Estava lendo um paper do IIA-The Institute of Internal Auditors sobre o tema da avaliação de risco na auditoria interna, que me chamou atenção, e queria compartilhar aqui alguns pontos, começando quando fala que também na auditoria a avaliação de riscos é um elemento importante.
Vamos então começar com a definição contidas no documento das Normas Internacionais para a Prática Profissional de Auditoria Interna do que diz:
- Auditoria Interna: A auditoria interna é uma atividade independente e objetiva de garantia e consultoria, projetada para adicionar valor e melhorar as operações de uma organização. Ela auxilia a empresa a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gestão de riscos, controle e governança.
- Risco: Risco é a possibilidade de ocorrência de um evento que terá impacto na realização dos objetivos. O risco é medido em termos de consequência (impacto) e probabilidade. Esta é a definição estabelecida pelas 'Normas Internacionais para a Prática Profissional de Auditoria Interna' (Normas de Auditoria Interna).
- Avaliação de Risco: Avaliação de risco é um processo sistemático de avaliar os riscos potenciais que podem estar envolvidos em uma atividade.
As Normas Internacionais para a Prática Profissional de Auditoria Interna, emitidas pelo IIA Brasil, exigem que a auditoria interna "avalie a eficácia e contribua para a melhoria dos processos de gestão de riscos" detalhado na Norma de Auditoria Interna 2120 'Gestão de Riscos'. Isso implica a necessidade de avaliar rotineiramente a estrutura de gestão de riscos da empresa.
A auditoria interna, como atividade empresarial, possui riscos associados às suas operações. O responsável pela auditoria deve identificar e gerenciar esses riscos para alcançar seus objetivos.
Abaixo alguns dos tipos de Avaliação de Risco na Auditoria Interna:
1) Avaliação de Risco da Função de Auditoria Interna:
Esta avaliação foca em identificar riscos que podem afetar a capacidade da função de auditoria interna de alcançar seus objetivos estratégicos. Os componentes avaliados incluem:
- Estratégia: Avalia se a estratégia de auditoria interna está alinhada com os objetivos organizacionais e se é flexível o suficiente para se adaptar a mudanças no ambiente de negócios.
- Governança: Examina a estrutura de governança dentro da auditoria interna, incluindo a independência, a responsabilidade e a comunicação com órgãos de governança, como o conselho de administração e o comitê de auditoria.
- Pessoas e Recursos: Analisa a adequação, competência e alocação de recursos humanos e financeiros. Também inclui a avaliação da formação e desenvolvimento contínuo da equipe.
- Entrega de Serviços: Verifica a eficácia e eficiência dos serviços prestados pela auditoria interna, considerando a qualidade, a cobertura e o impacto das auditorias realizadas.
- Habilitação Tecnológica: Avalia a adequação das ferramentas e tecnologias utilizadas, assim como a capacidade da auditoria interna em adaptar-se a novas tecnologias.
- Relatório de Resultados: Considera a eficácia dos relatórios emitidos pela auditoria interna, incluindo sua clareza, precisão e impacto nas partes interessadas.
2) Avaliação de Risco do Ambiente Organizacional:
Esta avaliação visa identificar riscos dentro do ambiente operacional da empresa que podem impactar o planejamento e a execução do trabalho de auditoria interna. Elementos chave incluem:
- Risco Estratégico: Identifica riscos associados aos objetivos de longo prazo e à direção estratégica da empresa.
- Risco Operacional: Avalia riscos relacionados às operações diárias da empresa, incluindo processos, sistemas e pessoas.
- Risco de Projeto: Considera riscos associados a projetos específicos, sejam eles internos ou externos.
3) Avaliação de Risco para Engajamentos Individuais de Auditoria Interna e Serviços:
Cada engajamento de auditoria ou serviço oferecido deve ser precedido por uma avaliação de risco detalhada, que inclui:
- Riscos do Tópico da Auditoria: Identificação dos riscos específicos associados ao tema ou área a ser auditada.
- Análise de Riscos Existentes: Levar em consideração as avaliações de risco já realizadas pela área de negócio ou processo auditado.
4) Avaliação de Risco para a Conclusão Bem-sucedida de Engajamentos de Auditoria Interna e Serviços:
Esta avaliação foca nos riscos que podem impactar a execução e conclusão bem-sucedida de um engajamento de auditoria, incluindo:
- Relações com Acionistas: Avaliação das dinâmicas de relacionamento que podem afetar a auditoria.
- Restrições Orçamentárias: Considerações sobre limitações financeiras que podem impactar o escopo ou a profundidade da auditoria.
- Recursos Técnicos Especializados: Necessidade de especialistas ou ferramentas específicas para a execução da auditoria.
- Obstáculos à Conclusão Oportuna: Identificação de fatores que podem atrasar a conclusão da auditoria, incluindo questões operacionais ou de governança.
- Gestão de Respostas de Auditoria: Estratégias para garantir que as respostas da gestão sejam obtidas de maneira oportuna para não atrasar a emissão do relatório de auditoria.
Como podemos ver acima a avaliação de risco é um componente importante para gerenciar recursos de auditoria interna e assim obter o melhor benefício para a empresa. Existem diferentes aplicações de avaliação de risco na auditoria interna, e é importante que o head de auditoria assegure que sua função de auditoria interna possua as habilidades e a expertise necessárias relacionadas ao risco.
Para quem desejar saber mais e se aprofundar, recomendo a leitura deste documento do IIA: