Scribd
Carregar
131 visualizações22 páginas

Modelo Matriz de Riscos e Controles

O documento aborda a identificação e análise de riscos e controles, destacando objetivos-chave, eventos de risco, fontes de risco, possíveis causas e consequências. Também apresenta uma matriz de riscos e controles, incluindo avaliações de risco inerente e residual, além de tipos de testes de auditoria necessários. O foco é na avaliação da eficácia dos controles e na priorização dos riscos a serem auditados.

Enviado por

jholmnds
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato XLSX, PDF, TXT ou leia on-line no Scribd
131 visualizações22 páginas

Modelo Matriz de Riscos e Controles

O documento aborda a identificação e análise de riscos e controles, destacando objetivos-chave, eventos de risco, fontes de risco, possíveis causas e consequências. Também apresenta uma matriz de riscos e controles, incluindo avaliações de risco inerente e residual, além de tipos de testes de auditoria necessários. O foco é na avaliação da eficácia dos controles e na priorização dos riscos a serem auditados.

Enviado por

jholmnds
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato XLSX, PDF, TXT ou leia on-line no Scribd

Identi

Objetivos-chave

Ob1 -

Ob2 -

Ob3 -
Identificação e Análise de Riscos e Co
Evento de Risco

R1 -

R2 -

R3 -

R4 -

R5 -

R6 -

R7 -

R8 -

R9 -
entificação e Análise de Riscos e Controles
Fonte do Risco
e Controles
Possíveis Causas
Cs 1.1 -
Cs 1.2 -
Cs 1.3 -
Cs 2.1 -
Cs 2.2 -
Cs 2.3 -
Cs 3.1 -
Cs 3.2 -
Cs 3.3 -
Cs 4.1 -
Cs 4.2 -
Cs 4.3 -
Cs 5.1 -
Cs 5.2 -
Cs 5.3 -
Cs 6.1 -
Cs 6.2 -
Cs 6.3 -
Cs 7.1 -
Cs 7.2 -
Cs 7.3 -
Cs 8.1 -
Cs 8.2 -
Cs 8.3 -
Cs 9.1 -
Cs 9.2 -
Cs 9.3 -
Possíveis Consequências
Cq 1.1 -
Cq 1.2 -
Cq 1.3 -
Cq 2.1 -
Cq 2.2 -
Cq 2.3 -
Cq 3.1 -
Cq 3.2 -
Cq 3.3 -
Cq 4.1 -
Cq 4.2 -
Cq 4.3 -
Cq 5.1 -
Cq 5.2 -
Cq 5.3 -
Cq 6.1 -
Cq 6.2 -
Cq 6.3 -
Cq 7.1 -
Cq 7.2 -
Cq 7.3 -
Cq 8.1 -
Cq 8.2 -
Cq 8.3 -
Cq 9.1 -
Cq 9.2 -
Cq 9.3 -
Objetivo-Chave Risco-Chave
MATRIZ DE RISCOS E CON
Avaliação do Risco Inerente

Impacto Probabilidade Risco Inerente (RI)

0 Baixo

0 Baixo

0 Baixo

0 Baixo

0 Baixo

0 Baixo

0 Baixo

0 Baixo

0 Baixo
MATRIZ DE RISCOS E CONTROLES
Avaliação do Risco Residual
Avaliação Preliminar dos Controles
Controles Existentes Risco Residual (RR)
- Risco de Controle (RC)

0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0

0 0
Tipo de Teste Conclusão do auditor
Risco Residual (RR)

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário

Realizar testes apenas se o auditor


Baixo julgar necessário
Questão de Auditoria
Impacto Avaliar o impacto do risco com base nos critérios sugeridos na aba "Escalas de Impacto e Probabil

Probabilidade Avaliar a probabilidade do risco com base nos critérios sugeridos na aba "Escalas de Impacto e Pro
Risco a que uma organização está exposta sem considerar quaisquer ações gerenciais que possam
ocorrência ou seu impacto. Calculado automaticamente = Impacto x Probabilidade [1 a 100]
Risco Inerente (RI)
Avaliação de RI com base na "Escala de Avaliação dos Níveis de Risco" da aba "Escala Controles e N

Avaliação Avaliação dos controles desenhados para o respectivo risco (consultar a respectiva escala na aba "
preliminar dos Risco")
Controles e do
Risco de Controle Risco de que um erro ou classificação indevida materiais que possam constar de uma afirmação nã
(RC) detectados tempestivamente pelos controles internos da entidade.

Risco que permanece após a resposta da administração. É resultado da multiplicação RI x RC.


Risco Residual (RR)
Avaliação do Risco Residual com base na "Escala de Avaliação dos Níveis de Risco" da aba "Escala C

Tipo de Teste Tipos de testes de auditoria que serão necessários, com base na avaliação dos controles.

Conclusão do
Conclusão do auditor sobre os riscos a serem priorizados e os tipos de testes a serem aplicados
auditor

Elemento que define o objetivo da auditoria e constitui a base da estrutura das análises que perm
Questão de
sobre os controles: se estão adequadamente concebidos na proporção requerida pelos riscos; se e
Auditoria
funcionam de maneira contínua e coerente, conforme as respostas a riscos definidas pela adminis
pacto e Probabilidade".

de Impacto e Probabilidade".
ciais que possam reduzir a probbilidade de sua
e [1 a 100]
cala Controles e Níveis Risco".
a escala na aba "Escala Controles e Níveis

uma afirmação não sejam evitados ou

ção RI x RC.

" da aba "Escala Controles e Níveis Risco".

ntroles.

rem aplicados

nálises que permitirão chegar à conclusão


pelos riscos; se estão sendo aplicados e se
das pela administração.
FONTES DE RISCO
Pessoas

Processos

Sistemas

Infraestrutura Física

Tecnologia

Governança

Planejamento

Eventos externos
VULNERABILIDADES
Em número insuficiente; sem capacitação; perfil inadequado; desmotivadas, alta rotatividade, desvios
éticos.
Mal concebidos (exemplo: fluxo, desenho); sem manuais ou instruções formalizadas (procedimentos,
documentos padronizados); sem segregação de funções, sem transparência.
Obsoletos; sem manuais de operação; sem integração com outros sistemas; inexistência de controles de
acesso lógico/backups, baixo grau de automação.

Localização inadequada; instalações ou leiaute inadequados; inexistência de controles de acesso físico.

Técnica ultrapassada/produto obsoleto; falta de investimento em TI; Tecnologia sem proteção de patentes;
processo produtivo sem proteção contra espionagem, controles insuficientes sobre a transferência de
dados.

Competências e responsabilidades não identificadas ou desrespeitadas; centralização ou descentralização


excessiva de responsabilidades; delegações exorbitantes; falta de definição de estratégia de controle para
avaliar, direcionar e monitorar a atuação da gestão; deficiência nos fluxos de informação e comunicação;
produção e/ou disponibilização de informações, que tenham como finalidade apoiar a tomada de decisão,
incompletas, imprecisas ou obscuras; pressão competitiva; falta de rodízio de pessoal; falta de formalização
de instruções.

Ausência de planejamento. Planejamento elaborado sem embasamento técnico ou em desacordo com as


normas vigentes, objetivos e estratégias inadequados, em desacordo com a realidade.

Ambientais: Mudança climática brusca;,incêndio, inundação, epidemia.


Econômicos: oscilações de juros, de câmbio e de preços, contingenciamento, queda de arrecadação, crise
de credibilidade, elevação ou redução da carga tributária.
Políticos: novas leis e regulamentos, restrição de acesso a mercados estrangeiros, ações de
responsabilidade de outro(s) gestor(es); "guerra fiscal" entre estados, conflitos militares, divergências
diplomáticas.
Sociais: alterações nas condições sociais e demográficas ou nos costumes sociais, alterações nas demandas
sociais, paralisações das atividades, aumento do desemprego.
Tecnológicos: novas formas de comércio eletrônico, alterações na disponibilização de dados, reduções ou
aumento de custo de infraestrutura, aumento da demanda de serviços com base em tecnologia, ataques
cibernéticos.

Infraestrutura: estado de conservação das vias de acesso; distância de portos e aeroportos; interrupções no
abastecimento de água, energia elétrica, serviços de telefonia; aumento nas tarifas de água, energia
elétrica, serviços de telefonia.
Legais/jurídicos: novas leis e normas reguladoras; novos regulamentos; alterações na jurisprudência de
tribunais; ações judiciais.
Escala de Impactos
Magnitude Descrição I
Degradação de operações ou atividades de processos, projetos ou programas da
organização, porém causando impactos mínimos nos objetivos de prazo, custo,
Muito baixo qualidade, escopo, imagem ou relacionados ao atendimento de metas, padrões ou à 1
capacidade de entrega de produtos/serviços às partes interassadas (clientes
internos/externos, beneficiários).

Degradação de operações ou atividades de processos, projetos ou programas da


Baixo 2
organização, causando impactos pequenos nos objetivos.

Interrupção de operações ou atividades de processos, projetos ou programas,


Médio 5
causando impactos significativos nos objetivos, porém recuperáveis.

Interrupção de operações ou atividades de processos, projetos ou programas da


Alto 8
organização, causando impactos de reversão muito difícil nos objetivos.

Paralisação de operações ou atividades de processos, projetos ou programas da


Muito alto 10
organização, causando impactos irreversíveis/catastróficos nos objetivos.

Fonte: Brasil. Tribunal de Contas da União. Roteiro de Auditoria de Gestão de Riscos. Brasília: TCU, Secretaria de
Métodos e Suporte ao Controle Externo, 2017. (adaptada)
Escala de Probabilidades
Magnitude Descrição

Evento improvável de ocorrer. Excepcionalmente poderá até ocorrer,


Muito baixa
porém não há elementos ou informações que indiquem essa possibilidade.

Evento raro de ocorrer. O evento poderá ocorrer de forma inesperada,


Baixa
havendo poucos elementos ou informações que indicam essa possibilidade.

Evento possível de ocorrer. Há elementos e/ou informações que indicam


Média
moderadamente essa possibilidade.
Evento provável de ocorrer. É esperado que o evento ocorra, pois os
Alta elementos e as informações disponíveis indicam de forma consistente essa
possibilidade.

Evento praticamente certo de ocorrer. Inequivocamente o evento ocorrerá,


Muito alta pois os elementos e informações disponíveis indicam claramente essa
possibilidade.

Fonte: Brasil. Tribunal de Contas da União. Roteiro de Auditoria de Gestão de Riscos. Brasília: TCU,
Secretaria de Métodos e Suporte ao Controle Externo, 2017. (adaptada)
I

10

s. Brasília: TCU,
Escala de avaliação preliminar dos Controles (desenho
Avaliação do Nível de Confiança nos controles
Situação do controle existente
Controle* (NC)
Nenhum nível de confiança. Considerando
Controle não existe, não funciona ou não está
Inexistente RI igual a 1,00 e NC igual a zero, temos 1,00
implementado.
- 0.

Controle não institucionalizado; está na esfera de Nível de Confiança de 20%. Os controles são
Fraco conhecimento pessoal dos operadores do processo; capazes de mitigar 20% dos eventos. Risco
em geral realizado de maneira manual. de controle = 1,00 - 0,20.

Controle razoavelmente institucionalizado, mas pode


Nível de Confiança de 40%. Os controles são
falhar por não contemplar todos os aspectos
Mediano capazes de mitigar 40% dos eventos. Risco
relevantes do risco ou porque seu desenho ou as
de controle = 1,00 - 0,40.
ferramentas que o suportam não são adequados.

Controle institucionalizado e embora passível de Nível de Confiança de 60%. Os controles são


Satisfatório aperfeiçoamento, é sustentado por ferramentas capazes de mitigar 60% dos eventos. Risco
adequadas e mitiga o risco razoavelmente. de controle = 1,00 - 0,60.

Controle institucionalizado e sustentado por


Nível de Confiança de 80%. Os controles são
ferramentas adequadas, podendo ser considerado em
Forte capazes de mitigar 80% dos eventos. Risco
um nível de "melhor prática"; mitiga o risco em todos
de controle = 1,00 - 0,80.
os aspectos relevantes.

* Não há controle perfeito. Todos têm limitações que impedem que NC seja igual a 1 (um). Por isto, não há RC < 0,20. Limitações do controle: relação custo-benefício; burla p
doença...); eventos externos.

