Baixe o app para aproveitar ainda mais
Prévia do material em texto
DESCRIÇÃO Discussão dos fundamentos de gerenciamento de riscos corporativos, do gerenciamento de controles internos e dos riscos de uma auditoria. PROPÓSITO Compreender os aspectos históricos relativos à percepção da relevância do tratamento de riscos nas organizações, assim como as principais referências de gerenciamento de riscos, como, por exemplo, uma abordagem adotada nos procedimentos de auditoria, e de controles internos. OBJETIVOS MÓDULO 1 Descrever a retrospectiva histórica de questões relativas à construção do conhecimento em gerenciamento de riscos e controles internos, assim como os principais referenciais de mercado MÓDULO 2 Selecionar as principais características do referencial COSO 2017 integrado à estratégia e ao desempenho da organização, além de seus respectivos componentes e princípios direcionadores MÓDULO 3 Identificar as principais características do referencial COSO 2013, assim como seus respectivos componentes e princípios direcionadores MÓDULO 4 Descrever os riscos de uma auditoria INTRODUÇÃO Imagem: Pedro Hikaru Vejamos como está estruturado o nosso estudo: 1 Inicialmente, faremos uma visita às origens históricas das questões que embasam o gerenciamento de riscos. Para isso, apresentaremos os principais referenciais que abordam o gerenciamento de riscos e o de controles internos. Também abordaremos o modelo de três linhas desenvolvido pelo Institute of Internal Auditors (Instituto dos Auditores Internos.) (IIA). 2 Na abordagem do gerenciamento de riscos proposto pelo COSO (sigla americana de Committee of Sponsoring Organizations of the Treadway Commission (Comitê das Organizações Patrocinadoras.) ), compreenderemos a relação existente entre o gerenciamento de riscos corporativos, a estratégia de uma organização e o seu desempenho. Veremos que o COSO 2107 é estruturado em componentes e princípios que apoiam a estruturação de um sistema de gerenciamento de riscos integrado à estratégia e ao desempenho de uma organização. Quanto aos controles internos, descreveremos o COSO 2013, que trata do gerenciamento de controles internos, os quais, por sua vez, são mecanismos de controle de atividades para evitar impactos negativos no alcance de objetivos operacionais, de conformidade e de divulgação. De forma similar ao COSO 2017, ele também é estruturado em componentes e princípios a serem apresentados de forma mais detalhada. 3 Em seguida, listaremos os riscos existentes nos procedimentos de auditoria. Nessa linha, apontaremos as situações que impactam na probabilidade de riscos de uma auditoria. 4 Por fim, destacaremos os quatro conceitos de risco (de distorção relevante, inerente, de controle e de detecção), assim como demais procedimentos que colaboram para a coleta de evidências em procedimentos de auditoria. MÓDULO 1 Descrever a retrospectiva histórica de questões relativas à construção do conhecimento em gerenciamento de riscos e controles internos, assim como os principais referenciais de mercado Imagem: Pedro Hikaru ORIGEM HISTÓRICA O gerenciamento de riscos permeia a atuação da humanidade desde os seus primórdios. A compreensão de suas origens históricas e de sua evolução é útil para um melhor conhecimento e aplicação dessa área de conhecimento. Gerenciar riscos é uma consequência da reação do ser humano às forças externas do ambiente em que vive. Essas forças, afinal, podem ser benéficas ou não contribuírem para a sua sobrevivência. Imagem: Shutterstock.com Ao compreendermos os marcos iniciais dos riscos, teremos referenciais que nos ajudarão a elucidar os melhores caminhos a serem percorridos no futuro. Essa compreensão aplica-se não somente às grandes questões da humanidade, mas também às organizações. A concepção de prevenção é decorrente da evolução da racionalidade humana ao ter de lidar com questões que instigam sua capacidade de adaptação para reconhecer e enfrentar riscos. Imagem: Shutterstock.com O êxito do ser humano – a partir do seu ancestral homo sapiens – em relação aos demais hominídeos deu-se em função de sua adaptabilidade aos diferentes ambientes receptivos ou agressivos. Ela, aliás, também é contemplada pela seleção genética que auxilia na evolução das espécies. Constata-se que ele deixou de entender que o risco é uma consequência de fenômenos da natureza ou de seres superiores que possam controlar o planeta Terra, vendo-o apenas como uma ocorrência que pode ser dominada para melhor sobrevivência. Ao transpormos este patamar, tivemos a oportunidade de alavancar o sistema econômico da sociedade. Imagem: Shutterstock.com EXEMPLO Um dos vestígios mais antigos que trata da preocupação com o risco pode ser constatado em um papiro egípcio que descreve os cuidados que o trabalhador à época deveria ter com o uso de vestimentas para proteger seus braços. Eles, afinal, eram uma fonte de obtenção de alimentos nas atividades agrícolas. Com a evolução natural ocorrida, o homem passou a atuar em atividades de pastoreio e confecção de artefatos pessoais, culminando na Revolução Industrial, época em que a prevenção de riscos pôde mostrar sua relevância em razão dos diversos acidentes ocorridos nas linhas de produção. Faremos uma breve cronologia da forma como o risco vem sendo tratado ao longo da história: Imagem: Simanta Talukdar/Shutterstock.com SÉCULO XIII A.C. Ocorreram as primeiras indenizações em razão de inundações de propriedades e de roubos patrimoniais. Imagem: Shutterstock.com SÉCULO XVII Criação do seguro de incêndios na Inglaterra como forma de tratamento de risco. Imagem: Shutterstock.com 1870 Com o advento da Revolução Industrial, iniciaram-se as tentativas de prevenção de acidentes, que passaram a ocorrer frequentemente, por meio de melhorias dos equipamentos de proteção e das instalações industriais. Imagem: Shutterstock.com 1921 Frank Knight (1885-1972) lança uma publicação que trata de riscos, incertezas e lucros. javascript:void(0) Imagem: Shutterstock.com 1939-1945 A capacidade industrial foi considerada um ponto nevrálgico para que uma nação pudesse ser vencedora na Segunda Guerra Mundial. Por essa razão, a segurança do trabalho, por intermédio de ações de prevenção, passou a ser a tônica da época. Imagem: Shutterstock.com 1952 Harry Markowitz demonstrou, por meio de métodos estatísticos, que colocar todos os ovos em uma cesta oferece um risco maior do que atuar de forma diversificada. Imagem: Shutterstock.com 1963 Robert Meher e Bob Hedges lançam no mercado uma publicação que tratava do gerenciamento de riscos nas organizações. Imagem: Shutterstock.com DÉCADA DE 1970 A teoria da probabilidade desenvolvida no século XVII passa a ser aplicada como método quantitativo de gerenciamento de riscos nas áreas de saúde, mercado financeiro e seguros. Capa de um exemplar da revista Fortune. Imagem: Fortune / Time Inc.© / Time Warner Inc.© 1975 É lançada a revista americana Fortune, publicação que aborda a revolução decorrente do gerenciamento de riscos. Ela definia uma forma de gerenciar riscos na organização que dependesse da atuação da alta administração. Imagem: Shutterstock.com 1992 Cria-se, nos Estados Unidos, um guia pioneiro no gerenciamento dos controles internos de uma organização pelo comitê COSO. Já na Inglaterra, o Comitê Cadbury define que a alta administração precisa definir, assegurar e monitorar o gerenciamento de riscos na organização. Imagem: Shutterstock.com 1996 Peter Bernstein enfatiza que a abordagem de riscos baseada em métodos quantitativos é relevante; todavia, ele frisa que a necessidade de uma abordagem holística na organização também deve ser ressaltada. Imagem: Paul Rand / Wikimedia commons / Domínio público 2001 A empresa americana Enron atua de forma fraudulenta em operações contábeis e financeiras com apresentações de balanços patrimoniais falsos e lucros irreais. Imagem: Shutterstock.com 2002 A atuação da Enron precipitoua aprovação da Lei Sarbanes-Oxley, que instituiu mecanismos de governança que pudessem reduzir a ocorrência de fraudes. Imagem: Shutterstock.com 2004 O Comitê COSO publica o Guia de gerenciamento de riscos corporativos. Imagem: NBR ISO 31000. Imagem: Associação Brasileira de Normas Técnicas©. 2009 É publicada a Norma Técnica ISO 31000, que define os princípios e as diretrizes do gerenciamento de riscos aplicáveis a qualquer tipo de organização. Imagem: Shutterstock.com 2013 O Comitê COSO atualiza seu guia de controles internos. Imagem: Shutterstock.com 2017 Lançado em 2004, o Guia de gerenciamento de riscos corporativos do Comitê COSO é atualizado com a incorporação da estratégia e da mensuração de desempenho à sua estrutura. FRANK KNIGHT Tornou-se referência mundial na área por definir as bases conceituais do gerenciamento de riscos. PRINCIPAIS REFERENCIAIS DE GERENCIAMENTO DE RISCOS E CONTROLES INTERNOS No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os principais referenciais de gerenciamento de riscos e controles internos. Vamos assistir! O gerenciamento de riscos e controles internos nas organizações coopera para a aquisição dos seguintes benefícios: Maior alcance de resultados estratégicos. Maior desempenho organizacional. Maior eficácia em projetos. Maior eficiência nos processos de trabalho. Redução do gerenciamento de crises. Maior percepção de valor aos clientes. Esse gerenciamento nas organizações pode ser estruturado a partir de vários referenciais existentes no mercado. Apresentaremos, de forma simplificada, aqueles desenvolvidos pelo COSO e pela IIA: Imagem: Pedro Hikaru Referenciais de gerenciamento de riscos e controles internos. COSO Criado em 1985, o COSO é um comitê norte-americano sem fins lucrativos para implementar mecanismos de controle e monitoramento de relatórios financeiros. Sua criação foi decorrente do grande número de fraudes contábeis e financeiras ocorridas em anos anteriores. Nessa linha de trabalho, ele é formado por cinco organizações do setor privado que se dedicam a liderar iniciativas relativas ao gerenciamento de riscos corporativos, ao controle interno e à dissuasão de fraudes por conta do desenvolvimento de frameworks (estruturas de trabalho) e recomendações. Em sua atuação, o COSO disponibiliza os seguintes referenciais para serem utilizados pelas organizações: Controle interno – estrutura integrada (COSO 2013) Gerenciamento de riscos corporativos integrados à estratégia e ao desempenho (COSO 2017) O gerenciamento de riscos nas organizações em todo o mundo emprega intensivamente o conhecimento consolidado por essa organização, que alcançou um grau maior de maturidade de suas propostas utilizadas para combater as diversas fraudes contábeis e financeiras ocorridas nas últimas décadas. Suas práticas, recomendações e guias são amplamente adotadas pelas organizações públicas ou privadas, além de constituírem a base de pesquisas acadêmicas. IIA Ele é uma associação internacional de profissionais da área de auditoria interna que visa prover condições profissionais e disseminar conhecimentos para os seus associados. Seu espectro de atuação contempla as áreas de: Imagem: Shutterstock.com AUDITORIA INTERNA Imagem: Shutterstock.com GERENCIAMENTO DE RISCOS Imagem: Shutterstock.com GOVERNANÇA Imagem: Shutterstock.com CONTROLE INTERNO Imagem: Shutterstock.com AUDITORIA DE TI Imagem: Shutterstock.com EDUCAÇÃO Imagem: Shutterstock.com SEGURANÇA COSO 2013 – CONTROLE INTERNO – ESTRUTURA INTEGRADA O controle interno, na definição do COSO , significa “um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, desenvolvido para proporcionar segurança razoável com respeito à realização dos objetivos relacionados a operações, divulgação e conformidade”. Esse controle apresenta as seguintes características: 1 Possui processo dinâmico e interativo. Perpassa toda a organização. 2 3 O controle interno deve estar integrado às funções administrativas (planejar, organizar, direcionar e controlar). Não é um processo com um fim em si próprio, servindo para garantir uma razoável segurança para a entrega de valor. 4 5 Ele é implementado pela estrutura de governança e pela alta administração. É customizável para todos os níveis organizacionais. 6 Observemos a estrutura do COSO 2013: Imagem: COSO 2013 Estrutura do COSO 2013. Pode-se inferir que os objetivos organizacionais operacionais, de divulgação e de conformidade são controlados e monitorados pelo ambiente de controle, pela avaliação de riscos, pela atividade de controle, pela informação e comunicação e pela atividade de monitoramento em todos os níveis hierárquicos da organização. COSO 2017 – GERENCIAMENTO DE RISCOS CORPORATIVOS INTEGRADOS À ESTRATÉGIA E AO DESEMPENHO Precisamos ressaltar a relevância da integração do gerenciamento de riscos corporativos no processo de planejamento estratégico em todos os níveis organizacionais. Os riscos, afinal, influenciam a estratégia e o desempenho da organização – e por eles também são influenciados. Apresentaremos a seguir suas principais características: Imagem: Shutterstock.com Reformulação radical em relação ao COSO 2004. Imagem: Shutterstock.com Foco na criação e preservação de valor. Imagem: Shutterstock.com Tomada de decisões baseada em riscos. Imagem: Shutterstock.com Plano estratégico formulado de acordo com os riscos. Imagem: Shutterstock.com Sustentabilidade das ações. Imagem: Shutterstock.com Integração de gerenciamento de riscos, estratégia e desempenho da organização. Imagem: Shutterstock.com Estruturado em 5 componentes e 20 princípios. A estrutura básica do COSO 2017 está representada na figura a seguir: Imagem: COSO 2017 Estrutura do COSO 2017. COMENTÁRIO Nessa estrutura, constata-se que o gerenciamento de riscos, segundo a versão editada pelo COSO em 2017, é fortemente integrado à estratégia da organização e à melhoria de desempenho. Essa estrutura é baseada nos seguintes componentes: Imagem: Shutterstock.com GOVERNANÇA E CULTURA Imagem: Shutterstock.com ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS Imagem: Shutterstock.com DESEMPENHO Imagem: Shutterstock.com ANÁLISE E REVISÃO Imagem: Shutterstock.com INFORMAÇÃO, COMUNICAÇÃO E DIVULGAÇÃO Teremos a oportunidade de conhecer maiores detalhes desta estrutura em outro módulo. MODELO DE TRÊS LINHAS De acordo com o IIA, o modelo de três linhas ajuda as organizações a identificar estruturas e processos que auxiliam da melhor maneira no atingimento dos objetivos e facilitam uma forte governança e um gerenciamento de riscos. Esse modelo é baseado em seis princípios que cooperam para uma estrutura de governança eficaz. As três linhas referem-se às funções do órgão de governança, da gestão e da auditoria interna. Nesse contexto, veremos agora os papéis desempenhados pela 1ª, 2ª e 3ª linha: Imagem: Modelo do IIA Modelo de três linhas. SAIBA MAIS Ele era conhecido originalmente como modelo de três linhas de defesa. Após passar por uma reestruturação em 2020, passou a ser chamado somente de modelo de três linhas. Esse modelo contempla as seguintes características: Abordagem proativa em relação ao modelo anterior de “defesa”. Maior independência da auditoria interna (reporta-se ao órgão de governança). Definição mais clara dos papéis e das responsabilidades, assim como dos relacionamentos entre eles. Foco nas necessidades e expectativas dos clientes e na geração de valor. Modelo baseado em princípios alinhados aos objetivos organizacionais. O modelo de três linhas contempla seis princípios: GOVERNANÇA Uma organização deve comportar processos e estruturas organizacionais que facilitem a prestação de contas, as ações de gestão para a facilitação do alcance de objetivos e as atividadesde avaliação e assessoria realizadas por uma auditoria independente. PAPÉIS DO ÓRGÃO DE GOVERNANÇA O órgão de governança da organização precisa assegurar a existência de estruturas e processos organizacionais atuantes para a maior eficácia de sua governança. Sua atuação também deve contribuir para que as ações estejam de acordo com as expectativas das partes interessadas, além de oferecer condições para que os objetivos organizacionais sejam alcançados, estando em conformidade com as normativas. Para uma maior confiabilidade na gestão, esse princípio supervisiona a atuação da