Artigo
05/05/2024
Atualizado em 16/04/2026

Governança dos Riscos: Relação entre as Áreas de Auditoria com a de Gestão de Riscos

A auditoria interna atua como terceira linha de defesa na governança de riscos, avaliando processos, controles e a eficácia da gestão de riscos, mantendo independência e colaborando com a gestão.

Imagem de capa do artigo

Queria comentar hoje do que chamo da governança dos riscos, e neste tema a relação entre a auditoria interna e a área de gestão de riscos corporativos é fundamental para termos uma governança corporativa eficaz e uma supervisão de riscos adequada.

Ainda que nem sempre bem entendida, e até mesmo por incrível que pareça valorizada, as funções de auditoria interna desempenham sim um papel relevante como terceira linha de defesa na avaliação e melhoria da eficácia dos processos de gestão de riscos de uma empresa, pois ao fazer seu trabalho de realizar avaliações independentes e abrangentes de riscos, os auditores internos podem identificar potenciais vulnerabilidades, avaliar a adequação dos controles existentes e fornecer ajuda na gestão de riscos.

A terceira linha de defesa, representada pela auditoria interna, funciona como um prestador de garantia independente, verificando a eficácia tanto da primeira como da segunda linha de defesa, e neste caso aqui a auditoria interna deve avaliar também com prioridade e foco a estrutura geral de gestão de riscos, incluindo a concepção e implementação de processos.

Os auditores internos, ao avaliar a oportunidade de risco, examinam a probabilidade e o impacto dos riscos futuros, o que auxilia na priorização de ações e na alocação de recursos.

No processo de gestão de riscos, a auditoria interna fornece garantias de que os riscos estão sendo corretamente avaliados, ao avaliar os critérios usados pela gestão para classificar e avaliar riscos, e também uma verificação independente das informações sobre riscos.

Além disso, a auditoria interna fornece garantias sobre os processos de gestão de riscos, certificando-se de que os processos são adequados, estão sendo seguidos e estão alinhados com os objetivos estratégicos da empresa, e se a gestão de riscos é realmente integrada à cultura da empresa e se os controles internos são robustos e efetivos.

A coordenação com a gestão de riscos é outro papel chave da auditoria interna, o que significa trabalhar em conjunto com a função de gestão de riscos para garantir que os riscos sejam gerenciados de forma proativa e que as melhores práticas sejam compartilhadas. Gosto bastante que há esta sinergia e trabalham juntos com um objetivo comum.

Isso significa que, embora a auditoria interna possa fornecer recomendações, a responsabilidade final pela decisão recai sobre a gestão.

A auditoria interna sempre pode também atuar como um consultor para a gestão de riscos, fornecendo aconselhamento especializado e recomendações sobre como abordar riscos específicos, sempre garantindo que a independência da função de auditoria não seja comprometida.

No entanto, há funções que a auditoria interna não deve assumir para manter a sua objetividade e independência, como por exemplo a auditoria interna não deve se envolver na implementação de respostas de gestão a riscos, pois isso poderia comprometer a capacidade de fornecer uma avaliação objetiva da eficácia dessas respostas.

Além disso, a auditoria interna não deve assumir responsabilidade pela gestão de riscos, pois isso seria uma clara violação da separação entre monitoramento e execução, que é essencial para a eficácia.

Para ser mais específico, abaixo alguns dos papéis centrais da auditoria interna em relação à gestão de riscos.

  • Dar garantias sobre os processos de gestão de riscos;
  • Dar garantias de que os riscos estão sendo corretamente avaliados;
  • Avaliar a eficácia da gestão de riscos;
  • Avaliar a oportunidade de risco;
  • Reportar sobre riscos e controles;
  • Coordenar atividades com outros fornecedores de garantias internas e externas.

Existem outros papéis legítimos da auditoria interna, mas que deve ter bastante cuidado ao ajudar sem perder sua independência, como:

  • Coordenar e/ou consolidar o relato de riscos para o conselho e a alta gestão;
  • Definir o tom e a cultura de risco na organização;
  • Fornecer conselhos sobre a resposta ao risco;
  • Desenvolver uma estratégia para gestão de riscos;
  • Assessoria para a alta gestão e o conselho em relação aos riscos.

Mas existem alguns papéis que a auditoria interna não deve assumir, como:

  • Implementar as respostas de gestão ao risco;
  • Assumir a responsabilidade pela gestão de riscos;
  • Tomar decisões em nome da gestão;
  • Fornecer garantias sobre riscos para os quais a gestão precisa de conforto.

Cada um desses papéis desempenha uma função importante na governança de riscos e na contribuição da auditoria interna para a gestão eficaz de riscos.

A auditoria interna tem uma posição única para avaliar e melhorar os riscos e os controles, enquanto deve manter sua independência e não envolver-se em atividades operacionais ou decisórias que possam comprometer sua objetividade.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante