Queria comentar hoje do que chamo da governança dos riscos, e neste tema a relação entre a auditoria interna e a área de gestão de riscos corporativos é fundamental para termos uma governança corporativa eficaz e uma supervisão de riscos adequada.
Ainda que nem sempre bem entendida, e até mesmo por incrível que pareça valorizada, as funções de auditoria interna desempenham sim um papel relevante como terceira linha de defesa na avaliação e melhoria da eficácia dos processos de gestão de riscos de uma empresa, pois ao fazer seu trabalho de realizar avaliações independentes e abrangentes de riscos, os auditores internos podem identificar potenciais vulnerabilidades, avaliar a adequação dos controles existentes e fornecer ajuda na gestão de riscos.
A terceira linha de defesa, representada pela auditoria interna, funciona como um prestador de garantia independente, verificando a eficácia tanto da primeira como da segunda linha de defesa, e neste caso aqui a auditoria interna deve avaliar também com prioridade e foco a estrutura geral de gestão de riscos, incluindo a concepção e implementação de processos.
Os auditores internos, ao avaliar a oportunidade de risco, examinam a probabilidade e o impacto dos riscos futuros, o que auxilia na priorização de ações e na alocação de recursos.
No processo de gestão de riscos, a auditoria interna fornece garantias de que os riscos estão sendo corretamente avaliados, ao avaliar os critérios usados pela gestão para classificar e avaliar riscos, e também uma verificação independente das informações sobre riscos.
Além disso, a auditoria interna fornece garantias sobre os processos de gestão de riscos, certificando-se de que os processos são adequados, estão sendo seguidos e estão alinhados com os objetivos estratégicos da empresa, e se a gestão de riscos é realmente integrada à cultura da empresa e se os controles internos são robustos e efetivos.
A coordenação com a gestão de riscos é outro papel chave da auditoria interna, o que significa trabalhar em conjunto com a função de gestão de riscos para garantir que os riscos sejam gerenciados de forma proativa e que as melhores práticas sejam compartilhadas. Gosto bastante que há esta sinergia e trabalham juntos com um objetivo comum.
Isso significa que, embora a auditoria interna possa fornecer recomendações, a responsabilidade final pela decisão recai sobre a gestão.
A auditoria interna sempre pode também atuar como um consultor para a gestão de riscos, fornecendo aconselhamento especializado e recomendações sobre como abordar riscos específicos, sempre garantindo que a independência da função de auditoria não seja comprometida.
No entanto, há funções que a auditoria interna não deve assumir para manter a sua objetividade e independência, como por exemplo a auditoria interna não deve se envolver na implementação de respostas de gestão a riscos, pois isso poderia comprometer a capacidade de fornecer uma avaliação objetiva da eficácia dessas respostas.
Além disso, a auditoria interna não deve assumir responsabilidade pela gestão de riscos, pois isso seria uma clara violação da separação entre monitoramento e execução, que é essencial para a eficácia.
Para ser mais específico, abaixo alguns dos papéis centrais da auditoria interna em relação à gestão de riscos.
- Dar garantias sobre os processos de gestão de riscos;
- Dar garantias de que os riscos estão sendo corretamente avaliados;
- Avaliar a eficácia da gestão de riscos;
- Avaliar a oportunidade de risco;
- Reportar sobre riscos e controles;
- Coordenar atividades com outros fornecedores de garantias internas e externas.
Existem outros papéis legítimos da auditoria interna, mas que deve ter bastante cuidado ao ajudar sem perder sua independência, como:
- Coordenar e/ou consolidar o relato de riscos para o conselho e a alta gestão;
- Definir o tom e a cultura de risco na organização;
- Fornecer conselhos sobre a resposta ao risco;
- Desenvolver uma estratégia para gestão de riscos;
- Assessoria para a alta gestão e o conselho em relação aos riscos.
Mas existem alguns papéis que a auditoria interna não deve assumir, como:
- Implementar as respostas de gestão ao risco;
- Assumir a responsabilidade pela gestão de riscos;
- Tomar decisões em nome da gestão;
- Fornecer garantias sobre riscos para os quais a gestão precisa de conforto.
Cada um desses papéis desempenha uma função importante na governança de riscos e na contribuição da auditoria interna para a gestão eficaz de riscos.
A auditoria interna tem uma posição única para avaliar e melhorar os riscos e os controles, enquanto deve manter sua independência e não envolver-se em atividades operacionais ou decisórias que possam comprometer sua objetividade.