Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 2 AUDITORIA DE RISCOS Profª Cristiane Aparecida da Silva 2 INTRODUÇÃO O crescente dinamismo dos negócios, decorrente do grau de globalização em que o mundo se encontra, faz com que as entidades precisem constantemente se adequar ao mercado, pois a competitividade das empresas vem aumentando de forma significativa. Faz-se necessário um controle mais efetivo do negócio e novas ferramentas de gestão que acompanhem as constantes mudanças ocorridas no mercado. Uma das ferramentas utilizadas pelas empresas para assegurar a eficiência desse processo é a Auditoria Baseada em Riscos (ABR) (Pinho; Bezerra, 2015). A ABR é um tema jovem, no Brasil, possuindo pouco menos de uma década de vida e é fruto das escolas americanas. O volume de materiais que abordam o tema é parco e as opiniões dos autores são difusas, pois o assunto ainda carece de amadurecimento. Entretanto, sua proposta é inovadora e promete um upgrade para as organizações e para a profissão do auditor (Pommerening; Bencke, 2011). Com isso, nesta aula, estudaremos: a avaliação dos riscos e exigências de execução das auditorias, definição de risco, tipos de riscos de trabalho e modelo e gestão de riscos. Para tanto, podemos analisar os temas a seguir. TEMA 1 – AVALIAÇÃO DOS RISCOS E EXIGÊNCIAS DE EXECUÇÃO DAS AUDITORIAS Para Castro (2009), a Auditoria Baseada em Risco busca direcionar o foco do trabalho, a fim de avaliar as tendências e as condições que a entidade possui para atingir seus resultados. O autor ainda ressalta a importância da mudança de pensamento por parte dos auditores internos das entidades, que precisam mudar sua visão, saindo de um enfoque voltado para o passado para um enfoque voltado para o futuro. Ressaltando a mudança que a implantação da Auditoria Baseada em Riscos representa para a atuação e na finalidade que passam a avaliar as ações ao longo de um processo e identificar o impacto futuro destas. A Auditoria Baseada em Riscos tem por objetivo central identificar os riscos mais significativos dentro de uma entidade. Dessa forma, as áreas a serem auditadas serão priorizadas, testando de forma mais efetiva os controles mais importantes da empresa. Para Castro (2009), essa identificação das áreas a serem priorizadas dá uma nova perspectiva para a Auditoria Interna, pois fornece um olhar para o futuro, diferente da Auditoria Interna Tradicional, que é centrada 3 no passado. Ainda, segundo o autor, a utilização da ABR deixa claro que existe uma ligação positiva entre o objetivo de auditoria, as metas traçadas para a unidade que será auditada e o propósito e missão da instituição. A ABR é o desenvolvimento mais emocionante e significativo da história da profissão de auditoria interna e tem potencial para alavancar a níveis altíssimos a reputação e o valor agregado pela profissão (Grifiths, 2005). Griffith (2005) apresenta um conceito simples para a ABR que significa que a Auditoria baseada em risco se caracteriza por ser um conjunto de processos, abordagens e metodologias que buscam focar o trabalho naquilo que realmente importa para a entidade. Neste sentido, Cicco (2007) define a ABR como uma metodologia que fornece garantia de que o arcabouço de gestão de riscos está operando conforme requerido pelo conselho. Para o IIA (2013), ABR é uma metodologia que associa a auditoria interna ao arcabouço global de gestão de riscos de uma organização. Pode-se considerar a ABR como uma evolução da auditoria tradicional. Enquanto a última tem como foco a avaliação do sistema de controle interno da organização, a primeira concentra seus esforços na avaliação da postura da administração das entidades perante os riscos. A mudança é profunda, uma vez que a auditoria deixa de ser reativa para assumir uma postura preventiva (Pommerening; Bencke, 2011). Quanto aos benefícios de implantação da ABR, a metodologia é considerada mais eficiente porque avalia as áreas de maior risco, em vez de uma análise exclusiva, como a área financeira, por exemplo, o que pode não representar um risco elevado (Griffiths, 2005; Castanheira, 2007). A ABR possibilita que a auditoria interna tenha uma visão integrada da instituição em detrimento de uma visão departamentalizada, contribuindo para o alcance dos objetivos da organização, em vez de apenas atuar no aperfeiçoamento dos controles internos de forma dispersa em cada departamento (Pommerening; Bencke, 2011). 1.1 Exigências de execução das auditorias A Auditoria Baseada em Riscos exige uma série de abordagens específicas, para que, de fato, se torne efetiva dentro da entidade. O ponto de partida é determinar se a organização estabeleceu objetivos apropriados e, então, determinar se a entidade tem um processo adequado para identificar, avaliar e manejar os riscos que causam impacto nos objetivos. Quando os processos de 4 gestão de riscos estiverem adequados e enraizados, a auditoria, sempre que possível, irá se apoiar na própria visão da organização com relação aos riscos, a fim de determinar o trabalho de auditoria que ela necessita conduzir (Pinho; Bezerra, 2015). Quando a auditoria não puder se basear nos processos de gestão de riscos, deve realizar sua própria avaliação de riscos. O resultado de cada tarefa de auditoria individual deve ser o de assegurar que os riscos estão sendo gerenciados em um nível aceitável, definido de acordo com o Apetite por Riscos da Organização, ou facilitar ou definir melhorias conforme necessário (Pinho; Bezerra, 2015). A transição entre a ABR e a AC não custa caro, apenas exige uma mudança de mentalidade tanto dos profissionais de auditoria quanto da administração das empresas. Os primeiros precisam se conscientizar de que podem e devem agregar mais valor para suas empresas e os últimos de que os riscos existem e precisam ser gerenciados formalmente. Outra grande vantagem da ABR é que ela vê a empresa como um sistema integrado. Determinado risco, por exemplo, pode permear por diversas atividades, áreas administrativas, filiais etc. A visão da AC é departamentalizada, ou seja, ela desenvolve seus trabalhos por setores, filiais etc., observando os riscos e as respostas fornecidas a eles de maneira pontual. Nas empresas em que a gestão de riscos não é madura, a auditoria baseada em riscos colabora com a sua implantação, auxiliando na identificação, medição e priorização dos riscos. Onde a gestão de riscos já está consolidada, a ABR certifica a direção da empresa de que o framework (estrutura) disponibilizado por ela para combater os riscos está atuando de forma razoável. O novo foco dos trabalhos da auditoria oferece um upgrade à profissão, que, nos moldes convencionais, em muitas organizações, está perdendo o seu valor. A ABR se desprende dos processos operacionais, nos quais os resultados das auditorias geralmente culminam na implantação de novos controles ou na melhoria dos já existentes, para se concentrar na identificação e avaliação dos riscos do negócio e no que a administração da empresa está fazendo para mitigá- los. 5 1.2 Auditores que trabalham com a utilização da ABR Esses auditores veem a necessidade de adotar algumas mudanças em sua forma de trabalhar para se adequar a esse tipo de projeto. As empresas possuem características próprias, objetivos individuais e é com base nesses objetivos que o auditor deve avaliar os riscos de não se atingir determinada meta. Por isso, o conhecimento de determinada empresa necessita ser abrangente (Pinho; Bezerra, 2015). Jonhstone, Gramling e Rittenberg (2013) afirmam que a principal premissa para que o auditor possa utilizar a Auditoria Baseada em Risco é o nível de conhecimento que necessita ter da entidade. Para os autores, cada tipo de entidade possui suas características próprias e, para que o auditor possa avaliar os riscos de forma efetiva dentro daquela empresa,necessita ter um conhecimento a respeito desta, ou seja, de suas particularidades. Os autores citam o exemplo de um banco. Se o auditor for trabalhar nele, necessitará ter um arcabouço de conhecimento financeiro suficiente para entender os riscos que aquela entidade possa sofrer e, assim, avaliá-los. Saiba mais Você quer saber um pouco mais sobre quais são as principais informações que os auditores precisam ter para implementar a auditoria baseada em riscos (ABR) com sucesso? Veja o seguinte vídeo: <https://www.youtube.com/watch?v=lA1WmK--TEs>. TEMA 2 – DEFINIÇÃO DE RISCO Quais são as principais informações que os auditores precisam ter para implementar a auditoria baseada em riscos (ABR) com sucesso. O conceito básico de risco é a probabilidade de perda ou incerteza associada ao cumprimento de um objetivo. A auditoria baseada em riscos (ABR) melhora o modelo de avaliação do risco, pois uma auditoria centrada sobre o risco agrega mais valor à empresa do que uma auditoria focada apenas em controles internos. Desta forma, em vez de o auditor analisar e testar os controles, ele vai identificar os riscos e fará os testes necessários para verificar as formas que a gestão utiliza para fazer a precaução desses riscos (Cocurullo, 2004). O risco pode ser abordado de diversas maneiras até chegarmos à consistência do conceito de riscos no ponto de vista da auditoria. Após analisar o 6 conceito puro do risco, identificou-se que ele está presente em diversas situações e a possibilidade de sua ocorrência ou presença dependem de fatores externos ou internos de cada empresa. Os fatores externos podem ser, por exemplo, mudanças na legislação; e os internos, as fraudes ou desfalques, os quais devem ser avaliados para identificarmos o nível de exposição ao risco de cada empresa (Cocurullo, 2004). A avaliação dos riscos é responsabilidade da administração, mas a auditoria interna deve proceder também sua própria avaliação dos riscos e confrontar com a dos administradores; essa ação é preventiva e pode evitar situações desagradáveis (Dias, 2011). Para Cocurullo (2004), a avaliação do risco é empregada em cada ação da auditoria para verificar as áreas mais importantes dentro da empresa, permitindo que o auditor crie um programa de auditoria capaz de testar os controles mais importantes de maneira minuciosa. Desde o início do processo de auditoria até a sua conclusão, a ABR considera os riscos do negócio, sendo que o controle interno continua sendo muito importante na investigação desses riscos, mas não é a solução completa, pois com a ABR os auditores internos terão mais facilidade em notar e recomendar os controles apropriados para suprir esses riscos (Cocurullo, 2004). Assim, a ABR amplia a avaliação do risco, aumentando a perspectiva da auditoria, ou seja, ela estabelece uma visão ampla em que o auditor interno consegue visualizar não somente o processo do negócio, mas também o que está no sistema de controle da empresa, permitindo relacioná-los. Etimologicamente, o termo risco provém do italiano risico ou rischio, que, por sua vez, deriva do árabe clássico rizq, que é aquilo que se depara com a providência. O termo faz referência à proximidade ou contingência de um possível dano. A noção de risco costuma ser usada como sinônimo de perigo. O risco, no entanto, prende-se com a vulnerabilidade, ao passo que o perigo está associado à possibilidade de um prejuízo ou de um dano, portanto, é possível distinguir o risco (a possibilidade de dano) e o perigo (a probabilidade de acidente ou patologia). Por outras palavras, o perigo é uma causa do risco. Uma ameaça é outro conceito associado ao risco. Uma ameaça é um dito ou feito que antecipa um dano. Algo pode ser considerado como uma ameaça quando existe pelo menos um incidente específico no qual a ameaça tenha tido lugar. 7 Em termos tradicionais, o risco é definido como “a probabilidade de que algo por nós esperado e desejado não aconteça ou, complementarmente, que algo indesejado aconteça” (Blatt, 1999, p. 53). Segundo o Guide 73 Risk Management - Vocabulary - Guidelines for use in standards, da International Organization for Standardization (NBR ISO, 2009), risco é definido como o efeito da incerteza nos objetivos. Segundo as notas do mesmo guia, efeito é o desvio face à expectativa, podendo este ser positivo ou negativo; incerteza é um estado, ainda que parcial, de deficiente informação relativa a um evento, às suas consequências ou à sua ocorrência; os objetivos podem ser de ordem diversa (financeiros, de saúde e segurança, ambientais) e podem aplicar-se a diferentes níveis (estratégicos, comuns à organização, de um projeto, produto ou processo). Ainda relativamente ao risco, a ISO refere que este é muitas vezes caracterizado por se referir aos potenciais eventos, às suas consequências ou à combinação de ambos. Para a Federation of European Risk Management Associations (Ferma), risco é definido como a combinação da probabilidade de um acontecimento e das suas consequências. A norma ISO 31000 (2009) define risco como sendo o efeito da incerteza sobre os objetivos delineados pela organização. Para o IIA, o risco é a possibilidade da ocorrência de um evento que possa ter impacto sobre o alcance de objetivos. O risco é medido em termos de impacto e probabilidade de ocorrência. Saiba mais Para entender melhor sobre definição de risco, assista ao seguinte vídeo: <https://www.youtube.com/watch?v=4HOlT6EEJHw>. TEMA 3 – TIPOS DE RISCOS DE TRABALHO Para os órgãos de gestão, cujo objetivo é a maximização de resultados, o risco surge da possibilidade de os resultados serem diferentes dos esperados. Para a auditoria, segundo a DRA 400, o risco do revisor/auditor é dar uma opinião de revisão/auditoria “limpa” quando as Demonstrações Financeiras estão materialmente distorcidas. 8 De acordo com essa norma, existem quatro componentes de risco: Risco inerente: é a suscetibilidade de um saldo ou classe de transações conter uma distorção materialmente relevante individual ou agregada com outras, devido à inexistência ou inadequação de controlos internos. Esse tipo de risco não é controlado pelo auditor, pois está dependente de fatores externos a entidade (macroeconômicos, tipo de indústria etc.) e das características das Demonstrações Financeiras da entidade que são providas de julgamento profissional, estimativas etc. Risco de controle: é a probabilidade do Sistema de Controlo Interno (SCI) da entidade não detectar a totalidade de erros existentes nas DF. Risco de detecção: é o risco de os procedimentos substantivos executados pelo ROC não detectarem distorções materialmente relevantes individuais ou agregadas. Risco de negócio: é o risco associado à gestão de exploração da empresa. 3.1. Principais riscos de negócios 3.1.1 Risco financeiro Os riscos financeiros de uma empresa estão relacionados às hipóteses de o resultado de uma operação vinculada às finanças não serem conforme o previsto pelos gestores. Pode-se dizer que quanto maior o risco financeiro, maiores as possibilidades de o resultado ser diferente do esperado. O risco financeiro pode ser avaliado por cinco perspectivas diferentes: Risco de Mercado, Risco Legal, Risco Operacional, Risco de Crédito e Risco de Liquidez. 3.1.2 Risco de mercado Pode ser definido como as possíveis oscilações de preço decorrentes de eventos que atingem minunciosamente todo o mercado. Para Fernandes, Souza e Faria (2010), pode-se considerar risco de mercado os movimentos adversos que ocorrem no cenário empresarial, seja movimentos de preços, taxas de juros, de câmbio, índices, ações e títulos, commodities ou qualquer outro tipo de ativo que possa afetar de alguma forma as atividades da empresa ou seu preço de mercado. 9 3.1.3 Risco legal Essetipo de risco pode ser definido como a possibilidade de perdas decorrentes de multas, penalidades ou indenizações resultantes de ações de órgãos de supervisão e controle, bem como perdas decorrentes de decisão desfavorável em processos judiciais ou administrativos. Para Lança (2014), o risco legal pode ser originário de incertezas em contratos estabelecidos sem um amparo legal ou por falta de representatividade do negociador ou mesmo da inobservância ou ilegalidade de alguma situação restringida por lei. 3.1.4 Risco operacional Considera-se risco operacional de uma empresa fatores relacionados a falhas nos processos internos, seja nos sistemas, pessoas ou equipamentos, bem como eventos de natureza externa, que podem afetar o andamento das atividades normais da organização. De acordo com Lança (2014), o risco operacional pode ocorrer pelas próprias incertezas decorrentes da estrutura empresarial, podendo estar relacionado com falhas humanas, problemas com infraestrutura e, até mesmo, alterações em algumas práticas no ambiente de negócio ou quaisquer outras situações adversas no dia a dia da organização. 3.1.5 Risco de crédito Está presente no cotidiano de qualquer empresa, seja esta da área financeira, de serviços, comercial ou industrial. O risco de crédito trata-se da possibilidade de não receber o valor principal negociado por causa da inadimplência, que não pode ser evitada, mas prevenida ou controlada pela análise de crédito. A facilidade de comprar a prazo seduz o cliente, que deixa de fazer um investimento à vista, ou compra simplesmente sem a intenção de pagar. Cabe ressaltar que futuramente a organização poderá sofrer graves imprevistos, podendo deixar de honrar com seus compromissos financeiros devido à inadimplência de seus clientes, pois eles são elementos fundamentais para o bom desempenho de qualquer empresa. 10 3.1.6 Risco de liquidez Pode-se conceituar risco de liquidez como sendo a possibilidade de perda de capital e a incapacidade de liquidar determinado ativo em tempo razoável sem perda de valor. Esse risco surge da dificuldade de encontrar potenciais compradores ao ativo em um prazo hábil sem a necessidade de conceder um grande desconto. Segundo Pereira (2014), o risco de liquidez está relacionado à disponibilidade imediata de caixa diante da demanda por parte dos depositantes e aplicadores, o que pode ocorrer diante de instabilidade do mercado ou devido a informações ruins sobre uma instituição financeira. Escândalos financeiros nacionais e internacionais trouxeram aos noticiários a discussão pública acerca da contabilidade e a função da auditoria. Figura 1 – Empresa e fraudes cometidas Nos casos demostrados na Figura 1, o auditor não é responsável nem pode ser responsabilizado pela prevenção de fraudes ou erros. Cabe à administração a responsabilidade de prevenir e detectar fraudes ou erros por intermédio da implantação e operação contínua de sistemas contábeis e de controle interno adequados. Apesar de não ser responsável pela prevenção de fraudes ou erros, o auditor deve avaliar o risco de que tais fatos possam fazer com que as demonstrações contábeis contenham distorções relevantes. Se, em sua avaliação, o auditor avaliar 11 que podem haver fraudes ou erros que afetem as demonstrações contábeis, o auditor deve estender seus procedimentos. Se o auditor descobrir a existência de fraudes ou erros, deve relatar tal fato à administração da entidade. TEMA 4 – GESTÃO DE RISCO O processo de gerenciamento de riscos consiste em adotar um conjunto de medidas para avaliar quais os ricos ameaçam os objetivos estratégicos da empresa e, posteriormente, adotar ações para mitigá-los, eliminando, assim, as ameaças a fim de aproveitar as oportunidades. Segundo Coso (2002), tal gerenciamento possibilita aos administradores tratar as incertezas existentes com eficácia, bem como os riscos e as oportunidades a elas associadas, com o intuito de alavancar a capacidade de agregar valor à organização. O gerenciamento de riscos corporativos é um processo conduzido em uma organização pelo conselho de administração, diretoria e demais empregados, aplicado no estabelecimento de estratégias, formuladas para identificar em toda a organização eventos em potencial, capazes de afetá-la e administrar os riscos de modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos (Coso, 2002). Num paradigma econômico particularmente atribulado, as razões para investir num sistema de gestão do risco de negócio integrado parecem ser cada vez mais evidentes. As deficiências na gestão do risco parecem ser o principal fator explicativo da recente crise internacional do crédito e muitos intervenientes – desde os investidores, aos administradores das empresas, passando pelas agências de notação financeira – observam de forma cada vez mais atenta a abordagem de gestão do risco por parte das organizações (Farrel, Hooper et al. 2009). Independentemente do fato de a crise financeira global ser vista como resultado da junção de riscos excessivos (Kashyap, Rajan et al., 2008) ou de esta ser atribuída aos crescentes níveis de risco a que as organizações estão sujeitas (Raber, 2003), os dois autores identificam o risco como o grande responsável pela recente crise e destacam a importância de uma estrutura de gerenciamento das sociedades adequada para administrar o risco. Com vistas a criar valor para os acionistas, as empresas executam a sua atividade econômica em constante 12 interação com o ambiente complexo em que se inserem, estando constantemente expostas à incerteza, isto é, ao risco. Esse ponto pode ser visto quer como uma oportunidade de obter mais valor para a empresa e para os seus acionistas, quer como uma ameaça que poderá levar à perda de valor (Bonić; Đorđević, 2012). Neste contexto, as organizações encontram-se cada vez mais pressionadas no que diz respeito à identificação de todos os riscos que os negócios possam ter de enfrentar (sociais, éticos, ambientais, financeiros, operacionais) e à maneira de os gerir de forma aceitável para reduzir o impacto destes. O conceito de gestão de risco como sendo um conjunto de meios utilizados na identificação, avaliação e relato do risco empresarial surgiu nos Estados Unidos da América e foi referido pela primeira vez num artigo publicado no Harvard Business Review, no ano de 1956. No entanto, só no final do século XX é que a gestão de risco foi considerada como um elemento importante e essencial na gestão empresarial, passando a fazer parte das boas práticas de gestão e apoiando a tomada de decisão (Beja, 2004). Risco significa estar exposto à possibilidade de um resultado negativo. Gerir os riscos significa tomar ações deliberadas para mudar as probabilidades em favor próprio – aumentando as probabilidades de resultados positivos e reduzindo as probabilidades de resultados negativos. (Borge, 2001) Essa definição de Borge (2001) indica que o risco é um componente inerente à atividade de qualquer empresa, pelo que deve ser sempre levado em conta nos processos de tomada de decisão por parte da gestão, que, por seu lado, deve adotar e implementar um conjunto de estratégias apropriadas, para que, em tempo oportuno, possam prevenir, detectar ou evitar que seja omitido um risco importante. Segundo o IIA (2009), gestão de risco “é um processo que identifica, avalia, gere e controla potenciais eventos ou situações por forma a conferir uma segurança razoável à consecução dos objetivos da organização”. A gestão de risco foi evoluindo ao longo do tempo, no sentido de ir dando resposta aos novos desafios e problemas que as organizações enfrentavam. A gestão de risco surgiu como uma atividade que permitia lidar com os riscos pela transferênciadeles, recorrendo a seguros, hedging que é considerada uma estratégia avançada de investimento ou outros instrumentos. Numa fase mais avançada, a gestão de risco evoluiu para uma gestão de risco 13 avançada/integrada: os riscos passaram a ser tratados, prevenindo a sua ocorrência e/ou diminuindo o seu impacto (desenvolvendo-se, por exemplo, programas de segurança no trabalho, áreas de análise de reclamações). Na atual fase, a função da gestão de risco lida com os riscos numa perspectiva mais ampla, profunda e proativa, incluindo riscos estratégicos, operacionais, financeiros, entre outros, numa perspectiva de riscos inter- relacionados. Essa abordagem foca-se na tomada de decisões informadas acerca das incertezas que afetam o futuro da organização (IIA; RIMS, 2012). Deste modo, segundo a IIA e RIMS (2012), a gestão de risco passou de uma gestão de risco defensiva, isto é, de uma análise custo/benefício, para uma gestão de risco ofensiva, baseada na dicotomia risco/recompensa. Exemplos da importância de uma adequada Gestão de Riscos: rompimento das barragens de Mariana e Brumadinho. Figura 2 – Barragem de rejeitos Fonte: Politize!, 2020. O desastre de Mariana, ocorrido no dia 5 de novembro de 2015, até então era o único dessa natureza na história da mineração mundial. A lama de rejeitos da Barragem de Fundão destruiu completamente o subdistrito de Bento Rodrigues, parcialmente Paracatu de Baixo, e o município de Barra Longa, percorrendo toda a extensão do Rio Doce até chegar no mar. Já a catástrofe em Brumadinho aconteceu no dia 25 de janeiro de 2019, pouco mais de 3 anos depois de Mariana. Houve um grande dano ambiental, mas 14 também houve grande perda humana. A lama arrastou a área operacional da mina, a área administrativa, uma pousada popular na região, o Parque da Cachoeira e, por fim, atingiu o rio Paraopeba, afluente do Rio São Francisco. TEMA 5 – MODELOS DE GESTÃO DE RISCO Entre os modelos de gestão de risco que mais se destacam, estão: ERM – Enterprise Risk Management Framework, emitido pelo COSO Norma de Gestão de Riscos da FERMA – Risk Management Standard, emitida em 2013 pela Federation of Europe Risk Management Associations ISO 31000 da International Organization for Standardization, emitida em 2009, chamada de ISSO 3100:2009 Norma de Gestão de Riscos Australiana AS/NZS 4360 (2004) – Risk Management Guidelines 5.1 Enterprise Risk Management Framework – ERM Nos últimos anos, intensificou-se o foco e a preocupação com o gerenciamento de riscos e se tornou cada vez mais clara a necessidade de uma estratégia sólida, capaz de identificar, avaliar e administrar riscos. O Committee of Sponsoring Organizations of the Treadway Commission (COSO), em 1992, publicou o Internal Control – Integrated Framework para ajudar empresas e outras organizações a avaliar e aperfeiçoar seus sistemas de controle interno. Em 2001, iniciou-se novo projeto e, desse estudo, surgiu o Enterprise Risk Management (ERM), traduzido por Gerenciamento de Riscos Corporativos – Estrutura Integrada, conhecido como COSO II. Em 2013, esse documento foi revisto e atualizado, sendo o seu teor considerado complementar ao anterior (Pinho; Bezerra, 2015). 5.2 ISO 31000 De acordo com a NBR ISO 31000 (2009), a Gestão de Riscos pode ser definida como o processo de identificar, mensurar e controlar o impacto de possíveis riscos da entidade. De forma geral, a gestão de risco pode ser considerada como um conjunto de medidas para evitar, ou antecipar, os impactos ou efeitos dos possíveis riscos. 15 Esta se dá por uma série de ações que as empresas vão aplicar para dirigir e realizar o controle do risco. A empresa pode ter inúmeras atitudes em relação ao risco, dependendo da política usual e do grau de controle que a entidade possui, além do conhecimento da atividade da entidade, pois existem riscos específicos em cada segmento (Pinho; Bezerra, 2015). Saiba mais Norma de Gestão de Riscos: <https://www.youtube.com/watch?v=8TNx8icRuRw>. FINALIZANDO Com base no que foi apresentado até aqui, podemos ver que com o avançar dos mercados e do mundo atual a auditoria tem cada vez mais um papel importante na oferta de serviços de consultoria, análise e recomendações de melhoria em quase todas as organizações. Percebeu-se que, além de conceder uma nova “roupagem” para a atividade de auditoria, a ABR preenche as lacunas deixadas pela auditoria convencional no que concerne aos resultados dos trabalhos realizados. Nesses termos, afirma-se que a ABR se sobrepõe à convencional e se firma como tendência mundial, conforme defendem os estudiosos da área. No entanto, esperamos que a apostila tenha contribuído com o entendimento geral do processo que envolve a auditoria de risco. 16 REFERÊNCIAS ALMEIDA, M. C. Auditoria: abordagem moderna e completa. 9. ed. São Paulo: Atlas, 2019. ATTIE, W. Auditoria: conceitos e aplicações. 7. ed. São Paulo: Atlas, 2018. CASTRO, D. P. de. Auditoria e controle interno na administração pública. 2. ed. São Paulo: Atlas, 2009. COCURULLO, A. Gestão de riscos corporativos: riscos alinhados com algumas ferramentas de gestão – um estudo de caso. 3. ed. 2004. COSO. Gerenciamento de Riscos Corporativos-Estrutura Integrada. Disponível em: <https://www.coso.org/Documents/COSO-ERM-Executive- Summary-Portuguese.pdf>. Acesso em: 5 mar. 2020. CREPALDI, S. A.; CREPALDI, G. S. Auditoria contábil: teoria e prática.10. ed. São Paulo: Atlas, 2019. FERNADES, F. C.; SOUZA, J. A. L.; FARIA, A. C. Evidenciação de riscos e Captação de recursos no mercado de capitais: um estudo do setor de energia elétrica. Revista Contabilidade, Gestão e Governança, Brasília, v. 13, n. 1, p. 59-73, jan./abr. 2010. JONHSTONE, K. M.; GRAMLING, A. A; RITTENBERG, L. E. Auditing: a risk- based approach to conducting quality audits. 9. ed. São Paulo: Cengage Learning, 2013. LANÇA, L. C. da S. Os riscos empresariais e os seus reflexos na vida das organizações. Disponível em: <http://facefaculdade.com.br/antigo/arquivos/revistas/Riscos_Empresariais.pdf>. Acesso em: 5 mar. 2020. MATTOS, J. G. Auditoria. Porto Alegre: SAGAH, 2017. NBR ISO 31000:2009 Gestão de Risco. Princípios e diretrizes, 2009. Disponível em: <http://www.abntcatalogo.com.br/norma.aspx?ID=57311>. Acesso em: 5 mar. 2013. PINHO, R. C. D. S.; BEZERRA, L. B. Implantação da auditoria baseada em risco em uma entidade do sistema s: o caso do Sebrae/Ce. Revista Ambiente Contábil-Universidade Federal do Rio Grande do Norte, 7(2), 32-52. 2015. 17 POLITIZE! Barragem de rejeitos e os casos Mariana e Brumadinho. 2020. Disponível em: <https://www.politize.com.br/barragem-de-rejeitos/>. Acesso em: 6 mar. 2020. POMMERENING, E. J., & BENCKE, F. F. Auditoria convencional e auditoria baseada em riscos: contribuições à gestão organizacional. Unoesc & Ciência, ACSA, 2(1), 15-26, 2011. SILVA, J. M. D. Auditoria baseada em riscos no processo de transporte nacional de cargas postais: um estudo de caso da Empresa Brasileira de Correios e Telégrafos. 2019.
Compartilhar