Norma Primária Relacionada
2120 - Gestão do Risco
A actividade de auditoria interna tem de avaliar a eficácia e contribuir para a melhoria da gestão do risco.
Interpretação:
A determinação se os processos de gestão do risco são eficazes é um juízo que resulta da avaliação feita pelo auditor interno de que:
Os objectivos da organização suportam e alinham com a missão da organização; Os riscos relevantes são identificados e avaliados;
As respostas apropriadas ao risco são seleccionadas, que alinham com o apetite de risco da organização; e
A informação relevante sobre o risco, permitindo que o staff, gestores e o Conselho cumpram com as suas responsabilidades é captada e comunicada em tempo oportuno transversalmente pela organização, permitindo que o staff, gestores e o Conselho cumpram com as suas responsabilidades
Os processos de gestão do risco são monitorizados através de actividades contínuas da gestão, avaliações separadas, ou ambas
_____________________________________________________________________________ 1. A gestão de risco é uma responsabilidade chave dos gestores superiores e do Conselho. Para alcançar os objectivos do negócio, a gestão assegura que estão definidos e em funcionamento processos eficazes de gestão do risco. O Conselho tem um papel de supervisão para determinar que estão estabelecidos processos adequados de gestão de risco e que os mesmos processos são adequados e eficazes. Neste papel poderão solicitar à actividade de auditoria interna que os auxilie, examinando, avaliando, relatando e/ou recomendando melhorias à adequação e eficácia dos processos de gestão do risco
2. Os gestores e o Conselho são responsáveis pelos processos de gestão do risco e controlo da organização. Contudo, os auditores internos agindo numa situação de consultores poderão auxiliar a organização na identificação, avaliação e implementação de metodologias de gestão do risco e controlos para enfrentar tais riscos.
3. Em situações onde a organização não tenha processos formais de gestão do risco, o responsável pela auditoria (CAE) discute formalmente com a gestão e o comité de auditoria as suas obrigações, para entenderem, gerirem e monitorizarem os riscos da organização e a necessidade de se satisfazerem de que existem processos dentro do negócio, mesmo que
Práticas Recomendadas 62
informais, que proporcionam o nível adequado de visibilidade para os riscos chave e a forma como são geridos e monitorizados.
4. O CAE deve procurar uma compreensão das expectativas dos gestores superiores e do Conselho quanto à actividade de auditoria interna no processo de gestão do risco da organização. Tal entendimento é então codificado nos estatutos da actividade de auditoria interna com o Conselho. As responsabilidades são para serem coordenadas entre todos os grupos e indivíduos no interior do processo de gestão de risco da organização. O papel da actividade de auditoria interna no processo de gestão de risco da organização poderá alterar-se com o decorrer do tempo, podendo reprealterar-sentar:
Nenhuma intervenção.
Auditoria do processo de gestão do risco como parte do plano de auditoria interna.
Apoio activo e contínuo e envolvimento no processo de gestão do risco tal como a participação nos comités de supervisão, actividades de monitorização e reporte da situação.
Gestão e coordenação do processo de gestão do risco
5. Em última análise, são os gestores superiores e o Conselho que determinam o papel da auditoria interna no processo de gestão do risco. O seu ponto de visto sobre a auditoria interna será provavelmente determinado por factores tais como a cultura da organização, capacidade do staff de auditoria interna, e condições locais e costumes do país. Contudo, a assunção da responsabilidade de gestão relativamente ao processo de gestão do risco com a consequente ameaça potencial à independência da actividade de auditoria interna, carece de uma discussão clara e aprovação do Conselho.
6. As técnicas utilizadas por diversas organizações para as suas práticas de gestão do risco poderão variar significativamente. Dependendo da dimensão e complexidade das actividades da organização, os processos de gestão de risco poderão ser:
Formais ou informais Quantitativas ou subjectivas
Integradas nas unidades do negócio ou centralizadas a nível da administração.
7. A organização concebe processos baseados na sua cultura, estilo de gestão e objectivos do negócio. Por exemplo, a utilização de derivados ou outra forma sofisticada de produtos pela organização poderia exigir a utilização de instrumentos quantitativos para a gestão do risco. As organizações de menor dimensão poderiam utilizar um comité de risco informal, para discutir o perfil de risco da organização e levarem a efeito acções periódicas. O auditor interno verifica se a metodologia escolhida é suficientemente abrangente e adequada para a natureza das actividades da organização.
8. Os auditores internos necessitam de obter uma evidência suficiente e apropriada para determinarem que os cinco objectivos chave dos processos de gestão de risco foram
Práticas Recomendadas 63
alcançados para poderem opinar sobre a adequação dos processos de gestão de risco. Ao coligirem tal evidência, o auditor interno poderia ter em consideração os seguintes procedimentos de auditoria:
Investigar e analisar os desenvolvimentos correntes, tendências, informação relacionada com os negócios da organização e outras fontes apropriadas de informação de forma a poder identificar os riscos e exposições que possam afectar a organização, bem como os procedimentos de controlo utilizados para identificar, monitorizar e reavaliar tais riscos. Analisar as políticas da organização, e as minutas das actas do Conselho e do comité de auditoria de forma a identificar quais as estratégias comerciais da organização, filosofia da gestão de risco e sua metodologia, apetite do risco e aceitação dos riscos.
Analisar os relatórios passados sobre a análise de risco emitidos pela gestão, auditores internos, auditores externos e de quaisquer outras fontes.
Efectuar entrevistas com os gestores de linha e gestores executivos, de forma a identificar os objectivos das unidades do negócio, os riscos relacionados, e as actividades de minimização do risco e monitorização do controlo feita pela gestão.
Assimilar toda a informação de forma a poder avaliar com independência a eficácia da mitigação do risco, a monitorização e o reporte dos riscos e actividades de controlo relacionados.
Avaliar a adequação dos canais de reporte para as actividades de monitorização do risco. Analisar a adequação e oportunidade dos relatórios sobre os resultados da gestão do risco. Analisar toda a dimensão da análise de risco feita pela gestão, e as acções tomadas para solucionar as questões levantadas pelos processos da gestão de risco, e recomendar melhorias.
Verificar a eficácia dos processos de auto-avaliação feitas pela gestão, através de observações, testes directos de procedimentos de controlo e monitorização, verificando a exactidão da informação utilizada nas actividades de monitorização, e outras técnicas adequadas.
Analisar as questões relacionadas com o risco de forma a identificar quaisquer fraquezas nas práticas da gestão de risco e, conforme apropriado, discutir o assunto com os gestores superiores e o Conselho. Se o auditor for da opinião de que a gestão aceitou um nível de risco que é inconsistente com a estratégia e política da gestão de risco da organização, ou que seja de todo inaceitável para a organização, ver a referência à Norma 2600 - Aceitação do Risco pela Gestão, e a orientação relacionada, para reforço adicional.
***
Práticas Recomendadas 65