impressao (5)

Prévia do material em texto

AULA 6 
AUDITORIA INTERNA 
DE GESTÃO 
Prof. Hamilton Edson Lopes de Souza 
 
 
2 
TEMA 1 – CONCEITOS E TIPOS DE RISCOS 
Todo ambiente de negócio apresenta riscos de várias naturezas, tanto no 
âmbito estratégico, quanto no operacional, decorrentes das diversas 
vulnerabilidades, inerentes às atividades ou geradas pela falta de controles, o que 
por si só já pode gerar ameaças de magnitudes e extensões diversas. Reconhecer 
a existência e a dimensão dos riscos corporativos, e a forma de mitigá-los, é mais 
importante do que correr riscos por falta de conhecimento das ameaças que 
podem estar afetando ou que irão impactar o futuro da organização. 
Mas afinal: o que é um risco? Antes de continuarmos, é preciso ter o pleno 
entendimento do conceito de risco. Segundo Lima (2015), a palavra risco, em suas 
origens, vem do latim resecare, que significa “cortar, separar com uma pedra”. O 
significado original vem da noção de perigo que os marinheiros tinham ao navegar 
perto de rochas perigosas e pontiagudas. 
No entendimento mais moderno, Santos (2002), afirma que risco “é o grau 
de incerteza em relação à possibilidade de ocorrência de um determinado evento, 
o que, em caso afirmativo, redundará em prejuízos”. Assim, para ter um 
entendimento com foco organizacional, podemos concluir que risco expressa uma 
probabilidade de ocorrências de possíveis danos em um período específico de 
tempo ou em um dado número de ciclos operacionais. Pode ser indicado pela 
probabilidade de um acidente multiplicada pelo dano monetário, em vidas ou 
unidades materiais. 
O risco é, portanto, susceptível a qualquer atividade, podendo ser de 
qualquer natureza e ter perspectiva e impactos que podem ser negativos ou 
positivos, mas que normalmente são mais negativos. 
É bom lembrar que o risco sempre estará presente nas atividades de 
qualquer organização, variando apenas o seu nível de criticidade de baixo ou alto 
nível de perigo, dependendo das medidas de controle existentes. Sabendo que o 
risco é inerente ao negócio e que não existe forma prática de não ter riscos, cabe 
à alta administração determinar o nível de risco considerado aceitável, e assim 
poder mantê-lo nesse limite. 
Todo risco tem uma origem que pode ser interna ou externa. Normalmente, 
são provenientes de ações diretas voluntárias ou involuntárias de pessoas e 
técnicas, oriundas de falhas de equipamentos, e/ou materiais, e incontroláveis, 
 
 
3 
originadas pela ação da natureza ou de ações do contexto institucional, tais como 
o governo, social, econômico, juros, câmbio, entre outros. 
Outro ponto que gera dúvida está relacionado com a distinção entre risco e 
ameaça. Embora se pense em semelhança, há uma diferença sutil quanto à 
potencialidade e probabilidade de danos, a seguir demonstrado: 
 No risco: a probabilidade do dano é real; se ocorrer, necessariamente 
haverá alguma perda; 
 Na ameaça: o dano é apenas potencial; se ocorrer, poderá haver perda ou 
não. 
Com base nessa compreensão, em um processo de gestão de riscos de 
uma organização, devem ser mapeados os processos e aspectos mais relevantes 
e as ameaças associadas a eles, em termos de criticidades, vulnerabilidades, 
probabilidades de ocorrência e impactos gerados. 
Os riscos identificados são mitigados à medida que são estabelecidos 
procedimentos, controles e uma proteção adequada a cada circunstância 
identificada, corrigindo os existentes e reduzindo a probabilidade de ocorrência 
das futuras ameaças. 
1.1 Tipos de riscos 
Como já mencionamos, os riscos podem ser oriundos de fontes internas e 
externas. Existem vários tipos de riscos que podem ocorrer em uma organização, 
podendo ser estratégicos ou operacionais; uma vez tendo ocorrido, as suas 
ameaças geram reflexos de magnitudes e extensões diversas. 
A seguir, alguns riscos mais considerados no gerenciamento dos riscos 
corporativos, tanto do macro quanto do microambiente da organização: 
 Riscos sistêmicos: a organização praticamente não tem controle de ação 
sobre eles. Nesta categoria estão os riscos relacionados com política, 
legislação e cenário econômico (inflação, globalização da economia, juros, 
câmbio, renda per capita, bolsa de valores, greve setorial), além de riscos 
demográficos e sociais; 
 Riscos contábeis/financeiros: são aqueles relacionados com as 
atividades e decisões tomadas no Contábil e Financeiro da empresa, tais 
como: crédito e atividades bancárias, liquidez, capital de giro, 
inadimplência, captação de recursos, investimentos, empréstimos, política 
 
