2

Prévia do material em texto

AULA 2
AUDITORIA DE RISCOS 
Profª Cristiane Aparecida da Silva 
 
 
2 
INTRODUÇÃO 
O crescente dinamismo dos negócios, decorrente do grau de globalização 
em que o mundo se encontra, faz com que as entidades precisem constantemente 
se adequar ao mercado, pois a competitividade das empresas vem aumentando 
de forma significativa. Faz-se necessário um controle mais efetivo do negócio e 
novas ferramentas de gestão que acompanhem as constantes mudanças 
ocorridas no mercado. Uma das ferramentas utilizadas pelas empresas para 
assegurar a eficiência desse processo é a Auditoria Baseada em Riscos (ABR) 
(Pinho; Bezerra, 2015). 
A ABR é um tema jovem, no Brasil, possuindo pouco menos de uma década 
de vida e é fruto das escolas americanas. O volume de materiais que abordam o 
tema é parco e as opiniões dos autores são difusas, pois o assunto ainda carece 
de amadurecimento. Entretanto, sua proposta é inovadora e promete um upgrade 
para as organizações e para a profissão do auditor (Pommerening; Bencke, 2011). 
Com isso, nesta aula, estudaremos: a avaliação dos riscos e exigências de 
execução das auditorias, definição de risco, tipos de riscos de trabalho e modelo 
e gestão de riscos. Para tanto, podemos analisar os temas a seguir. 
TEMA 1 – AVALIAÇÃO DOS RISCOS E EXIGÊNCIAS DE EXECUÇÃO DAS 
AUDITORIAS 
Para Castro (2009), a Auditoria Baseada em Risco busca direcionar o foco 
do trabalho, a fim de avaliar as tendências e as condições que a entidade possui 
para atingir seus resultados. O autor ainda ressalta a importância da mudança de 
pensamento por parte dos auditores internos das entidades, que precisam mudar 
sua visão, saindo de um enfoque voltado para o passado para um enfoque voltado 
para o futuro. Ressaltando a mudança que a implantação da Auditoria Baseada 
em Riscos representa para a atuação e na finalidade que passam a avaliar as 
ações ao longo de um processo e identificar o impacto futuro destas. 
A Auditoria Baseada em Riscos tem por objetivo central identificar os riscos 
mais significativos dentro de uma entidade. Dessa forma, as áreas a serem 
auditadas serão priorizadas, testando de forma mais efetiva os controles mais 
importantes da empresa. Para Castro (2009), essa identificação das áreas a 
serem priorizadas dá uma nova perspectiva para a Auditoria Interna, pois fornece 
um olhar para o futuro, diferente da Auditoria Interna Tradicional, que é centrada 
 
 
3 
no passado. Ainda, segundo o autor, a utilização da ABR deixa claro que existe 
uma ligação positiva entre o objetivo de auditoria, as metas traçadas para a 
unidade que será auditada e o propósito e missão da instituição. 
A ABR é o desenvolvimento mais emocionante e significativo da história da 
profissão de auditoria interna e tem potencial para alavancar a níveis altíssimos a 
reputação e o valor agregado pela profissão (Grifiths, 2005). 
Griffith (2005) apresenta um conceito simples para a ABR que significa que 
a Auditoria baseada em risco se caracteriza por ser um conjunto de processos, 
abordagens e metodologias que buscam focar o trabalho naquilo que realmente 
importa para a entidade. Neste sentido, Cicco (2007) define a ABR como uma 
metodologia que fornece garantia de que o arcabouço de gestão de riscos está 
operando conforme requerido pelo conselho. 
Para o IIA (2013), ABR é uma metodologia que associa a auditoria interna 
ao arcabouço global de gestão de riscos de uma organização. Pode-se considerar 
a ABR como uma evolução da auditoria tradicional. Enquanto a última tem como 
foco a avaliação do sistema de controle interno da organização, a primeira 
concentra seus esforços na avaliação da postura da administração das entidades 
perante os riscos. A mudança é profunda, uma vez que a auditoria deixa de ser 
reativa para assumir uma postura preventiva (Pommerening; Bencke, 2011). 
Quanto aos benefícios de implantação da ABR, a metodologia é 
considerada mais eficiente porque avalia as áreas de maior risco, em vez de uma 
análise exclusiva, como a área financeira, por exemplo, o que pode não 
representar um risco elevado (Griffiths, 2005; Castanheira, 2007). 
A ABR possibilita que a auditoria interna tenha uma visão integrada da 
instituição em detrimento de uma visão departamentalizada, contribuindo para o 
alcance dos objetivos da organização, em vez de apenas atuar no 
aperfeiçoamento dos controles internos de forma dispersa em cada departamento 
(Pommerening; Bencke, 2011). 
1.1 Exigências de execução das auditorias 
A Auditoria Baseada em Riscos exige uma série de abordagens 
específicas, para que, de fato, se torne efetiva dentro da entidade. O ponto de 
partida é determinar se a organização estabeleceu objetivos apropriados e, então, 
determinar se a entidade tem um processo adequado para identificar, avaliar e 
manejar os riscos que causam impacto nos objetivos. Quando os processos de 
 
 
4 
gestão de riscos estiverem adequados e enraizados, a auditoria, sempre que 
possível, irá se apoiar na própria visão da organização com relação aos riscos, a 
fim de determinar o trabalho de auditoria que ela necessita conduzir (Pinho; 
Bezerra, 2015). 
Quando a auditoria não puder se basear nos processos de gestão de 
riscos, deve realizar sua própria avaliação de riscos. O resultado de cada tarefa 
de auditoria individual deve ser o de assegurar que os riscos estão sendo 
gerenciados em um nível aceitável, definido de acordo com o Apetite por Riscos 
da Organização, ou facilitar ou definir melhorias conforme necessário (Pinho; 
Bezerra, 2015). 
A transição entre a ABR e a AC não custa caro, apenas exige uma mudança 
de mentalidade tanto dos profissionais de auditoria quanto da administração das 
empresas. Os primeiros precisam se conscientizar de que podem e devem 
agregar mais valor para suas empresas e os últimos de que os riscos existem e 
precisam ser gerenciados formalmente. 
Outra grande vantagem da ABR é que ela vê a empresa como um sistema 
integrado. Determinado risco, por exemplo, pode permear por diversas atividades, 
áreas administrativas, filiais etc. A visão da AC é departamentalizada, ou seja, ela 
desenvolve seus trabalhos por setores, filiais etc., observando os riscos e as 
respostas fornecidas a eles de maneira pontual. Nas empresas em que a gestão 
de riscos não é madura, a auditoria baseada em riscos colabora com a sua 
implantação, auxiliando na identificação, medição e priorização dos riscos. Onde 
a gestão de riscos já está consolidada, a ABR certifica a direção da empresa de 
que o framework (estrutura) disponibilizado por ela para combater os riscos está 
atuando de forma razoável. 
O novo foco dos trabalhos da auditoria oferece um upgrade à profissão, 
que, nos moldes convencionais, em muitas organizações, está perdendo o seu 
valor. A ABR se desprende dos processos operacionais, nos quais os resultados 
das auditorias geralmente culminam na implantação de novos controles ou na 
melhoria dos já existentes, para se concentrar na identificação e avaliação dos 
riscos do negócio e no que a administração da empresa está fazendo para mitigá-
los. 
 
 
 
5 
1.2 Auditores que trabalham com a utilização da ABR 
Esses auditores veem a necessidade de adotar algumas mudanças em sua 
forma de trabalhar para se adequar a esse tipo de projeto. As empresas possuem 
características próprias, objetivos individuais e é com base nesses objetivos que 
o auditor deve avaliar os riscos de não se atingir determinada meta. Por isso, o 
conhecimento de determinada empresa necessita ser abrangente (Pinho; 
Bezerra, 2015). 
Jonhstone, Gramling e Rittenberg (2013) afirmam que a principal premissa 
para que o auditor possa utilizar a Auditoria Baseada em Risco é o nível de 
conhecimento que necessita ter da entidade. Para os autores, cada tipo de 
entidade possui suas características próprias e, para que o auditor possa avaliar 
os riscos de forma efetiva dentro daquela empresa,necessita ter um 
conhecimento a respeito desta, ou seja, de suas particularidades. Os autores 
citam o exemplo de um banco. Se o auditor for trabalhar nele, necessitará ter um 
arcabouço de conhecimento financeiro suficiente para entender os riscos que 
aquela entidade possa sofrer e, assim, avaliá-los. 
Saiba mais 
Você quer saber um pouco mais sobre quais são as principais informações 
que os auditores precisam ter para implementar a auditoria baseada em riscos 
(ABR) com sucesso? 
Veja o seguinte vídeo: <https://www.youtube.com/watch?v=lA1WmK--TEs>. 
TEMA 2 – DEFINIÇÃO DE RISCO 
Quais são as principais informações que os auditores precisam ter para 
implementar a auditoria baseada em riscos (ABR) com sucesso. 
O conceito básico de risco é a probabilidade de perda ou incerteza 
associada ao cumprimento de um objetivo. A auditoria baseada em riscos (ABR) 
melhora o modelo de avaliação do risco, pois uma auditoria centrada sobre o risco 
agrega mais valor à empresa do que uma auditoria focada apenas em controles 
internos. Desta forma, em vez de o auditor analisar e testar os controles, ele vai 
identificar os riscos e fará os testes necessários para verificar as formas que a 
gestão utiliza para fazer a precaução desses riscos (Cocurullo, 2004). 
O risco pode ser abordado de diversas maneiras até chegarmos à 
consistência do conceito de riscos no ponto de vista da auditoria. Após analisar o 
 
 
6 
conceito puro do risco, identificou-se que ele está presente em diversas situações 
e a possibilidade de sua ocorrência ou presença dependem de fatores externos 
ou internos de cada empresa. Os fatores externos podem ser, por exemplo, 
mudanças na legislação; e os internos, as fraudes ou desfalques, os quais devem 
ser avaliados para identificarmos o nível de exposição ao risco de cada empresa 
(Cocurullo, 2004). 
A avaliação dos riscos é responsabilidade da administração, mas a 
auditoria interna deve proceder também sua própria avaliação dos riscos e 
confrontar com a dos administradores; essa ação é preventiva e pode evitar 
situações desagradáveis (Dias, 2011). Para Cocurullo (2004), a avaliação do risco 
é empregada em cada ação da auditoria para verificar as áreas mais importantes 
dentro da empresa, permitindo que o auditor crie um programa de auditoria capaz 
de testar os controles mais importantes de maneira minuciosa. 
Desde o início do processo de auditoria até a sua conclusão, a ABR 
considera os riscos do negócio, sendo que o controle interno continua sendo muito 
importante na investigação desses riscos, mas não é a solução completa, pois 
com a ABR os auditores internos terão mais facilidade em notar e recomendar os 
controles apropriados para suprir esses riscos (Cocurullo, 2004). 
Assim, a ABR amplia a avaliação do risco, aumentando a perspectiva da 
auditoria, ou seja, ela estabelece uma visão ampla em que o auditor interno 
consegue visualizar não somente o processo do negócio, mas também o que está 
no sistema de controle da empresa, permitindo relacioná-los. 
Etimologicamente, o termo risco provém do italiano risico ou rischio, que, 
por sua vez, deriva do árabe clássico rizq, que é aquilo que se depara com a 
providência. O termo faz referência à proximidade ou contingência de um possível 
dano. A noção de risco costuma ser usada como sinônimo de perigo. O risco, no 
entanto, prende-se com a vulnerabilidade, ao passo que o perigo está associado 
à possibilidade de um prejuízo ou de um dano, portanto, é possível distinguir o 
risco (a possibilidade de dano) e o perigo (a probabilidade de acidente ou 
patologia). 
Por outras palavras, o perigo é uma causa do risco. Uma ameaça é outro 
conceito associado ao risco. Uma ameaça é um dito ou feito que antecipa um 
dano. Algo pode ser considerado como uma ameaça quando existe pelo menos 
um incidente específico no qual a ameaça tenha tido lugar. 
 
 
7 
Em termos tradicionais, o risco é definido como “a probabilidade de que 
algo por nós esperado e desejado não aconteça ou, complementarmente, que 
algo indesejado aconteça” (Blatt, 1999, p. 53). 
Segundo o Guide 73 Risk Management - Vocabulary - Guidelines for use in 
standards, da International Organization for Standardization (NBR ISO, 2009), 
risco é definido como o efeito da incerteza nos objetivos. Segundo as notas do 
mesmo guia, efeito é o desvio face à expectativa, podendo este ser positivo ou 
negativo; incerteza é um estado, ainda que parcial, de deficiente informação 
relativa a um evento, às suas consequências ou à sua ocorrência; os objetivos 
podem ser de ordem diversa (financeiros, de saúde e segurança, ambientais) e 
podem aplicar-se a diferentes níveis (estratégicos, comuns à organização, de um 
projeto, produto ou processo). Ainda relativamente ao risco, a ISO refere que este 
é muitas vezes caracterizado por se referir aos potenciais eventos, às suas 
consequências ou à combinação de ambos. 
Para a Federation of European Risk Management Associations (Ferma), 
risco é definido como a combinação da probabilidade de um acontecimento e das 
suas consequências. 
A norma ISO 31000 (2009) define risco como sendo o efeito da incerteza 
sobre os objetivos delineados pela organização. 
Para o IIA, o risco é a possibilidade da ocorrência de um evento que possa 
ter impacto sobre o alcance de objetivos. O risco é medido em termos de impacto 
e probabilidade de ocorrência. 
Saiba mais 
Para entender melhor sobre definição de risco, assista ao seguinte vídeo: 
<https://www.youtube.com/watch?v=4HOlT6EEJHw>. 
TEMA 3 – TIPOS DE RISCOS DE TRABALHO 
Para os órgãos de gestão, cujo objetivo é a maximização de resultados, o 
risco surge da possibilidade de os resultados serem diferentes dos esperados. 
Para a auditoria, segundo a DRA 400, o risco do revisor/auditor é dar uma opinião 
de revisão/auditoria “limpa” quando as Demonstrações Financeiras estão 
materialmente distorcidas. 
 
 
 
8 
De acordo com essa norma, existem quatro componentes de risco: 
 Risco inerente: é a suscetibilidade de um saldo ou classe de transações 
conter uma distorção materialmente relevante individual ou agregada com 
outras, devido à inexistência ou inadequação de controlos internos. Esse 
tipo de risco não é controlado pelo auditor, pois está dependente de fatores 
externos a entidade (macroeconômicos, tipo de indústria etc.) e das 
características das Demonstrações Financeiras da entidade que são 
providas de julgamento profissional, estimativas etc. 
 Risco de controle: é a probabilidade do Sistema de Controlo Interno (SCI) 
da entidade não detectar a totalidade de erros existentes nas DF. 
 Risco de detecção: é o risco de os procedimentos substantivos executados 
pelo ROC não detectarem distorções materialmente relevantes individuais 
ou agregadas. 
 Risco de negócio: é o risco associado à gestão de exploração da empresa. 
3.1. Principais riscos de negócios 
3.1.1 Risco financeiro 
Os riscos financeiros de uma empresa estão relacionados às hipóteses de 
o resultado de uma operação vinculada às finanças não serem conforme o 
previsto pelos gestores. Pode-se dizer que quanto maior o risco financeiro, 
maiores as possibilidades de o resultado ser diferente do esperado. 
O risco financeiro pode ser avaliado por cinco perspectivas diferentes: 
Risco de Mercado, Risco Legal, Risco Operacional, Risco de Crédito e Risco de 
Liquidez. 
3.1.2 Risco de mercado 
Pode ser definido como as possíveis oscilações de preço decorrentes de 
eventos que atingem minunciosamente todo o mercado. 
Para Fernandes, Souza e Faria (2010), pode-se considerar risco de 
mercado os movimentos adversos que ocorrem no cenário empresarial, seja 
movimentos de preços, taxas de juros, de câmbio, índices, ações e títulos, 
commodities ou qualquer outro tipo de ativo que possa afetar de alguma forma as 
atividades da empresa ou seu preço de mercado. 
 
 
9 
3.1.3 Risco legal 
Essetipo de risco pode ser definido como a possibilidade de perdas 
decorrentes de multas, penalidades ou indenizações resultantes de ações de 
órgãos de supervisão e controle, bem como perdas decorrentes de decisão 
desfavorável em processos judiciais ou administrativos. 
Para Lança (2014), o risco legal pode ser originário de incertezas em 
contratos estabelecidos sem um amparo legal ou por falta de representatividade 
do negociador ou mesmo da inobservância ou ilegalidade de alguma situação 
restringida por lei. 
3.1.4 Risco operacional 
Considera-se risco operacional de uma empresa fatores relacionados a 
falhas nos processos internos, seja nos sistemas, pessoas ou equipamentos, bem 
como eventos de natureza externa, que podem afetar o andamento das atividades 
normais da organização. 
De acordo com Lança (2014), o risco operacional pode ocorrer pelas 
próprias incertezas decorrentes da estrutura empresarial, podendo estar 
relacionado com falhas humanas, problemas com infraestrutura e, até mesmo, 
alterações em algumas práticas no ambiente de negócio ou quaisquer outras 
situações adversas no dia a dia da organização. 
3.1.5 Risco de crédito 
Está presente no cotidiano de qualquer empresa, seja esta da área 
financeira, de serviços, comercial ou industrial. 
O risco de crédito trata-se da possibilidade de não receber o valor principal 
negociado por causa da inadimplência, que não pode ser evitada, mas prevenida 
ou controlada pela análise de crédito. A facilidade de comprar a prazo seduz o 
cliente, que deixa de fazer um investimento à vista, ou compra simplesmente sem 
a intenção de pagar. 
Cabe ressaltar que futuramente a organização poderá sofrer graves 
imprevistos, podendo deixar de honrar com seus compromissos financeiros 
devido à inadimplência de seus clientes, pois eles são elementos fundamentais 
para o bom desempenho de qualquer empresa. 
 
 
10 
3.1.6 Risco de liquidez 
Pode-se conceituar risco de liquidez como sendo a possibilidade de perda 
de capital e a incapacidade de liquidar determinado ativo em tempo razoável sem 
perda de valor. Esse risco surge da dificuldade de encontrar potenciais 
compradores ao ativo em um prazo hábil sem a necessidade de conceder um 
grande desconto. 
Segundo Pereira (2014), o risco de liquidez está relacionado à 
disponibilidade imediata de caixa diante da demanda por parte dos depositantes 
e aplicadores, o que pode ocorrer diante de instabilidade do mercado ou devido a 
informações ruins sobre uma instituição financeira. 
Escândalos financeiros nacionais e internacionais trouxeram aos noticiários 
a discussão pública acerca da contabilidade e a função da auditoria. 
Figura 1 – Empresa e fraudes cometidas 
 
Nos casos demostrados na Figura 1, o auditor não é responsável nem pode 
ser responsabilizado pela prevenção de fraudes ou erros. Cabe à administração 
a responsabilidade de prevenir e detectar fraudes ou erros por intermédio da 
implantação e operação contínua de sistemas contábeis e de controle interno 
adequados. 
Apesar de não ser responsável pela prevenção de fraudes ou erros, o auditor 
deve avaliar o risco de que tais fatos possam fazer com que as demonstrações 
contábeis contenham distorções relevantes. Se, em sua avaliação, o auditor avaliar 
 
 
11 
que podem haver fraudes ou erros que afetem as demonstrações contábeis, o 
auditor deve estender seus procedimentos. Se o auditor descobrir a existência de 
fraudes ou erros, deve relatar tal fato à administração da entidade. 
TEMA 4 – GESTÃO DE RISCO 
O processo de gerenciamento de riscos consiste em adotar um conjunto de 
medidas para avaliar quais os ricos ameaçam os objetivos estratégicos da 
empresa e, posteriormente, adotar ações para mitigá-los, eliminando, assim, as 
ameaças a fim de aproveitar as oportunidades. 
Segundo Coso (2002), tal gerenciamento possibilita aos administradores 
tratar as incertezas existentes com eficácia, bem como os riscos e as 
oportunidades a elas associadas, com o intuito de alavancar a capacidade de 
agregar valor à organização. 
O gerenciamento de riscos corporativos é um processo conduzido em uma 
organização pelo conselho de administração, diretoria e demais empregados, 
aplicado no estabelecimento de estratégias, formuladas para identificar em toda a 
organização eventos em potencial, capazes de afetá-la e administrar os riscos de 
modo a mantê-los compatíveis com o apetite a risco da organização e possibilitar 
garantia razoável do cumprimento dos seus objetivos (Coso, 2002). 
Num paradigma econômico particularmente atribulado, as razões para 
investir num sistema de gestão do risco de negócio integrado parecem ser cada 
vez mais evidentes. As deficiências na gestão do risco parecem ser o principal 
fator explicativo da recente crise internacional do crédito e muitos intervenientes 
– desde os investidores, aos administradores das empresas, passando pelas 
agências de notação financeira – observam de forma cada vez mais atenta a 
abordagem de gestão do risco por parte das organizações (Farrel, Hooper et al. 
2009). 
Independentemente do fato de a crise financeira global ser vista como 
resultado da junção de riscos excessivos (Kashyap, Rajan et al., 2008) ou de esta 
ser atribuída aos crescentes níveis de risco a que as organizações estão sujeitas 
(Raber, 2003), os dois autores identificam o risco como o grande responsável pela 
recente crise e destacam a importância de uma estrutura de gerenciamento das 
sociedades adequada para administrar o risco. Com vistas a criar valor para os 
acionistas, as empresas executam a sua atividade econômica em constante 
 
 
12 
interação com o ambiente complexo em que se inserem, estando constantemente 
expostas à incerteza, isto é, ao risco. 
Esse ponto pode ser visto quer como uma oportunidade de obter mais valor 
para a empresa e para os seus acionistas, quer como uma ameaça que poderá 
levar à perda de valor (Bonić; Đorđević, 2012). Neste contexto, as organizações 
encontram-se cada vez mais pressionadas no que diz respeito à identificação de 
todos os riscos que os negócios possam ter de enfrentar (sociais, éticos, 
ambientais, financeiros, operacionais) e à maneira de os gerir de forma aceitável 
para reduzir o impacto destes. 
O conceito de gestão de risco como sendo um conjunto de meios utilizados 
na identificação, avaliação e relato do risco empresarial surgiu nos Estados 
Unidos da América e foi referido pela primeira vez num artigo publicado no 
Harvard Business Review, no ano de 1956. No entanto, só no final do século XX 
é que a gestão de risco foi considerada como um elemento importante e essencial 
na gestão empresarial, passando a fazer parte das boas práticas de gestão e 
apoiando a tomada de decisão (Beja, 2004). 
Risco significa estar exposto à possibilidade de um resultado negativo. 
Gerir os riscos significa tomar ações deliberadas para mudar as 
probabilidades em favor próprio – aumentando as probabilidades de 
resultados positivos e reduzindo as probabilidades de resultados 
negativos. (Borge, 2001) 
Essa definição de Borge (2001) indica que o risco é um componente 
inerente à atividade de qualquer empresa, pelo que deve ser sempre levado em 
conta nos processos de tomada de decisão por parte da gestão, que, por seu lado, 
deve adotar e implementar um conjunto de estratégias apropriadas, para que, em 
tempo oportuno, possam prevenir, detectar ou evitar que seja omitido um risco 
importante. 
Segundo o IIA (2009), gestão de risco “é um processo que identifica, avalia, 
gere e controla potenciais eventos ou situações por forma a conferir uma 
segurança razoável à consecução dos objetivos da organização”. 
A gestão de risco foi evoluindo ao longo do tempo, no sentido de ir dando 
resposta aos novos desafios e problemas que as organizações enfrentavam. A 
gestão de risco surgiu como uma atividade que permitia lidar com os riscos pela 
transferênciadeles, recorrendo a seguros, hedging que é considerada uma 
estratégia avançada de investimento ou outros instrumentos. Numa fase mais 
avançada, a gestão de risco evoluiu para uma gestão de risco 
 
 
13 
avançada/integrada: os riscos passaram a ser tratados, prevenindo a sua 
ocorrência e/ou diminuindo o seu impacto (desenvolvendo-se, por exemplo, 
programas de segurança no trabalho, áreas de análise de reclamações). 
Na atual fase, a função da gestão de risco lida com os riscos numa 
perspectiva mais ampla, profunda e proativa, incluindo riscos estratégicos, 
operacionais, financeiros, entre outros, numa perspectiva de riscos inter-
relacionados. Essa abordagem foca-se na tomada de decisões informadas acerca 
das incertezas que afetam o futuro da organização (IIA; RIMS, 2012). 
Deste modo, segundo a IIA e RIMS (2012), a gestão de risco passou de 
uma gestão de risco defensiva, isto é, de uma análise custo/benefício, para uma 
gestão de risco ofensiva, baseada na dicotomia risco/recompensa. 
Exemplos da importância de uma adequada Gestão de Riscos: rompimento 
das barragens de Mariana e Brumadinho. 
Figura 2 – Barragem de rejeitos 
 
Fonte: Politize!, 2020. 
O desastre de Mariana, ocorrido no dia 5 de novembro de 2015, até então 
era o único dessa natureza na história da mineração mundial. A lama de rejeitos 
da Barragem de Fundão destruiu completamente o subdistrito de Bento 
Rodrigues, parcialmente Paracatu de Baixo, e o município de Barra Longa, 
percorrendo toda a extensão do Rio Doce até chegar no mar. 
Já a catástrofe em Brumadinho aconteceu no dia 25 de janeiro de 2019, 
pouco mais de 3 anos depois de Mariana. Houve um grande dano ambiental, mas 
 
 
14 
também houve grande perda humana. A lama arrastou a área operacional da 
mina, a área administrativa, uma pousada popular na região, o Parque da 
Cachoeira e, por fim, atingiu o rio Paraopeba, afluente do Rio São Francisco. 
TEMA 5 – MODELOS DE GESTÃO DE RISCO 
Entre os modelos de gestão de risco que mais se destacam, estão: 
 ERM – Enterprise Risk Management Framework, emitido pelo COSO 
 Norma de Gestão de Riscos da FERMA – Risk Management Standard, 
emitida em 2013 pela Federation of Europe Risk Management Associations 
 ISO 31000 da International Organization for Standardization, emitida em 
2009, chamada de ISSO 3100:2009 
 Norma de Gestão de Riscos Australiana AS/NZS 4360 (2004) – Risk 
Management Guidelines 
5.1 Enterprise Risk Management Framework – ERM 
Nos últimos anos, intensificou-se o foco e a preocupação com o 
gerenciamento de riscos e se tornou cada vez mais clara a necessidade de uma 
estratégia sólida, capaz de identificar, avaliar e administrar riscos. O Committee 
of Sponsoring Organizations of the Treadway Commission (COSO), em 1992, 
publicou o Internal Control – Integrated Framework para ajudar empresas e outras 
organizações a avaliar e aperfeiçoar seus sistemas de controle interno. 
Em 2001, iniciou-se novo projeto e, desse estudo, surgiu o Enterprise Risk 
Management (ERM), traduzido por Gerenciamento de Riscos Corporativos – 
Estrutura Integrada, conhecido como COSO II. Em 2013, esse documento foi 
revisto e atualizado, sendo o seu teor considerado complementar ao anterior 
(Pinho; Bezerra, 2015). 
5.2 ISO 31000 
De acordo com a NBR ISO 31000 (2009), a Gestão de Riscos pode ser 
definida como o processo de identificar, mensurar e controlar o impacto de 
possíveis riscos da entidade. De forma geral, a gestão de risco pode ser 
considerada como um conjunto de medidas para evitar, ou antecipar, os impactos 
ou efeitos dos possíveis riscos. 
 
 
15 
Esta se dá por uma série de ações que as empresas vão aplicar para dirigir 
e realizar o controle do risco. A empresa pode ter inúmeras atitudes em relação 
ao risco, dependendo da política usual e do grau de controle que a entidade 
possui, além do conhecimento da atividade da entidade, pois existem riscos 
específicos em cada segmento (Pinho; Bezerra, 2015). 
Saiba mais 
Norma de Gestão de Riscos: 
<https://www.youtube.com/watch?v=8TNx8icRuRw>. 
FINALIZANDO 
Com base no que foi apresentado até aqui, podemos ver que com o 
avançar dos mercados e do mundo atual a auditoria tem cada vez mais um papel 
importante na oferta de serviços de consultoria, análise e recomendações de 
melhoria em quase todas as organizações. 
Percebeu-se que, além de conceder uma nova “roupagem” para a atividade 
de auditoria, a ABR preenche as lacunas deixadas pela auditoria convencional no 
que concerne aos resultados dos trabalhos realizados. Nesses termos, afirma-se 
que a ABR se sobrepõe à convencional e se firma como tendência mundial, 
conforme defendem os estudiosos da área. No entanto, esperamos que a apostila 
tenha contribuído com o entendimento geral do processo que envolve a auditoria 
de risco. 
 
 
 
 
16 
REFERÊNCIAS 
ALMEIDA, M. C. Auditoria: abordagem moderna e completa. 9. ed. São Paulo: 
Atlas, 2019. 
ATTIE, W. Auditoria: conceitos e aplicações. 7. ed. São Paulo: Atlas, 2018. 
CASTRO, D. P. de. Auditoria e controle interno na administração pública. 2. 
ed. São Paulo: Atlas, 2009. 
COCURULLO, A. Gestão de riscos corporativos: riscos alinhados com algumas 
ferramentas de gestão – um estudo de caso. 3. ed. 2004. 
COSO. Gerenciamento de Riscos Corporativos-Estrutura Integrada. 
Disponível em: <https://www.coso.org/Documents/COSO-ERM-Executive-
Summary-Portuguese.pdf>. Acesso em: 5 mar. 2020. 
CREPALDI, S. A.; CREPALDI, G. S. Auditoria contábil: teoria e prática.10. ed. 
São Paulo: Atlas, 2019. 
FERNADES, F. C.; SOUZA, J. A. L.; FARIA, A. C. Evidenciação de riscos e 
Captação de recursos no mercado de capitais: um estudo do setor de energia 
elétrica. Revista Contabilidade, Gestão e Governança, Brasília, v. 13, n. 1, p. 
59-73, jan./abr. 2010. 
JONHSTONE, K. M.; GRAMLING, A. A; RITTENBERG, L. E. Auditing: a risk-
based approach to conducting quality audits. 9. ed. São Paulo: Cengage Learning, 
2013. 
LANÇA, L. C. da S. Os riscos empresariais e os seus reflexos na vida das 
organizações. Disponível em: 
<http://facefaculdade.com.br/antigo/arquivos/revistas/Riscos_Empresariais.pdf>. 
Acesso em: 5 mar. 2020. 
MATTOS, J. G. Auditoria. Porto Alegre: SAGAH, 2017. 
NBR ISO 31000:2009 Gestão de Risco. Princípios e diretrizes, 2009. Disponível 
em: <http://www.abntcatalogo.com.br/norma.aspx?ID=57311>. Acesso em: 5 
mar. 2013. 
PINHO, R. C. D. S.; BEZERRA, L. B. Implantação da auditoria baseada em risco 
em uma entidade do sistema s: o caso do Sebrae/Ce. Revista Ambiente 
Contábil-Universidade Federal do Rio Grande do Norte, 7(2), 32-52. 2015. 
 
 
17 
POLITIZE! Barragem de rejeitos e os casos Mariana e Brumadinho. 2020. 
Disponível em: <https://www.politize.com.br/barragem-de-rejeitos/>. Acesso em: 
6 mar. 2020. 
POMMERENING, E. J., & BENCKE, F. F. Auditoria convencional e auditoria 
baseada em riscos: contribuições à gestão organizacional. Unoesc & Ciência, 
ACSA, 2(1), 15-26, 2011. 
SILVA, J. M. D. Auditoria baseada em riscos no processo de transporte 
nacional de cargas postais: um estudo de caso da Empresa Brasileira de 
Correios e Telégrafos. 2019.