4A - Análise Preliminar (apresentação teórica)

E aí o Olá pessoal estamos de volta aqui dando continuidade ao nosso questionamento sobre o sistema é alto nós vimos anteriormente né a visão Geral do sistema e uma visão geral sobre o processo de auditoria aprendemos a gerar um processo no sistema falamos um pouquinho sobre as comunicações feitas ou registrados no sistema e a partir de agora a gente vai entrar nas fases dela subir etapas do processo de auditoria como nós falamos anteriormente o sistema pega aquela aquelas quatro fases né tradicionais da auditoria planejamento e execução da comunicação de resultados e monitoramento e ele quebra

ela em algumas etapas aqui né algumas delas de uma forma um pouco maior exatamente para a gente poder concentrar os esforços fazer um entendimento né daquilo que a gente um pequeno e aplicar a e as técnicas adequadas as ferramentas adequadas o método adequado adequado em cada uma dessas fases como a gente falou foi gerado das sete fases né análise preliminar do objeto a matriz de planejamento escopo da auditoria análise da tupia relatório de auditoria preliminar relatório de auditoria final e por fim os achados da auditoria que não é fase do processo de trabalho mais uma

fase para registro nos achados de recomendações que vão dar origem a fase seguinte que será a fase de monitoramento das recomendações e por fim o benefício apuração dos benefícios decorrentes da atuação da atividade de auditoria interna hoje então nesse nessa aula de Stop a gente vai falar então sobre o processo a etapa de análise preliminar do objeto de auditoria como Tá combinado anteriormente essa primeira fase será uma fase mas teórica explicando um pouquinho conceito dessa etapa o que ela significa o que ela representa Quais são os principais produtos e como eles devem ser realizados é

elaborado e depois a gente vai ter uma fase onde a gente vai mostrar na prática né no sistema como a gente faz o registro da análise preliminar no sistema real Ok vamos lá É bem a fase de análise preliminar segundo as normas internacionais segundo a instrução normativa nº 3 segundo o manual de orientações técnicas da atividade de auditoria interna governamental ela é basicamente duas fazem U2 produtos né principais que são registrados dentro do sistema é alto o primeiro é a documentação entendimento é a matriz de riscos e controles esse conjunto de informações vai gerar né

o conjunto completo de produtos de daquilo que é produzido na fase de análise preliminar e vai obviamente né a ideia que eles produzam conhecimento informação para o auditor para que ele possa então fazer o planejamento do seu trabalho de auditoria ok e a gente vai ver que é essa mudança de conceito ela gera um planejamento muito maior do que uma simples é fazer uma amostra né de processos a serem analisados mais um planejamento que vai realmente entender objeto entender os seus riscos e focar os testes né daqueles riscos mais relevante tudo isso para que a

gente chegue ao final com o trabalho que agregue valor um trabalho que seja relevante ou trabalho que a gestão Entenda como importante né a ser considerado no âmbito das suas atividades das suas operações cotidianas é então a gente vai falar um pouquinho dessas duas desses dois documentos né que são produzidos do Comércio principais que são produzidos na fase de análise preliminar E aí ao final a gente completa esse ciclo nessa primeira a história e a gente vai ter as condições né adequadas às condições necessárias para que a gente possa elaborar a nossa Matriz de planejamento

tem a a documentação do entendimento na verdade né é um documento de entendimento né mas a fase é o entendimento do objeto de auditoria é para quem já estudou gestão de riscos por exemplo a ISO 31000 ela fala que antes de você fazer uma avaliação análise de risco que você entender o contexto né daquela organização daquele processo que você está fazendo a gestão de risco aqui é a mesma coisa sentimento é o mesmo é a mesma lógica que aplicada eu não consigo fazer uma boa auditoria sobre algo que não conheço bem eu não consigo fazer

uma auditoria e ficar Produza bons resultados sobre um objeto que eu não domino o o texto que eu não tenho nenhum conhecimento adequado de seu funcionamento dos atores envolvidos a fim de tudo que tá acontecendo aí é durante a sua execução Então essa faz ela vai nos ajudar a formar esse conhecimentos ela vai nos ajudar a formar esse entendimento o fim será a base né matéria-prima para que a gente possa seguir adiante com o nosso processo de auditoria A ideia é que se eu não conhecer bem o objeto Da Lógica é que eu não vou

a conseguir fazer testes relevantes se eu não tenho um domínio daquilo que eu estou ditando eu não vou ter condições de discutir com gestor as questões mais relevantes Associados entre o objeto e a gente vai ficar naquela auditoria tradicional de ver uma conformidade pela conformidade de não entender muito bem né o para que está sendo feito um tiro e simplesmente Olá queridos prazo de Tapas assim formalmente como determina alguma Norma vigente sobre o assunto A ideia é que a gente possa realmente agregar valor que a gente possa entender como aquele objeto funciona e poder de

fato temos poder que possa contribuir com informações úteis e relevantes vai pra que a gestão posso dar segmento e as suas ações é o entendimento do objeto não existe uma receita de bolo para ir entendimento objeto é realmente estudar conversar perguntar indagar observar é um conjunto de ações e técnicas de auditoria aí as técnicas aplicadas aqui na fase de planejamento você vai fazer comparações escritas você vai fazer entrevista você vai fazer observação para tu vir buscar um controle você vai virtualmente fazer uma riso execução de um controle então e vai usar um conjunto de técnicas

de auditoria variadas com o objetivo de formar esse conhecimento com tava falando não tem uma receita de bolo né não tem quem faça isso faça isso faça isso chega no resultado Não é bem assim é realmente é aplicação desse conjunto né de técnicas de indicações de leitura é que vai formar o entendimento que vai te dar a necessidade de maior ou menor aprofundamento sobre aquele conhecimento a nós temos É nos pênaltis quando a gente for ver a parte prática a gente ver aqui existe um roteiro né esse roteiro também está disponível no manual de orientações

técnicas no pote mas roteiro sugestivo apenas para dar uma ideia Inicial porque auditor possa né buscar e reunir as informações necessárias não é um roteiro que você tem que fazer exatamente que se e aquelas informações não ele vai variar muito de acordo com seu conhecimento de acordo com a complexidade daquela objetos diversos fatores que estão Associados é existe né algumas sugestões né algumas alguns passos que podem ser dados né algumas fontes de momentos de informação que você pode buscar e que estão aqui nessa tela que a gente colocou primeira delas é o país o plano

anual de auditoria ferrar o plano operacional assim como você chamar aí na sua unidade é o painnt Né as normas Dizem que ele deve ser realizado com base em riscos claro que a gente tá muitas unidades e um processo né de passar pressa esse tipo de abordagem mas enfim é porque aquele objeto foi selecionado Por que se objeto gostou do nosso plano da bom então o primeiro passo que a equipe deve fazer é entender o contexto da seleção do objeto de auditoria entender o motivo porque ele a ele foi selecionado para a auditoria foi por

uma felicidade foi por uma maternidade foi por algum grau de risco a gente espera isso é de que associado aquele objeto que te levou a se a ser selecionado foi por uma solicitação da gestão porque Qual o motivo então essa informação vai nos ajudar né nossa que pedir auditoria a dar um pouco Tom dá um pouco a linha por onde a gente deve ter correr ele se essa fase de conhecimento do objeto e também né no no plano anual de auditoria como a gente já falou entendeu nem é dado objetivo geral do trabalho como conhecer

Qual é objeção já também te dá esse tom já te dar o caminho Por onde você deve percorrer segunda questão que a gente coloca aqui é o entendimento da questão do universo de auditoria quando a estiver na verdade a unidade autoria seis uma aterramento do universo a teoria depois a priorização com base em riscos Ela acabou entendendo melhor sobre a própria organização dos objetos de auditoria a ela social estão portanto conhecer esse contexto geral do universo autoria conhecer a organização em que Deus seus objetivos como ela estavam utilizada como ela está estruturada não é quais

são os principais macroprocessos aonde o seu objeto de auditoria e aí vamos pensar que um processo né que estejas e a onde ele se insere Nesse contexto geral de toda a organização isso é importante para você avaliar um pouco né Quais são os fatores de riscos Quais são os pontos assim de gargalos. Chave o etapas-chave desse processo que podem acabar prejudicando a a organização no seu dia a dia é outra coisa que a gente deve ressaltar aqui é o se preocupar aqui é a questão do próprio objeto de auditoria em ofender o objeto de auditoria

como falamos objeto pode ser otário para ser um processo pode ser um sistema de controle né não existe uma Fórmula Mágica Que dia o que é exatamente já teoria a aqui nas relações recomendado tratar os objetos de autoria e nível de processos Ah mas então é entender o contexto desse processo E aí é como ele está organizado como esse objeto de auditoria funciona e quais são os seus objetivos a quais são metas Quais são os indicadores como ele é monitorado Quais são as as responsabilidades e competências associadas aí subject auditoria quais são as unidades envolvidas

Quantos servidores Qual é a perfil dos Servidores que atuam nesse objeto qual é a relevância dele né no contexto da organização como um todo a recursos envolvidos sistemas envolvidos enfim é entender como esse objeto de auditoria funciona e por fim a uma recomendação de que esse processo seja mapeado ou validado o que é isso cidade já tem esse processo uma piada você vai pegar essa informação é mais informação dando uma olhadinha ali na prática é daquela forma mesmo que ele acontece porque muitas vezes objeto é vale Tá mapeado mas na prática ele não funciona exatamente

