A Gestão de Risco ERM e o Papel do Auditor Interno

O Auditor Interno pode ser considerado um dos melhores interlocutores das organizações para apoiar a administração e a gestão a atingir os objectivos e em sequência acrescentar valor às mesmas, pois consegue articular três contextos: a gestão de risco, o controlo e o governo das sociedades.

No âmbito da organização da Gestão de Risco, a função de auditoria interna deve identificar e avaliar a eficácia e a eficiência da gestão e controlo dos riscos dos processos de negócio e dos sistemas de informação, bem como dos riscos de não conformidade com a legislação, contratos, políticas e procedimentos das empresas. (Almeida 2005a: 14). O papel da auditoria interna nas organizações torna-se assim mais abrangente na organização, devido ao seu envolvimento no processo de gestão de riscos, pois passa a contribuir para que a organização possa alcançar os seus objectivos e consequentemente para a melhoria contínua da mesma.

De acordo com Castanheira (2005), o papel da Auditoria Interna no processo de Gestão de Risco era um assunto controverso, pelo que surgiram vários debates acerca do assunto. Este facto, levou a que o IIA, em coordenação com o IIA – UK & Ireland, emitisse um esclarecimento sobre a posição do papel da Auditoria Interna nas organizações face à gestão de risco.

Posto isto, o IIA (2004) esclareceu que o papel fundamental da Auditoria Interna no processo de gestão de risco é proporcionar uma garantia objectiva sobre a eficácia das actividades de gestão de risco de uma organização, contribuir para que os riscos de negócio

mais importantes sejam geridos de forma adequada e, que o sistema de controlo interno funcione de forma eficaz.

Em termos de responsabilização dos riscos, convém reforçar que a administração é a principal responsável pela definição dos riscos, cabendo aos auditores internos a função de proceder à avaliação da eficácia da gestão de risco conforme norma de desempenho nº 2120 do IIA (2009a) e reportá-la superiormente para a administração.

Assim, conforme Almeida (2005b), o posicionamento da Auditoria Interna pode ser apresentado conforme a Figura 3.5 (que resulta da Figura 3.1), pela qual a Auditoria Interna e a Gestão de Risco, podem desempenhar funções paralelas a níveis diferentes:

- A Gestão de Risco, tem como função promover, coordenar, facilitar e apoiar o desenvolvimento dos processos de gestão de risco, normalmente, identificados por riscos que têm um impacto elevado e, com riscos estratégicos ou com riscos que apesar de ocasionais podem ter consequências catastróficas;

- A Auditoria Interna, tem a responsabilidade de identificar e avaliar a eficácia da gestão e controlo dos riscos dos processos de negócio e dos sistemas de informação, bem como dos riscos de não conformidade com a legislação, contratos, políticas e procedimentos da organização; normalmente são identificados com riscos que tem um impacto reduzido e, com riscos operacionais.

Fonte: Gestão de Risco nas Organizações - Jornadas Regionais da Qualidade Funchal - 22 de Outubro de 2008 (Almeida, 2005b:28)

No entanto, de acordo com as normas de desempenho nº 2120, 2200, 2440, 2500 e 2600 do IIA (IIA 2009a), o posicionamento do Auditor Interno deve ser mais abrangente pois é incumbido de proceder à avaliação da eficácia e contribuir para a melhoria da gestão do risco, ou seja, deve interagir na gestão de riscos desde a fase de planificação, passando pela monitorização e pela divulgação, sendo a sua contribuição efectuada através das seguintes fases:

1º) Determinar se os processos de gestão do risco são eficazes, com base nos conhecimentos e julgamento do auditor interno;

2º) Os processos de gestão do risco são monitorizados através das actividades correntes da gestão;

3º) Ao nível do planeamento, os auditores internos devem ter em atenção que têm de desenvolver e documentar um plano para cada compromisso;

4º) Ao nível da divulgação dos resultados, o responsável pela auditoria interna tem de divulgar os resultados às partes apropriadas e, quando for exigido em termos legais, estatutários ou regulamentares;

5º) Em termos de monitorização, o responsável pela auditoria interna tem de estabelecer um processo de “follow-up”, para monitorizar e assegurar que as acções da gestão foram efectivamente implementadas.

Assim, a auditoria interna pode ser encarada como o órgão que avalia a actuação da gestão de risco e que acompanha a actuação da gestão de risco. No entanto, é importante reforçar que os auditores internos não devem ser responsáveis pela gestão do risco, mas sim contribuir para uma gestão de risco eficaz e eficiente.

De acordo com Moeller (2007), os auditores internos são os “olhos e os ouvidos” da gestão nas organizações, pois são considerados os especialistas que visitam todas as áreas e emitem relatórios sobre os processos e operações da organização. Normalmente, os auditores internos focalizam o seu tempo e atenção nas áreas de maior risco das organizações, e fazem-no quer através da avaliação dos controlos internos, quer através dos serviços internos de consultoria que prestam.

A forma como o auditor interno em particular e as organizações em geral encaram a gestão do risco, tem muito a ver com a forma como as organizações definem os objectivos do negócio e os riscos que os ameaçam.

De acordo com Castanheira (2006), para que se obtenha um eficiente conhecimento desses riscos, para além de ser importante um forte conhecimento dos processos de negócio, é fundamental a implementação de um mapa de riscos que reflicta uma visão lógica dos riscos de negócio das organizações, essencial para apoiar a gestão e a auditoria interna na avaliação e melhoria dos processos de gestão de risco. Assim, o planeamento da auditoria interna deve estar alinhada com a estratégia da organização e com o seu plano de negócio. A Figura 3.6, pretende dar uma visão de orientação da elaboração de um mapa de riscos e como ele se integra nas preocupações de uma organização, ou seja, definindo em primeiro lugar os desafios que se colocam à organização para concretizar os objectivos de negócio, em segundo estabelecer as soluções para controlar e acompanhar a evolução dos riscos e por último adequar as ferramentas necessárias para o concretizar.

DESAFIOS OBJECTIVOS DO NEGÓCIO Quais os impedimentos para os atingir?

RISCOS Como evitá-los?

CONTROLOS Funcionam?

EFICIÊNCIA Existe?

SOLUÇÕES PLANEAMENTO ESTRATÉGICO através da GESTÃO DE RISCO

Implementação de um adequado SISTEMA DE CONTROLO INTERNO

com a verificação e actualização pela AUDITORIA INTERNA

FERRAMENTAS PLANO ESTRATÉGICO DO NEGÓCIO

MAPA DE RISCOS

MANUAL DA ORGANIZAÇÃO PLANO DE AUDITORIA INTERNA

OBJECTIVOS DO NEGÓCIO

Fonte: Adaptado de Castanheira e Rodrigues (2006: 11)

Figura 3.6 – Concretização dos Objectivos do Negócio

Os planos de trabalho do auditor interno devem incorporar e convergir com os objectivos de negócio da organização, ou seja, ao alinhar o planeamento de auditoria com a

estratégia da organização e o plano de negócio, o processo de auditoria interna fica mais intimamente associado com as metas e objectivos da organização (Castanheira e Rodrigues 2006: 14).

Ao efectuarmos a análise da actividade do auditor e da actividade da gestão das organizações, ficou evidenciado que a gestão de riscos da organização é impulsionadora de estratégias conjuntas entre a gestão e a auditoria interna, ou seja, que o planeamento do trabalho do auditor interno deve estar em sintonia com o da gestão e que os objectivos do negócio da organização podem ser concretizados através de uma eficiente e adequada gestão de riscos.