Vicenzi Santiago Vicenzi Santiago
auditoria interna_vicenzi_santiago

Auditoria Interna e Gestão de Riscos

A palavra governança faz parte do dicionário dos executivos, mas seu conceito às vezes é confundido. Na essência, a governança é o conjunto de processos e estruturas desenvolvidos para ajudar a organização a alcançar seus objetivos, influenciados não apenas pelos riscos que afetam a capacidade de uma organização de atingir seus objetivos, mas também pelos esforços da organização para mitigar os riscos conhecidos e descobrir riscos desconhecidos.

Como parte da estrutura de governança, são implementadas funções como Gestão de Riscos, Controles Internos, Compliance e Auditoria Interna.

Cada uma dessas funções corporativas tem um papel fundamental. Nenhuma é necessariamente mais importante que a outra, mas é fundamental compreender o porquê de cada uma dessas funções. A independência da auditoria interna apenas pode ser assegurada se ela se reportar e tiver orçamento gerido pelo conselho de administração ou órgão similar. Essa é a melhor prática e, recomendada pelo código brasileiro de governança corporativa.

Não é incomum revisarmos políticas de riscos de empresas que iniciam a sua Introdução afirmando que adotam o modelo das três linhas.

modelos das tres linhas_GRC

Mas logo na sequência desenham um modelo operacional onde incluem a auditoria interna como parte da gestão de riscos da organização. Não se deve ferir o princípio da independência dessa forma. A gestão de riscos de uma companhia é uma resposta da sua administração executiva às incertezas associadas ao alcance dos resultados e execução da estratégia. Investidores, acionistas, e o próprio conselho de administração se apoiam no papel da gestão de riscos para assegurar que as incertezas são conhecidas e que a companhia está preparada para responder a eventuais eventos adversos que se materializem.

Contudo, a auditoria interna deve ser a guardiã da sanidade do sistema. São os auditores internos que devem revisar o modelo de gestão de riscos e dar o conforto de que ele opera com eficiência e eficácia. Ora bolas, se a auditoria interna for envolvida na execução da gestão de riscos então ela perderá a tão necessária independência.

 

 

Descrevemos abaixo as principais responsabilidades de cada uma destas funções dentro da estrutura de governança para que fique mais clara a diferença entre cada uma delas e a importância de mantê-las segregadas:

Gestão de Riscos

Facilita e monitora a implementação de práticas eficazes de gerenciamento de riscos por parte da gerência operacional e auxilia os proprietários dos riscos a definir a meta de exposição ao risco e a reportar adequadamente informações relacionadas a riscos em toda a organização.

Controles Internos

Monitora e supervisiona o sistema de controles internos da entidade, de acordo com os riscos identificados. Avalia as deficiências de controles que podem impactar a realização dos objetivos da entidade, dando suporte nas medidas a serem tomadas para mitigação dos riscos e deficiências de controles. Coordena o processo de manutenção de segregação de funções na organização.

Compliance

Monitora diversos riscos específicos, tais como a não conformidade com leis e regulamentos aplicáveis. Em algumas organizações também tem a responsabilidade por tipos específicos de monitoramento da conformidade, como órgãos reguladores da atividade exercida, saúde e segurança, cadeia de fornecimento, ambiental e qualidade.

Auditoria Interna

Presta avaliação objetiva e independente ao examinar e reportar sobre a eficácia e eficiência dos processos de governança, de gerenciamento de riscos, controle interno e governança, desenvolvidos para ajudar a organização a alcançar seus objetivos estratégicos, operacionais, financeiros e de conformidade. A Auditoria Interna não executa, ela revisa.

 

Princípios da Auditoria Interna:

Independência: Liberdade de condições que ameaçam a capacidade da atividade de auditoria interna para cumprir suas responsabilidades de forma imparcial.

Objetividade: Atitude mental imparcial que permite aos auditores internos executarem os trabalhos de auditoria de maneira a terem uma confiança no resultado de seu trabalho e que não seja feito nenhum comprometimento da qualidade. A objetividade requer que os auditores internos não subordinem a outras pessoas o seu julgamento em assuntos de auditoria.

Em organizações pequenas, com operações de baixa complexidade, pode ser que não exista uma estrutura ou sistema formal de gestão de riscos e a responsabilidade pela coordenação das atividades de gerenciamento de riscos pode ser atribuída a uma área que cuida de planejamento ou controladoria. Mas, a Auditoria Interna deve sempre ser apartada destas atividades, de forma a manter sua independência e objetividade.