 
4 
de custos e despesas, aspectos tributários, endividamento de curto e longo 
prazo; 
 Riscos clientes: são os riscos gerados no relacionamento com os clientes, 
tais como demanda de vendas, dependência, política de crédito, ciclos 
econômico e financeiro (prazos), gerenciamento da inadimplência, preço, 
assistência técnica, qualidade, gerenciamento do relacionamento com os 
clientes, imagem; 
 Riscos TI e sistemas de informação: consistem nos riscos gerados pelo 
uso da tecnologia de informação e dos sistemas de informação, tais como 
inovações em redes, hardware, software, proteção em internet, política de 
acessos, segurança das informações, plano de segurança, plano de 
continuidades, níveis de serviços, automação, invasões externas; 
 Riscos fornecedores: tratam-se dos riscos relativos às ameaças geradas 
pela cadeia de suprimento, tais como origem da matéria prima, qualidade, 
greve, distribuição, dependência, motivos ecológicos, prazo, entrega, 
garantia, assistência, estoques; 
 Riscos concorrentes: consiste na avaliação das ações dos concorrentes 
quanto à entrada de novos concorrentes, existência e lançamento de 
produtos ou serviços similares ou novos, fusões de concorrentes, parcerias 
e alianças entre concorrentes, inovações; 
 Riscos operacionais: nesta categoria se encontram os riscos decorrentes 
de ameaças internas, oriundas das atividades e da própria estrutura da 
organização, tais como: greves, infraestrutura (falhas), equipamentos 
(manutenção, falhas, obsolescência), processos, produção, logística, 
compras, erros, ocorrência de fraudes, gestão, sucessão, estoques, 
documentação, não conformidades normativas e de legislação; 
 Riscos ambientais: consistem de riscos gerados por ameaças originadas 
pela gestão ambiental da organização, tais como passivos ambientais, 
gerenciamento de resíduos, tratamento dos impactos ambientais nos 
processos, instalações e produtos, poluição, não conformidades com 
legislação; 
 Riscos humanos: são os riscos gerados pelas ações das pessoas, tanto 
internamente, quanto à força de trabalho, quanto externamente, com 
terceiros. São exemplos: passivos trabalhistas, capacitação, rotatividade, 
motivação, vandalismo, sabotagem, roubos, aspectos jurídicos; 
 
 
5 
 Riscos naturais: nesta categoria de riscos, as ameaças existentes são de 
pouco controle da organização, pois são geradas contingencialmente, tais 
como descargas atmosféricas, inundações, catástrofes, terremotos. 
TEMA 2 – GERENCIAMENTO DE RISCOS CORPORATIVOS (GRC) 
Para que se possa obter uma visão e gestão estruturada e sistematizada 
do contexto dos riscos, deve-se buscar a implantação de um processo de gestão 
de riscos, normalmente denominado como Gerenciamento de Riscos 
Corporativos (GRC). 
Podemos afirmar que o GRC é um conjunto de atividades estruturadas, 
sistematizadas e contínuas, que visam o direcionamento e o monitoramento dos 
eventos e/ou situações de riscos da organização, que de alguma forma possam 
dificultar ou até comprometer seus objetivos estratégicos e/ou funcionais. 
O processo de GRC compreende atividades que buscam identificar, 
analisar, tratar e monitorar os riscos empresariais da organização. 
A gestão dos riscos corporativos é de responsabilidade de todos os 
profissionais da organização, desde o planejamento estratégico e alocação de 
recursos até asáreas de negócios. Normalmente, essas atividades são realizadas 
por um grupo ou comitê de riscos da administração da empresa, com supervisão 
da direção da empresa e do Conselho de Administração, quando houver sistema 
de Governança Corporativa, que é constituída por representantes das áreas da 
empresa e eventualmente por consultores externos e auditores internos da 
empresa. Esse grupo ou comitê será responsável pelo desenvolvimento de um 
mapa ou matriz de riscos. 
Podemos considerar como principais benefícios da gestão dos riscos a 
maior probabilidade de alcance dos objetivos e uma visão sistêmica dos riscos 
existentes no negócio, além de minimização de crises, identificação dos riscos 
que podem ser assumidos e melhoria na tomada de decisões. 
Alinhado ao COSO, segundo o The Institute of Internal Auditors – IIA, o 
GRC deverá atender as seguintes finalidades: 
 Alinhar os limites de risco da organização com as estratégias definidas, ou 
seja, determinar o “apetite” de risco; 
 Fortalecer as decisões em resposta aos riscos; 
 Reduzir as contingências e os prejuízos operacionais decorrentes; 
 
 
6 
 Identificar e administrar riscos múltiplos e entre diversos empreendimentos; 
 Identificar e aproveitar as oportunidades para o negócio; 
 Aperfeiçoar o capital e os resultados de desempenho. 
Como base para estabelecer o gerenciamento de riscos, as organizações 
têm utilizado os parâmetros do Committee of Sponsoring Organization of The 
Treadway Commission – COSO, organização privada independente criada em 
1985, nos Estados Unidos, que tem se dedicado na melhoria da qualidade das 
informações financeiras, incentivando a ética nos negócios, a eficácia dos 
controles internos e a governança corporativa. Além disso, se dedica ao estudo 
dos reportes fraudulentos, com recomendações às organizações, aos auditores, 
a órgãos de regulação e a instituições de ensino. Seus principais patrocinadores 
e representantes são oriundos da indústria, e também contadores, empresas, 
órgãos de classe e a Bolsa de Nova York. 
Em 1992, o COSO publicou o Internal Control – Integrated Framework, para 
auxiliar as organizações no processo de avaliar e aperfeiçoar seus sistemas de 
controles internos. Posteriormente, em 2001, apresentou o Enterprise Risk 
Management – ERM (Gerenciamento de Riscos Corporativos – GRC), conhecido 
na prática como COSO II. Em 2013, houve uma pequena revisão e atualização, 
complementando a versão anterior. Além do framework COSO II, as organizações 
também usam como referência para gerenciamento de riscos corporativos a NBR 
ISO 31000 (2009). 
Para finalizarmos e sintetizarmos este tópico, podemos afirmar que o 
gerenciamento de riscos, tendo como base o COSO, se resume nos seguintes 
pontos: 
 Identificação das ameaças existentes: inicia-se a preparação da matriz 
de risco, identificando primeiramente as áreas a serem consideradas e as 
suas respectivas ameaças e possíveis riscos; 
 Análise dos riscos identificados: por meio de uma metodologia que 
determine o grau de criticidade, avaliam-se as ameaças e riscos eminentes, 
quanto ao grau de criticidade dos impactos causados, à probabilidade de 
ocorrência e à necessidade de ações de mitigação; 
 Priorização dos riscos avaliados: com base nos resultados da análise, 
avaliam-se quais riscos merecem ser priorizados, quanto à sua 
minimização a curto, médio e longo prazos; 
 
 
7 
 Tratamento das medidas: uma vez priorizados os riscos críticos, estuda-
se as alternativas de solução, preventivamente e corretivamente, para 
posteriormente estabelecer planos de ação; 
 Resposta a riscos: esta etapa se refere ao alinhamento dos riscos com a 
tolerância em assumi-los, e com o “apetite” ao risco. Nesse momento, já se 
conhece todas as ameaças e riscos existentes na organização e as suas 
dimensões, o que permite a ação de resposta para a tomada de decisões. 
Nesse momento, será possível definir três respostas aos riscos, que podem 
ser a “Aceitação plena do risco”, “Recusa total do risco” e o que na maioria 
ocorre, a “Redução do risco”: 
 Comunicação e monitoramento: nesta etapa realiza-se a comunicação 
de informações importantes para a condução do processo a todas partes 
interessadas, bem como o controle e acompanhamento das ações 
realizadas durante todo o processo de gerenciamento de riscos, com 
relação à sua eficácia e eficiência. Ainda nesta etapa, com os resultados 
do monitoramento, é feita uma revisão. 
TEMA 3 – O PAPEL DA AUDITORIA BASEADA EM RISCOS - ABR 
A Auditoria Baseada em Riscos (ABR) é uma atividade independente, 
normalmente executada por auditores da auditoria interna, que tem como objetivo 
principal a avaliação e consultoria interna, quando for o caso, da eficácia do 
processo de Gerenciamento de Riscos Corporativos (GRC) da organização. 
Provavelmente haverá uma dúvida quanto a diferença entre a auditoria 
baseada em riscos e a auditoria tradicional. Devemos lembrar que a auditoria 
baseada em riscos proporciona uma determinada visão. A Auditoria Baseada em 
Riscos, em comparação com a auditoria tradicional, demanda que a organização 
implante um processo adequado de gestão de riscos, em todas as suas etapas, 
para que assim ela possa atuar, enquanto que o escopo da auditoria tradicional 
não exige esse requisito. 
3.1 Diferenças da ABR e a auditoria tradicional 
Para compreendermos melhor, podemos afirmar que a ABR proporciona 
uma visão mais ampla e flexível, pois aplica testes em processos cujos riscos 
foram identificados na matriz de riscos, sendo esses testes focados nos controles 
 
