Artigo
28/05/2023
Atualizado em 10/04/2026

Guia Prático para a Auditoria Eficaz de Gestão de Riscos

Este guia detalha cinco etapas essenciais para auditar a gestão de riscos, abordando identificação, avaliação, mitigação, monitoramento e cultura de riscos para garantir processos eficazes.

Imagem de capa do artigo

As empresas precisam identificar, avaliar e gerenciar uma ampla gama de riscos, desde questões financeiras e operacionais até desafios de conformidade e reputação. Com esta importância estratégica da gestão de riscos, tornou-se igualmente crucial auditar esses processos para garantir que eles sejam eficazes e estejam alinhados com os objetivos gerais de negócios.

Neste post queria abordar mais sobre a auditoria da gestão de riscos, explorando cinco etapas que os auditores devem seguir para avaliar a abordagem de uma organização ao gerenciamento de riscos, detalhando abaixo cada etapa, incluindo exemplos, os principais desafios associados e os erros comuns cometidos.

O objetivo deste post é fornecer uma visão clara e detalhada de como a auditoria em gestão de riscos pode ser conduzida de forma eficaz e quais fatores devem ser considerados para garantir um processo de auditoria bem-sucedido.

A auditoria de gestão de riscos é fundamental para garantir que uma organização esteja ciente e esteja gerenciando adequadamente os riscos que podem afetar sua capacidade de atingir seus objetivos.

Podemos dizer que este tipo de auditoria agrega valor de diversas maneiras:

1) Identificação de riscos:

Um auditor de gestão de riscos pode identificar novos riscos que a organização pode não ter considerado ou pode avaliar de forma mais precisa os riscos já conhecidos. Por exemplo, uma auditoria pode revelar que uma empresa não considerou o risco de interrupção da cadeia de suprimentos devido a uma crise global.

2) Avaliação de estratégias de mitigação:

Ao avaliar as estratégias de mitigação de riscos, um auditor pode sugerir formas mais eficazes de gerenciar riscos. Isso pode incluir a implementação de novos controles ou procedimentos ou a revisão dos existentes para garantir que sejam adequados.

3) Melhoria da cultura de risco:

Através da avaliação da cultura e conscientização de riscos, um auditor pode identificar áreas onde a educação ou a comunicação de riscos pode ser melhorada, o que pode levar a uma gestão de riscos mais eficaz em toda a organização.

Os auditores enfrentam vários desafios na auditoria de gestão de riscos. Estes podem incluir a compreensão completa de todos os riscos aos quais a organização está exposta, a avaliação da eficácia das estratégias de mitigação de riscos e a avaliação da cultura de risco dentro da organização.

Abaixo alguns dos erros comuns na auditoria de gestão de riscos podem incluir:

1) Foco excessivo em certos riscos:

Os auditores podem concentrar-se excessivamente em certos riscos, como os financeiros, em detrimento de outros, como os operacionais ou estratégicos. Isso pode levar a uma visão distorcida dos riscos que a organização enfrenta.

2) Confiança excessiva na gestão de riscos existente:

Os auditores podem assumir que os processos de gestão de riscos existentes são suficientes e não identificar áreas onde podem ser melhorados.

3) Falta de entendimento da cultura de risco:

Se um auditor não compreender a cultura de risco de uma organização, pode não ser capaz de identificar eficazmente os riscos ou propor estratégias de mitigação adequadas.

Portanto, uma auditoria de gestão de riscos eficaz e abrangente é essencial para garantir que uma organização esteja adequadamente preparada para enfrentar os riscos que possam surgir.

Queria agora falar abaixo mais detalhes sobre algumas das etapas deste processo que um auditor deveria passar e cobrir no seu trabalho:

1) Avaliação do Processo de Identificação e Avaliação de Riscos:

A avaliação do processo de identificação e avaliação de riscos é uma etapa inicial e crucial na auditoria de gestão de riscos. Esse processo abrange duas partes essenciais: identificação de riscos e avaliação de riscos:

1.A) Identificação de Riscos

A identificação de riscos é a primeira fase, na qual a organização precisa identificar todos os possíveis riscos que podem impactar suas operações, seus objetivos e suas metas estratégicas. Isso envolve a análise de várias áreas, incluindo riscos operacionais, estratégicos, financeiros, de conformidade, reputacionais, entre outros.

Por exemplo, numa empresa de produção, riscos operacionais podem incluir falhas no equipamento ou interrupções na cadeia de suprimentos. Riscos financeiros podem surgir devido a flutuações nos preços das matérias-primas ou mudanças nas taxas de câmbio. Riscos de conformidade podem incluir possíveis violações das leis e regulamentos de segurança no trabalho. Riscos reputacionais podem surgir de práticas inadequadas de sustentabilidade ambiental ou problemas de qualidade do produto.

A principal dificuldade nesta etapa é garantir que a identificação de riscos seja abrangente, incluindo todas as possíveis fontes de risco. Um erro comum cometido aqui é a negligência de algumas áreas ou fontes de risco, o que pode deixar a organização vulnerável.

1.B) Avaliação de Riscos:

Após a identificação de riscos, o próximo passo é avaliá-los com base no seu potencial impacto e probabilidade. Esta avaliação de riscos deve ser sistemática e consistente, o que significa que deve ser baseada em um conjunto predefinido de critérios e deve ser aplicada de maneira uniforme a todos os riscos identificados.

A avaliação de riscos permite que a organização priorize seus riscos, concentrando-se nos que têm maior impacto potencial ou probabilidade. Isso ajuda a alocar de forma eficiente os recursos para gerenciar e mitigar esses riscos.

Um desafio chave nesta etapa é a objetividade na avaliação dos riscos. É comum que as organizações superestimem ou subestimem a gravidade de certos riscos devido a preconceitos ou falta de dados adequados. Além disso, a falta de um processo de avaliação de riscos adequado pode levar a inconsistências na classificação e priorização de riscos.

Em conclusão, a avaliação do processo de identificação e avaliação de riscos é essencial para a auditoria de gestão de riscos. A identificação adequada de riscos e uma avaliação objetiva e sistemática desses riscos são fundamentais para a gestão eficaz de riscos.

2) Avaliação das Estratégias de Mitigação de Riscos:

A avaliação das estratégias de mitigação de riscos é a segunda parte da auditoria de gestão de riscos, onde a empresa demonstra como planeja lidar com os riscos identificados e avaliados. Esta fase consiste em examinar as medidas de controle, políticas e procedimentos em vigor.

2.A) Controles de Risco:

Os controles de risco são medidas implementadas para prevenir ou diminuir o impacto dos riscos identificados. Por exemplo, em uma empresa de serviços financeiros, podem ser implementados controles rigorosos para prevenir fraudes, como autenticação de dois fatores, monitoramento de transações suspeitas e treinamento regular dos funcionários sobre práticas seguras.

O desafio é assegurar que os controles de risco sejam eficazes e aplicados de maneira consistente. Um erro comum aqui é a confiança excessiva na eficácia dos controles de risco, sem testá-los ou revisá-los regularmente.

2.B) Políticas e Procedimentos:

As políticas e procedimentos descrevem as ações que a organização irá seguir para gerenciar riscos. Por exemplo, uma política de gestão de riscos pode estabelecer que todos os novos projetos passem por uma avaliação de risco antes da aprovação.

Os auditores devem avaliar se essas políticas e procedimentos estão devidamente documentados e se são seguidos na prática. O desafio aqui é garantir que as políticas e procedimentos sejam claros, compreensíveis e facilmente acessíveis a todos os funcionários.

2.C) Ligação entre Riscos Identificados e Estratégias de Mitigação:

Finalmente, é crucial haver uma ligação clara entre os riscos identificados e as estratégias de mitigação correspondentes. Cada risco identificado deve ter uma ou mais estratégias de mitigação associadas.

Os auditores devem verificar essa ligação para garantir que nenhum risco seja negligenciado. Um erro comum nesta etapa é a falta de alinhamento entre os riscos identificados e as estratégias de mitigação, o que pode levar a uma gestão ineficaz de riscos.

A avaliação das estratégias de mitigação de riscos é uma parte crucial da auditoria de gestão de riscos. Os auditores devem examinar atentamente os controles, políticas e procedimentos de mitigação de riscos da organização e garantir que eles estejam alinhados com os riscos identificados.

3) Revisão do Monitoramento e Relatório de Riscos:

A revisão do processo de monitoramento e relatório de riscos é uma etapa que inclui o exame do sistema de monitoramento de riscos e a eficácia dos relatórios de riscos produzidos pela organização.

3.A) Monitoramento de Riscos:

O monitoramento de riscos é um processo contínuo que visa identificar, avaliar e gerenciar riscos em tempo real. Isso pode envolver a utilização de sistemas de TI que monitoram automaticamente determinados indicadores, como flutuações financeiras, ou processos manuais que envolvem a revisão regular de operações e práticas para identificar possíveis riscos.

