Auditoria Interna: como desenhar plano estratégico baseado em riscos?

Tema relevante para o fortalecimento da governança, gestão de riscos e controles internos é destaque no artigo de William Bini, IT Internal Auditor da Dataprev, que expõe iniciativas estratégicas em harmonia com os objetivos de negócios

Compartilhar:

A Auditoria Interna é uma atividade relevante para o fortalecimento da governança das organizações públicas e privadas. Ao longo dos últimos anos ela vem aumentando a sua abrangência (escopo de atuação) e direcionando esforços e recursos para os RISCOS RELEVANTES DA ORGANIZAÇÃO QUE PODEM AFETAR NA CONSECUÇÃO DOS OBJETIVOS, de forma a agregar valor e benefícios para os “stakeholders”, além de contribuir para a sustentabilidade dos negócios.

 

Na esfera pública, a Instrução Normativa Nº 09, de 9 de outubro de 2018 estabelece a sistemática para elaboração, comunicação e aprovação do Plano Anual de Auditoria Interna – PAINT e para elaboração e comunicação do Relatório Anual de Atividades de Auditoria Interna – RAINT das Unidades de Auditoria Interna Governamental do Poder Executivo Federal (UAIG), nos termos da Instrução Normativa SFC nº 03, de 09 de junho de 2017.

 

Na elaboração do PAINT a Unidade de Auditoria Interna Governamental (UAIG) deve considerar o planejamento estratégico, as expectativas da Alta Administração e demais partes interessadas, os RISCOS SIGNIFICATIVOS a que a organização está exposta e os processos de governança, de gerenciamento de riscos e de controles internos. Dessa forma, é importante que a Auditoria Interna defina uma estratégia para se obter uma avaliação sistêmica dos processos supracitados, em harmonia com as estratégias e os objetivos de negócios.

 

Um componente-chave na definição do PAINT, que pode subsidiar a formulação da estratégia, é a Gestão de Riscos. Em linhas gerais, a definição da estratégia de auditoria dependerá do nível de maturidade da gestão de riscos da empresa, ou seja, o grau em que a organização se encontra em relação à adoção e à aplicação da abordagem de gestão de riscos.

 

Se o processo de gerenciamento de riscos está formalizado, se os princípios, a estrutura e os processos de gestão de riscos existem e estão integrados aos processo de gestão, Auditoria Interna poderá utilizar o cadastro de riscos (Matriz de Riscos Corporativos) como insumos para o planejamento do PAINT. Caso a organização não tenha instituído um processo formal ou, ainda, que já tenha instituído, mas o cadastro de risco é incipiente, a UAIG poderá selecionar os trabalhos de auditoria utilizando, por exemplo, umas das seguintes abordagens:

 

·        Seleção dos trabalhos com base na avaliação de riscos realizada pela própria UAIG; ou

·        Seleção dos trabalhos com base em fatores de risco.

 

Em ambos os casos supracitados, de acordo com o Manual de Orientações Técnicas da CGU, deve ficar claro para todas as partes envolvidas que a relação dos riscos a ser construída pela UAIG tem por finalidade servir de base para a priorização dos trabalhos de auditoria, e que, ainda que possa contribuir para o gerenciamento de riscos da organização, não substitui a responsabilidade da Alta Administração, do Conselho (se houver) e dos gestores nesse processo.

 

Um requisito fundamental, é a definição e formalização de critérios de riscos, de modo que a UAIG possa atribuir os pontos aos objetos de auditoria mapeados e consolidar os resultados em uma ou mais matrizes de riscos, com o auxílio de alguma metodologia de normalização, que permita a sua comparabilidade com base em premissas estabelecidas.

 

Após a contabilização da pontuação dos objetos de auditoria com base na avaliação de riscos, estes devem ser ordenados de forma que aqueles que receberam maior “nota” sejam considerados prioritários.

 

A fim de permitir a harmonização do planejamento das UAIG, a racionalização de recursos e evitar a sobreposição de trabalhos, a proposta de PAINT baseada em riscos deve ser encaminhada ao órgão responsável pela supervisão técnica e às demais partes interessadas, as quais devem se manifestar sobre o Plano recebido, em tempo hábil, e recomendar, quando necessária, a inclusão ou a exclusão de trabalhos específicos.

 

* William Bini é IT Internal Auditor da Dataprev, bacharel em Tecnologia da Informação pela Universidade da Cidade e possui pós-graduação em Gestão da Segurança da Informação pela Universidade Gama Filho

 

Conteúdos Relacionados

Security Report | Colunas & Blogs

Como integrar Cyber Security, Proteção de dados e DevOps?

Considerando todas as etapas do processo operacional e cada grupo de dados segundo o seu uso presente na empresa, é...
Security Report | Colunas & Blogs

Estamos prontos para o futuro com a IA?

Algumas propostas do mercado de tecnologia, como a chegada da Inteligência Artificial e a migração de todos os players em...
Security Report | Colunas & Blogs

Tendências da Black Hat USA 2024: O que acontece em Vegas não fica em Vegas

O evento direcionado a especialistas e líderes de Segurança da Informação revisitou diversos temas essenciais e em destaque na atualidade...
Security Report | Colunas & Blogs

Brasil: Um terreno fértil para o Cibercrime

De acordo com matéria da Folha de S. Paulo, 4.600 pessoas são alvos de golpes financeiros a cada hora no...