auditoria independente. GESTÃO E OS PAPÉIS DA PRIMEIRA E SEGUNDA LINHAS A gestão atua para efetuar tanto o gerenciamento de riscos (1ª linha), focado na entrega de produtos e serviços, quanto o de riscos corporativos (2ª linha), que trata dos riscos que impactam no alcance de objetivos organizacionais. PAPÉIS DA TERCEIRA LINHA A auditoria interna precisa ter condições para atuar em atividades de avaliação e assessoria em relação à governança e ao gerenciamento de riscos. A INDEPENDÊNCIA DA TERCEIRA LINHA A auditoria interna deve atuar de forma independente na organização com base na prestação de contas e no acesso incondicional às informações dela. CRIANDO E PROTEGENDO VALOR Todas as partes interessadas da organização têm de ser pautadas para a criação de valor por intermédio de trabalho colaborativo e comunicação. VERIFICANDO O APRENDIZADO 1. O CONTROLE INTERNO É UM PROCESSO CONDUZIDO PELA ESTRUTURA DE GOVERNANÇA. COMPLETE O TEXTO A SEGUIR: “VISA PROPORCIONAR SEGURANÇA RAZOÁVEL COM RESPEITO À REALIZAÇÃO DOS ____ RELACIONADOS A ____, DIVULGAÇÃO E ____”. A) Parâmetros, eficácia, efetividade. B) Projetos, conformidade, autenticidade. C) Objetivos, operações, conformidade. D) Controles, comunicação, confiabilidade. E) Instrumentos, sustentabilidade, governança. 2. OS RISCOS INFLUENCIAM A ESTRATÉGIA E O DESEMPENHO DA ORGANIZAÇÃO, SENDO POR ELES TAMBÉM INFLUENCIADOS. APONTE A ALTERNATIVA CORRETA. A) Os riscos dependem da produtividade das estruturas de governança. B) O COSO 2017 é integrado à estratégia. C) O COSO 2017 é uma atualização do COSO 2013. D) Uma organização que apresenta riscos não é uma organização confiável. E) Os riscos são decorrentes de processos organizacionais descalibrados. GABARITO 1. O controle interno é um processo conduzido pela estrutura de governança. Complete o texto a seguir: “Visa proporcionar segurança razoável com respeito à realização dos ____ relacionados a ____, divulgação e ____”. A alternativa "C " está correta. O controle interno, na definição do COSO 2013, busca proporcionar uma segurança razoável no que diz respeito à realização dos objetivos relacionados às operações, à divulgação e à conformidade. 2. Os riscos influenciam a estratégia e o desempenho da organização, sendo por eles também influenciados. Aponte a alternativa correta. A alternativa "B " está correta. O diferencial do COSO 2017 em relação à sua versão anterior é a integração dele à estratégia da organização. MÓDULO 2 Selecionar as principais características do referencial COSO 2017 integrado à estratégia e ao desempenho da organização, além de seus respectivos componentes e princípios direcionadores Imagem: Pedro Hikaru ESTRATÉGIA DA ORGANIZAÇÃO E O GERENCIAMENTO DE RISCOS Desenvolvida pelo COSO em 2017, a última versão da estrutura de trabalho referente aos riscos corporativos foi denominada “gerenciamento dos riscos corporativos – integrado à estratégia e ao desempenho”. COMENTÁRIO Para simplificarmos o emprego dessa terminologia, adotaremos neste tema a expressão “COSO 2017” quando falarmos dessa estrutura. O gerenciamento de riscos corporativos tem sua relevância ao cooperar para a: Criação de valor decorrente da aceitação de riscos considerados razoáveis Eliminação ou tratamento de riscos que possam acarretar a destruição de valor Imagem: Pedro Hikaru Valor na organização. Até o lançamento dessa estrutura, esse gerenciamento contemplava apenas a identificação e o tratamento de riscos que tivessem um impacto no alcance da estratégia; contudo, os projetos e os processos organizacionais destruíam valor pelo fato de nem sempre estarem alinhados à missão e à visão da organização. Na estrutura do COSO 2017, o risco, em todos os níveis organizacionais, é levado em consideração na formulação de: Estratégia Alinhamento à missão, à visão e aos valores organizacionais Mensuração do desempenho Essa atualização teve o objetivo de atender às seguintes demandas: Imagem: Shutterstock.com Ressaltar a relevância do gerenciamento de riscos na formulação da estratégia. Imagem: Shutterstock.com Promover o alinhamento desse gerenciamento no desempenho da organização. Imagem: Shutterstock.com Atender às demandas de transparência e prestação de contas às partes interessadas. Imagem: Shutterstock.com Alinhar a tecnologia de informação às necessidades de informações para a tomada de decisões. COMENTÁRIO Deve-se ressaltar que o gerenciamento de riscos não é uma função específica ou uma área funcional dentro da organização. Trata-se, na verdade, de um conjunto de boas práticas, cultura organizacional e competências que contribuem, de acordo com o apetite aos riscos com monitoramento do desempenho, para a definição e a execução da estratégia e dos objetivos organizacionais. Contemplando a estratégia, os objetivos organizacionais, os riscos e o desempenho, a estrutura do COSO 2017 está representada na figura a seguir: Imagem: COSO 2017 Estrutura do COSO 2017. O gerenciamento de riscos corporativos pode trazer os seguintes benefícios para a organização: Ampliação do leque de oportunidades em função da identificação e da priorização de riscos positivos. Visão sistêmica do gerenciamento de riscos, o que coopera para a melhoria do desempenho. Incremento de resultados positivos a partir da identificação e do tratamento de riscos negativos. Desempenho organizacional previsível, sem sobressaltos na produtividade e na qualidade de produtos e serviços. Aplicação eficiente de recursos. Maior adaptabilidade da organização aos cenários adversos. ESTRATÉGIA, RISCOS, VALOR E DESEMPENHO No vídeo a seguir, o professor Pedro Hikaru Oishi apresenta a relação entre estratégia, riscos, valor e desempenho. Vamos assistir! Na abordagem do COSO 2017, o gerenciamento de riscos corporativos é integrado à definição da estratégia, a qual, por sua vez, colabora para a definição de objetivos organizacionais. Com base nesses objetivos, são estruturados os projetos e os processos organizacionais que devem entregar valor ao cliente da organização. Para garantir a sustentabilidade dessas ações, é necessário monitorar o desempenho e a execução da estratégia com base nos riscos identificados, os quais, em seguida, passam a compor o portfólio de riscos. A operacionalização do COSO 2017 é baseada nos componentes e nos princípios apresentados abaixo: Componente Princípios Governança e cultura - Fiscalização de riscos corporativos pelo órgão de governança - Definição de unidades organizacionais - Definição da cultura da organização - Comprometimento com valores fundamentais Estratégia e definição de objetivos - Análise contextuai da organização em relação aos riscos - Definição do apetite aos riscos - Avaliação de alternativas de estratégias - Definição de objetivos organizacionais Desempenho - Identificação de riscos - Análise da gravidade dos riscos - Priorização de Riscos - Implementação de respostas aos riscos - Desenvolvimento de Portfolio de Riscos Análise e revisão - Avaliação de mudanças significativas - Revisão de riscos e desempenho - Busca de melhorias no gerenciamento de riscos corporativos Informações, comunicação e divulgação - Estímulo à utilização de informações por meio da tecnologia - Comunicação dos riscos à informação - Comunicação de riscos, da cultura organizacionale do desempenho Atenção! Para visualização completa da tabela utilize a rolagem horizontal Quadro: Componentes e princípios do COSO 2017. Extraído de COSO 2017. GOVERNANÇA E CULTURA Nesse componente, a governança e a cultura se destacam como dois relevantes pilares que contribuem para a definição de responsabilidades no gerenciamento de riscos e de valores éticos e comportamentais desejáveis para a compreensão dos riscos em toda a organização. Esse componente é baseado nos seguintes princípios: Imagem: Shutterstock.com FISCALIZAÇÃO DE RISCOS CORPORATIVOS PELO ÓRGÃO DE GOVERNANÇA O órgão de governança da organização tem de monitorar a definição da estratégia e de seus riscos inerentes no alcance de seus objetivos organizacionais para servir como suporte aos gestores. Imagem: Shutterstock.com DEFINIÇÃO DE UNIDADES ORGANIZACIONAIS A organização deve estruturar as unidades organizacionais que operam para o alcance da estratégia e dos objetivos organizacionais. Imagem: Shutterstock.com DEFINIÇÃO DA CULTURA DA ORGANIZAÇÃO A organização tem a incumbência de definir o perfil comportamental e ético que caracteriza suas especificidades. Imagem: Shutterstock.com COMPROMETIMENTO COM VALORES FUNDAMENTAIS Deve-se expressar de forma clara os valores que precisam permear uma organização. Imagem: Shutterstock.com GESTÃO POR COMPETÊNCIA ALINHADA COM A ESTRATÉGIA E OS OBJETIVOS ORGANIZACIONAIS Em busca de maior valor agregado, a organização deve se comprometer a atrair e desenvolver pessoas que possam alinhar-se à estratégia e aos objetivos organizacionais dela. ESTRATÉGIA E DEFINIÇÃO DE OBJETIVOS Para uma maior entrega de valor, o gerenciamento de riscos corporativos deve ser integrado à estratégia e à definição de objetivos organizacionais no processo de formulação do plano estratégico da organização. Nesse contexto, o apetite aos riscos, isto é, o nível aceitável de tolerância a eles, é definido com a estratégia, a qual, por sua vez, direciona essa definição dos objetivos que retroalimentam a avaliação e a resposta aos riscos. Para que a estratégia e a definição de objetivos sejam estruturadas de forma eficaz, os seguintes princípios precisam ser observados: ANÁLISE CONTEXTUAL DA ORGANIZAÇÃO EM RELAÇÃO AOS RISCOS A organização tem de analisar os riscos que compõem sua área de atuação para a construção do mapa de gerenciamento de riscos corporativos. DEFINIÇÃO DO APETITE AOS RISCOS Para a criação e a preservação de valor, deve-se analisar os riscos a fim de definir um nível aceitável deles que a organização se propõe a tolerar. AVALIAÇÃO DE ALTERNATIVAS DE ESTRATÉGIAS Avaliam-se as possíveis alternativas de formulação das estratégias de acordo com o apetite aos riscos da organização. DEFINIÇÃO DE OBJETIVOS ORGANIZACIONAIS A partir da definição de estratégia baseada no apetite aos riscos, a organização parte para a definição de objetivos organizacionais, que, aliás, devem atuar em todos os níveis. DESEMPENHO Na abordagem do COSO 2017 o gerenciamento de riscos corporativos é integrado ao desempenho organizacional. Nesse sentido, todas as ações desenvolvidas devem estar conectadas ao apetite aos riscos. Por essa razão, o desempenho se apoia nos seguintes princípios: IDENTIFICAÇÃO DE RISCOS São identificados aqueles que podem impactar no desempenho da organização quanto à estratégia e aos objetivos organizacionais dela. ANÁLISE DA GRAVIDADE DOS RISCOS É analisada a gravidade dos riscos que atingem a execução da estratégia e a eficácia de processos no alcance dos objetivos organizacionais. PRIORIZAÇÃO DE RISCOS Com base no apetite aos riscos, a organização prioriza aqueles que ela considera aceitáveis para a criação ou a preservação de valor. IMPLEMENTAÇÃO DE RESPOSTAS AOS RISCOS Uma vez definidos os riscos aceitáveis, são estruturadas formas de tratamento dos riscos priorizados. DESENVOLVIMENTO DE PORTFÓLIO DE RISCOS Com os riscos priorizados pela organização, assim como suas respectivas formas de tratamento, desenvolve-se um portfólio de risco. Ele deve ser avaliado continuamente para a preservação e a criação de valor. ANÁLISE E REVISÃO A análise do desempenho permite que a organização avalie os componentes do gerenciamento de riscos corporativos a fim de que, quando requeridas, sejam promovidas mudanças de curso. Para estruturar a análise e a revisão, os princípios dispostos a seguir devem ser seguidos: Imagem: Shutterstock.com AVALIAÇÃO DE MUDANÇAS SIGNIFICATIVAS Consiste na identificação de mudanças que impactam de forma significativa a estratégia e o alcance de objetivos organizacionais. Imagem: Shutterstock.com REVISÃO DE RISCOS E DESEMPENHO O desempenho da organização e os riscos que passaram a ser incorporados ao portfólio de riscos têm de ser constantemente monitorados, assim como a possibilidade de aparecimento de novos riscos. Imagem: Shutterstock.com BUSCA DE MELHORIAS NO GERENCIAMENTO DE RISCOS CORPORATIVOS Integrado à estratégia e ao desempenho da organização, o gerenciamento de riscos deve ser tratado como um processo de trabalho contínuo que, de acordo com os cenários interno e externo, requer aprimoramentos. INFORMAÇÕES, COMUNICAÇÃO E DIVULGAÇÃO O gerenciamento de riscos corporativos precisa ter como base de interação entre as partes interessadas a geração de informações, a comunicação por meio de diversos canais e a divulgação das citadas informações. Para que as três sejam viáveis, devem ser considerados, em conformidade com as recomendações do COSO 2017, estes princípios: Estímulo à utilização de informações por meio da tecnologia O gerenciamento de riscos corporativos é afetado de forma positiva pela ampla utilização da tecnologia nas diversas etapas de gestão da informação dentro da organização. Comunicação dos riscos à informação Todos os riscos que podem impactar na transparência ou na legitimidade das informações têm de ser comunicados às partes interessadas. Comunicação de riscos, da cultura organizacional e do desempenho A organização deve, em todos os níveis organizacionais, comunicar regularmente às partes interessadas informações relativas aos riscos, à cultura organizacional e ao desempenho. TENDÊNCIAS DO GERENCIAMENTO DE RISCOS CORPORATIVOS Em função do cenário de alta competitividade entre as organizações, o que implica uma adaptabilidade aos diversos fatores dos cenários interno e externo, o gerenciamento de riscos não pode prescindir das inovações proporcionadas por boas práticas de governança e gestão e dos recursos oferecidos pela tecnologia de informação. Nesse compasso, quatro tendências devem ser avaliadas quanto à conveniência de uma integração aos princípios desse gerenciamento: Imagem: Shutterstock.com Aumento exponencial das informações As informações disponíveis para todos os usuários de serviços de informação crescem de forma exponencial a cada ano. As organizações devem se adaptar a essa realidade; do contrário, elas estão sob o risco de sucumbir por falta de informações que possam subsidiar a formulação de estratégias e objetivos organizacionais. Imagem: Shutterstock.com Aplicação da inteligência artificial em diversas áreas de conhecimento A inteligência artificial deixou de ser um conhecimento específico utilizado em métodos quantitativos para ser utilizada em todas as áreas de conhecimento. Sua taxa de erros já é menor do que a de ações efetuadas por um ser humano. Exemplo: A partir de uma vasta quantidade de informações, os algoritmos de inteligência artificial podem efetuar inferências quanto à melhor maneira de se efetivar o tratamento de riscos organizacionais. Imagem: Shutterstock.com Gerenciamento de custos dos riscos organizacionais Com a crescente utilização do gerenciamento de riscos para a maximização na criação de valor e na redução de sua destruição, o de custos organizacionais acaba encontrando pontos de intersecção com o custo daquele que é aplicado aos riscos.Exemplo: Uma organização pode, de forma mais assertiva, mensurar os benefícios decorrentes da implementação de estruturas de trabalho que deem tratamento aos riscos organizacionais. Imagem: Shutterstock.com Fortalecimento das organizações em cenários adversos A alta competitividade existente entre as organizações, que caminham por uma trilha pautada pela necessidade de maior eficiência e eficácia dos processos organizacionais, enseja um cenário de maior resiliência delas. Exemplo: Isso pode ser proporcionado por um gerenciamento de riscos integrado à estratégia e ao desempenho. VERIFICANDO O APRENDIZADO 1. A GOVERNANÇA E A CULTURA SÃO DOIS RELEVANTES PILARES QUE CONTRIBUEM PARA A DEFINIÇÃO DE RESPONSABILIDADES NO GERENCIAMENTO DE RISCOS E DE VALORES ÉTICOS E COMPORTAMENTAIS DESEJÁVEIS PARA A COMPREENSÃO DOS RISCOS EM TODA A ORGANIZAÇÃO. INDIQUE UM PRINCÍPIO QUE INTEGRA ESSE COMPONENTE DO COSO 2017. A) Independência de gestores. B) Definição da cultura da organização. C) Estruturas organizacionais eficazes. D) Avaliação da produtividade da organização. E) Produtividade por demanda. 2. “O GERENCIAMENTO DE RISCOS CORPORATIVOS DEVE TER COMO BASE DE INTERAÇÃO ENTRE AS PARTES INTERESSADAS A GERAÇÃO DE INFORMAÇÕES, COMUNICAÇÃO POR MEIO DE DIVERSOS CANAIS E A DIVULGAÇÃO DAS CITADAS INFORMAÇÕES.” APONTE A ALTERNATIVA QUE REPRESENTA UM PRINCÍPIO RELACIONADO COM A FRASE APRESENTADA. A) Informação de riscos sob controle. B) A comunicação é o canal de informação. C) Tecnologia da comunicação para todos. D) Sustentabilidade de comunicação. E) Comunicação de riscos, da cultura organizacional e do desempenho. GABARITO 1. A governança e a cultura são dois relevantes pilares que contribuem para a definição de responsabilidades no gerenciamento de riscos e de valores éticos e comportamentais desejáveis para a compreensão dos riscos em toda a organização. Indique um princípio que integra esse componente do COSO 2017. A alternativa "B " está correta. A definição da cultura de organização é um dos princípios deste componente do COSO 2017: “governança e cultura”. 2. “O gerenciamento de riscos corporativos deve ter como base de interação entre as partes interessadas a geração de informações, comunicação por meio de diversos canais e a divulgação das citadas informações.” Aponte a alternativa que representa um princípio relacionado com a frase apresentada. A alternativa "E " está correta. A comunicação de riscos, da cultura organizacional e do desempenho é um dos princípios do componente “informações, comunicação e divulgação”. MÓDULO 3 Identificar as principais características do referencial COSO 2013, assim como seus respectivos componentes e princípios direcionadores Imagem: Pedro Hikaru GESTÃO DA ORGANIZAÇÃO E CONTROLE INTERNO Uma organização, para atender à sua missão e à sua visão, tem de estabelecer, por meio de projetos e processos organizacionais, objetivos alinhados à sua estratégia, a qual, por sua vez, define as diretrizes que precisam pautar a atuação da organização no atendimento aos princípios de: EFICIÊNCIA EFICÁCIA EFETIVIDADE ECONOMICIDADE Nessa busca de aprimoramento, devem ser definidos os objetivos organizacionais que cooperam para a operacionalização de ações alinhadas estrategicamente. Na estrutura do COSO 2013, eles podem ser classificados em três categorias: OBJETIVOS OPERACIONAIS Referem-se à eficácia e à eficiência dos processos organizacionais. OBJETIVOS DE DIVULGAÇÃO Tratam de objetivos que visam promover a prestação de contas e a transparência das ações da organização. OBJETIVOS DE CONFORMIDADE A conformidade relaciona-se com a aderência da organização às normas, oriundas da legislação vigente, de órgãos de regulamentação ou de origem interna. De acordo com o COSO 2013, o controle interno é caracterizado como um processo conduzido pela estrutura de governança, administração e outros profissionais da entidade, sendo desenvolvido para proporcionar uma segurança razoável na realização de objetivos relacionados às operações, à divulgação e à conformidade. Esse controle atua na estruturação para identificar e avaliar os riscos; no entanto, o tratamento efetivo é de responsabilidade de gestores e funcionários das áreas específicas da organização. javascript:void(0) javascript:void(0) javascript:void(0) Nas situações em que o controle interno é implementado em sua integralidade, a organização consegue colher os seguintes benefícios: Imagem: Shutterstock.com Divulgação de informações legítimas e confiáveis para a tomada de decisões. Imagem: Shutterstock.com Maior eficiência operacional dos processos organizacionais. Imagem: Shutterstock.com Processamento e transparência de informações em todos os níveis da organização. Imagem: Shutterstock.com Foco em riscos que ultrapassam os limites de tolerância definidos por ela. Apesar dos esforços empreendidos pelo controle interno, devemos ressaltar que o espectro de sua atuação é limitado por depender dos seguintes fatores: 1 Definição de objetivos organizacionais adequados à realidade da organização. Falha humana na tomada de decisões. 2 3 Possibilidade de a administração ou a força de trabalho não adotar os mecanismos de controle. Veremos que a estrutura do COSO 2013 contempla objetivos organizacionais, componentes e diversos níveis hierárquicos dentro de uma organização: Imagem: COSO 2013 Estrutura do COSO 2013. Na estrutura apresentada, temos as três faces do cubo representando: OS OBJETIVOS ORGANIZACIONAIS OS COMPONENTES DO CONTROLE INTERNO OS DIVERSOS NÍVEIS HIERÁRQUICOS DA ORGANIZAÇÃO COMENTÁRIO Com base na primeira figura do nosso estudo, pode-se concluir que os objetivos organizacionais operacionais, de divulgação e de conformidade são controlados e monitorados pelo ambiente de controle, pela avaliação de riscos, pela atividade de controle, pela informação e comunicação e pela atividade de monitoramento em todos os níveis hierárquicos da organização. Para que o controle interno seja operacionalizado de forma eficaz, é necessária a atuação de cinco componentes: Imagem: Shutterstock.com AMBIENTE DE CONTROLE Imagem: Shutterstock.com AVALIAÇÃO DE RISCOS Imagem: Shutterstock.com ATIVIDADE DE CONTROLE Imagem: Shutterstock.com INFORMAÇÃO E COMUNICAÇÃO Imagem: Shutterstock.com ATIVIDADE DE MONITORAMENTO Esses componentes são direcionados de acordo com princípios específicos. Eles, por sua vez, desdobram-se em outros 17 princípios: Componente Princípios Ambiente de controle - Comprometimento da organização com a ética. - Unidades organizacionais e profissionais de governança atuam de forma independente e monitoram o controle interno. - As estruturas organizacionais são definidas para alcance dos objetivos, com apoio da estrutura de governança. - Comprometimento na gestão por competências, no alcance de objetivos. - Comprometimento de atuação no controle interno, no alcance de objetivos. Avaliação de riscos - Definição clara de objetivos organizacionais para identificação e tratamento de riscos. - Identificação e análise de riscos em toda organização para definição da forma de tratamento destes riscos. - Percepção de fraude na avaliação de riscos. - Identificação e avaliação de ocorrências que impactem no sistema de controle interno. Atividades de controle - Operacionalização de atividades de controle para níveis aceitáveis de riscos. - Desenvolvimento de atividades de controle de tecnologia para alcance dos objetivos organizacionais. - Estabelecimento de diretrizes e processos para atividades de controle. Informação e comunicação - Obtenção e utilização de informações de qualidade para suporte do controle interno. - Divulgação de informações de apoio ao controle interno. - Prestação de contas para o público externo acerca de questões que impactam no controle interno. Atividade de monitoramento - Avaliação contínua e independente do controle interno.- Comunicação de falhas ou deficiências no controle interno aos responsáveis, ou quando for o caso, à alta administração e à estrutura de governança. Atenção! Para visualização completa da tabela utilize a rolagem horizontal Quadro: Componentes e princípios do COSO 2013. Elaborado por Pedro Hikaru. AMBIENTE DE CONTROLE O ambiente de controle refere-se aos processos e às estruturas organizacionais atuantes de acordo com as normas definidas para a operacionalização do controle interno. Devem ser definidas regras de negócios do controle interno em todos os processos nos níveis hierárquicos. O ambiente de controle do COSO 2013 é baseado nos seguintes princípios: Comprometimento da organização com a ética. Unidades organizacionais e profissionais de governança atuam de forma independente e monitoram o controle interno. As estruturas organizacionais são definidas para o alcance dos objetivos, contando com o apoio da estrutura de governança. Há um comprometimento na gestão por competências para o alcance de objetivos. Existe um comprometimento de atuação no controle interno para o alcance de objetivos. O ambiente de controle está intimamente ligado aos valores éticos, à integridade de atuação e às competências das pessoas na condução de atividades que não estão ligadas diretamente à entrega de produtos e serviços. Ele busca validar o comprometimento da organização em todos os seus níveis com os seus objetivos. O AVALIAÇÃO DE RISCOS No vídeo a seguir, o professor Pedro Hikaru Oishi fala sobre a avaliação de riscos. Vamos assistir! Uma organização, em suas atividades de gestão, passa por eventos de riscos que podem impactar no alcance de resultados. Para que sejam tomadas medidas de tratamento de tais eventos de forma tempestiva, é necessário que o processo de avaliação de riscos transcorra de forma dinâmica em relação à ocorrência de um evento com potencial para prejudicar o alcance de objetivos organizacionais. OBJETIVOS ORGANIZACIONAIS Precisam estar definidos em uma etapa anterior à da identificação e do tratamento de riscos. Para que a avaliação de riscos seja realizada de maneira satisfatória, devem ser atendidos os seguintes princípios: Imagem: Shutterstock.com Definição clara de objetivos organizacionais para a identificação e o tratamento de riscos. javascript:void(0) Imagem: Shutterstock.com Identificação e análise de riscos em toda a organização para a definição da forma de tratamento deles. Imagem: Shutterstock.com Percepção de fraude na avaliação deles. Imagem: Shutterstock.com Identificação e avaliação de ocorrências que impactem no sistema de controle interno. Para que a avaliação de riscos contribua para o controle interno, ela precisa estar inserida de forma alinhada aos objetivos organizacionais, situação em que pode contribuir para a redução de impactos negativos. Deve-se compreender que a avaliação de riscos ocorre em função de duas principais variáveis: PROBABILIDADE DE OCORRÊNCIA Com base em métodos quantitativos ou até mesmo empíricos, pode-se analisar a probabilidade da ocorrência de um risco capaz de impactar no alcance de objetivos organizacionais. javascript:void(0) IMPACTO DE OCORRÊNCIA A ocorrência de um evento de risco na execução de um processo pode trazer um pequeno ou grande impacto no alcance de objetivos organizacionais. Já a criticidade corresponde ao produto matemático da probabilidade de ocorrência e do seu impacto. A partir da criticidade do risco, uma organização precisa efetivar sua avaliação para fins de identificação de riscos e respectivas formas de tratamento. De acordo com o risco identificado, ela pode adotar uma destas formas de tratamento: Imagem: Shutterstock.com ACEITAR Não é executada nenhuma ação de tratamento de riscos. A organização entende que o risco é aceitável e não traz grande impacto para determinado processo de trabalho. Imagem: Shutterstock.com EVITAR javascript:void(0) O processo organizacional que implica riscos organizacionais é suprimido da organização. Essa medida, apesar de suprimir o risco, pode impedir, por exemplo, que ela implemente iniciativas de inovação ou melhorias. Imagem: Shutterstock.com REDUZIR Essa forma de tratamento refere-se à redução do impacto ou da probabilidade de ocorrência do risco. Tal abordagem está vinculada a tratativas específicas para cada situação de risco. Imagem: Shutterstock.com COMPARTILHAR A redução do impacto ou da probabilidade de ocorrência do risco pode ocorrer por meio da transferência dele para terceiros. Um exemplo clássico é a contratação de seguros. ATIVIDADES DE CONTROLE As atividades de controle são criadas para o tratamento dos riscos que possam gerar um impacto no alcance de objetivos organizacionais. Sua implementação é efetuada em todos os níveis hierárquicos da organização com base em normas e políticas definidas. Esse componente pode contemplar a adoção das seguintes atividades: Segregação de funções Verificações de atividades Implementação de instâncias de autorizações Plano de continuidade de negócios Definição de indicadores e metas de desempenho Controles físicos No bojo das atividades de controle, estão dispostos os seguintes princípios: Imagem: Shutterstock.com Operacionalização de atividades de controle para níveis aceitáveis de riscos. Imagem: Shutterstock.com javascript:void(0) javascript:void(0) Desenvolvimento de atividades de controle de tecnologia para o alcance dos objetivos organizacionais. Imagem: Shutterstock.com Estabelecimento de diretrizes e processos para essas atividades. Usualmente, as atividades de controle não são implementadas quando a organização opta por aceitar ou evitar determinado risco. A situação será diversa quando ela preferir reduzir ou compartilhá-lo: tais atividades, conforme seu nível aceitável de riscos, deverão se fazer presentes. Na implementação dessas atividades, são analisadas as seguintes questões: Imagem: Shutterstock.com COMPLETUDE Verificação da extensão de execução dos processos organizacionais. javascript:void(0) Imagem: Shutterstock.com EXATIDÃO Análise da eficácia do processo organizacional. Imagem: Shutterstock.com VALIDADE Verificação da efetividade do processo organizacional. INFORMAÇÃO E COMUNICAÇÃO A organização atua por meio de comunicações internas e externas que devem contribuir para o alcance de objetivos. As informações devem ser legítimas e de qualidade para que possam ser divulgadas pelo processo de comunicação. A geração e a divulgação delas, por fim, precisam ser garantidas por ela na operacionalização do controle interno. Esse componente segue os seguintes princípios: 1 Obtenção e utilização de informações de qualidade para o suporte do controle interno. Divulgação de informações de apoio ao controle interno. 2 3 Prestação de contas para o público externo acerca de questões que impactam no controle interno. Já a qualidade das informações é assegurada a partir do cumprimento dos seguintes requisitos: Acessíveis às partes interessadas. Confiáveis e atuais. Asseguradas por boas práticas de segurança da informação. Legítimas e apoiadas em formas de verificação. Quanto ao método de comunicação, é preciso observar os seguintes pontos: Cuidados no tom de voz e na comunicação não verbal existente em uma verbal. Diferenças culturais, étnicas, sociais e econômicas, entre outras, podem influenciar na recepção de mensagens enviadas. Deve-se assegurar que tais diferenças não contribuem para o erro de interpretação da mensagem. Avaliação da conveniência de métodos formais ou informais de acordo com o público-alvo. Diante do retrospecto histórico de fraudes contábeis e financeiras ocorridas em todo o mundo, as organizações passaram a ser mais demandadas para uma atuação mais transparente na prestação de contas. Essa mudança de postura colaborou para o aprimoramento do processo de criação e comunicação das informações na administração pública e nainiciativa privada. SAIBA MAIS Propostas de referenciais de governança do Tribunal de Contas da União e do Instituto Brasileiro de Governança Corporativa fortaleceram o processo de comunicação das organizações com o público externo. ATIVIDADES DE MONITORAMENTO Para que os cinco componentes do controle interno estejam em operação da forma planejada, devem ser executadas atividades de monitoramento para a correção de rumos, o cancelamento ou a substituição de atividades. Essas atividades podem ser realizadas de forma contínua, durante a execução da atividade, ou por uma avaliação independente, que é conduzida por auditorias internas e externas. Nas atividades de monitoramento, são respeitados os seguintes princípios: Avaliação contínua e independente do controle interno Comunicação de falhas ou deficiências nesse controle aos responsáveis ou, quando for o caso, à alta administração e à estrutura de governança VERIFICANDO O APRENDIZADO 1. COMPLETE O TEXTO A SEGUIR: “UMA ____, PARA ATENDER À SUA ____ POR MEIO DE PROJETOS E PROCESSOS ORGANIZACIONAIS, DEVE ESTABELECER OBJETIVOS ALINHADOS À SUA ____”. A) Diretoria, programação, necessidade. B) Avaliação, contabilidade, conformidade. C) Organização, missão e visão, estratégia. D) Estratégia, conformidade, ambição. E) Assessoria, sustentabilidade, competência. 