O IIA – The Institute of Internal Auditors (Instituto dos Auditores Internos) desenvolveu um material que ilustra muito bem quais papéis uma auditoria interna profissional e eficaz deveria e não deveria assumir. Ao se determinar o papel da auditoria interna, deve-se sempre considerar os princípios da Independência e Objetividade que mencionamos acima.

Auditoria interna e gerenciamento de risco

Fonte: IIA – o papel da auditoria interna no gerenciamento de riscos corporativo

Auditoria e gestão de riscos_vicenzi

 

Mais algumas definições importantes:

Atividades de Avaliação (Assurance): É o exame objetivo da evidência com o propósito de fornecer para a organização uma avaliação independente sobre os processos de governança, gerenciamento de riscos e controle. Por exemplo: auditoria financeira, de desempenho, de conformidade, de segurança de sistemas e de “due diligence”.

Atividades de Consultoria: Aconselhamento e serviços relacionados, que se destinam a adicionar valor e aperfeiçoar os processos de governança, gerenciamento de riscos e controle da organização. Exemplos: orientação, assessoria, facilitação e treinamento.

 

O papel da Auditoria Interna na Gestão de Riscos

Não basta a Auditoria Interna revisar se os controles internos listados em uma matriz mitigam os riscos ali identificados. A Auditoria Interna também tem a responsabilidade de revisar a adequação e eficácia do modelo de gestão de riscos em si, como parte do controle da organização (Entity Level Controls).

O objetivo é avaliar a maturidade da gestão de riscos das organizações e identificar os aspectos que necessitam ser aperfeiçoados para melhorar governança e a entrega de produtos e serviços.

De forma geral, a auditoria de gestão de riscos tem os seguintes objetivos:

  1. a) determinar o nível de maturidade da gestão de riscos da organização;
  2. b) identificar os aspectos que necessitam ser aperfeiçoados; e
  3. c) emitir um relatório detalhado sobre os aspectos e uma conclusão geral sobre a maturidade.

 

Ao avaliar o ambiente da organização, são consideradas as capacidades existentes na organização em termos de liderança, políticas, estratégias e de preparo das pessoas, incluindo aspectos relacionados com cultura, a governança de riscos e a consideração do risco na definição da estratégia e dos objetivos em todos os níveis, para que a gestão de riscos tenha as condições necessárias para prosperar e fornecer segurança razoável do cumprimento da missão institucional na geração de valor para as partes interessadas.

A auditoria verifica se os processos de gestão de riscos adotados pela gestão constituem um processo formal, com padrões e critérios definidos para a identificação, análise e avaliação de riscos, seleção e implementação de respostas aos riscos avaliados, monitoramento de riscos e controles e comunicação sobre riscos com stakeholders.

Também se examinam os resultados das práticas de gestão de riscos, procurando avaliar em que medida a gestão de riscos tem sido eficaz para a melhoria dos processos de governança e gestão e como os resultados da gestão de riscos têm contribuído para o alcance dos objetivos da organização com eficiência, qualidade de bens e serviços, transparência, prestação de contas e cumprimento de leis e regulamentos.

Neste contexto, o papel do auditor interno deve ser o de prover avaliação (assurance) à administração e ao conselho quanto à eficácia do gerenciamento de riscos. Quando a auditoria interna estende suas atividades além deste papel fundamental, deve aplicar determinadas salvaguardas, incluindo considerar os trabalhos como serviços de consultoria. Desta forma, a auditoria interna irá proteger a sua independência e objetividade dos seus serviços de avaliação (assurance).

 

⇢ Visite também nossos outros artigos aqui 

⇢ Entre em contato com nossos consultores

Assine nossa Newsletter e receba nossos conteúdos em seu e-mail

SIGA A GENTE TAMBÉM NAS REDES SOCIAIS:

 

 

Referências:

  • Declaração de posicionamento do IIA: o papel da auditoria interna no gerenciamento de riscos corporativo

https://iiabrasil.org.br/korbilload/upl/ippf/downloads/declarao-de-pos-ippf-00000001-21052018101250.pdf

 

  • Estrutura Internacional de Práticas Profissionais (International Professional Practices Framework – IPPF)

https://iiabrasil.org.br//ippf

 

  • Tribunal de Contas da União

https://www.tcu.gov.br

 

 

Deixe um comentário

Seu endereço de e-mail não será publicado.

Vicenzi Santiago

Alameda Santos, 1773 Jardim Paulista
São Paulo, SP
CEP: 01419-002
+55 11 97682 1108

Newsletter: deixe seu e-mail para receber notificações de novos artigos e conteúdos.

Conecte-se em nossas redes sociais

© 2019 Vicenzi Santiago - Site criado por Capim Design

WhatsApp chat

Share This

Copy Link to Clipboard

Copy