daquela forma né da na Norma ele tá de um jeito mas na prática está de outro jeito ou se você não tem essa informação na organização que prova de que eu faço isso mapeamento que a gente pode reclamar fazer um mapeamento para festa quente gente não tá aqui objetivo da auditoria não é fazer um mapeamento de processo então quando a gente fala isso aqui se você puder tiver facilidade usar um amizade né algum editor aí para para fazer o acabamento excelente melhor ainda inclusive para os próximos trabalhos nessa informação já vai ficar disponível mas não

necessariamente isso que eu estou falando pode ser um documento de texto onde você explica mais ou menos as fases os agentes envolvidos as unidades envolvidas enfim para que você possa entender como esse processo e estruturados isso é essencial para que você possa depois entender os objetivos os riscos na verdade é os controles existentes Aonde eles estão posicionadas na no decorrer desse fluxo do fluxo do processo enfim Só Informações que serão bastante úteis toda a ideia que é formaram conhecimento bastante suficiente bastante adequado bastante rico não é por parte do auditor para que aí sim ele

possa saber e direcionar os seus olhos para aquilo que é mais relevante toda essa informação conjunto de informações ré ele vai ser materializado como eu falei naquele mundo com a documentação de entendimento né É pode ser um arquivo de texto um pacote enfim alguma coisa Onde você materiales o conhecimento é importante que ele seja materializado porque como eu falei tanto para processo processo de supervisão para questões depois relacionados ao monitoramento e trabalhos futuros a vistoria vai ser uma informação bastante útil que obviamente a cada ano pode ser aprimorada né atualizada e aprimorada para formar um

conjunto de informações na e de entendimento da auditoria que vai permitir um bom trabalho ao longo aí do medo do seu processo é E aí quando a gente entende Ok quando a gente compreende como esse objeto estruturado como esse objeto funciona na organização a gente passa para segunda fase a segunda fase da análise preliminar é a definição dos objetivos e escopos cujo resultado será uma matriz né de avaliação de risco o e dos cantores a ideia o fluxo básico né desse processo na de subir processo dessa super etapa né do processo auditoria é é o

seguinte você parte do objetivo geral da escolher quando a gente faz um plano ao gente tem definido o objetivo geral da auditoria que ela vai fazer e Quais são quais são as premissas principais que ela que ela pretende avaliar e a partir disso nós vamos estruturar o entendimento que foi formado né a partir daquele entendimento foi formado ali naquela fase anterior de entendimento do contexto nós vamos entender como é a estrutura de objetivos riscos encontrou-se essa Tríade é quem vai dar o tom da nossa auditoria objetivo risco e controle como funciona Então a primeira coisa

entendido o objeto da auditoria Ok e o objetivo geral da auditoria nós vamos entender os objetivos do projeto se eu tô falando de um processo mas vamos falar agora de como Quais são os vídeos desse processo o que que ele serve para quê que ele foi criado que entregas ele quer os se ele pretende realizar dentro da organização dentro desse conjunto de processos da organização por exemplo se eu vou fazer avaliação de processo de licitação para que que serve no processo de gestação é para eu fazer uma compra em um prazo adequado em volume e

preço adequado qualidade adequado sim é que atenda às necessidades ainda as unidades demandante que é então é a definição de quais são os objetivos do seu objeto o seu processo que está sendo avaliada e aqui gente eu gostaria de chamar a atenção para uma palavrinha que a gente tem usado em todos os os modelos objetivos-chave é riscos Chaves controle chave ou seja vai ficar comprando penso então complicado que depois a gente vai ter um pouco de dificuldade né de levar isso adiante Então pensa Quais são os ou o objetivo chave desse processo é o que

ele pretende ao final entregar identificado os objetivos a partir daí a gente pode identificar os riscos ISO 9001 ela define risco como Impacto né da Incerteza nos objetivos então é o risco nascido objetivo você não tem objetivo você não tem risco risco não é qualquer coisa que pode acontecer né uma vez eu estava conversando com quem e o exemplo para me deu foi seguinte chover é risco eu creio risco de chuva não tô vendo o risco isso é porque não existe risco sem sem objetivo agora se eu tenho objetivo de fazer uma festa ao ar

livre Aí sim chover pode ser um risco né E vai impedir que o meu objetivo então é entender o objetivo é a questão-chave para você poder entender um risco o risco ele é composto de uma Tríade também que são causas eventos e consequências na verdade a a causa ela é também subdividida em a fonte mais a vulnerabilidade por exemplo servidor sem capacitação equipamento obsoleto E por aí vai ou seja uma fonte de riscos e uma vulnerabilidade que vai provocar na usar aquele evento de risco e que vai gerar uma consequência então servido a capacitação que

vai gerar o evento de fazer uma uma provação de vida aí um documento que vai gerar um prejuízo financeiro para a organização para mim tá maior alguma coisa nesse sentido o risco então ele é composto por essa triste causa evento de risco e consequência esse risco lembrando são riscos chave riscos principais está no risco nível estratégicos Não é para ter uma lista de 50 riscos não é é uma lista pequena de multa daquilo que realmente são riscos mais importantes que saltam né que são mais relevantes do processo que está sendo avaliado Oi e a partir

disso a gente vai fazer avaliação do Risco inerente que é o risco inerente isso que inerente é o risco é a natural daquele objeto daquele processo é o risco que aquele processo aquela sensação está exposto é sem que nenhuma medida de tratamento fosse implementada então por exemplo se eu estou aqui né processo né Eu sou lavador de janelas de edifícios é qual risco inerente o risco de queda daquele daquele a estrutura né que me segura É um risco de eu cair lá de cima o risco de cair um objeto na minha cabeça enfim Esses são

os eventos de risco risco inerente se eu não tenho controle nenhum então se eu cair de um prédio de 20 andares lá de cima inerente a tal né a probabilidade tem uma o que aconteceu O Impacto é máximo elevado ele é extremo se eu caído do primeiro andar e pacto já é menor Talvez uma escala de 1 a 10 ele vai ser uma escada dois Enfim então avaliação do Risco inerente ela vai dizer o impacto tira acontecer e as a a probabilidade do Risco acontecer e o impacto caso ele aconteça é essa multiplicação de impacto

versus probabilidade vai dar um nível de risco Então vão dizer que o meu objeto tenha selecionado aqui o identificado cinco risco chave eu tenho avaliação do Risco inerente de cada um e eu vou ter um ranking do maior para o menor do mais relevante para o menos relevante e a partir disso quando a gente olha para o risco inerente a gente precisa com e no ar nesse processo onde a gente vai avaliar o risco de controle O que é o risco de controle é o risco de que os controles instituídos para que os objetos não

me xinguem aquele disco não funcione não não consigam eliminar o reduzir né de uma de uma forma adequada aquele nível de risco é inerente então é essa avaliação do risco de controle ela prevê anteriormente uma identificação dos controles da estrutura de controle e aí é necessário que o auditor vai em campo produtor converse com auditor pesquise em documentos normativos que ele faça observação por exemplo para verificar desce tem aquele controle mesmo se ele é aplicado se ele é aplicado adequadamente E aí a gente chama essa fase de uma avaliação preliminar de controle porque preliminar porque

é uma avaliação feita com base em normas manuais e entrevistas e no máximo uma observação uma pequena chegarem documental mas não é uma avaliação de controle não é propriamente dito é mais para você entender aquele ambiente aquele contexto de aplicação do controle para você poder ponderar se a o risco daquele controle não mitigar né o risco ou não né qual nível do risco de controle Então para que eu possa avaliar o risco de controle primeiro um passo anterior é para cada evento de risco eu vou relacionar os controles existentes Ok É porque a gente dá

um exemplo que para ficar mais fácil é e depois disso eu multiplicando o é inerente pelo risco de controle eu vou ter o risco residual alto risco residual é aquele risco aonde é depois das medidas de controle o risco que sobra por exemplo voltando ao nosso caso aqui do limpador de janelas né ele está com capacete e está todo amarrado aí né Com cabos de segurança enfim o risco de sofrer uma queda ainda existe mas ele não vai cair em baixo né aquele para gente vai segurá-lo então o impacto vai ser muito pequeno enfim é

as medidas de tratamento vão reduzir de risco inerente e a partir do momento que a gente tem essa configuração a gente acha o risco residual a partir disso a gente tem a capacidade de então estabelecer os objetivos isso a dificuldade auditoria objetivo geral é dado lá no país enquanto que os objetivos específicos serão elaborados ou o formulados após o entendimento do contexto desse objeto avaliação da sua estrutura de riscos e controles E aí gente tem os objetivos específicos auditoria formular como que isso funciona e quando eu eu avaliei o meu risco inerente é eu tenho

ranking de riscos isso em tese e e depois eu explico porque em tese Ok é essa estrutura de riscos inerentes ela vai me dar a priorização dos riscos que devem compor o escopo da auditoria ou seja quanto maior o nível de diferente maior a chance ou a direção o direcionamento para que esse risco componha escopo da auditoria um risco inerente muito baixo eu não vou entrar no escopo da auditoria o risco inerente médio Pode ser que entre pode ser que não a depender dos riscos que tiverem assim na capacidade operacional os objetivos gerais da vistoria

e por aí vai então é essa primeira composição do é diferente vai me dar o direcionamento primeiro o dimensionamento é né o primeiro direcionamento para a composição do escopo da auditoria mas eu falei que em tese por quê Porque a situações né que podem mudar isso por exemplo aquele risco de maior magnitude na fiz uma auditoria meu irmão passado então não faz sentido estar agora não tem necessidade nesse momento né de uma nova auditoria Pode ser que o Tribunal de Contas a Valeu acrílico eu não preciso de entrar no meu plano da correria pode ser

que eu não tenha capacidade ainda a competência técnica para fazer aquilo eu vou pintar de contratar um especialista Ou eu vou ter que fazer uma formação primeiro com meus auditoria dos meus auditores aqui não entendimento para que estão eu deixo ele pega o próximo da lista né E no ano seguinte momento enfim alguns fator a influenciar na sua escolha como eu disso o nível do risco é um dos fatores Talvez o primeiro fator a ser considerado ao fazer essa escolha Oi e a identificação do Risco residual para que que serve para você definir a natureza

dos seus pés nós falamos na sala anterior é sobre a questão dos Testes substantivos e dos Testes de controle lembra disso é então se eu tenho nível de risco residual paixo significa que o meu risco de controle é baixo por então o controle é muito bom quanto maior menor o risco de controle menor o risco de controle menor o risco residual quanto maior o risco de controle maior risco em virtual um exemplo risco inerente é 10 risco inerente é 10 multiplicou controle excelente perfeito eu vou multiplicar por 0,2 a valor mínimo que a gente O

que é da nossa metodologia da CG então o risco inerente vai virar dois agora se eu tenho um risco inerente que é 8 ou que é seis e o controle não existe não presta na nessa relação e sabe que controle é só pro forma não funciona não existe controle ele tem uma multiplicar o risco de controle é máximo ele é um ou seja o risco inerente vai ser igual risco residual ou seja os controles não mudaram o nível de risco que que isso quer dizer quando o controle é bom ou na minha avaliação preliminar o

considerei que ele é adequado que deficiente eu vou fazer mais testes nos controles e poucos testes nas transações testes substantivos enquanto que é o contrário Aquele controle não presta ou não existe partiu vanvalia o controle eu já parte com abordagem somente de teste substantivo ou o traçado certo Então essa é a ideia Geral ao fazermos uma avaliação de riscos e controles uma matriz de riscos e controles o objetivo é que a gente forma e esse entendimento que nos permita a formulação dos objetivos específicos da auditoria e o que são os objetivos específicos da auditoria para

na nossa metodologia que decidiu são as nossas questões auditoria ou seja aqueles temas que eu vou tratar e abordar por meio de testes na fase de execução então a questão de auditoria ela vai fazer o que ela vai terminar a Russo copo né aonde né que os riscos que eu tô selecionando para minha é que devem ser prioritariamente cobertos aqui pelo trabalho e eu vou estar na questão de auditoria formulando essa questão considerando tipo de teste Ou seja é aqui essa teoria vai ser Verificar se os controles existentes sobre né esse risco aqui que eu

tô olhando só de quase ou não Ou se meus pés você substantivos porque os cantores são muito ruim eu vou dizer se houve situações né de falhas de propriedades relacionadas a esse pode ocorrência desses riscos Ok então essa ideia geral Este é o fluxo básico né vamos dizer assim que a gente segue nessa taco da Matriz de riscos e controles é muito né é uma coisa para muita gente nova tá é unidades mais madura já fazem isso há muito tempo e ter um resultado muito bom mas para muita gente isso é algo novo é algo

que não tá assim do dia a dia e aí a eu queria trazer para vocês algumas reflexões a primeira dela é res e quando a gente usa esse tipo de abordagem e é você consegue fazer uma auditoria sobre objeto sobre etapas aqui pontos do seu do seu plano de trabalho é do seu objeto de trabalho de maior relevância isso gera ao no gestor né um sentimento de que auditoria está fazendo algo que é relevante para ele algo que pode agregar o seu processo de trabalho e é importantíssimo a gente ter essa visão essa percepção por

parte da gestão segundo são resultados em termos financeiros e melhoria de controles Ou seja é não financeiro é quando a gente Foca no que é mais importante a gente tem uma chance muito maior por exemplo numa visão tradicional onde olhava aquela receitinha de bolo né que tinha que fazer Independente de risco ou não eu achava uma série in the Pops LED propriedade acho que muitas vezes não tinham muito pouca relevância enquanto que aqui quando eu foco naquilo que é risco tem pacto alto aproveitar de áudio de acontecer eu vou estar é tratando de coisas mais

relevantes e portanto tendo a possibilidade resultado muito mais importante mais relevantes e por último também a questão do tempo que eu existo tempo aqui fazendo essa abordagem inicial a minha fase de execução ela se torna mais rápida mais célere na verdade ela se torna mais Cirúrgica é como que eu fazer aqui imagine médico quando ele vai fazer uma alteração e não abre a pessoa e fica olhando qualquer coisa lá dentro não faz isso não faz o menor sentido agora ele Gastão planejamento já perceberam vezes as consultas e exames coisa que você faz e são quando

vai né fazer uma cirurgia alguma coisa assim demoro muito mais do que a própria cirurgia cirurgia rápida uma duas horas por quê Porque ele planejou aqui Ele identificou Aonde era o pó Ele sabe exatamente o tamanho do corte aonde ele vai cortar para ele naquele ponto específico e trazer o resultado que é necessário essa ideia ativamente procedimentos padronizados né e eram imensos é como se divertir e tu vês não eram coisas relevantes no contexto daquilo que não estava de cama então agora a gente vai ter uma infecção muito mais rápida né ou muito mais focada

no que realmente importa vou parar de olhar assim entre "bobagens né É formalidades vamos dizer assim e vou olhar realmente a onde o bicho pega tá lá aonde né a gente realmente precisa ter uma intervenção então isso dá para auditoria uma opção muito melhor muito mais focada e obviamente o resultado um relatório muito mais importante muito mais relevante muito mais conciso porque vai direto também nos pontos de maior relevância e esse quadro aqui a gente adaptou rádio de um material até do próprio Tribunal de Contas da união é onde ele faz essa Associação que a

gente falou aqui ó Ok a ideia mais ou menos o seguinte se você tem um risco inerente não elevado seja o que escolher entre a primeira a primeira olhar seu é para o risco inerente Então vou chorou ele não é relevar elevado e não é importante eu talvez vou ter pouquíssimos testes substantivos Ok ou talvez nem vou auditar eu não vou priorizar esse risco a depender da quantidade de risco de e do tempo disponível dos objetivos aí gerais da teoria eu eventualmente sequer vou fazer auditoria ou fazer teste sobre isso porque porque ele não é

considerado mas a menina que eu tenho riscos inerentes é óbvio que tem uma escala né de levar Baixo médio alto e tal enfim é mas o objetivo Então eu tenho um nível de risco elevado obviamente faz um risco que eu preciso considerar E aí eu parto para segunda abordagem de controle há o risco de controle quanto maior Ok maior o meu risco residual quanto menor o risco de controle menor o risco residual se o meu risco de controle a elevado risco residual é elevado eu risco de controle remédio elevado pulou para médico tá se aqui

o risco de controle é baixo aquele risco elevado ele vem para ficar médio Ok então o risco de controle ele vai alterar ou gerado disco rígido alto risco inerente Auto controle Auto responder antes espiritual igual ao risco inerente ao muito perto de um controle o remédio vai abaixar um pouco né baixar um pouco a a gravidade Impacto desse risco residual E se o meu risco de controle é baixo eu vou ter ao risco residual menor do que ele tinha anteriormente que seja que aconteceu de elevado alto veio para médico Ok derivado para médico e aí

a extensão dos Testes substantivos seu filho se não risco residual é elevado muitos testes substantivos quer dizer o que que o risco de controle é alto e que os controles são ruins risco de controle alto significa controle com isso controles que não prestam que não existo o teste elevado se o meu risco de controle e médio e aí eu vou fazer essa mesma questão conselho que esquisito ao é alto voltei substantivos altos médio médio até que eu vou ter um nível de risco residual que eu vou ter teste infantil erótico então quanto menor o nível

de risco residual Ok menor extensão dos Testes substantivos ou seja fazer esse tipo de abordagem que permite inclusive interferir no tamanho ou planejar o tamanho das minhas amostras da auditoria então é ao ter uma estrutura de risco residual mais baixa é vou ter menos e tentar minha mostra ao ter uma estrutura de risco residual mais elevado eu vou ter que fazer uma amostra maior Porque se o risco de auditoria vai ser maior seja o risco de você o pneu inadequados Ok E aí falou muito de teste de controle e testes substantivos o procedimento substantivos Como

chamam as normas internacionais de auditoria financeira E aí a gente queria falar um pouquinho disso aqui com vocês teste de controle são os testes que são realizados para testar os controles existentes não vão nas transações eles vão nos controles testes substantivos o procedimento substantivos vão das transações eles são divididos em testes de detalhes que são as transações né enfim e procedimentos analíticos que são procedimentos que você faz comparações entre grandezas e uma sacada identificada eventualmente alguma disfunção vamos falar um pouquinho de cada um deles teste de controle ele tem desenho efetividade operacional é o que

quer dizer e como ele está pensado organizado Aquele controle Será que a forma como ele está é organizado é uma boa forma e a outra efetividade operacional está sendo de fato aplicado Então pensa em uma situação eu gosto de fazer um exemplo bastante aqui na região a gente tem uma porcaria aqui embaixo que tem um detector de metais a um objetivo organizacional de garantir a segurança e tal foi havia um risco né é de ter alguma questão e vai que um Alto estado aí né ficou bravo com o resultado da auditoria no fim é uma

brincadeira né mas enfim temos lá um detector de metal é E aí a gente vai ver o desenho desconforto primeiro tudo que passa entrar por ali a local onde está posicionada a máquina adequado vai que não adianta se tiver uma máquina no e mais pessoas passam por outro e desenho do controle eu peço E aí não funciona não adianta ele não é eficaz Ok é isso é uma forma de alguém passar por outro lugar não funcionou porque o bandido para ver se vai passar pelo lugar que não é o tem o controle na verdade então

isso é o desenho e eu fazendo aqui essa brincadeira com esse com esse exemplo e eu descobri aqui na seja tem um problema de desenho de controle por favor não conta para ninguém tá é segredo que entre nós é o que acontece aqui na portaria né onde as pessoas Então tem lá agora ita aguardo tá entrada né da da portaria tem a maquininha de raio-x não tem que passar por ela fez perfeito ninguém passa se não for por ali Ok a janelas inclusive do Terno só todos têm grade Então nem tem como a pessoa por

lá então enfim o desenho dele é bom só que eu descobri que lá na garagem o que acontece também tem uma máquina tem uma outra entrada aqui pela garagem tem uma máquina o raio x só que ela fica ali para os pedestres quem entra com carro e guardou carro lá dentro passa e aí já não tem que entrar pela Guarita que ela fica aí pela máquina de Raios X para ficar ao lado da guarita por onde passam os carros ou seja se vem um bandido é um terrorista com Nara é sequestro e o Robson Tem

vaga lá embaixo na garagem é entra ali com ela né e pronto entrou não vai mais passar tudo pelo detector de metais temos um pro falha de desenho do controle da Claro e essa atividade operacional é quando o auditor vai lá para fazer por exemplo a observação mas ficar olhando se o vigília é o guardinha vigilante ele realmente fica olhando a máquina né mas ver se ele entende daquilo classificá-las pergunta que ele tanto passar identifique e vai ver Kaká são vai ver uma série de outros é ações né fazem parte desse controle para evitar que

aquilo aconteça então desenho é como ele está desenhado implementado planejado e efetividades na prática ele está funcionando como desenhar procedimentos substantivos são os procedimentos nas transações então eu vou pegar pagamento pego lá na lista de pagamentos e olha que eles têm documentação suportes foram atualizados e tal enfim eh E por aí vai para o segmento analíticos eu pego por exemplo histórico de gastos com com determinado tipo de despesa e comparou-se ano e aí se eu vejo uma anomalia por exemplo um mesmo em algum determinado dia talvez signifique tem algum problema é eu venho com teste

de detalhe e vou direto na fila de Essa é a ideia esse conjunto de procedimentos vão ser aplicar o nosso caso do da guarita né da da detector de metais o exemplo de um teste de detalhes eo auditor chegando na sala mas errei de fazer uma mostra com 20 pessoas na sala faz um a nossa lá escolhe cinco e faz uma revista detalhado dela para ver se não tem nenhum equipamento de uma substância equipamento proibido e este seria um teste substantivo seja o teste nas transações que vocês viram ele é mais caro ele é mais

demorado não feche o controle é mais em tese mais rápido que é um controle para todos é as transações que ocorreram exemplo acho que é importante para a gente entender isso né porque muitas vezes a gente veio uma má teoria na cabeça uma cultura média de trabalhar sempre com teste substantivo então por exemplo a minha vida né por muitos anos e os eu fosse fazer uma auditoria e pagamento né pagamento a organização eu ia lá na conta bancária e viria todas as saídas Faria algumas né estaria alguns procedimentos de análise analítica e ele só havia

alguns deles ou para massagem ou por relevância E aí iria para ver se a documentação está adequada E aí um exemplo e qualquer um fazia né Se eu achasse problemas de controle era ruim se eu não achar problema direito Controller a voz só que isso não é verdade se não é adequado tá se não é correto enterro de auditoria imagine um gestor que tenha uma pessoa que uma organização né que é uma empresa e tem lá 10 milhões de dólares lá na sua conta né da empresa é o dinheiro que ela usa se aquele era

aquela empresa morre ela ela realmente é não tem como sobreviver daria daquilo e existe um gerente financeiro que há 15 anos trabalha né ali naquela empresa o dono da empresa é muito amigo dele conhece eu nunca teve nenhum problema e aí você vai lá na auditoria olha as transações de ver não tá tudo certinho não tem problema nenhum controle ótimo tá controle erótico aí se a gente fosse avaliar os controles a gente vai ver aquele camarada é tão amigo e tão confiável né do dono da empresa que ele tem a senha o cartão ele faz

plantação de qualquer limite de qualquer valor a qualquer tempo que ele quiser ele não tem segregação de função não tem controle de alçada por exemplo até dar o cheque de 100 a 1 milhão de ser mais um outro diretor acima de 1 Milhão tem que ser o diretor e o dono da empresa enfim alçadas né são pequenos exemplos aceleração de função o pagamento é segregado da pessoa que a prova né a aquilo ali aquela repetição um sistema que não permite que ele faça nenhum pagamento Se não vier de uma uma requisição de pagamento de uma

arte finalista e não tem nada disso aí Digamos que no dia seguinte você fez auditoria diz que o controle é ótimo estava tudo muito lindo o dia seguinte o filho dessa pessoa desse jeito é sequestrado o bandido fala com ele sim se você não passar o 100 milhões da minha conta ou matar seu filho ou pelo menos trágica né dá na telha deliciar quer saber vou lá para a Suíça morar lá né na vida boa só que o dinheiro todinho deposito na conta dele ele consegue fazer isso então o controle é péssimo péssimo esse a

gente continua com a nossa abordagem antiga de auditoria de expressão o que acontece você só vai perceber quando acontece o problema Oi e aí a gente não é preventivo a gente não agrega valor a gente só relata o que já a gente é óbvio que tá acontecendo Então não é isso que se espera da auditoria auditoria na deve olhar para frente pensar nos Riscos EA que ajeitou o risco relevante E aí sim entender a estrutura de controle para depois saber que tipo de abordagem eu vou fazer a auditoria Essa é a ideia da análise preliminar

e aqui o fim a gente já encerrando é a matriz de riscos e controles na verdade isso aqui Ok só que como ela está a gente tem nos estender Audi a gente vai ter a cada fase resolver lá que a gente tem uma matriz disponível vocês podem utilizar o modelo civil pode estabelecer o modelo de você mas esse aqui é o modelo básico é que a gente usa onde eu vou identificar o objetivo chave tem uma outra linha nessa planilha onde você pensa no risco causas e E por quê Porque a causa tem a ver

com probabilidade que você quer ver com impacto identificar causas e consequências que ajuda a avaliar né o impacto da prioridade que ajuda também avaliar se os controles são bons ou ruim porque você vai olhar para as causas podem ser aqueles controles atacam aquelas calças então enfim identificados os objetivos o objetivo Chaves daquele processo risco Chaves que estão ameaçando os objetivos desse processo de novo a nuca mais curta mesmo ok Qual é o agente na escala aí de uma cinco nomes 1 a 5 essa briga na praia de Ilhéus 2 5 8 10 só cinco nos

Ok é probabilidade a mesma coisa a gente tem nessa planilha disponível lá no sistema abinha explicando nessas escalas para vocês e a gente chega no nível de risco inerente a partir desse ranqueamento você já sabe assim que esses são o mais importante E aí você vai relacionar aqui quais os controles que existem como que funciona esses controles a partir disso dessa avaliação preliminar feita pelo auditor sobre os controles ele vai ter terminasse um risco de controle é alto ou baixo sendo que alto você vai multiplicar por um o resultado do Risco individual será igual ao

risco inerente se o controle for muito bom ou risco de controle for baixíssimo você multiplica por 0,2 e aquele risco inerente vai ser bastante reduzir e a partir daí o auditor tem essa decisão qual o tipo de teste riscos igual alto mais principalmente o totalmente magicamente testes substantivos se o risco e ritual é baixo principalmente testes de controle Ok nunca somente teste controle Mas você tem que fazer alguma abordagem também Oi e essa conclusão do auditor vai ser o seguinte dada essa estrutura de riscos vale a pena entra no meu escopo Ou não porque fica

muito baixo no dizendo não vale a pena não precisa tá dentro da Petite já da organização não precisa de eu fazer é um teste aqui dentro ok e por fim a gente tem as questões de auditoria que são os nossos objetivos específicos do trabalho o que que vai acontecer aqui nós vamos é ter uma abordagem que vai de olhar para o risco e a sua estrutura de risco de nível de risco inerente de controle para que eu for guri a questão de auditoria dando direcionamento do escopo O que é o risco e a natureza dos

Testes que se é o teste de controle ou teste substantivo e essa conjugação vai me ajudar a formular a minha as minhas questões de auditoria Ok A então era isso que a gente queria mostrar nessa fase A partir de agora a gente vai fazer a parte prática vou mostrar para vocês como fazer como baixar essa planilha lá no sistema áudio é e como alimentar essas informações lá a gente não vai mais explicar o que que significa faz o quê que se multiplicar planilha Mas enfim nós vamos dar essa abordagem é trazer para vocês como fazer

o como implementar essa abordagem por meio do sistema eu só queria por último trazer uma uma reforçaram que eu já falei de uma reflexão quando a gente trabalha com essa estrutura é a ideia é que é nossos testes sejam direcionados a gente saia daqui com testes irrelevantes não adianta nada um áudio tô fazer todo esse trabalho de entendimento depois da avaliação de risco e no final sai com a mesma listinha de testes que ele fazia que ele sempre fez Então esse trabalho foi inútil na verdade se que não é uma planilha ser alimentada isso aqui

é realmente algo que vai te ajudar a direcionar E como eu falei aqui do cirurgião você vai direto ao ponto você vai direto no seu na sua abordagem dos seus testes aonde A questão está pegando então lembrem-se disso utilizem Esse instrumento para melhorar o seu planejamento e assim a gente vai ter uma execução mais célere e umas ser uma excepção a feira que vai direto a foto que está necessitando de de apoio ali na nossa organização Ok então era isso e a gente até o próximo