Os auditores devem avaliar a eficácia desses sistemas de monitoramento de riscos. Isso inclui verificar se eles são capazes de detectar riscos emergentes e mudanças no perfil de risco da organização.

Um desafio nesta etapa é garantir que o sistema de monitoramento de riscos seja abrangente e capaz de captar todos os riscos relevantes. Um erro comum aqui é a dependência de sistemas de monitoramento que são muito limitados em seu escopo ou que não são atualizados regularmente para refletir as mudanças nas operações da organização ou no ambiente externo.

3.B) Relatório de Riscos:

O relatório de riscos é um elemento fundamental da gestão de riscos. Ele permite que a gerência e outras partes interessadas entendam o perfil de risco da empresa, incluindo quais riscos são mais proeminentes e como estão sendo gerenciados.

Os auditores devem avaliar a frequência e a qualidade dos relatórios de risco. Isso inclui verificar se os relatórios são produzidos regularmente, se são fáceis de entender e se contêm informações relevantes e atualizadas.

Além disso, os auditores devem verificar se a empresa está usando métricas e indicadores chave de risco apropriados. Essas métricas e indicadores podem variar dependendo da natureza do risco, mas podem incluir coisas como o número de incidentes de segurança, o valor em risco em operações financeiras, ou o número de violações de conformidade.

Os desafios nesta etapa incluem garantir a relevância e a qualidade dos dados nos relatórios. Erros comuns incluem a produção de relatórios que são muito técnicos ou difíceis de entender para as partes interessadas, ou que não incluem informações suficientemente detalhadas ou atualizadas.

Os auditores devem garantir que a empresa tenha um sistema eficaz de monitoramento de riscos e que produza relatórios de risco de alta qualidade.

4) Avaliação da Cultura e Conscientização de Riscos:

A avaliação da cultura e conscientização envolve verificar a forma como a empresa aborda a gestão de riscos e o nível de conscientização dos funcionários sobre os riscos.

4.A) Cultura de Risco:

A cultura de risco de uma empresa refere-se à forma como ela aborda e valoriza a gestão de riscos. Uma cultura de risco saudável promove uma abordagem proativa para identificar, avaliar e mitigar riscos, e vê a gestão de riscos como uma parte integrante de todas as operações, e não como uma tarefa secundária.

Os auditores devem avaliar a cultura de risco da organização, procurando evidências de que a gestão de riscos é levada a sério em todos os níveis da organização. Isso pode incluir a existência de um comitê de gestão de riscos, treinamento regular sobre gestão de riscos para funcionários, e a consideração de riscos na tomada de decisões estratégicas.

O desafio nesta etapa é transformar a cultura de risco em algo tangível que possa ser medido e avaliado. Erros comuns aqui podem incluir uma abordagem superficial à gestão de riscos, onde as políticas e procedimentos existem, mas não são seguidos na prática.

4.B) Conscientização de Riscos:

A conscientização de riscos refere-se ao grau em que os funcionários entendem os riscos que a organização enfrenta e seu papel na gestão desses riscos. Os funcionários que estão cientes dos riscos são mais propensos a tomar decisões e ações que minimizam esses riscos.

Os auditores devem avaliar a conscientização de riscos entre os funcionários. Isso pode incluir a revisão do treinamento sobre gestão de riscos e a avaliação da eficácia da comunicação sobre riscos.

Além disso, os auditores devem avaliar a eficácia dos canais de comunicação para relatar e escalar riscos. Por exemplo, os funcionários devem sentir que podem relatar potenciais riscos sem medo de represálias, e deve haver um processo claro para a escalada de riscos.

Os desafios nesta etapa incluem garantir que todos os funcionários, independentemente do seu papel, entendam a importância da gestão de riscos. Erros comuns incluem a falta de comunicação regular sobre riscos e a falta de envolvimento dos funcionários na gestão de riscos.

Os auditores devem garantir que a organização tem uma cultura de risco saudável e que todos os funcionários estão conscientes e entendem os riscos.

5) Validar a Governança de Risco e Conformidade:

A validação da governança de risco e conformidade trata da revisão da estrutura de governança de riscos da organização e a avaliação da conformidade com as leis, regulamentos e padrões do setor pertinentes.

5.A) Governança de Risco:

A governança de risco diz respeito às estruturas e processos usados pela empresa para gerenciar riscos. Isso inclui o papel de diferentes partes interessadas, como o conselho de administração, a gerência executiva e outros funcionários, e a forma como a gestão de riscos é integrada às práticas de tomada de decisão e planejamento estratégico.

