Análise dos riscos

A análise de riscos tem como finalidade perceber qual o nível de risco e a sua natureza. Esta análise fornece informações que determinam a necessidade ou não de tratar os riscos identificados, bem como, permite identificar as estratégias de tratamento mais adequadas e com custos mais reduzidos.

De acordo com a norma AS/NZS 4360:2004 a análise dos riscos tem em consideração as fontes de risco, as suas consequências quer sejam positivas quer sejam negativas e ainda a probabilidade de que as mesmas ocorram. A mesma norma refere que pode ser feita uma análise preliminar, de modo a agregar riscos semelhantes ou riscos com baixo impacto, excluindo-os de um trabalho mais detalhado e aprofundado.

Tendo como referência os riscos identificados apresentados em anexo (anexo 3), procedemos à identificação e avaliação dos controlos executados na área de Compras com o objectivo de aferir o risco residual à data de realização deste trabalho

e propor medidas de controlo que permitam a sua redução. De referir que o risco residual, poderá sofrer alterações, caso se definam e implementem novas medidas eficazes na mitigação dos riscos identificados.

Passamos à análise dos controlos do processo considerado para efeito deste trabalho, isto é, o Grupo de Material de Embalagem.

Para cada um dos sub-processos foi construída uma matriz de análise dos riscos e controlos. Estas matrizes sintetizam o trabalho de análise realizado e que se pode resumir nos seguintes pontos:

Identificação dos processos auditados (Estes processos são elencados na tabela da figura 22);

Identificação do risco absoluto destes processos, previamente analisado em conjunto com a área auditada, conforme descrito no ponto 5.2.2.1. Análise e avaliação dos controlos que compreendeu os seguintes passos:

o Identificação dos controlos aplicados aos processos auditados. Incluem-se neste conceito os procedimentos de controlo previstos no Manual de Procedimentos de Controlo Interno da Empresa, Procedimentos de Controlo previstos nas normas da Qualidade e outros controlos da área;

o Caracterização dos controlos de acordo com parâmetros

o Selecção de amostras de processos e execução de testes de verificação da aplicação dos controlos identificados - Simulados; o Documentação dos resultados dos testes e avaliação da qualidade

dos controlos (Bom, Mau ou Insuficiente);

A classificação dos riscos foi revista com base nos resultados da avaliação dos controlos, da qual resulta a matriz de risco residual que apresentaremos mais adiante.

De referir que os controlos podem ter diferentes classificações, nomeadamente, manuais ou automáticos; preventivos, detectivos ou correctivos; primários ou secundários.

Os controlos manuais dependem predominantemente da execução manual de uma ou mais pessoas.

Os controlos automáticos estão embebidos em programas informáticos ou aplicações de tecnologias de informação e executam um passo ou previnem uma transacção de ocorrer sem uma decisão manual ou iteração.

Existem ainda controlos manuais dependentes de sistemas de informação, isto é, controlos que são manuais mas que se baseiam em informação retirada dos sistemas de informação.

Controlos preventivos, manuais ou automáticos, são desenhados para prevenir erros ou omissões de ocorrer e são geralmente posicionados junto à fonte do risco dentro do processo de negócio.

Controlos detectivos são processos, manuais ou automáticos, que são desenhados para detectar ou corrigir um erro ou uma omissão, antes da concretização do objectivo.

Controlos correctivos são similares aos controlos detectivos mas tem o objectivo específico de corrigir o erro detectado.

Controlos primários são controlos que são especialmente críticos na mitigação do risco.

Controlos secundários são importantes para a mitigação do risco mas não são considerados críticos pela Gestão e pelos donos dos processos. Apesar destes controlos serem importantes existem controlos alternativos que garantem a concretização dos objectivos.

Os controlos podem ainda ser operacionais, de cumprimento ou financeiros. A maior parte dos controlos internos servem para cumprir mais do que um objectivo. Em determinadas situações, os controlos implementados para atingir objectivos operacionais ou de cumprimento, também podem satisfazer objectivos relacionados com a informação financeira.

Os controlos operacionais referem-se à eficácia e eficiência das operações e à salvaguarda dos recursos disponíveis. Os controlos de cumprimento estão relacionados com o cumprimento de leis e regulamentos aplicáveis na organização e os controlos financeiros são os que dizem respeito à informação financeira.

Os mapas de análise dos riscos e controlos foram preparados por Sub-processo e estão disponibilizadas em anexo para consulta (Anexo 4).

A Figura 23 representa, a título exemplificativo, um excerto de uma dessas matrizes.

Figura 23: Exemplo de Matriz de Análise dos Controlos ao Processo Analisado (excerto)

(Fonte: Produção própria)

Este mapa de análise de riscos e controlo, serve para apresentar de forma clara e precisa toda a informação relacionada, quer com a análise dos riscos, quer com a identificação e avaliação dos controlos do processo.

Depois de identificados e avaliados os riscos absolutos dos diferentes sub-processos em análise, passamos às fases de análise dos riscos, identificação e avaliação dos controlos.

Este mapa não é mais do que um documento que reúne toda a informação necessária ao desenvolvimento e suporte das fases 3 e 4 (análise e avaliação dos riscos) do modelo de gestão de risco adoptado na elaboração deste trabalho.

Depois de identificados e avaliados os riscos absolutos, elabora-se o mapa acima referido com a informação necessária, ou seja, identificamos e descrevemos as possíveis ocorrências (para cada risco identificado), identificamos e descrevemos os controlos diferenciando os que estão suportados em regulamentação interna e ou externa, o objectivo dos controlos, o responsável pelo mesmo e classificamos os controlos de acordo com a sua natureza, isto é, se são controlos primários ou secundários, operacionais, de cumprimento ou financeiro, se são manuais ou baseados em sistemas de informação, se são controlos preventivos, detectivos ou correctivos.

De seguida, passa-se à fase dos testes de conformidade. Com base no programa de testes elaborado, vamos verificar se os controlos existentes são ou não eficazes na mitigação dos riscos identificados. Com base na avaliação dos controlos, vamos reclassificar os riscos, determinando-se assim a matriz dos riscos residuais.