Auditoria Interna de Processos Baseada em Riscos

por | jan 27, 2022 | Categoria Auditoria | 0 Comentários

Elaboração: Clézio Alcantara Santos

O mundo capitalista requer cada vez mais tomadas de decisões agudas, consistentes e rápidas em suas operações de negócios, e isso traz consigo alguns riscos que são necessários que as organizações precisam conviver, identificar aceitar, mitigar e contigenciar, para que se possa manter a perenidade do negócio. Contudo os não há como fugir dos riscos eles são eminentes e necessitam serem gerenciados.

A partir desta necesside de se fazer gestão de riscos as organizações têm em suas mãos algumas situações que dão a elas a possibilidade de assumir os riscos em prol de certas decisões o que chamamos de “Apetite ao Risco” ou até mesmo criar condições para mitigá-los, assim podemos verificar que entre o apetite ao risco e os planos de mitigações, temos também os “Riscos Ocultos”, ou seja, aqueles ainda que não foram identificados pela GRC (Central de Gerenciamento de Riscos).

Para continuarmos a nossa contextualização macro sobre os riscos, é preciso voltarmos ao título deste artigo que é a “Auditoria Interna de Processos Baseada em Riscos”, mas afinal o que é auditar processos com base em riscos? E qual a importância da auditoria para o gerenciamento de riscos?

De acordo com Attie, a Auditoria Interna:

“É função independente de avaliação criada dentro da empresa para examinar e avaliar suas atividades como um serviço a essa mesma organização.”

Para uma completa interpretação sobre o que é Auditoria Interna, Crepaldi define:

“Auditoria Interna constitui um controle gerencial que funciona por meio de análise e avaliação da eficiência de outros controles.”

Ficando somente nos exemplos destes dois autores, podemos verificar que a essência da auditoria interna não muda, mas as suas perspectivas de abordagem necessitam evoluir para atender as necessidades que o gerenciamento de riscos exige sobre as aplicações da auditoria.

Mas então afinal o que é Auditoria Interna de Processos Baseada em Riscos? Neste caso é preciso fraguementar o título em duas situações que são Auditoria Interna de Processos e a sua aplicação baseada em riscos.

Definição de Auditoria Interna de ProcessosÉ a avaliação do sistema de controles internos baseado nas evidências dos processos organizacionais.

Objeto de Verificação da Auditoria Interna de Processos – Todo o trabalho da auditoria, tem como fonte o entendimento da cadeia de valor, arquitetura de processos e o mapeamento dos processos (evidências/diagramação dos fluxogramas).

Então com base nestas definições, só podemos dizer que para ocorrer uma aplicação de auditoria interna de processos as organizações precisam possuir como premissa básica uma arquitetura de processos que seus processos estejam mapeados, posto isto, temos ainda as demais abordagens que são objetos de avaliação da auditoria interna de processos tais, como os controles dos mapas de melhorias, o mapa ROI (Retorno Sobre Investimentos), cadeia de valor, indicadores de desempenho, as normas, e políticas ligadas aos processos, as avaliações dos objetivos de cada macroprocesso organizacional, metas de desempenho dos processos, entre outros.

Todos estes objetos verificados pela auditoria interna possuem correlacionamento com os controles internos, ou seja, a partir das evidências existentes para a aplicação da auditoria, define-se as necessidades e os objetivos específicos em os controles internos serão avaliados e testados.

Então uma vez entendido o que auditoria interna de processos e seus requisitos, o que seria então uma auditoria baseada em riscos? Já em relação aos riscos, é necessário que a organização também possua uma identificação, e que estes estejam atribuídos de certo algum grau de riscos/criticidade, independemente do tipo de critério e/ou método utilizado para chegar-se a essa pontuação/grau e que consequentemente será transformará em uma Matriz de Riscos.

Portanto só podemos considerar como prática efetiva de Auditoria Interna de Processos Baseada em Riscos, se a organização possuir uma aplicação e evidenciação estes dois pilares, caso contrário teríamos somente então a existência da convencional auditoria interna operacional com base em avaliação mínimos e direcionadas de controles internos, cujas premissas universais são o framework do COSO.

COSO – Committee of Sponsoring Organizations of the Treadway Commission, ou Comitê das Organizações Patrocinadoras da Comissão Treadway, é uma organização privada sem fins lucrativos, criada nos Estados Unidos, em 1985, para prevenir e evitar fraudes nos procedimentos e processos internos).

