- Desde que citada a fonte (QSP) juntamente com o nosso endereço (www.qsp.org.br), é permitida a retransmissão dos artigos e informações por nós publicados.Os infratores estarão sujeitos às medidas legais cabíveis.  
- A opinião dos autores dos artigos assinados não reflete, necessariamente, a posição do QSP.
- Agradecemos o envio de novas colaborações (artigos, notícias etc),através do e-mail: qsp@qsp.org.br .


Auditoria e Gestão de Riscos

Outubro/2006

 

AUDITORIA BASEADA EM RISCOS: 
mudando o paradigma das auditorias internas

Autor: David Mc Namee (1997)
The IIA Research Foundation

Adaptação e atualização: Francesco De Cicco (2006)
Diretor-Executivo do QSP


A avaliação de riscos em auditoria identifica, mede e prioriza os riscos para possibilitar a focalização nas áreas auditáveis mais significativas. Em cada ação de auditoria, a avaliação dos riscos é utilizada para identificar as áreas mais importantes dentro da organização. A avaliação de riscos permite ao auditor delinear um programa de auditoria capaz de testar os controles mais importantes, ou testar os controles com maior profundidade ou mais minuciosamente.

A Auditoria Baseada em Riscos (ABR) estende e melhora o modelo de avaliação dos riscos, alterando a perspectiva da auditoria interna. Em vez de olhar para os processos do negócio como algo que está dentro de um sistema de controle, o auditor os analisa numa envolvente de risco. É o paradigma de "olhar para a frente": uma auditoria centrada nos riscos acrescenta mais valor a uma organização do que uma auditoria centrada apenas nos controles.

UM PARADIGMA DIFERENTE

Algumas pessoas têm criticado a auditoria interna (e externa) por ser excessivamente centrada no passado. "Conduzir o carro olhando pelo espelho retrovisor", uma das metáforas mais freqüentes, caracteriza o auditor como alguém que dá recomendações com base em análises do registro histórico das operações do sistema de controles internos.

Para agregar mais valor à organização, os auditores internos devem passar da focalização no passado para a focalização no futuro. Se o auditor centrar a sua atenção sobre os riscos, a auditoria fica mais orientada para cobrir toda a amplitude dos aspectos que interessam à gestão.

Para a maioria dos auditores, essa mudança será sutil. Em vez de identificar e testar os controles, o auditor revisará os riscos e testará as vias pelas quais a gestão reduz esses riscos. A maioria das técnicas para tratar os riscos continuará a envolver os controles; mas o auditor irá testar "quão corretamente os riscos estão sendo gerenciados?", preferencialmente a "os controles sobre esses riscos são adequados e eficazes?".

Os controles por si sós não garantem necessariamente o sucesso. Grandes bancos, por exemplo, com centenas de controles sobre suas operações têm perdido centenas de milhões de reais por não conseguirem compreender o risco de alguns operadores não terem introduzido no sistema todos os seus compromissos e operações.

Sempre que se acrescenta um controle aos custos do sistema, aumenta a quantidade de recursos para assegurar seu funcionamento. Se os auditores continuarem a auditar e a recomendar novos e reforçados controles sem substituir os já existentes, o peso de tais controles comprometerá os processos do negócio.

O VALOR DA ABR 

Apesar das suas vantagens, um estudo realizado pelo Instituto de Auditores Internos (The Institute of Internal Auditors), dos Estados Unidos, mostra que pelo menos um  terço dos departamentos (equipes) e serviços de auditoria interna falha na utilização da ABR. Outra pesquisa menos formal parece confirmar essa conclusão e sugere que as razões podem ser várias:

  • Os conceitos de risco não são compreendidos com clareza.
  • Os auditores acreditam que a avaliação dos riscos requer conhecimentos especializados de software.
  • Muito pouco tempo para o planejamento, devido ao ciclo contínuo das exigências de execução das auditorias.  
  • Muitos serviços de auditoria interna sentem que a sua ação tem uma dimensão bastante reduzida para utilizar ferramentas de planejamento.
  • Os auditores internos sentem que as auditorias de conformidade legal / normativa / financeira não se coadunam com o risco.

Na realidade, porém, os conceitos de ABR não são difíceis e não requerem conhecimentos ou softwares especializados. A ABR pode servir a equipes de auditoria de todas as dimensões e de todos os tipos. Mesmo onde as auditorias são obrigatórias por lei, por regulamentos e normas ou por vontade de um executivo esclarecido, as ABRs podem ajudar a focalizar o âmbito da auditoria onde isso for mais necessário. Os utilizadores da ABR indicam também que os relatórios das auditorias baseadas em riscos são mais fáceis de preparar e de "vender", sem criar atritos desnecessários.

Os planos de ABR são delineados para serem flexíveis. Concentram-se em áreas de maior importância, confiando muitas vezes em técnicas que permitem que a amostra seja ampliada ou reduzida, em função da taxa de erros. Embora os auditores sigam diversos padrões ao planejar um programa de auditoria, a prática comum ainda é a de concentrar mais o esforço de auditoria na análise dos controles do que na análise de como é feito o gerenciamento dos riscos. E isso é particularmente mais perceptível nas organizações brasileiras...É chegada a hora, portanto, de se adotar um novo paradigma.

A ABR E O NOVO PARADIGMA

Utilizar um novo paradigma com a Auditoria Baseada em Riscos significa ampliar a perspectiva de todas as auditorias internas (financeiras, da qualidade, ambiental, da segurança da informação, da segurança e saúde no trabalho, etc.), para abarcar todas as etapas da Gestão de Riscos, incluindo as atividades de controle. Essa prática dá também ao auditor a oportunidade de verificar se os processos do negócio estão sujeitos a controles excessivos, proporcionando a ele a rara oportunidade de recomendar a existência de menos controles, se forem identificados métodos obsoletos e ineficazes.

De acordo com o Statement of Responsabilities of Internal Auditing, do IIA, o propósito da auditoria interna consiste em examinar e avaliar as atividades da organização e fornecer análises, avaliações, recomendações, conselhos e informação sobre as atividades analisadas. Em cada ação de auditoria, há um objetivo relacionado com o fornecimento dos resultados do exame e avaliação das atividades.

Cada ação de auditoria é delineada para alcançar o objetivo da auditoria, através de um ou mais testes, que proporcionam a evidência utilizada pelo auditor para formular uma conclusão e formar opinião. O conjunto das conclusões e opiniões é o resultado da ação da auditoria. Existe uma progressão lógica, desde a missão da organização até a execução da auditoria. Durante o estágio de planejamento da auditoria, o auditor deve assegurar-se de que:

  • Existe uma ligação positiva entre o objetivo da auditoria, os objetivos da unidade a ser auditada e a missão da organização.
  • O programa de auditoria, tomado como um todo, produzirá as evidências necessárias para atingir o objetivo da auditoria.
  • Cada teste proporcionará a evidência requerida no programa de auditoria.

O objetivo da auditoria deve estar relacionado com os riscos enfrentados pela unidade a ser auditada, no seu esforço para atingir os objetivos que estabeleceu. Os testes de auditoria dão apoio ao objetivo da auditoria.

Na versão ABR da auditoria, o auditor considera os mesmos riscos na consecução dos objetivos estabelecidos pela unidade a ser auditada e identifica aquilo que as pessoas estão fazendo, se alguma coisa estiverem fazendo, para reduzir os riscos. A auditoria consiste nos testes das atividades de tratamento - incluindo, mas não se limitando aos controles internos - para determinar a sua adequação e eficácia.

COMPARAÇÃO ENTRE O VELHO E O NOVO

Área de Auditoria

Velho Paradigma

Novo Paradigma
Foco da auditoria Sistema de controles internos Riscos do negócio
Foco dos testes Atividades de controle Atividades de tratamento de todos os riscos
Foco do relatório Adequação e eficácia dos controles internos Adequação e eficácia do tratamento dos riscos
Resultados da auditoria Controles novos ou melhorados Tratamento adequado dos riscos


Em outras palavras, a ABR começa e acaba com a consideração dos riscos do negócio. Os controles internos são uma parte importante do tratamento de riscos, mas não são a solução completa. Os auditores tenderão a notar e recomendar o nível apropriado de controle e de outros meios para reduzir os riscos, mesmo que isso signifique indicar que alguns controles já não estão apropriadamente em equilíbrio com os seus riscos.

No novo paradigma, as várias partes do processo de auditoria estão ligadas às metas e aos objetivos através dos riscos na consecução desses objetivos, e das estratégias que a gestão adotou para tratar esses riscos. O velho paradigma tenta chegar à mesma conclusão através da análise do modo como o sistema é controlado, o que constitui apenas uma das maneiras de tratar os riscos. A ABR contribui para o esforço da gestão no sentido de manter os processos do negócio leves e eficientes ao longo do tempo, evitando o efeito de acumulação da auditoria tradicional centrada nos controles.

O QSP E A ABR

O QSP, através de seu Núcleo de Gestão de Riscos, ciente da necessidade de propiciar aos altos executivos e auditores que atuam no Brasil um enfoque integrado para a efetiva implementação da ABR em suas organizações, desenvolveu uma abordagem inovadora para a Auditoria Baseada em Riscos, a partir de diretrizes do IIA - The Institute of Internal Auditors - do Reino Unido.

A ABR é uma metodologia que está evoluindo rapidamente em todo o mundo e ainda há pouco consenso em relação à melhor forma de implementá-la. Por isso, o QSP crê que é fundamental se adotar uma abordagem integrada, que satisfaça as atuais necessidades da direção das empresas no sentido de obter garantias de que seus processos de gerenciamento de riscos e seus sistemas de controles internos estão funcionando de maneira eficaz e eficiente em todos os aspectos do negócio.

A abordagem desenvolvida pelo QSP para a implementação da ABR possui os seguintes focos centrais:

  • Avaliação da Maturidade da Gestão de Riscos da organização;
  • Aprimoramento dos processos de gerenciamento de riscos;
  • Ações para fomentar a mudança de paradigma das auditorias internas;
  • Racionalização e integração dos diversos planos de auditoria da organização (planos de auditoria financeira, da qualidade, ambiental, da segurança da informação, da segurança e saúde no trabalho, etc.);
  • Gestão do conhecimento e das competências dos auditores internos da organização.

Informações sobre os produtos e serviços do QSP relacionados à Gestão de Riscos e à Auditoria Baseada em Riscos podem ser obtidas através do telefone: (11) 3704-3200 e do e-mail: qsp@qsp.org.br.

Consulte também: