2.1 Auditoria interna
2.1.3 Processos relacionados à auditoria interna
2.1.3.2 Gestão de Riscos
Conforme observam Spira e Page (2003), a gestão de riscos, tal como atualmente
conhecida, passou despercebida durante muito tempo. Apenas no século XVII, com o
desenvolvimento do racionalismo, é que as organizações atentaram para o fato de que, uma
vez que as técnicas de previsão e mensuração do risco tornaram-se disponíveis, ele poderia ser
evitado e compensado. O risco passou a ser associado ao resultado de ações humanas, e não
atribuído à vontade divina.
Considerando-se os pressupostos de Modigliani e Miller (1958) de um mercado
de capitais perfeito e de informação simétrica, a gestão de riscos não seria influente no valor
da firma. Kimura e Pereira (2005) observam, no entanto, que na prática as premissas acima
não são observadas, de modo que a gestão de riscos pode gerar valor para a empresa.
Conflitos de agência e assimetria informacional são apenas algumas imperfeições de mercado
que justificam o uso de mecanismos de gestão de riscos.
Nos últimos anos, o processo de gestão de riscos tem alçado grande destaque
dentro das organizações, uma vez que é por meio dele que podem ser gerenciadas e reduzidas
as ameaças ao alcance das metas organizacionais e de seus objetivos estratégicos.
Segundo McNamee e Selim (1998), o risco expressa a incerteza sobre a
ocorrência de eventos e suas conseqüências, que podem afetar materialmente os objetivos da
organização. Os riscos são inerentes a todos os negócios; não há atividade empreendedora
com vistas a lucros futuros sem riscos envolvidos. E, conforme Jensen e Meckling (1999),
todos os riscos de negócio são também riscos de uma gestão pobre. Os autores apontam cinco
diferentes visões para o significado de risco, conforme o ambiente de aplicação:
(i) gestão estratégica: o risco está relacionado a ameaças e oportunidades,
sujeitas a diferentes probabilidades de ocorrência e impacto, e com
implicações negativas ou positivas;
(ii) gestão financeira: o risco influencia o custo de manutenção de ativos;
(iii) gestão ambiental e saúde ocupacional: relaciona o risco ao perigo inerente a
algumas atividades;
(iv) auditoria e mercado financeiro: o risco é enxergado como potencial de
perdas materiais de ativos físicos e financeiros;
(v) seguros: o risco está fortemente relacionado a estatísticas de ocorrências e
Embora a gestão de riscos perpasse todas as áreas da empresa, sua mais conhecida
e tradicional abordagem refere-se à gestão de riscos que opera por meio de instrumentos
financeiros, de grande relevância, mas fora do escopo deste estudo, cujo enfoque recai sobre a
interação entre os processos de gestão de riscos, controles internos e governança corporativa
no que tange ao papel da auditoria interna junto desses processos.
Barros (2007) recorda que, tradicionalmente, os riscos não tratados pelas finanças
corporativas eram classificados como operacionais, residindo aí todos os riscos não
relacionados ao financiamento das atividades da empresa. Independente da classificação do
risco, todo o processo de gestão de riscos é objeto da atividade de auditoria interna. O IIA
(2010) aponta cinco objetivos principais do processo de gestão de riscos:
Identificação e priorização de riscos associados a estratégias e atividades de
negócio;
Estabelecimento de níveis de risco aceitáveis para a organização pela alta
administração e pelo conselho;
Definição e implantação de atividades para gestão dos riscos, de modo a
mitigá-los ou aceitá-los, conforme o apetite de risco da empresa;
Realização de atividades permanentes de monitoração para avaliação dos
riscos e da eficácia dos controles internos estabelecidos para mitigá-los;
Comunicação periódica dos resultados dos processos de gestão de gestão de
riscos ao conselho e à alta administração.
Antunes (2006) apresenta um modelo de avaliação de risco orientado para os
auditores independentes. Sua estrutura de classificação de riscos e fatores de risco, no entanto,
pode ser aplicada também à auditoria interna, uma vez que engloba diversos processos, não
somente aqules ligados às demonstrações financeiras, conforme pode ser verificado no
QUADRO 1.
O papel da auditoria interna no processo de gestão de riscos corporativos
alterou-se ao longo do tempo, podendo estar, dependendo da organização, em diferentes estágios de
maturação. Segundo o IIA (2010), a auditoria interna pode desde não exercer papel algum
junto à gestão de riscos até gerir e coordenar todo o processo de risco, conforme verifica-se na
FIG. 7.
QUADRO 1
Classes de riscos e fatores de riscos de controle
Classes de riscos Fatores de riscos
Gestão de Pessoas Integridade e Valores Éticos
Comprometimento com Competência Políticas e Práticas de Recursos Humanos Modelo de Decisão Filosofia e Estilo Operacional da Administração
Postura para Informações Contábeis
Conselho de Administração e Comitê de Auditoria
Infra-Estrutura Atribuição de Autoridade e Responsabilidade
Estrutura Organizacional
Avaliação de Risco Ameaças Internas
Ameaças Externas
Atividades de Controle Restrições de Acessos e Funções
Controles de Processamento de Informações Revisões de Desempenho
Informação e Comunicação Processamento da Informação Divulgação da Informação
Monitoramento Monitoramento Interno
Supervisão Externa Fonte: Antunes, 2006
FIGURA 7 - Estágios de maturação do papel da auditoria interna no processo de gestão de riscos Fonte: Elaborado pelo autor