De acordo com a contextualização do diagrama, podemos identificar as práticas necessárias para a execução da auditoria de processos com base em riscos, porém outro ponto importante que deve ser observado são os tipos de perspectivas e abordagens que direcionam os trabalhos da auditoria.

Assim a avalição dos riscos na AIPBR (Auditoria Interna de Processos Baseada em Riscos) visa medir e priorizar os riscos de maior criticidade dentro da organização, usando como base os  testes de controles internos para recomendar as melhorias nos casos de não conformidade, e reclassificação dos riscos as conformidades, possibilitando assim a evolução de todo o sistema de GRC.

Baseado neste contexto exposto no artigo vemos que atualmente AIPBR vem quebrando paradigmas em relação as suas abordagens, apesar de que o tema vem sendo debatido a muito tempo, ou seja, os testes de auditoria frente aos riscos organizacionais estão deixando de ser centrada no passado com foco em recomendações em dados históricos e passando a ser empregado com visões de agregação de valor, perspectivas e arranjos futuro.

Assim a AIPBR tem como missão centrar os esforços e atenção sobre os riscos que torna o  trabalho de auditoria amplo e tempestivo, atendendo assim todos os aspectos de interesse da governança corporativa, ao invés de testar propriamente e diretamente o controle interno, o auditor deverá observar o gerenciamento de riscos, os métodos e os controles existentes de cada processo.

Os demonstrativos abaixo exemplificam estes comparativos de abordagens/perspectivas.

Os quadros acima, demonstram um pouco sobre as vertentes de trabalho da AIPBR, o que nos leva a concluir que os controles internos são uma parte importante para gestão de riscos, mas não é resolução efetiva. Então os auditores passam a recomendar em seus relatórios um nível apropriado e seguro de controles para a redução dos riscos, baseando-se em testes específicos, matriz de riscos e criticidade, arquitetura de processos e mapa de controles internos dos processos.

Portanto o que se entende na aplicação da AIPBR é a existência de uma premissa maior: “Não existe risco sem que se tenha um processo vinculado e que os controles internos deixam de ser o objeto e passa a ser um instrumento de viabilização para mitigar os riscos”.

E assim concluímos que para aplicar uma AIPBR é importante que as organizações modenize ou implemente os três grandes pilares que dão sustentação para este tipo de trabalho que é gestão de processos, gestão de riscos e gestão de controles, valendo lembrar-se sempre de que Gestão de Riscos e Gestão de Controles Internos devem estar sob a administração do Escritório de Processos.

 

Controles Internos

Estabeleça Controles, Monitore-os com facilidade e agregue mais eficiência a gestão do seu negócio dentro da Plataforma Perinity. +Saiba mais

Business Resiliency

Gerencie os Riscos Críticos e garanta a continuidade da sua operação de forma sustentável e caso necessário, acione seus Planos de Recuperação de Desastres com maior facilidade. +Saiba mais

Gestão de Riscos

Gerencie riscos de forma integrada e colaborativa, padronize critérios de avaliação de riscos e controle seus indicadores de maneira eficaz. É fácil com a Perinity. +Saiba mais

Gestão de Políticas

Gerencie suas políticas Internas de modo centralizado e divulgue-as de modo simples, garantindo a ciência de todos e reduzindo riscos para a sua organização. +Saiba mais

Auditoria Interna

Gerencie de forma estruturada, padronizada e centralizada a execução dos trabalhos de auditoria, do planejamento ao relatório final. Independente da complexidade, escala e acesso. +Saiba mais

Compliance

Gerencie de forma descomplicada e efetiva suas obrigações regulatórias, com automação das notificações, gestão dos responsáveis e clareza das obrigações assumidas. +Saiba mais

Control Self Assessment

Gerencie a criação de documentos e políticas de modo 100% eletrônico, com workflow pré-definido. Agilize e facilite o trâmite de documentos eletronicamente dentro da Plataforma Perinity. +Saiba mais

Participe de
nossos webinars

 

Analise o cenário atual e verifique que muitas empresas precisam melhorar o seu desempenho operacional, além de conhecer cases de sucesso. Participe dos nossos webinars, é gratuito!