AUDITORIA DE RISCO

Prévia do material em texto

AULA 1
AUDITORIA DE RISCOS 
Profª Cristiane Aparecida da Silva 
 
 
2 
INTRODUÇÃO 
Segundo o IIA (2012), Auditoria Baseada em Riscos é uma metodologia 
que associa a auditoria interna ao arcabouço global de gestão de riscos de uma 
organização. Possibilita que a Auditoria Interna dê garantia ao conselho diretivo 
de que os processos de gestão estão gerenciando os riscos de maneira eficaz em 
relação ao apetite por riscos, dessa forma, possibilita toda uma gama de respostas 
a esses riscos sofridos pela entidade, podendo prejudicar a busca dos seus 
objetivos. 
Na sequência, estudaremos o que é a Auditoria Baseada em riscos (ABR), a 
Auditoria interna, o Controle interno e a Implementação da ABR. Para tanto, 
podemos analisar temas a seguir. 
TEMA 1 – AUDITORIA BASEADA EM RISCOS (ABR) 
A Auditoria Baseada em Riscos (ABR) estende e melhora o modelo de 
avaliação dos riscos, alterando a perspectiva da auditoria interna. Em vez de olhar 
para os processos do negócio como algo que está inserido em um sistema de 
controle, o auditor os analisa numa envolvente de risco. 
Auditoria Baseada em Riscos (ABR) é um método da auditoria interna que 
vem auxiliar as organizações nas tomadas de decisões por meio da avaliação dos 
riscos. Por ter uma sistemática diferenciada, age de forma preventiva, 
centralizando seu foco nas áreas auditáveis mais significativas da empresa. A 
auditoria convencional tem seu foco na avaliação do sistema de controle interno 
da organização, enquanto a ABR avalia a postura da administração das empresas 
perante os riscos agregando maior valor a organização (Knechel, 2007). 
O desenvolvimento da metodologia de auditoria de riscos de negócios, na 
década de 1990, foi um processo complexo que surgiu naturalmente da 
necessidade de compensar a mercantilização das auditorias ocorridas na década 
de 1980. O crescimento contemporâneo das teorias e processos de 
gerenciamento de riscos forneceu uma perspectiva poderosa sobre a qual basear 
a reengenharia da auditoria (Knechel, 2007). 
No entanto, o processo de desenvolvimento e implementação de auditorias 
de risco comercial foi extremamente difícil e pode ter se deparado com vários 
obstáculos imprevistos e não gerenciados, particularmente no que diz respeito aos 
rituais existentes da auditoria tradicional. 
 
 
3 
Como a cultura de vendas da consultoria estava se firmando entre os 
auditores quase ao mesmo tempo, é possível que os esforços bem-intencionados 
para revitalizar o processo de auditoria tenham sido prejudicados por essas 
dificuldades e depois desviados para apoiar o crescimento da receita por meio de 
serviços sem auditoria (Knechel, 2007). 
Quando a Enron e os escândalos subsequentes ocorreram, surgiram 
questões sobre se a auditoria de risco comercial era eficaz ou mesmo apropriada. 
As iniciativas regulatórias que se seguiram às consequências da Enron, como um 
foco maior nos incentivos de gerenciamento para relatórios fraudulentos e uma 
análise mais aprofundada dos controles internos, podem fornecer uma base viável 
para reconsiderar os métodos de risco comercial e mesclar o melhor das 
auditorias substantivas tradicionais com o melhor da auditoria de riscos comerciais 
(Knechel, 2007). 
1.1 Os objetivos da ABR 
O principal objetivo da ABR é fornecer e garantir independência ao 
conselho de administração (e para a alta direção, gerência etc.) da organização 
de que: 
 Os processos de Gestão de Riscos colocados em prática na organização 
(abrangendo todos os níveis da companhia) estão operando conforme o 
planejamento. 
 Tais processos de Gestão de Riscos têm uma sólida estrutura (framework). 
 As respostas que a direção tem dado aos riscos são adequados e eficazes 
na redução desses riscos a um nível aceitável para o conselho. 
 Existe uma estrutura sólida de controles para mitigar suficientemente os 
riscos que a direção deseja tratar. 
A ABR começa com os objetivos do negócio e se concentra nos riscos que 
foram identificados pela direção/gerência e que podem comprometer a 
consecução desses objetivos. 
Saiba mais 
Tudo o que precisa saber sobre Auditoria Baseada em Riscos você 
encontra no vídeo a seguir: <https://www.youtube.com/watch?v=HSQb34P2jZ4>. 
 
 
4 
TEMA 2 – AUDITORIA INTERNA 
Com o intuito de atender às necessidades da empresa, surgiu o auditor 
interno como uma ramificação da profissão de auditor externo e, 
consequentemente, do contador. O auditor interno é o empregado da empresa e 
dentro de uma organização ele não deve ser subordinado àquele cujo trabalho 
examina. Além disso, não deve desenvolver atividades que possam vir um dia a 
examinar (como elaborar lançamentos contábeis) para que não interfira em sua 
independência. A título de exemplo, demonstra-se na Figura 1, em uma estrutura 
organizacional, que o Departamento de Auditoria ficaria situado da seguinte 
forma: 
Figura 1 – Estrutura organizacional 
 
O auditor interno é um funcionário da empresa ligado ao departamento de 
Auditoria Interna. Como executa auditoria contábil e operacional, deve ter certa 
independência dentro da entidade. Se for subordinado à diretoria financeira ou 
administrativa, pode sofrer pressões na execução de seus trabalhos. 
Segundo o COSO (2009), um bom controle interno torna-se um bom 
investimento para a organização, uma vez que ajuda a assegurar que os objetivos 
operacionais, financeiros e de conformidade sejam alcançados. 
Segundo Jund (2001), o auditor interno sofre constantes alterações por via 
de novos conceitos e necessidades da gestão empresarial, dessa forma, a 
auditoria interna é vista como uma grande aliada revendo as atividades 
operacionais e de apoio, tal como avalia a eficiência e eficácia do controle interno, 
aumentando, assim, a necessidade de que o auditor interno tenha participação na 
estratégia da empresa, contribuindo com opiniões e sugestões. 
 
 
5 
A Auditoria Interna tem como objetivo principal a avaliação dos controles 
internos para a melhoria dos processos e a mitigação de riscos, ou de acordo com 
a definição emanada pelo Instituto dos Auditores Internos do Brasil (IIA) em suas 
Normas Internacionais para a Prática de Auditoria Interna: 
Além de auditores internos, o IIA tem como associados profissionais das 
áreas de gerenciamento de riscos, governança, controles internos, auditoria em 
tecnologia da informação, educação e segurança (Maffei, 2017). 
O instituto editou o conjunto de Práticas Profissionais para o Exercício da 
Auditoria Interna, contendo o código de ética e as normas internacionais para a 
atuação dos profissionais da área, revisado periodicamente. 
A definição de Auditoria Interna recomendada pelo IIA – The Institute of 
Internal Auditors (maior associação de Auditores Internos do mundo) – e também 
adotada pelo QSP é a seguinte: a Auditoria Interna é uma atividade independente 
e objetiva de garantia e aconselhamento, concebida para agregar valor e melhorar 
as operações de uma organização. Auxilia uma organização a atingir seus 
objetivos, aplicando uma abordagem sistemática e disciplinada para avaliar e 
melhorar a eficácia dos processos de gestão de riscos, controles e governança. 
Saiba mais 
Auditoria Interna: o que é e como começar a fazer na sua empresa 
<https://www.youtube.com/watch?v=1_z0ebvXfRQ>. 
TEMA 3 – CONTROLE INTERNO 
De acordo com o Committee of Sponsoring Organizations of the Treadway 
Commission (Coso), controle interno é um processo levado a efeito pela alta 
administração, pela gerência e pelos demais colaboradores, destinando-se a 
promover razoável segurança quanto ao atingimento de objetivos nas seguintes 
categorias: 
 Efetividade e eficiência operacional; 
 Confiabilidade das informações financeiras; 
 Conformidade com as leis e regulamentos. 
Crepaldi e Crepaldi (2019) ressaltam que o Instituto Americano dos 
Contadores Públicos Certificados define que o Controle Interno compreendeo 
plano de organização e todos os métodos e medidas adotadas na empresa para 
 
 
6 
salvaguardar seus ativos, verificar a exatidão e fidelidade dos dados contábeis, 
desenvolver a eficiência nas operações e estimular o seguimento das políticas 
administrativas prescritas (Maffei, 2017). 
Quando se examinam os controles internos de uma empresa, está se 
analisando a “organização dos controles” e a “execução” deles (Maffei, 2017), que 
são todos os instrumentos da organização destinados à vigilância, fiscalização e 
verificação administrativa, que permitam prever, observar, dirigir ou governar os 
acontecimentos que se verificam dentro da empresa e que produzam reflexos em 
seu patrimônio (Crepaldi; Crepaldi, 2019). 
O controle interno representa em uma organização o conjunto de 
procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, 
produzir dados contábeis confiáveis e ajudar a administração na condução 
ordenada dos negócios da empresa (Almeida, 2019). 
Os dois primeiros objetivos representam controles contábeis e o último, 
controles administrativos. 
São exemplos de controles contábeis: 
 Sistemas de conferência, aprovação e autorização; 
 Segregação de funções (pessoas que têm acesso aos registros contábeis 
não podem custodiar ativos da empresa); 
 Controles físicos sobre ativos; 
 Auditoria interna. 
São exemplos de controles administrativos: 
 Análises estatísticas de lucratividade por linha de produtos; 
 Controle de qualidade; 
 Treinamento de pessoal; 
 Estudos de tempos e movimentos; 
 Análise das variações entre os valores orçados e os incorridos; 
 Controle dos compromissos assumidos, mas ainda não realizados 
economicamente. 
O objetivo principal do auditor externo ou independente é emitir uma 
opinião sobre as demonstrações financeiras auditadas (Almeida, 2019). Logo, o 
auditor deve somente avaliar os controles relacionados com essas 
demonstrações, que são, no caso, os controles contábeis. Evidentemente, se 
 
 
7 
algum controle administrativo tiver influência nos relatórios da contabilidade, o 
auditor deve considerar também a possibilidade de o avaliar (Almeida, 2019). 
O Institut Français des Experts-Comptables define que o 
Controle Interno é formado pelo plano de organização e de todos os 
métodos e procedimentos adotados internamente pela empresa para 
proteger seus ativos, controlar a validade dos dados fornecidos pela 
Contabilidade, ampliar a eficácia e assegurar a boa aplicação das 
instruções da direção. 
Na prática, o que se quer conhecer é a eficiência da “vigilância” e da 
“proteção” aos bens, para saber se o que se investe e o que se obtém de recursos 
efetivamente oferece lucratividade, economicidade ou adequada colimação dos 
fins procurados ou programados (Crepaldi; Crepaldi, 2019). 
Essa proteção inclui todos os meios de segurança, ou seja, aqueles que 
oferecem coberturas às ocorrências anteriores, atuais e posteriores de um 
fenômeno patrimonial (Crepaldi; Crepaldi, 2019). 
3.1 Categorias dos controles internos 
Quanto à finalidade e instância de aplicação, os controles diretos destinam-
se a detectar ou evitar erros. São as atividades de controle que objetivam o 
funcionamento e a segurança de um processo na organização. São exemplos: as 
aprovações, as conferências, as conciliações e os lançamentos nos sistemas de 
gestão da organização (Maffei, 2017). 
Os controles diretos podem ser classificados em: 
 Preventivos – destinam-se a evitar a ocorrência de erros, desperdícios ou 
irregularidades. Atualmente, são considerados os mais importantes, e o 
auditor deve tê-los em foco, tanto na avaliação quanto na criação de novos 
controles desse tipo. 
 Detectivos – são desenhados para detectar erros durante ou após sua 
ocorrência. 
 Corretivos – são medidas contingenciais, adotadas quando ocorre um 
problema, que visam combater os efeitos causados. 
Já os controles gerenciais e independentes são exercidos por pessoas que 
não estão diretamente envolvidas no processo, no monitoramento e na avaliação 
dos resultados obtidos pela empresa. São exemplos clássicos de controle 
gerencial os orçamentos e as avaliações de desempenho. O auditor deve ter em 
 
 
8 
mente que, embora na maior parte dos casos não sejam controles que 
determinam o andamento de um processo, são muito importantes para a 
qualidade do sistema de controle interno como um todo e devem ser objeto da 
sua análise (Maffei, 2017). Na Figura 2, são apresentados os pilares do sistema 
de controles interno. 
Figura 2 – Pilares dos sistemas de controles internos 
 
TEMA 4 – RELAÇÃO DA AUDITORIA INTERNA E A ANÁLISE E GESTÃO DE 
RISCO 
Atualmente, a auditoria interna desempenha um papel fundamental na 
estrutura da gestão de risco de uma organização, tal como defende Castanheira 
(2007), “nos tempos que correm, recorre-se com bastante frequência ao 
envolvimento dos auditores internos no processo de gestão de risco, que passam 
a assumir um papel de parceria de negócio, em vez de uma atitude de 
fiscalização”. 
Segundo Teixeira (2006), “ambientes instáveis e competitivos com 
tecnologias extremamente sofisticadas e com ciclos de vida cada vez mais breves, 
 
 
9 
têm feito crescer o risco nas organizações”, pelo que surge, cada vez mais, a 
necessidade de as organizações terem mecanismos de gestão de risco confiáveis 
que possam detectar, examinar, mensurar e monitorizar os riscos. 
Deste modo, o novo papel da auditoria interna na gestão de riscos é um 
dos assuntos que maior controvérsia tem gerado nos últimos anos, motivo pelo 
qual o IIA decidiu emitir um artigo científico de forma a esclarecer a sua posição 
sobre o papel do auditor interno relativamente à gestão de risco. 
Assim, segundo o IIA (2004) 
o principal papel da auditoria interna no processo de gestão de risco é 
fornecer segurança objetiva acerca da eficácia das atividades de gestão 
de risco das organizações, contribuir para assegurar que os principais 
riscos do negócio estão a ser geridos de forma apropriada e que os 
sistemas de controlo interno estão a funcionar eficazmente. 
A auditoria interna, tal como descreve o IIA (2004), “deverá avaliar e 
contribuir para melhorar a gestão de risco, controle e governo”. 
Com isto, é possível estabelecer que a auditoria interna deve avaliar, para 
assim contribuir para uma melhor gestão de risco, controle e governo das 
sociedades, assumindo-se assim como um valioso contributo na diminuição dos 
riscos associados às transações de uma organização, deste modo, adquirindo 
uma postura proativa na análise do risco, apresentando sugestões de correção 
para diminuir a exposição ao risco. 
Importa, porém, dizer que a auditoria interna não deve ser responsável pela 
gestão do risco limitando-se apenas a contribuir para a boa gestão dele. De forma 
a assegurar a independência e a objetividade, o conselho de administração e a 
equipe de gestão devem “chamar para si” a total responsabilidade pela gestão do 
risco e a auditoria interna deve cingir-se a um papel consultivo (Deloitte, 2005). 
Em suma, uma organização com uma gestão de risco eficaz dispõe de 
maiores vantagens competitivas num ambiente de instabilidade e incerteza, face 
a organizações que possuem uma gestão de risco com menos capacidades. 
O surgimento de uma concepção mais moderna de auditoria resultou na 
formulação de um escopo com foco em riscos, diferente daquele praticado na 
auditoria convencional. Essas diferenças são apresentadas no Quadro 1. 
 
 
 
10 
Quadro 1 – Diferenças entre os escopos 
Escopo tradicional Escopo baseado em riscos 
Foco nos controles Foco nos riscos 
Testes com base em programa de trabalho; 
endereçando objetivos de controle padrão 
Testes com base nos riscos de negócio, 
identificados no levantamento de informações 
Testes de todos os controles Testes focalizados; somente dos controles que 
minimizam os riscos relevantesInspecionar, detectar e reagir aos riscos de 
negócios 
Antecipar e prevenir riscos de negócios na 
origem 
Maior parte do tempo gasto em testes, 
validação e consolidação 
Maior parte do tempo gasto em levantamento 
e análise de informação 
Fonte: Vedode, 2009. 
Entende-se que os controles não garantem, isoladamente, a consecução 
dos objetivos organizacionais, dada a multiplicidade de riscos e pelo fato de 
estarem sujeitos a limitações, tais como conluios, imperícia e falhas de 
comunicação. 
Para Bergamini (2005), a mudança de um enfoque tradicional para o foco 
em riscos acarreta alterações no escopo dos trabalhos da Auditoria Interna. A 
Auditoria Tradicional se baseia na avaliação da entidade e dos seus controles, 
sendo os testes aplicados a todos os controles. 
A finalidade é inspecionar e detectar possíveis problemas na rotina da 
empresa. A Auditoria Interna com foco em riscos aplica testes em processos cujos 
riscos foram identificados no levantamento de informações, sendo esses testes 
focalizados nos controles que minimizam os riscos relevantes. A finalidade é 
antecipar e prevenir riscos de negócios na origem (Pinho; Bezerra, 2015). 
De acordo com Castro (2009), a Auditoria Interna com escopo baseado em 
risco possui características diferentes da Auditoria Interna com escopo tradicional. 
Para que uma entidade possa utilizar Auditoria Baseada em Risco (ABR), 
necessita que a empresa tenha um adequado processo de gestão de riscos. Essa 
gestão do risco engloba todo o processo de identificação do risco até o respectivo 
tratamento. 
Os procedimentos das entidades que utilizam a ABR tendem a ser mais 
dinâmicos e flexíveis em relação ao negócio, já que ao se deparar com o risco a 
resposta dada tende a mudar de acordo com a situação. E, por isso, auditorias 
baseadas em risco necessitam de algum grau de flexibilidade com relação a 
 
 
11 
escopos, alcances, objetivos e recomendações. É nessa maior flexibilidade que 
se nota uma importante diferença entre a Auditoria Tradicional, mais estática e 
focada nos controles internos e da Auditoria Baseada em Risco (Pinho; Bezerra, 
2015). 
Segundo o QSP (2006), os relatórios emitidos pelos auditores que utilizam 
a ABR são mais fáceis de serem aceitos pelos gestores da entidade, haja vista 
que não apontam diretamente seus erros, mas apresentam uma visão mais global 
de toda a entidade e seus processos. 
Consoante a essa premissa, a ABR traz maior valor à Organização em 
contraponto à auditoria tradicional que é focada em controles. Isso se dá devido 
ao fato de isoladamente, o controle não garante que a entidade terá sucesso, 
tendo assim, a gestão de riscos mais êxito. Para melhor entendimento a respeito 
do escopo da ABR, faz-se necessário definir risco (Pinho; Bezerra, 2015). 
Saiba mais 
Qual a diferença entre a Auditoria Baseada em Riscos e a Auditoria 
Tradicional? Assista ao vídeo: 
<https://www.youtube.com/watch?v=kd9gLUKCSik>. 
TEMA 5 – A IMPLEMENTAÇÃO DA AUDITORIA BASEADA EM RISCOS (ABR) 
A Auditoria Interna Baseada em Riscos só pode ser praticada se houver, 
na organização, um adequado processo de gestão de riscos. A auditoria do 
processo de gestão de riscos, portanto, passa a ser fundamental para garantir 
uma base confiável para o planejamento (Pinho; Bezerra, 2015). 
Essa relação entre o planejamento e a Auditoria Baseada em Risco é uma 
das principais diferenças entre esta e a Auditoria Interna Tradicional, que buscava 
a convergência com a gestão do negócio, mas não se relacionava de forma efetiva 
com o planejamento da entidade (Pinho; Bezerra, 2015). 
Segundo Griffiths (2007), Auditoria Baseada em Risco se caracteriza por 
ser um conjunto de processos, abordagens e metodologias que buscam focar o 
trabalho naquilo que realmente importa para a entidade. Começa de um ponto 
diferente da Auditoria Interna Tradicional, já que a ABR foca nas áreas de maior 
relevância para a entidade, buscando medir os riscos que podem levar a entidade 
a não alcançar seus objetivos. 
 
 
12 
Para se obter êxito no processo de implantação da ABR, três estágios 
deverão ser levados em consideração conforme Quadro 2 a seguir. 
Quadro 2 – Estágios do processo de implantação da ABR 
1º estágio 
 
2º estágio 
 
3º estágio 
 
Avaliação da maturidade de 
riscos 
 
Planejamento de auditorias 
periódicas 
 
Auditorias individuais 
 
Obtenção de um panorama do 
quanto o conselho e a direção 
determinam, avaliam, 
manejam e monitoram os 
riscos. Isso dá uma indicação 
da confiabilidade do cadastro 
de riscos para fins de 
planejamento da auditoria. 
 
Identificação de auditorias de 
garantia e consultorias para 
um período específico, 
através da identificação e 
priorização de todas as áreas 
nas quais o conselho requer a 
garantia objetiva, incluindo os 
processos de gestão de 
riscos, o manejo dos riscos-
chave e o registro e relato dos 
riscos. 
 
Realização de tarefas 
individuais baseadas em 
riscos, para dar garantias 
sobre partes do arcabouço de 
gestão de riscos, incluindo a 
mitigação de riscos individuais 
ou de grupos de riscos. 
 
5.1 Avaliação da maturidade de riscos 
Na avaliação da maturidade de riscos, em que medida a direção e a 
administração gerenciam riscos? 
 Indica a confiabilidade do controle de riscos; 
 Define estratégia da ABR; 
 Orienta o planejamento da auditoria. 
Avaliação da maturidade de riscos I – Estratégia para grau de maturidade 
Ingênuo: relatar que não há gestão de riscos formal. Consultoria para promover 
gestão de riscos com elaboração de plano de auditorias por arcabouço alternativo 
e garantia dos processos de controle. 
Avaliação da maturidade de riscos II – Estratégia para grau de maturidade 
consciente: relatar gestão de riscos fraca consultoria para promover gestão de 
riscos elaboração de plano de auditorias por arcabouço alternativo. Garantia dos 
processos de controle. 
Avaliação da maturidade de riscos III – Estratégia para grau de maturidade 
definido: relatar deficiências na gestão de riscos consultoria para integrar a gestão 
de riscos. Reforçar visão da direção sobre riscos, garantia da política de gestão 
de riscos (há apetite por riscos definido) e dos processos de controle. 
 
 
13 
Avaliação da maturidade de riscos IV – Estratégia para grau de maturidade 
gerenciado: garantia dos processos de gestão de riscos; consultoria para melhorar 
a gestão de riscos. 
Avaliação da maturidade de riscos V – Estratégia para grau de maturidade 
habilitado: garantia dos processos de gestão de riscos; consultoria conforme 
necessidade 
5.2 Planejamento de auditorias periódicas 
Implementação da ABR, 2º estágio – elaboração de um plano de auditorias 
periódicas; auditorias de garantia e consultorias para um período com prioridade 
e categorização de riscos. 
5.3 Auditoria individual de garantia 
Implementação da ABR, 3º estágio – auditoria individual de garantia ABR 
não trata de auditar os riscos, mas das respostas adotadas pela administração em 
relação à garantia sobre o funcionamento dos processos de gestão de riscos e 
controles. 
Impacto implementação da ABR 3º estágio – auditoria individual de garantia 
e a representação da garantia proporcionada pela ABR Risco Inerente Resposta 
Risco Residual Probabilidade Apetite por riscos. A ABR dá garantia de que a 
resposta está operando de maneira eficaz. 
Figura 3 – Implantação da ABR no Banco do Nordeste do Brasil 
 
Fonte: Metropoles, 2020. 
 
 
14 
Em estudo sobre a implantação da ABR no Banco do Nordeste do Brasil 
(BNB), Madeira (2010) identificou cinco principais aspectos de melhoria 
observados pelos auditores internos do BNB: eficácia do processo de auditoria; 
conhecimento dos controles; conhecimento dos riscos; gerenciamento das 
recomendações; redução dos custos do trabalho da auditoria. Concluiu, por 
conseguinte, que a metodologia ABR possibilita ganho de eficácia nos trabalhos, 
aliada à perspectivade redução nos custos de execução das auditorias. 
Saiba mais 
Você quer saber um pouco mais sobre a gestão de riscos de projetos e 
stakeholders? Leia o artigo “Gestão de riscos de projetos e stakeholders: 
identificação e análise de riscos baseado na percepção de risco”. 
FINALIZANDO 
Com base no que foi apresentado até aqui, podemos ver como a ABR é 
uma ferramenta importante para empresas que desejam avaliação independente 
para a Gestão de Riscos, sendo necessário um plano bem estruturado de 
implantação para êxito desta. 
Destarte, uma Auditoria Interna Tradicional bem desenvolvida, ou seja, que 
mantém um controle interno eficaz, se torna uma característica facilitadora para a 
mudança de escopo, pois para a correta implantação da ABR é necessário um 
ambiente de gestão robusto e efetivo envolvimento da equipe de auditoria. Para o 
processo de mudança de escopo para a ABR, faz-se necessário envolver todas 
as áreas de empresa, já que essas também sofrerão mudanças no seu trabalho. 
No entanto, esperamos que este material tenha contribuído com o entendimento 
geral do processo que envolve a auditoria de risco. 
 
 
 
 
15 
REFERÊNCIAS 
ALMEIDA, M. C. Auditoria: abordagem moderna e completa. 9 ed. São Paulo: 
Atlas, 2019. 
BERGAMINI, S. Controles internos como instrumento de governança 
corporativa. 2005. Disponível em 
<http://www.bndes.gov.br/SiteBNDES/export/sites/default/bndes_pt/Galerias/Arq
uivos/conhec imento/revista/rev2406.pdf>. Acesso em: 4 mar. 2020. 
CASTRO, D. P. de. Auditoria e controle interno na administração pública. 2. 
Ed. São Paulo: Atlas, 2009. 
COCURULLO, A. Gestão de riscos corporativos: riscos alinhados com algumas 
ferramentas de gestão – um estudo de caso. 3. ed. 2004. 
CREPALDI, S. A.; CREPALDI, G. S. Auditoria contábil: teoria e prática.10. ed. 
São Paulo: Atlas, 2019. 
JUND, S. Auditoria: conceitos, normas técnicas e procedimentos – teoria e 500 
questões. Rio de Janeiro: Impetus, 2001. 
KNECHEL, W. R. The business risk audit: Origins, obstacles and opportunities. 
Accounting, Organizations and Society, 32.4-5: 383-408, 2007. 
MADEIRA, J. E. M. A implantação das metodologias de auditoria baseadas 
em processo e em riscos: um estudo de caso no Banco do Nordeste do Brasil. 
2010. 152 f. Dissertação (Mestrado Profissional em Adinistração e Controladoria) 
– Faculdade de Economia, Administração, Atuária e Contabilidade, Universidade 
Federal do Ceará, Fortaleza, 2010. 
MAFFEI, J. L. G. Curso de Auditoria-Introdução à auditoria de acordo com as 
normas internacionais e melhores práticas. Editora Saraiva, 2017. 
MATTOS, J. G. Auditoria. Porto Alegre: SAGAH, 2017. 
METRÓPOLES. Líder do PR tenta nomear presidente do Banco do Nordeste. 
<https://www.metropoles.com/chapelaria/lider-do-pr-tenta-nomear-presidente-do-
banco-do-nordeste>. Acesso em: 5 mar. 2020. 
PINHO, R. C. D. S., BEZERRA, L. B. Implantação da Auditoria Baseada em Risco 
em uma Entidade do" Sistema S": O Caso do Sebrae/Ce. Revista Ambiente 
Contábil-Universidade Federal do Rio Grande do Norte, 7(2), 32-52, 2015. 
 
 
16 
QSP. Abordagem do QSP para auditoria baseada em risco. 2010. Disponível 
em: <www.qsp.org.br/auditoria.risco.shtml>. Acesso em: 4 mar. 2020. 
SILVA, J. M. D. Auditoria baseada em riscos no processo de transporte 
nacional de cargas postais: um estudo de caso da Empresa Brasileira de 
Correios e Telégrafos. 2019. 
VEDODE, G. Auditoria de Riscos x ISO 31000. Revista Gestão de Riscos, São 
Paulo, 44. ed., [s.n.], p. 17-20, 2009.