Manual de Auditoria Operacional

Manual de auditoria operacional | TCE-MT | 33 1.7 Inventário de riscos e controles Conforme exposto no Manual de Auditoria de Conformidade do TCE-MT, quando o objeto de auditoria é complexo, o risco é um critério de seleção bastante útil. Pode ser avaliado por meio da matriz SWOT, do DVR, do mapeamento de processos mais relevantes e da elaboração de um inventário de riscos e controles. Para isso, devem ser identificadas as principais atividades que compõem o fluxo, seguindo o modelo 13. Finalizado o inventário, a equipe deve considerar os eventos de riscos mais relevantes para ajudar no direcionamento do planejamento da auditoria. Modelo 13 – Inventário de riscos e controles Atividade Objetivo da atividade Evento de risco Controle O controle é necessário, adequado e suficiente para mitigar o risco? Relacionar as atividades afetas ao objeto da auditoria Identificar o objetivo daquela atividade Identificar o risco inerente, questionando o que pode dar errado naquela atividade; Avaliar o risco em termos de probabilidade de ocorrência e impacto nos objetivos da atividade, caso se concretize. Verificar que tipo de controle existe para tratar o risco. Para isso, devem ser identificadas as principais atividades que compõem o fluxo e, em seguida, verificar que tipo de controle existe para tratar o risco. Avaliar sucintamente se o controle é necessário, adequado e suficiente para mitigar os riscos. Fonte: Manual de Auditoria de Conformidade do TCE-MT (com adaptações a partir do original). 1.8 Análise Reci ou matriz de responsabilidades A análise Reci é uma ferramenta que ajuda a identificar quem é responsável pelas atividades desenvolvidas, quem as executa, quem é consultado e quem é informado 21 . Essa análise pode ser aplicada no âmbito limitado de uma equipe de trabalho ou em relação a um órgão, entidade ou objeto auditado. As iniciais Reci definem: R: quem é responsável – quem detém a responsabilidade final. E: quem executa – quem é encarregado de desenvolver a atividade; C: quem é consultado – aquele que deve ser consultado antes que as decisões ou ações sejam implementadas; I: quem é informado – aquele que deve ser informado depois que a decisão ou ação for im- plementada. Essa ferramenta permite definir a responsabilidade pelas decisões e pela execução das ativi- dades e identificar o tipo ou grau de participação de cada agente, pessoa, órgão ou setor em cada 21 Técnicas de Auditoria: Análise Reci. Brasília: TCU, Secretaria de Fiscalização e Avaliação de Programas de Governo, 2001.