Maro de 2010

UM NOVO PARADIGMA PARA AS AUDITORIAS INTERNAS

Por que sua organizao deve implementar a

ABR - Auditoria Baseada em Riscos
por Francesco De Cicco1

O foco do trabalho dos auditores internos (de todas as reas: Finanas, Qualidade,
Responsabilidade Social, Compliance, Segurana, etc.) tem mudado bastante nas duas
ltimas dcadas. Houve uma transio da auditoria baseada em sistemas para a
auditoria baseada em processos, e atualmente, sobretudo por razes de custo e
eficcia, a nfase est na Auditoria Baseada em Riscos (ABR).
Auditoria Baseada em Riscos um termo bastante utilizado no mundo todo, mas ainda
muito mal compreendido. Este paper visa a apresentar a abordagem do QSP para a ABR,
bem como a fornecer algumas diretrizes essenciais sobre como abord-la e coloc-la em
prtica.
Este trabalho est fundamentado no Manual AUDITORIA BASEADA EM RISCOS - Como
implementar a ABR nas organizaes: uma abordagem inovadora, lanado em 2007 pelo
QSP.

Contexto
A atual definio de Auditoria Interna recomendada pelo IIA The Institute of Internal
Auditors (maior associao de Auditores Internos do mundo, com mais de 170.000
filiados), e adotada pelo QSP, a seguinte:
"Auditoria interna uma atividade independente e objetiva de garantia e
aconselhamento, concebida para agregar valor e melhorar as operaes de uma
organizao. Auxilia uma organizao a atingir seus objetivos aplicando uma
abordagem sistemtica e disciplinada para avaliar e melhorar a eficcia dos
processos de gesto de riscos, controles e governana.

Diretor executivo do QSP - Centro da Qualidade, Segurana e Produtividade.

E-mail: qsp@qsp.org.br. Telefone: (11) 3704-3200.
Blogs: Gesto de Riscos e a Nova ISO 31000 e ISO 26000 - Responsabilidade Social.

ABR Auditoria Baseada em Riscos

2010, QSP

Os auditores internos devem implementar uma abordagem baseada em riscos compatvel

com a abordagem adotada por suas organizaes. H muitos enfoques que poderiam ser
utilizados, dependendo de quanto a auditoria interna capaz de se apoiar nos processos
de Gesto de Riscos2 de uma organizao. Isso possibilita ao auditor evitar a duplicao
dos processos j realizados pela organizao e questionar os processos e as concluses
da direo (ou da gerncia) sobre os riscos da companhia (repetindo: isso vale tambm
para objetivos e reas especficos da organizao como Qualidade, Responsabilidade
Social, Compliance, etc.).
Pode ser que os auditores internos digam que sempre concentraram seus esforos nas
reas e temas de maiores riscos para a organizao. Contudo, a experincia mostra que
essa abordagem tem sido direcionada pela Avaliao de Riscos efetuada pela prpria
equipe de auditoria interna da companhia. A principal diferena que o foco da ABR
entender e analisar a Avaliao de Riscos efetuada pela direo/gerncia e basear os
esforos de auditoria em torno dessa avaliao.

Os objetivos da ABR - Auditoria Baseada em Riscos

O principal objetivo da ABR fornecer garantia independente para o conselho de
administrao (e para a alta direo, gerncia, etc.) da organizao de que:

Os processos de Gesto de Riscos colocados em prtica na organizao

(abrangendo todos os nveis da companhia) esto operando conforme o
planejado;

Tais processos de Gesto de Riscos tm uma slida estrutura (framework);

As respostas que a direo tem dado aos riscos so adequadas e eficazes na

reduo desses riscos a um nvel aceitvel para o conselho;

Existe uma estrutura slida de controles para mitigar suficientemente os riscos

que a direo deseja tratar.

A ABR comea com os objetivos do negcio e se concentra nos riscos que foram
identificados pela direo/gerncia e que podem comprometer a consecuo desses
objetivos.

O termo Risco, na nova norma internacional ISO 31000:2009, definido como Efeito da incerteza nos
objetivos. Portanto, os objetivos abrangidos pela Gesto de Riscos incluem tanto os objetivos
estratgicos como os objetivos especficos de uma organizao (por exemplo: os objetivos da Qualidade,
da Responsabilidade Social, de Compliance, etc..). Enfim, a Gesto de Riscos do sculo XXI engloba
qualquer tema que afeta/impacta (negativa ou positivamente) os seres humanos, a sociedade, o meio
ambiente, as organizaes...

ABR Auditoria Baseada em Riscos

2010, QSP

O papel da auditoria interna avaliar at que ponto uma abordagem robusta de Gesto
de Riscos , conforme planejado, adotada e aplicada em toda a organizao pela
direo, gerncia, etc., para reduzir riscos a um nvel aceitvel (o chamado Apetite por
Riscos da companhia).
Embora a principal contribuio da auditoria interna seja dar garantias sobre os
controles e tratamentos de riscos existentes na organizao, ela tambm pode
aconselhar sobre outros aspectos de resposta aos riscos como, por exemplo, as decises
de tratar, terminar, transferir ou tolerar os riscos (os chamados 4T).
A abordagem do QSP para a Auditoria Baseada em Riscos est descrita de forma
esquemtica na pgina a seguir.

ABR Auditoria Baseada em Riscos

2010, QSP

Abordagem do QSP para a ABR Auditoria Baseada em Riscos

Objetivos Corporativos (ou especficos)

Identificao de riscos para

a consecuo dos objetivos

Qual o Apetite por Riscos da organizao?

Os processos de Gesto de Riscos so
adequados e eficazes na identificao,
anlise, avaliao, tratamento e relato dos riscos?
No

Sim

Utilize a viso da
prpria organizao em
relao aos riscos,
tanto quanto possvel

Facilite a
identificao
de riscos junto
direo/gerncia

Facilite a
melhoria

Determine o Universo de Riscos

Determine o escopo e a prioridade das tarefas de Auditoria

Com base nos riscos, selecione as reas a serem auditadas

Para cada rea, analise a adequao dos processos de

Gesto de Riscos para identificar e manejar riscos
Se estiver quase tudo OK

Avalie os processos e determine como a

direo/gerncia obtm garantias de que
as atividades de Gesto de Riscos esto
sendo realizadas conforme o planejado

Se no estiver OK

Facilite a identificao de riscos e a

avaliao de:
riscos inerentes
. controles
riscos residuais

D garantia onde estiver OK, ou facilite a melhoria onde no estiver

ABR Auditoria Baseada em Riscos

2010, QSP

A prtica da ABR - Auditoria Baseada em Riscos

Pontos importantes:

O escopo da ABR inclui riscos estratgicos, riscos do negcio e riscos

operacionais.

O ponto de partida determinar se a organizao estabeleceu objetivos

apropriados, e ento determinar se a companhia tem ou no um processo
adequado para identificar, avaliar e manejar os riscos que causam impacto nesses
objetivos.

Em um ambiente maduro de Gesto de Riscos, o foco do trabalho de auditoria

pode ser:
o Auditar a infraestrutura de Gesto de Riscos como, por exemplo, recursos,
documentao, mtodos e relatrios;
o Auditar o sistema de controles de toda a organizao e de cada rea,
diviso, departamento ou processo;
o Realizar auditorias individuais que visem predominantemente ao
gerenciamento de riscos especficos. Caso vrios riscos sejam controlados
atravs de um sistema ou processo comum, talvez seja apropriado realizar
uma auditoria combinada desse sistema ou processo.

Em ambientes menos maduros de Gesto de Riscos, caso as tarefas das auditorias

individuais focalizem predominantemente todo um sistema, processo ou unidade
de negcio, a auditoria interna deve analisar criticamente os objetivos do negcio
e os processos de Gesto de Riscos, dentro de cada uma dessas partes auditveis.