 
8 
que reduzem esses riscos relevantes, prevenindo e antecipando os riscos de 
negócios na sua origem, sempre os relacionando com o planejamento estratégico 
da organização. 
Já a auditoria tradicional se baseia na avaliação da organização e seus 
controles, normalmente verificando o ocorrido. Seus testes são focados em todos 
os controles e nem sempre há um alinhamento direto com os objetivos 
estratégicos da organização. 
Segundo Pinho e Bezerra (2015), os auditores que atuam na ABR têm 
necessidade de adotar algumas mudanças em sua forma de trabalhar, para se 
adequar a esse tipo de atividade. A primeira mudança está na forma de olhar a 
organização, que deve ser mais abrangente, integrada, sistêmica e não 
fragmentada. No Quadro 1, para melhor entendimento, apresentamos as 
diferenças entre a auditoria interna tradicional e a ABR. 
Quadro 1 – Diferenças da Auditoria Tradicional e da Auditoria Baseada em Riscos 
– ABR 
Auditoria tradicional Auditoria Baseada em Riscos - ABR 
Enfatiza os controles internos. Enfatiza a relevância dos riscos 
Programa de testes abrange todos os 
controles. 
Programa de testes avalia os riscos do 
negócio, identificados na matriz de riscos, 
alinhando-os com os objetivos e estratégias 
da organização. 
Verifica, detecta e reage aos riscos do 
negócio de forma não integrada. 
Antecipa e previne riscos de negócios na 
origem, de forma integrada 
Atua na maior parte do tempo com testes, 
validação e consolidação das 
informações. 
Atua na maior parte do tempo em 
levantamento e análise de informações, 
propiciadas pelo processo de Gerenciamento 
de Riscos Corporativos – GRC. 
Fonte: Elaborado com base em Vedode, 2009. 
3.2 Abrangência de atuação da Auditoria Baseada em Riscos – ABR 
De acordo com o The Institute of Internal Auditors (IIA), a Auditoria Baseada 
em Riscos pode assumir vários papeis, variando de acordo com a circunstância 
de maturidade e a necessidade da organização e da própria auditoria interna. 
Também elenca que os principais fatores a serem considerados ao se determinar 
o papel da auditoria interna são: 
 Se a atividade oferece quaisquer riscos à independência e objetividade da 
atividade da auditoria interna; 
 Se é possível aperfeiçoar os processos de gerenciamento de riscos, 
controle e governança corporativa da organização.9 
É bom lembrar que não é papel da auditoria interna gerir os riscos, pois 
essa é uma atividade operacional, cuja responsabilidade é da gestão da 
organização. As atividades da auditoria interna envolvendo a gestão de riscos 
constam na Normativa n. 2110 do The Institute of Internal Auditors. A seguir 
apresentaremos as principais atividades de atuação da Auditoria Baseada em 
Riscos: 
a. Consultoria interna: Por ocasião da implantação do processo de 
Gerenciamento de Riscos Corporativo (GRC), a auditoria participa como 
membro de grupo de trabalho ou comitê, nos primeiros estágios, visando 
apoio e orientação nos trabalhos, no que se refere à definição de objetivos 
estratégicos, conformidade, limites de aceitação de riscos e metodologias 
a serem adotadas para a análise de riscos. A auditoria interna 
disponibilizará para o grupo de trabalho as metodologias e técnicas 
utilizadas para a análise de riscos e controles. Outro ponto importante o 
suporte ao trabalho do grupo na identificação da melhor forma de se mitigar 
o risco. 
b. Avaliação do Processo GRC: essa atividade ocorrerá após implantação 
do processo de GRC. A auditoria interna assume o seu principal papel de 
auditor, avaliando se o processo está sendo implementado 
adequadamente. De acordo com o The Institute of internal Auditors – IIA, 
nesta fase os principais papeis da auditoria interna são: 
i. Dar garantia que o processo de GRC está ocorrendo, de forma eficaz; 
ii. Assegurar que os riscos estabelecidos foram corretamente estimados; 
iii. Avaliar todas as etapas do processo de GRC; 
iv. Avaliar se o processo de comunicação está ocorrendo de forma 
adequada para todas as partes interessadas; 
v. Propiciar subsídios para revisão do processo de GRC 
c. Plano anual da auditoria interna: independentemente do fato de a 
organização ter ou não um Processo de Gerenciamento de Riscos 
Corporativos, a auditoria interna precisa ter à sua disposição estudos sobre 
os riscos da organização nos seus diversos níveis, visando a elaboração 
do seu Planejamento Anual de atividades de auditoria, no que se refere a 
priorização dos trabalhos de auditoria que irá realizar no próximo período. 
Quando a organização não possui uma gestão de riscos, os auditores 
elaboram os seus próprios instrumentos para identificação dos riscos, que são 
 
 
10 
baseados em resultados de trabalhos realizados anteriormente e em 
metodologias específicas. 
É bom lembrar que essa verificação se restringe apenas à identificação das 
principais ameaças e riscos organizacionais. É pontual, não havendo a aplicação 
das outras etapas de um efetivo Gerenciamento de Riscos Corporativo, como por 
exemplo a mitigação dos riscos, pela administração da organização. 
Considerando que a auditoria interna não terá recursos para cobrir todas 
as atividades, em um período de um ano, é necessário priorizar áreas e 
processos, tendo como base os riscos corporativos da organização, conforme 
previsto na Norma 2010 do IIA. 
TEMA 4 – AUDITORIA INTERNA E GOVERNANÇA CORPORATIVA 
Antes de comentarmos sobre o papel e a relação da auditoria interna e da 
governança corporativa, é preciso entender exatamente o que é governança 
corporativa. 
O conceito e implantação de estruturas de Governança Corporativa 
ganharam mais visibilidade nos últimos anos, principalmente em decorrência de 
fraudes financeiras ocorridas nos Estados Unidos, em 2001, com a crise de 2008 
e posteriormente no Brasil, em virtude da corrupção e da crise política. 
Governança Corporativa é um conjunto de mecanismos e procedimentos 
que garantem a sustentabilidade corporativa das organizações. Segundo o 
Instituto Brasileiro de Governança Corporativa (IBGC), a Governança Corporativa 
é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, 
envolvendo relacionamentos entre acionistas, Conselho de Administração, 
Conselho Fiscal, Diretoria e Órgãos de Controle, como a Auditoria Interna e 
Externa. 
Esse sistema é composto por um conjunto de normas e práticas que 
definem as obrigações e responsabilidades dos acionistas controladores, de 
diretores e administradores da organização, servindo de guia para a maximização 
do valor das organizações e para a proteção de todas as partes interessadas, 
facilitando o acesso aos recursos e contribuindo para a sustentabilidade. Como 
exemplo de procedimentos de governança, podemos citar a adoção de código de 
ética, práticas de integridade empresarial, compliance, auditorias, estatutos de 
procedimentos, responsabilidade corporativa nas ações dos executivos, incluindo 
criminal por fraude, entre outros. 
 
 
11 
De acordo com o IBGC (2015), em seu Código de Melhores Práticas de 
Governança Corporativa, os princípios básicos de Governança Corporativa são: 
 Transparência: trata-se da intenção de disponibilizar informações às 
partes interessas que sejam de seu interesse e não apenas àquelas 
impostas por disposições de leis ou regulamentos. A transparência nas 
ações da organização cria um ambiente de confiança e credibilidade entre 
as partes interessadas, interna e externamente. Essa transparência não se 
limita somente aos aspectos econômico-financeiros, mas às demais 
informações das diversas perspectivas da organização; 
 Equidade: esse princípio consiste no tratamento justo e isonômico entre 
os diversos acionistas da organização (minoritários e majoritários) e as 
demais partes interessadas; 
 Prestação de Contas (Accountability): trata-se da necessidade de os 
agentes da governança prestarem contas de sua atuação, de forma clara, 
concisa, acessível e no tempo oportuno, assumindo as responsabilidades 
dos atos e omissões praticados, com zelo profissional. 
 Responsabilidade Corporativa: esse princípio está relacionado com o 
zelo pela viabilidade econômico-financeira da organização, com vistas à 
redução dos impactos negativos externos aos negócios e suas operações 
e simultaneamente visando a maximização dos fatores positivos, levando 
em consideração o modelo de negócios, os capitais financeiros, intelectual, 
humano, social, ambiental, imagem, entre outros, no curto, médio e longo 
prazo. Esse princípio também pressupõe a conduta ética dos agentes da 
governança na condução dos negócios. 
4.1 Composição da governança corporativa 
A estrutura de uma governança corporativa normalmente é composta de 
sócios proprietários da organização e de Conselho de Administração, Conselho 
Fiscal, Auditorias, Comitês, Gestão Executiva da organização e Conduta e 
Conflito de Interesses. Vejamos uma descrição mais detalhada de cada uma das 
partes que compõem a governança corporativa: 
 Sócios-proprietários: acionistas proprietários da organização, tanto 
minoritários, quanto majoritários, que por meio de estatutos participam de 
 
 
12 
assembleias para deliberações diversas, avaliando as decisões do 
conselho de administração e da gestão executiva; 
 Conselho de administração: é o órgão colegiado encarregado do 
processo de decisão de uma organização em relação ao seu 
direcionamento estratégico, zelando pelos princípios, valores, objeto social 
e sistema de governança da organização (o seu principal componente). 
Além de decidir os rumos estratégicos do negócio, compete ao conselho 
de administração, conforme o melhor interesse da organização, monitorar 
a diretoria, atuando como elo entre ela e os sócios. Os membros do 
conselho de administração são eleitos pelos sócios. Na qualidade de 
administradores, os conselheiros possuem deveres fiduciários para com a 
organização e prestam contas aos sócios nas assembleias. De forma mais 
ampla e periódica, também prestam contas aos sócios e às demais partes 
interessadas por meio de relatórios periódicos. 
 Conselho fiscal: é composto por integrantes do conselho de 
administração e tem a finalidade de fiscalizar os atos administrativos e 
verificar o cumprimento dos deveres legaise estatutários. Também opinam 
no relatório anual da administração, nas propostas dos órgãos de 
administração a serem submetidas à assembleia de acionistas, referentes 
a mudanças de capital social, na emissão de debentures ou bônus de 
subscrição, nos planos de investimentos, ou em orçamentos de capital, 
distribuição de dividendos, transformação, incorporação, fusão ou cisão. 
Além disso, podem denunciar atos, erros, fraudes ou crimes de não 
providência dos membros da gestão executiva na proteção dos interesses 
da organização. Outro papel do conselho fiscal é o de analisar 
periodicamente os relatórios de demonstrações contábeis financeiros da 
organização; 
 Gestão executiva (diretoria): cabe ao diretor presidente da organização a 
responsabilidade pela gestão da empresa e pela coordenação da diretoria. 
Cada diretor deverá prestar conta ao diretor presidente e ao conselho de 
administração. O conselho de administração aprova a indicação de 
diretores e homologa os seus salários. O diretor presidente da organização 
e demais diretores devem assegurar a transparência nas informações para 
todos que tenham alguma relação com risco direto ou indireto; 
 
 
13 
 Auditoria independente: o conselho de administração, com o auxílio do 
comitê de auditoria, tem a responsabilidade de estabelecer, junto com os 
auditores independentes (externos), o escopo de trabalho e os honorários. 
A auditoria independente se reportará diretamente ao conselho de 
administração; 
 Comitês: visando obter maior consistência nas informações que 
consolidam as decisões dos membros do conselho de administração, 
podem ser criados comitês relacionados a diversas áreas, conforme a 
necessidade, tais como: comitê de auditoria, de riscos e capital, de 
estratégia, de recursos humanos, internacional, entre outros que sejam 
necessários; 
 Conduta e conflito de interesses: é a elaboração, pela diretoria, de um 
código de conduta, que contenha os princípios e políticas que norteiam a 
organização, com a aprovação do conselho de administração, que 
contemple o respeito às leis do país, o compromisso de administradores e 
colaboradores, relacionamentos éticos de todas as partes interessadas, 
responsabilidades sociais e ambientais, procedimentos anticorrupção, bem 
como canais de denúncias. 
4.3 O papel da auditoria interna na governança corporativa 
Geralmente, as áreas de auditoria interna das organizações que possuem 
estrutura formal de governança corporativa estão subordinadas ao comitê de 
auditoria do conselho de administração, se posicionando acima da gestão 
executiva (diretoria) da organização, gerando maior autonomia e independência 
de atuação. 
O conselho de administração da governança corporativa tem a 
responsabilidade de avaliar todos os resultados apresentados nos relatórios dos 
trabalhos de auditoria interna, verificando o grau de criticidade e recomendações 
e utilizando informações para dar apoio ao escopo da auditoria externa. 
Entretanto, é prioridade garantir que os processos de gerenciamento de 
riscos estejam funcionando corretamente. Para isso, apoia-se nos trabalhos 
realizados pela auditoria interna em três pontos chaves: 
1. Processos de Gerenciamento de Riscos, nos seus desenhos, e quão bem 
estão funcionando; 
 
 
14 
2. Gerenciamento de Riscos, classificados como críticos e significativos, 
incluindo a eficácia dos controles e as respostas a eles; 
3. Análise confiável e apropriada dos riscos, bem como dos relatórios sobre a 
posição dos riscos e controles. 
A normativa internacional 2130 do IIA estabelece que a auditoria interna 
deve avaliar e efetuar recomendações apropriadas para a melhoria do processo 
de governança corporativa, cumprindo os seguintes objetivos: 
 Promover a ética e os valores apropriados dentro da organização; 
 Garantir a gestão do desempenho eficaz da organização e a 
responsabilidade por prestação de contas; 
 Comunicar de maneira eficaz, às áreas apropriadas da organização, as 
informações relacionadas ao risco e ao controle; 
 Coordenar de forma eficaz as atividades e comunicar as informações entre 
o conselho de administração, os auditores independentes (externos), 
auditores internos e a administração (diretoria). 
Assim, finalizando este tema e citando o Instituto Brasileiro de Governança 
Corporativa (IBCG) (2015), 
a função de auditor interno evoluiu muito ao longo dos anos, deixando 
de ser o profissional responsável somente pela garantia de 
conformidade e respeito as regras internas, para um profissional 
comprometido com o futuro da organização, verdadeiro consultor 
interno, em busca da geração de valor para o negócio. 
TEMA 5 – AUDITORIA INTERNA E O COMITÊ DE AUDITORIA 
Conforme afirmamos anteriormente, nas organizações que possuem 
estrutura de Governança Corporativa, a auditoria interna se reportará ao conselho 
de administração com o apoio do comitê de auditoria. 
O comitê de auditoria é criado pelo conselho de administração da 
Governança Corporativa da organização, sendo composto, preferivelmente, por 
conselheiros. É um órgão de assessoramento ao conselho de administração, que 
auxilia no controle sobre a qualidade de demonstrações financeiras e em controles 
internos, visando a confiabilidade e integridade das informações, para proteger a 
organização e todas as partes interessadas. 
As principais ações previstas para o Comitê de Auditoria, segundo o IBGC 
(2015), são as seguintes: 
 
 
15 
 Monitorar a efetividade e a qualidade dos controles internos da 
organização; 
 Monitorar a conformidade da aplicação das leis, regulamentos, diretrizes, 
políticas e outros sistemas de compliance pela organização; 
 Supervisionar a estrutura e as atividades de gerenciamento de riscos pela 
direção da organização, nos níveis operacionais, financeiros e estratégicos; 
 Monitorar os aspectos de ética e conduta, incluindo a efetividade do Código 
de Conduta e do canal de denúncias, abrangendo o tratamento das 
denúncias recebidas e eventual existência de fraude; 
 Monitorar a qualidade do processo contábil e respectivas práticas contábeis 
selecionadas, da preparação das demonstrações financeiras e outras 
informações divulgadas a terceiros; 
 Supervisionar as atividades da auditoria interna, incluindo qualidade dos 
seus trabalhos, estrutura existente, planejamento anual de trabalho e 
resultados dos trabalhos realizados. A auditoria interna irá estabelecer o 
seu planejamento anual de trabalhos (ver Aula 5) e irá submetê-lo para 
aprovação ao comitê de auditoria; 
 Dar suporte ao conselho de administração na contratação ou substituição 
do auditor independente (externo), supervisionando a sua atuação, 
garantindo estrutura, independência perante a organização e a qualidade 
dos trabalhos; 
 Avaliar e monitorar os controles existentes para as transações da 
organização com partes relacionadas, bem como para a sua divulgação. 
O relacionamento entre a auditoria interna e o comitê de auditoria ocorrerá 
diretamente e sua comunicação se dará por meio de reuniões formais periódicas 
e por meio da apresentação dos planos de trabalho e dos relatórios de auditoria 
interna, aprovados pelo comitê de auditoria. 
 
 
 
 
 
16 
REFERÊNCIAS 
ABNT – Associação Brasileira De Normas Técnicas. Gestão de Riscos: 
princípios e diretrizes. NBR ISO 31000. Rio de Janeiro, 2009. 
AVALOS, J. M. A. Auditoria e gestão de riscos. São Paulo: Saraiva, 2009. 
BRASILIANO, A. C. R. Manual de análise de risco: para a segurança 
empresarial. São Paulo: Sicurezza, 2003. 
CFC – Conselho Federal de Contabilidade. Normas brasileiras de 
contabilidade: auditoria independente NBC TA estrutura conceitual, NBC TA 200 
a 810. Brasília: CFC, 2012a. 
_____. Normas brasileiras de contabilidade: auditoria interna NBC TI 01 e NBC 
PI 01. Brasília: CFC, 2012b. 
CICCO, F. de. Auditoria baseada em riscos: como implementar a ABR nas 
organizações. São Paulo:Risk Tecnologia, 2007. 
DAVID M.; GEORGES M. Risk Management: chancing the internal auditors 
paradigm. Florida, USA: The Institute of Internal Auditors Research Foundation, 
1998. 
GIROTRA, K.; NETESINE, S. Gestão de riscos: nos modelos de negócio. Rio de 
Janeiro: Elsevier/Campus, 2015. 
IBGC – Instituto Brasileiro De Governança Corporativa. Certificação de 
conselheiros de administração: material de estudo. São Paulo: IBGC, 2009. 
_____. Código de melhores práticas de governança corporativa. 5. ed. São 
Paulo: IBGC, 2015. 
LIMA, A. et. al. Análise de riscos envolvendo TI. Campina Grande: UFCG, 2003. 
LIMA, F. G. Análise de riscos. São Paulo: Atlas, 2015. 
MAFFEI, J. L. Curso de auditoria. São Paulo: Saraiva, 2015. 
MELHEM, M. G.; COSTA, R. N. da. Auditoria contábil e tributária. Curitiba: 
IBPEX, 2011. 
NASCIMENTO, A. M.; REGINATO, L. Controladoria. 2. ed. São Paulo: Atlas, 
2015. 
 
 
17 
PINHO, R. C. S.; BEZERRA, L. B. Implantação da auditoria baseada em risco em 
uma entidade do “sistema S”: o caso do SEBRAE/CE. Revista Ambiente 
Contábil, v. 7, n. 2, p.32-52, jul./dez. 2015 
RIBEIRO, O. M.; COELHO, J. M. R. Auditoria. 3. ed. São Paulo: Saraiva, 2018. 
SANTOS, P. S. M. dos. Gestão de riscos empresariais. Osasco, SP: Novo 
Século Editora, 2002. 
SOUZA, H. E. L. In: CAIÇARA JUNIOR, C. Sistemas Integrados de Gestão – 
EPR. 4. ed. Curitiba: Intersaberes, 2011. 
VEDODE, G. Auditoria de riscos x ISO 31000. Revista Gestão de Riscos, n. 44, 
p. 17-20, 2009. 
WANDERLEY, C. A. N. Auditoria: teoria e questões. Rio de Janeiro: Ferreira, 
2011.