Os auditores devem avaliar a estrutura de governança de riscos da organização para verificar se é adequada e eficaz. Isso pode incluir a verificação da existência de um comitê de risco, a avaliação do envolvimento do conselho de administração na gestão de riscos e a revisão de como a gestão de riscos é considerada na tomada de decisões e no planejamento estratégico.

Um desafio nesta etapa é garantir que a gestão de riscos seja vista como uma parte integral das operações da organização e não como uma função separada ou secundária. Erros comuns incluem a falta de envolvimento de partes interessadas importantes na gestão de riscos e a falta de integração da gestão de riscos na tomada de decisões e planejamento estratégico.

5.B) Conformidade:

Os auditores devem verificar se a organização está em conformidade com todas as leis e regulamentos pertinentes. Isso pode envolver a revisão de documentação de conformidade, a verificação de licenças e certificações e a avaliação de processos e políticas para garantir que eles atendam aos requisitos legais e regulatórios.

Os desafios nesta etapa incluem a manutenção da conformidade em um ambiente regulatório em constante mudança. Erros comuns incluem a falta de entendimento das leis e regulamentos aplicáveis e a falta de processos para verificar a conformidade regularmente.

Os auditores devem garantir que a organização tem uma estrutura eficaz de governança de riscos e está em conformidade com todas as leis e regulamentos relevantes.

Como podem ver pelos pontos colocados acima, a auditoria de gestão de riscos é uma prática essencial para garantir que uma empresa gerencia efetivamente seus riscos. Essa auditoria envolve uma avaliação abrangente da identificação e avaliação de riscos, estratégias de mitigação, monitoramento e relatórios de riscos, cultura e conscientização de riscos e governança de riscos e conformidade. Cada uma dessas etapas apresenta seus próprios desafios e possíveis erros, tornando a expertise e a diligência do auditor extremamente valiosas para garantir que a gestão de riscos seja eficaz.

Importante garantir que seja realizada efetivamente, é necessário um processo de auditoria rigoroso. A identificação de riscos e a implementação de estratégias de mitigação apropriadas, juntamente com a monitoração constante e o reporte de riscos, a promoção de uma cultura de risco positiva, e a adesão estrita às regulamentações, são fundamentais para a gestão de riscos eficaz. Uma auditoria bem realizada de gestão de riscos pode destacar quaisquer deficiências nesses processos e proporcionar a oportunidade de melhorias, tornando a organização mais resistente a potenciais ameaças.

Por fim algumas dicas de livros a respeito do tema:

1) Gestão de Riscos Corporativos: Estrutura Integrada - Nova edição pelo Committee of Sponsoring Organizations of the Treadway Commission (COSO):

Este livro é um excelente ponto de partida para aqueles que são novos na gestão de riscos corporativos. Ele fornece uma estrutura para avaliar e gerenciar riscos em uma variedade de organizações e é endossado por várias entidades profissionais de contabilidade. A estrutura é apresentada de forma clara e compreensível, tornando este livro um recurso ideal para iniciantes.

2) Auditoria: Conceitos e Aplicações por Marcelo Cavalcanti Almeida:

Este livro é uma introdução abrangente à auditoria em geral, incluindo a auditoria de gestão de riscos. Ele aborda desde os princípios básicos da auditoria até os detalhes do processo de auditoria, tornando-o uma boa escolha para aqueles que estão procurando uma compreensão mais aprofundada do assunto.

3) Gestão de Riscos com Controles Internos: Ferramentas, Certificações e Métodos para Garantir a Eficiência dos Negócios por Sandro Serpa:

Este livro fornece uma visão detalhada da relação entre a gestão de riscos e os controles internos. Ele discute uma variedade de ferramentas e métodos para gerenciar riscos e garantir a eficiência dos negócios, tornando-o uma boa opção para profissionais de auditoria e gestão de riscos.

4) Gestão de Riscos: Técnicas e Ferramentas de Auditoria por Antonio Braga e Alexandre Vidal:

Este livro é voltado para profissionais experientes na área de auditoria e gestão de riscos. Ele aborda técnicas avançadas de auditoria e gestão de riscos e discute uma variedade de ferramentas que podem ser usadas para auxiliar no processo de auditoria de gestão de riscos.

Para os que não têm problema com inglês, então a dica é:

5) Auditing Risk Management: Best Practices in Enterprise Risk Management por James Roth:

Este livro é destinado a auditores internos e gestores de risco que procuram as melhores práticas na área. O livro enfatiza como os auditores podem adicionar valor às empresas, auxiliando na melhoria dos processos de gestão de risco. O livro também traz exemplos e sugestões de como auditar o processo de gestão de risco de uma empresa.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante