Demonstrando garantia sobre controles internos

A principal função da auditoria é fornecer garantia da eficiência do gerenciamento de risco e a força do ambiente de controle dentro de uma organização. Ao centralizar e automatizar partes do programa de auditoria, a Auditoria pode simplificar a gestão de controles internos e promover a colaboração na organização. Neste artigo, discutimos como testar controles usando o aplicativo Projetos.

Este artigo mostra como testar controles usando um modelo de projeto de Estrutura de Controle Interno Antissuborno e Corrupção, útil para funções e equipes de auditoria de pequeno a médio porte. O fluxo de trabalho descrito neste artigo é apropriado para tipos mais complexos de auditorias onde narrativas são definidas, orientações são realizadas para verificar o design do controle e os testes são realizados para verificar a efetividade operacional dos controles. Esta é uma abordagem, mas você pode obter os mesmos objetivos ou similares usando outros modelos de projeto.

O que significa testar controles?

Testar controles é o processo de:

  • Determinar controles principais e não principais
  • Identificar quais controles serão testados
  • Avaliar cada controle principal com base em seu design e eficácia operacional

Se o teste indicar que um controle não está operando conforme o esperado ou projetado, a Auditoria anotará uma exceção e trabalhará com a empresa para gerenciar um plano de correção.

Onde eu testo controles?

Você pode testar controles usando o aplicativo Projetos.

O panorama mais amplo

  • Os projetos são usados para documentar objetivos, riscos e controles, testar o design e a eficácia dos controles e capturar problemas.
  • Avaliações são usadas para documentar as avaliações do design e da efetividade operacional dos controles.

Por último, os resultados de testes em um projeto podem ser propagados na pontuação de garantia da sua organização, o que oferece a você uma imagem em tempo real de como a organização está mitigando o risco.

Etapas

Pronto para uma demonstração?

Vamos dar uma olhada mais de perto nesses recursos no contexto.

1. Configure seu projeto

A primeira etapa é compreender o melhor método de configurar dados no sistema, para que você possa gerar relatórios de forma adequada. Você pode criar projetos para definir objetivos, riscos e controles, avaliar o design e a eficácia operacional dos controles e compilar informações para fins de relatório. Projetos podem ser criados do zero, a partir de um modelo ou de um projeto existente.

Dica

O aplicativo Projetos oferece várias bibliotecas de risco e controle (modelos de projeto) com conteúdo preenchido previamente para fluxos de trabalho específicos. Há diversos modelos de projeto que são normalmente usados para iniciar auditorias e criar modelos reutilizáveis. Esses itens incluem:

  • Modelos de Auditoria Interna (Operacional)
  • Modelos de Auditoria SOC/SSAE 16/ISAE 3402
  • Modelos de Auditoria interna (Controle Interno e Financeiro)
  • o modelo de Auditoria de Sarbanes-Oxley (SOX) (Estrutura COSO 2013)

Configurar um projeto

Você pode escolher entre dois tipos diferentes de fluxo de trabalho de projetos, dependendo de se suas auditorias são operacionais ou mais abrangentes (como SOX ou revisões ICFR). Depois de configurar um projeto, o Projetos automaticamente impõe um fluxo de trabalho simples na auditoria. Isso ajuda você a identificar procedimentos de auditoria relevantes e gerenciar problemas.

Dica

Estruturas são úteis para reduzir os esforços manuais envolvidos na configuração de projetos e podem ser usadas para gerenciar de forma centralizada as informações em ambientes regulatórios e de negócios em evolução.

Exemplo

Cenário

Você é um profissional de conformidade responsável por realizar uma auditoria de controle interno antissuborno e corrupção.

Processo

Tópicos da Ajuda

Como ponto de partida para criar seu projeto, você cria um projeto usando o modelo de projeto Estrutura de Controle Interno Antissuborno e Corrupção.

Dentro do projeto, você habilita a configuração de Garantia para assegurar que os resultados dos testes sejam automaticamente agregados para fins de relatório e definir o número de rodadas de testes para Um.

Resultado

O projeto é preenchido com uma série de objetivos, cada um contendo riscos e controles:

Documentar objetivos

Os objetivos são a base de um projeto e os contêineres de organização para o trabalho realizado em um projeto. Cada objetivo define o assunto em exame e como o desempenho será avaliado. É possível definir objetivos para que o trabalho possa ser dividido em tarefas gerenciáveis para que membros da equipe de auditoria as completem.

Exemplo

Cenário

Parte dos esforços antissuborno da sua organização inclui as políticas de Viagens e Entretenimento (TNE) que precisam ser testadas como parte da auditoria. Você precisa adicionar um objetivo de TNE ao projeto para definir a área sob análise.

Processo

Tópicos da ajuda Definindo objetivos

Você define o objetivo desta forma:

  • Título Viagem e Entretenimento
  • Descrição Assegure que existem controles de prevenção e de detecção apropriados contra o risco de suborno e corrupção em todo o processo de despesas de viagem e entretenimento (incluindo cartão de compras).
  • Referência TNE
  • Divisão/Departamento Finanças
  • Usuário Designado seuNome

Resultado

O objetivo é definido.

Documentar narrativas

Narrativas oferecem uma forma de entender como os controles internos de sua organização se encaixam em um processo de negócios. Muitas organizações confiam nos fluxogramas como um método principal para visualizar e mostrar o fluxo de trabalho detalhado dentro de determinada área. Qualquer conteúdo de áudio ou visual pode ser anexado para apoiar a documentação narrativa, e você pode associar controles para usar como referência.

Exemplo

Cenário

Você precisa construir uma narrativa relacionada com o objetivo TNE.

Na narrativa, você planeja definir o processo do negócio e anexar um resumo dos riscos e controles principais associados ao processo. Ao coletar mais informações, você pretende atualizar a narrativa de acordo.

Processo

Tópicos da ajuda Definindo narrativas

Você vai até a guia Narrativas no projeto e adiciona uma nova narrativa chamada Narrativa de Processo TNE.

Você começa definindo a narrativa desta forma:

Visão Geral do Processo: Políticas de viagem e entretenimento encapsulam as despesas de viagem incorridas durante viagens fora de casa em negócios oficiais e incluem transporte, hospedagem, refeições e outras despesas diversas. Essas despesas devem ser razoáveis e necessárias na condução dos negócios e diretamente atribuíveis a ela.

Finalmente, você anexa um documento contendo um resumo dos riscos e principais controles associados com o processo de TNE.

Resultado

A primeira parte da narrativa é redigida e o documento do Word é adicionado como anexo de apoio.

Documentar riscos e controles

Documentar riscos e controles resulta na produção de uma matriz de controle de riscos (RCM). Uma RCM é uma combinação de riscos identificados e controles correspondentes (as medidas ou cursos de ação para como o risco será mitigado).

Observação

Dependendo da organização e do tamanho da função de auditoria, a avaliação do risco inerente e residual pode ser responsabilidade de equipes diferentes. Organizações maiores costumam aproveitar avaliações de risco operacional ou de risco de conformidade para dar suporte ao trabalho de auditoria.

Dica

Depois que os riscos e controles forem documentados, os proprietários do processos podem configurar um agendamento no Projetos para assegurar que as atividades de controle estejam sendo executadas de forma consistente.

Exemplo

Cenário

Sua organização tem um processo de avaliação de risco maduro e refinado e avalia o risco em duas dimensões (Impacto e Probabilidade) em uma escala de 3 pontos.

Você precisa avaliar a pontuação de risco inerente para determinar o risco bruto que a organização enfrenta se não houver controles ou outros fatores de mitigação estabelecidos. Você também quer atribuir aos seus principais controles uma pontuação de eficácia, para que durante os testes posteriores, qualquer controle com falha forneça uma pontuação de risco residual.

Processo

Tópicos da Ajuda

Primeiro, você carrega riscos e controles em massa e atribui a cada risco uma classificação com base na probabilidade e no impacto.

Em seguida, você associa os riscos e controles e atribui a cada controle uma pontuação de eficácia para refletir a importância do controle no momento de relatar a garantia.

Resultado

A avaliação de risco inerente está concluída e os riscos e controles estão documentados:

2. Avalie o design e a eficácia do controle

Muitas funções de Auditoria procuram fazer com que as empresas assumam algumas das responsabilidades da avaliação do design de controle e da eficácia. Tarefas simples como atualizar uma orientação de controle e documentar passos de teste da eficácia de controles podem ser acessadas pelos proprietários. Isso permite que a avaliação desses controles realmente pertença à empresa.

Avaliar o design de controle

A auditoria pode trabalhar com proprietários do controle para avaliar o design de um controle por meio de certificação ou anexo de evidência, definir planos de ação para implementar controles faltantes ou explicar por que um controle não é necessário.

Dica

A equipe de linha de frente em uma organização pode usar o aplicativo Controle da Missão para gerenciar controles aos quais tem acesso fora do aplicativo Projetos. Controle da Missão é um aplicativo que apresenta informações de controle do Projetos em uma exibição simplificada e centralizada.

Exemplo

Cenário

Agora que você avaliou o risco inerente, é necessário realizar uma orientação para avaliar o design de cada controle.

Processo

Tópicos da ajuda Executando procedimentos e testando controles

Você vai para a orientação associada a cada controle e avalia o design do controle TNE contra o processo descrito na narrativa.

Você determina que todos os controles foram designados de maneira apropriada. Depois de concluir a avaliação do design dos controles, você se desconecta e define seu gerente como o próximo revisor a aprovar seu trabalho.

Resultado

A orientação para cada controle é capturada:

Definir um plano de teste

Planos de teste identificam como você testará o controle. Você pode define planos de teste para especificar o método de teste, o tamanho total da amostra (dividido entre rodadas de testes) e as etapas de teste que precisa realizar para testar o controle.

Dica

O IdeasHub é um catálogo de cenários e testes de riscos coletados das iniciativas da Diligent em todo o mundo, oferece uma série de ideias de testes de análise por processo. Para obter mais informações, consulte o Portal de Desenvolvedores da Diligent.

Exemplo

Cenário

Agora que você realizou as orientações, entende melhor como cada controle é projetado para mitigar o risco. Antes de lançar o teste de efetividade do controle, você precisa preparar um plano de teste que identifica como você testará cada controle.

Processo

Tópicos da ajuda Executando procedimentos e testando controles

Você começa definindo um plano de teste para o seguinte controle:

TNE-04 - Limite do cartão de compras: Cartões de compras têm limites mensais e individuais. Compras que ultrapassam esses limites devem ser recusadas. A administração deve revisar e remediar exceções de maneira oportuna.

  • Método de Teste Observação
  • Tamanho Total da Amostra 1
  • Etapas de Teste/Atributos de Teste
    1. Obter dados necessários para realizar o teste:
      • Dados do titular do cartão que incluem limites mensais e de transação para cada cartão
      • Dados de transação no cartão para o período em análise
    2. Compare os valores da transação nos dados da transação Pcard com os limites da transação listados nos dados do portador do cartão de compras.
    3. Calcule o subtotal dos valores de transação por mês e cartão e compare com os limites mensais listados nos dados do titular do cartão de compras.

Resultado

O plano de teste para TNE-04 é capturado.

Avaliar a efetividade do controle

A avaliação da efetividade do controle envolve a documentação de resultados de testes detalhados e a especificação de se o controle é aprovado ou reprovado. Depois de concluir a avaliação da efetividade do controle, você pode marcar partes do texto e vincular a evidências, como política ou manuais de procedimento, regulamentos, SLAs/SLSs e contratos.

Dica

Para evitar a pontuação manual da efetividade do controle, você pode usar Drivers de Avaliação para automatizar diferentes avaliações de controle. Você pode vincular uma métrica criada no aplicativo Resultados a uma avaliação de controle no Projetos para informar a avaliação e preencher automaticamente as pontuações de risco inerente com base em intervalos de métrica predefinidos.

Exemplo

Cenário

Agora que você avaliou o design de controle e preparou um plano de teste que define como você testará o TNE-04, será necessário avaliar a eficácia do controle para determinar o risco residual ou quanto risco resta após os controles terem sido implantados.

Processo

Tópicos da ajuda Executando procedimentos e testando controles

Você vai pra a rodada de teste associada com cada controle e testa a efetividade de cada controle.

Você determina que todos os controles estão operando de forma efetiva, exceto o controle TNE-04. Embora os limites de transação estejam sendo respeitados e declinados no ponto de venda, os limites mensais não estão e muitos cartões estão excedendo muito seu limite mensal.

Resultado

A avaliação de teste para cada controle é capturada. Nesse ponto, você também pode criar um problema para gerenciar um plano de correção de problemas e atribuir ações aos responsáveis pelo relacionamento com a empresa do cartão de compras.

3. Demonstrar garantia

O aplicativo Projetos fornece a capacidade de agregar automaticamente avaliações de risco, testes de resultados e problemas em todo o projeto em uma única métrica de garantia (porcentagem) que pode ser usada para fins de relatório. A garantia aumenta conforme as orientações e testes são aprovados.

Dica

Se você adotou uma abordagem descendente e está gerenciando os riscos estratégicos de sua organização no aplicativo Estratégia, pode demonstrar segurança ao alinhar os resultados de testes de projetos que foram implementados para mitigar ou gerenciar riscos estratégicos.

Exemplo

Cenário

Com o teste para o objetivo TNE concluído, você deseja comparar o desempenho da organização na mitigação de riscos para que os recursos possam ser alocados adequadamente.

Processo

Tópicos da ajuda Começando a usar a garantia de risco

Você vai até a área de Progresso e visualiza as pontuações de risco inerente e residual e a pontuação de garantia para o objetivo de Viagem e Entretenimento:

Você então vai para a área Resultados e exibe a pontuação geral de garantia para a auditoria:

Resultado

Você pode informar sobre a pontuação de garantia associada ao objetivo de Viagem e Entretenimento e a pontuação geral de garantia associada à auditoria como um todo.

O que fazer em seguida?

Monitore o progresso dos programas do SOX

Você pode exibir e monitorar o progresso dos programas do SOX usando Storyboards. O Kit de ferramentas SOX Storyboard predefinido pode ser instalado e preencher os storyboards com dados em apenas alguns minutos. Para obter mais informações, consulte Kit de ferramentas SOX Storyboard.