Quando os processos de Gesto de Riscos estiverem adequados e enraizados, a

auditoria interna, sempre que possvel, ir se apoiar na prpria viso da
organizao com relao aos riscos, a fim de determinar o trabalho de auditoria
que ela necessita conduzir.

Quando ela no puder se basear nos processos de Gesto de Riscos, a auditoria

interna deve realizar sua prpria Avaliao de Riscos (em conjunto com a direo,
gerncia, etc.), para determinar o nvel preciso do trabalho necessrio, e ento
focalizar a maneira como a direo/gerncia se assegura de que as atividades de
Gesto de Riscos esto sendo praticadas conforme o planejado.

O resultado final de cada tarefa de auditoria individual deve ser o de assegurar

que os riscos esto sendo gerenciados dentro de um nvel aceitvel (conforme
definido no Apetite por Riscos da organizao), ou facilitar e/ou definir melhorias
conforme necessrio.

ABR Auditoria Baseada em Riscos

2010, QSP

Processo contnuo de gerenciamento de riscos

bvio, mas importante enfatizar, que nem todas as organizaes esto no mesmo
estgio de implementao da Gesto de Riscos. O quadro a seguir estabelece os graus
de Maturidade de Riscos3 e a abordagem da auditoria interna que pode ser adotada em
cada estgio.

Grau de
Maturidade de Riscos
Ingnuo

Consciente

Definido

Gerenciado

Habilitado

Caractersticas
Principais

Abordagem da
Auditoria Interna

Nenhuma abordagem formal Promove a Gesto de Riscos

desenvolvida para a Gesto e se baseia na Avaliao de
de Riscos.
Riscos da prpria auditoria.
Promove a abordagem
corporativa de Gesto de
Abordagem para a Gesto
Riscos e se baseia na
de Riscos dispersa em
Avaliao de Riscos
silos.
realizada pela prpria
auditoria.
Facilita a Gesto de Riscos/
Estratgia e polticas
Relaciona-se com a Gesto
implementadas e
de Riscos, e usa a Avaliao
comunicadas, Apetite por
de Riscos pela direo/
Riscos definido.
gerncia quando apropriado.
Audita os processos de
Abordagem corporativa para Gesto de Riscos e utiliza a
a Gesto de Riscos,
Avaliao de Riscos pela
desenvolvida e comunicada. direo/gerncia conforme
apropriado.
Audita os processos de
Gesto de Riscos e controles Gesto de Riscos e utiliza a
internos totalmente
Avaliao de Riscos pela
incorporados s operaes. direo/gerncia conforme
apropriado.

Cada organizao deve determinar como pretende implementar/melhorar a Gesto de

Riscos (preferencialmente adotando como modelo de referncia a nova norma
internacional ISO 31000:2009). Isso ajudar a determinar seu Apetite por Riscos e o
nvel de Maturidade de Riscos da companhia. Por exemplo, nem todas as organizaes
desejaro atingir completamente o grau de maturidade Habilitado, pois talvez tenham
que pesar os custos em relao viso que tm dos benefcios potenciais. Cabe alta

Termo simplificado que utilizamos no QSP quando nos referimos Maturidade da Gesto de Riscos de uma
organizao.

ABR Auditoria Baseada em Riscos

2010, QSP

direo e equipe de gerentes determinar at que ponto desse processo contnuo

desejaro chegar.
Alm da Maturidade de Riscos da organizao, a extenso da Avaliao de Riscos que a
prpria auditoria interna deve realizar tambm depende do grau e da velocidade das
mudanas estratgicas e organizacionais.

Concluso
A Auditoria Baseada em Riscos no impede o uso de auditorias baseadas em sistemas
e/ou processos, conforme as circunstncias exijam. , porm, uma abordagem que
focaliza as questes que realmente interessam organizao (em qualquer rea:
Finanas, Qualidade, Responsabilidade Social, Compliance, etc.).
A ABR fornece garantias em relao estrutura para gerenciar riscos de uma
organizao. A Auditoria Baseada em Riscos possibilita que a auditoria interna se ligue
diretamente a essa estrutura, alavancando dessa forma as sinergias.
_______________________________________________________________

Leia tambm
Curso: Capacitao em Gesto de Riscos e Auditoria Baseada em Riscos
Software: Enterprise Risk Register - ISO 31000

Manual: Gesto de Riscos - Diretrizes para a Implementao da ISO 31000:2009

_______________________________________________________________

Principais termos e definies da ABR4

Anlise de Riscos: uso sistemtico das informaes disponveis para determinar a
probabilidade de que ocorram eventos especificados e a magnitude de suas
conseqncias, isto , seu impacto.
Apetite por Riscos: nvel de risco considerado aceitvel pelo conselho ou direo, que
pode ser estabelecido em relao organizao como um todo, para grupos diferentes
de riscos ou em termos de riscos individuais.

Este glossrio foi produzido originalmente em 2007 e aplica-se abordagem do QSP para a ABR - Auditoria Baseada
em Riscos. Ele coerente e est alinhado nova terminologia internacional de Gesto de Riscos, igualmente adotada
pelo QSP. Para uma melhor compreenso de conceitos, recomendamos consultar tambm o ISO Guia 73:2009.

ABR Auditoria Baseada em Riscos

2010, QSP

Arcabouo (ou Estrutura ou Framework) de Gesto de Riscos: totalidade de

estruturas, metodologia, procedimentos e definies que uma organizao decidiu
utilizar para implementar seus processos de gesto de riscos.
Auditoria Baseada em Riscos: metodologia que fornece garantia de que o arcabouo de
Gesto de Riscos est operando conforme requerido pelo conselho.
Avaliao de Riscos: processo utilizado para determinar as prioridades da Gesto de
Riscos atravs da comparao do nvel de risco com padres, nveis-alvo de risco ou
outros critrios pr-determinados.
Cadastro de Riscos: lista completa, identificada pela direo, dos riscos que ameaam
os objetivos da organizao.
Conselho: grupo diretivo de uma organizao, como o conselho de administrao,
conselho de diretores, chefe de uma agncia ou rgo legislativo, conselho de
governantes ou curadores de uma organizao sem fins lucrativos.
Controle: qualquer ao tomada pela direo, pelo conselho e por outras partes para
gerenciar os riscos e aumentar a probabilidade de que os objetivos e metas
estabelecidos sejam atingidos. A direo planeja, organiza e dirige o desempenho das
aes necessrias para manter os riscos em um nvel aceitvel, ou para aumentar a
probabilidade do resultado desejado.
Corporao: qualquer organizao estabelecida para atingir um conjunto de objetivos.
Diretor: membro de um conselho de comando, como o diretor da organizao, curador,
conselheiro ou governante.
Facilitao: trabalho com um grupo (ou indivduo) para tornar mais fcil para o grupo
(ou indivduo) atingir os objetivos que o grupo tenha estabelecido para a reunio ou
atividade. Isso envolve ouvir, observar, questionar e apoiar o grupo e seus membros.
No envolve realizar o trabalho nem tomar decises.
Garantia: apresentao de uma opinio ou concluso em relao credibilidade das
informaes divulgadas e ao processo que fornece tais informaes, ou em relao
confiabilidade dos processos de acordo com sua conformidade com certos critrios. O
receptor da opinio pode ficar seguro ou no, dependendo de outras influncias por ele
sofridas.
Gesto Corporativa de Riscos (Gesto Total de Riscos): processo estruturado,
consistente e contnuo em toda a organizao, para identificar, avaliar, estabelecer
respostas e relatar oportunidades e ameaas que afetam a consecuo de seus
objetivos.
Identificao de Riscos: processo para determinar quais eventos podem ocorrer e afetar
os objetivos da organizao, e quais so suas causas-razes.
Manejo de Riscos: implementao das respostas a riscos, que reduzem suas ameaas
para abaixo do nvel do apetite por riscos. Quando isso no for possvel, deve-se relatar
o risco ao conselho.
Maturidade de Riscos: grau de adoo e aplicao, por parte da direo, de uma
abordagem de Gesto de Riscos robusta, conforme planejada, em toda a organizao, a

ABR Auditoria Baseada em Riscos

2010, QSP

fim de identificar, avaliar, decidir sobre respostas e relatar oportunidades e ameaas

que afetam a consecuo dos objetivos da organizao.
Monitoramento: processos que relatam direo, em intervalos apropriados, o sucesso,
ou no, das respostas a riscos.
Plano de Auditorias Peridicas: lista de auditorias a serem conduzidas em um perodo
de tempo especificado.
Pontuao de Controle: diferena entre a pontuao do risco inerente e a pontuao
do risco residual em um sistema quantitativo. Quanto maior for o valor, maior ser a
importncia da gama de respostas que criaro a diferena. Tambm conhecida como
pontuao de resposta.
Processo de Avaliao de Riscos: processo completo de identificao, anlise e
avaliao de riscos.
Processos de Gesto de Riscos: processos para identificar, analisar, avaliar, manejar e
controlar eventos ou situaes potenciais, a fim de fornecer garantia adequada em
relao consecuo dos objetivos da organizao.
Respostas a Riscos: meios atravs dos quais uma organizao decide gerenciar cada
risco. As principais categorias so: eliminar a atividade geradora do risco; tolerar o
risco; transferi-lo para outra organizao; ou trat-lo, reduzindo seu impacto ou
probabilidade. Controles internos so uma forma de tratar um risco.
Risco: possibilidade de ocorrncia de um evento que ter um impacto na consecuo
dos objetivos. O risco mensurado em termos de conseqncia e probabilidade
Risco Inerente (ou Bruto): situao de um risco (mensurado em termos de impacto e
probabilidade) sem levar em considerao qualquer resposta ao risco que a organizao
possa j ter adotado.
Risco Residual (ou Lquido): situao de um risco (mensurado em termos de impacto e
probabilidade) aps levar em considerao qualquer resposta de Gesto de Riscos que a
organizao possa j ter adotado.
Servios de Consultoria: atividades de aconselhamento e outras relacionadas a servios
a clientes, cuja natureza e escopo so acordados com o cliente e cuja finalidade
agregar valor e melhorar os processos da organizao de governana, Gesto de Riscos e
os de controle, sem que o auditor interno assuma responsabilidades gerenciais. So
exemplos: pareceres, conselhos, facilitao e treinamento.
Servios de Garantia: exame objetivo de evidncias com o propsito de fornecer
organizao uma avaliao independente dos processos de gesto de riscos, processos
de controle ou processos de governana. So exemplos: exames financeiros, de
desempenho, de conformidade legal, de segurana e due diligence.
Universo de Auditorias: lista de auditorias que mostra os processos por elas cobertos e
a importncia ou prioridade desses processos.
Veja a seguir...

ABR Auditoria Baseada em Riscos

2010, QSP

Mais sobre a abordagem do QSP para a ABR

Auditoria Baseada em Riscos ABR

A ABR tambm d garantia de
que os processos de gesto de
riscos da direo para identificar,
avaliar, monitorar e relatar os
riscos esto operando de maneira
eficaz.

Risco
Inerente

Impacto

Resposta

A ABR d garantia
de que a resposta
est operando de
maneira eficaz.

Risco
Residual

Apetite por riscos

Probabilidade

INTEGRAO da Gesto de Riscos aos

atuais Sistemas de Gesto da organizao
Estruturar e garantir

Sistema de Gesto

Processo de Gesto
de Riscos

Garantir

ISO 31000:2009

Complementar e otimizar

Auditoria Baseada
em Riscos
ABR

ABR Auditoria Baseada em Riscos

2010, QSP