Quadro auxiliar para definição do


Risco inerente Avaliação preliminar do Controle* Risco Residual

Inexistente Baixo

Fraco Baixo

Baixo Mediano Baixo

Satisfatório Baixo

Forte Baixo

Inexistente Médio

Fraco Baixo/Médio

Médio
Mediano Baixo/Médio
Médio

Satisfatório Baixo/Médio

Forte Baixo

Inexistente Alto

Fraco Médio/Alto

Mediano Médio/Alto
Alto

Satisfatório Médio

Forte Baixo/Médio

Inexistente Extremo

Fraco Alto/Extremo

Mediano Alto
Extremo

Satisfatório Médio/Alto

Forte Médio
ntroles (desenho e implementação)

Risco de Controle (RC), ou seja, 1 - NC Tipo de Teste

1.00 Testes substantivos

0.80 + Testes substantivos

Testes substantivos/Testes de
0.60
Controles

0.40 + Testes de controle

0.20 + Testes de controle

role: relação custo-benefício; burla pela administração; conluio; erros de julgamento; falha humana (causada por fadiga,

ara definição dos Tipos de Testes


Comentário Tipo de Teste Prioridade
Realizar testes apenas se o
Muito baixa
auditor julgar necessário

Realizar testes apenas se o


Muito baixa
auditor julgar necessário

Considerando o princípio da eficiência e a relação custo-benefício, não Realizar testes apenas se o


seria necessário trabalhar estes riscos, por serem baixos. Entretanto, auditor julgar necessário Muito baixa
eles poderão ser testados a depender da avaliação do auditor.

Realizar testes apenas se o


Muito baixa
auditor julgar necessário

Realizar testes apenas se o


Muito baixa
auditor julgar necessário

Controle inexiste. O exame poderá ser feito para confirmar


Testes substantivos Alta
consequências adversas da ausência do controle.

Controle foi considerado inadequado. O exame poderá ser feito para Alta, dependerá do nível dos riscos
+Testes substantivos
confirmar consequências adversas da inadequação. que o controle pretende mitigar
Sua aplicação/efetividade pode ser testada, para verificar seu
desempenho em relação aos objetivos pretendidos, ao mesmo tempo Testes substantivos/Testes de Alta, dependerá do nível dos riscos
em que é preciso confirmar as consequências adversas de seu Controles que o controle pretende mitigar
funcionamento não ser o ideal.

Controle foi considerado adequado na avaliação preliminar, mas sua


aplicação/efetividade precisa ser testada, para verificar se está + Testes de controle Baixa
atingindo os objetivos pretendidos.

Controle foi considerado forte na avaliação preliminar, mas sua


aplicação/efetividade precisa ser testada, para verificar se está + Testes de controle Baixa
atingindo os objetivos pretendidos.

Controle inexiste. O exame poderá ser feito para confirmar


Testes substantivos Muito alta
consequências adversas da inadequação ou ausência do controle.

Controle foi considerado inadequado. O exame poderá ser feito para


+Testes substantivos Alta
confirmar consequências adversas da inadequação.

Sua aplicação/efetividade pode ser testada, para verificar seu


desempenho em relação aos objetivos pretendidos, ao mesmo tempo Testes substantivos/Testes de Alta, dependerá do nível dos riscos
em que é preciso confirmar as consequencias adversas de seu Controles que o controle pretende mitigar
funcionamento não ser o ideal.

Controle foi considerado adequado na avaliação preliminar, mas sua


aplicação/efetividade precisa ser testada, para verificar se está + Testes de controle Baixa
atingindo os objetivos pretendidos.

Controle foi considerado forte na avaliação preliminar, mas sua


aplicação/efetividade precisa ser testada, para verificar se está + Testes de controle Baixa
atingindo os objetivos pretendidos.

Controle inexiste. O exame poderá ser feito para confirmar


Testes substantivos Muito alta
consequências adversas da inadequação ou ausência do controle.

Controle foi considerado inadequado. O exame poderá ser feito para


+Testes substantivos Muito alta
confirmar consequências adversas da inadequação.

Sua aplicação/efetividade pode ser testada, para verificar seu


desempenho em relação aos objetivos pretendidos, ao mesmo tempo Testes substantivos/Testes de
Muita alta
em que é preciso confirmar as consequencias adversas de seu Controles
funcionamento não ser o ideal.

Controle foi considerado adequado na avaliação preliminar, mas sua


aplicação/efetividade precisa ser testada, para verificar se está + Testes de controle Alta
atingindo os objetivos pretendidos.

Controle foi considerado forte na avaliação preliminar, mas sua


aplicação/efetividade precisa ser testada, para verificar se está + Testes de controle Alta
atingindo os objetivos pretendidos.
Escala de Avaliação dos Níveis
de Risco
Nota Magnitude

1 a 9,99 Baixo

10 a 39,99 Médio

40 a 79,99 Alto

80 a 100 Extremo

Você também pode gostar