2. OS TRÊS CUBOS DO COSO 2013 REPRESENTAM AS SEGUINTES VARIÁVEIS: A) Objetivos organizacionais, componentes e níveis hierárquicos da organização. B) Eficácia, eficiência e efetividade. C) Estratégia, processos e projetos. D) Projetos, processos e indicadores. E) Processos, indicadores e metas. GABARITO 1. Complete o texto a seguir: “Uma ____, para atender à sua ____ por meio de projetos e processos organizacionais, deve estabelecer objetivos alinhados à sua ____”. A alternativa "C " está correta. O alinhamento dos objetivos à estratégia por meio de projetos e processos atende à missão e à visão de uma organização. 2. Os três cubos do COSO 2013 representam as seguintes variáveis: A alternativa "A " está correta. As três faces do cubo representam, de acordo com o COSO 2013, os objetivos organizacionais, os componentes e os níveis hierárquicos da organização. MÓDULO 4 Descrever os riscos de uma auditoria Imagem: Pedro Hikaru RISCOS DE AUDITORIA Deve-se diferenciar preliminarmente a auditoria de riscos na organização, cujo objeto está alinhado com sua forma de gerenciamento, dos riscos de auditoria, que dizem respeito aos de uma auditoria gerar opiniões que não retratam as distorções de informações financeiras e contábeis, as quais, aliás, também podem conter fraudes e erros acima do aceitável. O risco de auditoria está presente em todas as etapas de planejamento, execução e apresentação de resultados de uma delas. Ele constitui a probabilidade de existências de falhas ou erros que não são detectados durante uma auditoria. O risco de auditoria é uma função dos riscos: INERENTES DE CONTROLE DE DETECÇÃO Os três serão detalhados nos próximos tópicos. No exercício de suas atividades, o auditor tem de estipular o grau de certeza que deve ser alcançado para que, dependendo do caso de uma auditoria interna ou externa, seja possível emitir uma recomendação ou uma opinião. Sua valoração é altamente subjetiva, razão pela qual isso pode ensejar diversas interpretações. Imagem: Shutterstock.com EXEMPLO O auditor pode querer 90% de certeza de seus achados. Neste caso, incorre-se em 10% de risco de auditoria. Comumente, aceita-se o valor de 5% de riscos. Como eles podem ser gerados dentro ou fora da organização, o auditor precisa identificá-los e avaliá-los para uma maior eficácia da auditoria. O risco de auditoria pode ser decorrente de nove fatores: Imagem: Shutterstock.com ÁREA DE ATUAÇÃO A área de atuação em que a organização está inserida contribui para um nível mais baixo ou mais alto de auditoria. Exemplo: uma área com alto grau de maturidade contribui para um nível mais baixo; entretanto, uma área de atuação nova no mercado, com alta sensibilidade a fatores externos, pode ensejar um risco mais alto. Imagem: Shutterstock.com FILOSOFIA DE GESTÃO Quanto mais conservadora a gestão de uma organização, maior a probabilidade de riscos de auditoria mais baixos, isto é, uma organização focada em uma gestão mais agressiva pode implicar riscos mais altos. Imagem: Shutterstock.com CONTROLES INTERNOS Uma organização provida de um sistema de controles internos pode cooperar para um nível mais baixo de riscos em detrimento de outra que não adota tais controles em suas operações financeiras e contábeis. Imagem: Shutterstock.com HISTÓRICO DE AUDITORIAS ANTERIORES A inexistência de um histórico ou de uma opinião com ressalvas pode contribuir para riscos mais altos, porém opiniões limpas com poucos ajustes podem trazer riscos mais baixos. Imagem: Shutterstock.com ROTATIVIDADE DE DIREÇÃO Uma alta rotatividade de direção pode significar a não continuidade de uma gestão, gerando riscos mais altos. De forma contrária, a continuidade dela pode contribuir para que eles sejam mais baixos. Imagem: Shutterstock.com LITIGIOSIDADE COM FUNCIONÁRIOS E OUTRAS ORGANIZAÇÕES Uma maior litigiosidade pode significar uma gestão mais conturbada e com o potencial de apresentar riscos altos de auditoria. No entanto, se ela for baixa, poderá trazer como consequência riscos menores. Imagem: Shutterstock.com REPUTAÇÃO DOS GESTORES Uma organização cujos gestores preocupados estão com sua reputação pode ter como fruto direto uma preocupação com boas práticas de gestão e, consequentemente, baixos riscos. Já aqueles que não se preocupam com sua reputação podem não ter a mesma atenção com ela e, com isso, acarretar riscos altos de auditoria. Imagem: Shutterstock.com COMPREENSÃO DO PAPEL DA AUDITORIA Uma compreensão do papel da auditoria traz em seu bojo um melhor preparo dos gestores, o que implicitamente pode cooperar para a melhor geração de relatórios com um menor índice de falhas e erros e um baixo risco de auditoria. Já nos casos de pouco conhecimento ou desconhecimento, os riscos passam a ser mais altos. Imagem: Shutterstock.com CONFLITO DE INTERESSES O conflito de interesses dos gestores de uma organização contribui para um quadro de riscos maiores que uma situação demarcada pela ausência de conflitos, o que, por si só, já implica riscos mais baixos. TIPOS DE RISCOS ENVOLVIDOS NA AUDITORIA No vídeo a seguir, o professor Pedro Hikaru Oishi comenta sobre os tipos de riscos envolvidos na auditoria. Vamos assistir! PROCESSO DE AUDITORIA Ele pode ser afetado pelos seguintes tipos de riscos: RISCO DE DISTORÇÃO RELEVANTE Presentes nas demonstrações contábeis anteriores ao processo de auditoria, eles se encontram presentes nos registros contábeis. Esse tipo de risco é decorrente de dois riscos: o inerente e de controle. RISCO INERENTE Ele é vinculado à própria natureza da conta: quanto maior for a complexidade de sua natureza para fins de interpretação, maior será o risco inerente. Exemplo: um cálculo mais complexo de uma conta tem um risco inerente maior que um simples. RISCO DE CONTROLE O risco de controle refere-se ao grau de eficácia dos controles definidos para determinada operação. É o risco que pode ocorrer, mesmo com a existência do controle interno. Quanto maior o controle, menor o risco dele. RISCO DE DETECÇÃO Refere-se ao risco de o auditor não detectar distorções existentes. Exemplo: trata-se do procedimento de reduzir os riscos de uma auditoria não conseguir detectar uma distorção relevante, individual ou conjugada com outras distorções. RELAÇÃO ENTRE OS RISCOS Veremos agora a relação entre os riscos inerentes, de controle, de detecção e de auditoria: Imagem: Pedro Hikaru Relação entre os riscos. MATERIALIDADE Os riscos são mensurados em função da: Materialidade a ser definida pelo auditor de acordo com as circunstâncias particulares e específicasde cada organização na seleção de assuntos Extensão e natureza das distorções A materialidade pode variar conforme a auditoria e ter aspectos qualitativos além dos quantitativos. Sua definição depende da percepção do auditor em relação às informações de ordem financeira dos usuários das demonstrações contábeis. A materialidade e os riscos devem ser analisados de forma proporcional inversa, isto é, quanto maiores os riscos, menor a materialidade. Segundo a mesma lógica, podemos dizer que, quanto menores eles forem, maior ela será. ATENÇÃO Os riscos de auditoria podem ser mantidos em um nível aceitável baixo, mas eles nunca poderão ser zerados; afinal, todo trabalho implica a existência deles. PROCEDIMENTOS DE AVALIAÇÃO DE RISCOS De acordo com a norma NBC TA 315 (R1) do Conselho Federal de Contabilidade, os procedimentos de avaliação de riscos são o conjunto de procedimentos utilizados para identificar e avaliar os riscos de uma distorção relevante nas demonstrações contábeis e nas afirmações. Imagem: Norma MBC TA 315 (R1) Procedimentos de avaliação de riscos. Esses procedimentos são os primeiros a serem executados pelo auditor no processo de auditoria. Falaremos a seguir sobre três deles: INDAGAÇÕES À ADMINISTRAÇÃO Referem-se aos procedimentos de indagação às pessoas que disponham de informações que possam ajudar na identificação de riscos relevantes por fraude ou erro. PROCEDIMENTOS ANALÍTICOS Tratam daqueles referentes à avaliação da relação entre dados financeiros e não financeiros. Essa correlação pode elucidar questões esclarecedoras no processo de auditoria. OBSERVAÇÃO E INSPEÇÃO Coletam-se dados da organização e do seu ambiente para dar suporte às indagações feitas à administração. EXEMPLO Para subsidiar a avaliação de riscos, o auditor pode utilizar procedimentos substantivos ou testes de controles. Ambos também podem ser usados de forma combinada para sua maior eficácia. javascript:void(0) javascript:void(0) javascript:void(0) PROCEDIMENTO SUBSTANTIVO De acordo com a norma NBC TA 330(R1) do Conselho Federal de Contabilidade, o procedimento substantivo é o procedimento de auditoria planejado para detectar distorções relevantes no nível de afirmações. Imagem: Pedro Hikaru Procedimento substantivo. ESTRUTURA A estrutura desse procedimento será demonstrada a seguir: TESTES DE DETALHES PROCEDIMENTOS ANALÍTICOS CLASSIFICAÇÃO DOS PROCEDIMENTOS TESTES DE DETALHES Consiste na identificação e validação de registros por meio de procedimentos de auditoria. São procuradas evidências que suportem os registros, os quais, por sua vez, se fundamentam nas afirmações da organização. PROCEDIMENTOS ANALÍTICOS Tratam dos procedimentos referentes à avaliação da relação entre dados financeiros e não financeiros. Essa correlação pode elucidar questões esclarecedoras no processo de auditoria. CLASSIFICAÇÃO DOS PROCEDIMENTOS Os procedimentos substantivos são divididos pelos seguintes tipos: Inspeção. Observação. Recálculo. Reexecução. Procedimentos analíticos e indagação (já citados anteriormente). OUTROS QUESITOS Abordaremos agora outros quesitos relativos ao procedimento substantivo: Imagem: Shutterstock.com INSPEÇÃO Análise de registros e documentos físicos ou eletrônicos, internos ou externos, para fins de coleta de evidências. Exemplo: lançamentos contábeis e relatórios financeiros podem passar por inspeções. Imagem: Shutterstock.com OBSERVAÇÃO É uma análise de processo organizacional que possibilita a coleta de evidência na execução, embora se limite ao espaço temporal de observação. Exemplo: a conferência de bens patrimoniais configura a adoção da observação em uma auditoria. Imagem: Shutterstock.com RECÁLCULO Trata-se da conferência de cálculos matemáticos de documentos e registros. Exemplo: conferir os lançamentos contábeis de um balanço patrimonial enquadra-se nesse tipo de procedimento substantivo. Imagem: Shutterstock.com REEXECUÇÃO Consiste na execução do procedimento de controle interno definido pela organização e pelo auditor. Exemplo: a realização de uma conferência de atividades realizadas constitui, enquanto atividade de controle, uma reexecução. TESTES DE CONTROLE Trata-se de um procedimento de auditoria que avalia a efetividade operacional dos controles com o objetivo de prevenir, detectar e corrigir distorções relevantes no nível das informações. Os testes de controle são regulados pela norma NBC TA 330(R1) do Conselho Federal de Contabilidade quanto à aplicabilidade, à natureza e à extensão deles. Esse procedimento deve ser realizado em duas situações: Nas situações em que o auditor confia que os controles estão em operação na organização, de forma efetiva, para determinar a natureza, a época e a extensão dos procedimentos substantivos. Nos casos em que os procedimentos substantivos não trazem evidências de auditoria suficientes no quesito informações. COMENTÁRIO Esses testes avaliam os controles internos que podem ter sido implementados de acordo com os princípios do COSO 2013 (apresentado no módulo anterior). Analisemos a natureza e a extensão dos testes de controle. Quanto a elas, o auditor, nas atividades de planejamento e execução, precisa observar as seguintes questões: EVIDÊNCIAS DE AUDITORIA Análise das evidências de auditoria sobre a efetividade operacional dos controles que, com outros procedimentos de auditoria, contemple o modo de aplicação dos controles em determinado período, consistência de aplicação, responsáveis e formas de aplicação. EXISTÊNCIA DE CONTROLES INDIRETOS Questionamento, para fins de coleta de evidência, sobre a existência de controles indiretos que apoiem os controles. VERIFICANDO O APRENDIZADO 1. PREENCHA O TEXTO A SEGUIR: “O PROCESSO DE AUDITORIA PODE SER AFETADO PELOS SEGUINTES TIPOS DE RISCOS: RISCO DE ____ RELEVANTE, ____ INERENTE, RISCO DE ____ E RISCO DE DETECÇÃO”. A) Conformidade, fator, complexidade. B) Altura, taxa, produtividade. C) Distorção, risco, controle. D) Avaliação, risco, assessoria. E) Estratégia, taxa, complexidade. javascript:void(0) javascript:void(0) 2. OS RISCOS SÃO MENSURADOS EM FUNÇÃO TANTO DA MATERIALIDADE A SER DEFINIDA PELO AUDITOR SEGUNDO CIRCUNSTÂNCIAS PARTICULARES E ESPECÍFICAS DE CADA ORGANIZAÇÃO NA SELEÇÃO DE ASSUNTOS QUANTO DA EXTENSÃO E DA NATUREZA DAS DISTORÇÕES. APONTE A ALTERNATIVA CORRETA. A) A análise sob a ótica contábil implica riscos de materialidade. B) Realizada por auditores, a análise de materialidade depende de variáveis da sustentabilidade. C) Materialidade e evidências físicas se integram em função da similaridade física. D) A materialidade e os riscos devem ser analisados de forma proporcional inversa. E) Projetos de melhoria de processos. GABARITO 1. Preencha o texto a seguir: “O processo de auditoria pode ser afetado pelos seguintes tipos de riscos: risco de ____ relevante, ____ inerente, risco de ____ e risco de detecção”. A alternativa "C " está correta. Riscos de distorção relevante, inerente, de controle e de detecção são os tipos de risco do processo de auditoria. 2. Os riscos são mensurados em função tanto da materialidade a ser definida pelo auditor segundo circunstâncias particulares e específicas de cada organização na seleção de assuntos quanto da extensão e da natureza das distorções. Aponte a alternativa correta. A alternativa "D " está correta. Quanto maiores os riscos, menor a materialidade. Quanto menor eles forem, maior ela será. CONCLUSÃO CONSIDERAÇÕES FINAIS Conhecemos os primórdios da história do homem nos aspectos relacionados aos riscos do dia a dia e das organizações ainda nascentes. Nessa retrospectiva, apresentamos os principais marcos temporais que apoiaram o desenvolvimento dos referenciais de riscos atuais aplicados na administração pública e na iniciativa privada. Para estabelecermos uma melhor compreensão das formas de tratamento deles, apontamos os principais referenciais de gerenciamento de riscos ede controles internos, demonstrando ainda suas particularidades e características. Versamos, por fim, sobre os conceitos básicos dos riscos de uma auditoria cujos respectivos procedimentos complementares podem colaborar para a coleta de evidências em procedimentos ligados a ela. AVALIAÇÃO DO TEMA: REFERÊNCIAS CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 200 (R1): objetivos gerais do auditor independente e a condução da auditoria em conformidade com as normas de auditoria. Brasília: CFC, 2016. CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 315 (R1): identificação e avaliação dos riscos de distorção relevante por meio do entendimento da entidade e do seu ambiente. Brasília: CFC, 2016. CONSELHO FEDERAL DE CONTABILIDADE. NBC TA 330 (R1): resposta do auditor aos riscos avaliados. Brasília: CFC, 2016. CONSELHO FEDERAL DE CONTABILIDADE. NBC TI 01: da auditoria interna. Brasília: CFC, 2016. INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das melhores práticas de governança corporativa. 5. ed. 2015. COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. Controle interno – estrutura integrada: sumário executivo. Trad. PricewaterhouseCoopers Brasil. São Paulo: PWC3, 2013. COSO – THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION. Gerenciamento de riscos corporativos – estrutura integrada: Sumário executivo, Estrutura. Trad. PricewaterhouseCoopers Brasil. São Paulo: PWC, 2007. THE INSTITUTE OF INTERNAL AUDITORS. O modelo das três linhas – uma ferramenta importante para o sucesso de toda organização. 2020. TRIBUNAL DE CONTAS DA UNIÃO. Referencial básico de governança aplicável a órgãos e entidades da administração pública: 2ª versão. Brasília: TCU, 2014. EXPLORE+ Acesse os seguintes sites para pesquisar sobre: Conselho Federal de Contabilidade Normas de auditoria interna e auditoria independente. Tribunal de Contas da União Governança pública. Tribunal de Contas da União Normas que regem a auditoria na administração pública. CONTEUDISTA Pedro Hikaru Oishi CURRÍCULO LATTES javascript:void(0);
Compartilhar