potenciadores de Reavaliação do Plano

Plano de Auditoria Interna

Rapidez de Crescimento

Alterações na Estratégia e Objectivos

Alteração na disponibilidade de recursos de

AI

Alterações significativas a

nível regulamentar

Alterações--Chave na Gestão de

Topo

Resultados das

Avaliações Internas e Externas

Alteração significativas ao nível do

ControlEnvironment

Aumento significativo de

solicitações por parte do

Board

Obrigado

Rui BrancoKPMG Advisory - Consultores de Gestão, [email protected]+351 210 110 912

A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecer informação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica.

© 2014 KPMG Advisory - Consultores de Gestão, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal.

O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”).

xxi conferência anual - ipai · impresso em portugal. o nome kpmg, o logótipo e “cutting...

Documents