4. Metodologia da Auditoria Focalizada na Gestão de Riscos
4.5. Técnicas utilizadas para medir o risco
Não existe um modelo de avaliação do risco que seja standard e como tal aplicado a todas as empresas, pois cada uma tem as suas próprias especificidades, pelo que o Auditor Interno deve ter em consideração as características mais representativas do risco. O importante é conhecer os métodos e a filosofia de medição dos riscos, de modo a poder-se adaptar de acordo com o caso em análise. Contudo, iremos dar um exemplo de como é que se pode medir o risco, partindo do modelo apresentado pela Protiviti, do COSO ERM e da norma AS/NZS 4360;2004.
A medição do risco pode ser feita através de mapeamento do risco, utilizando para o efeito a matriz de risco, conforme exemplo apresentado na figura 5.
Figura 5: Matriz de Risco (Fonte: Protiviti, 2006)
Trata-se de uma matriz de dupla entrada, em que no eixo das abcissas se mede a probabilidade de um determinado risco vir a ocorrer e que foi classificada como remota, possível ou provável. Diz-se que estamos perante uma probabilidade remota, quando não existem perspectivas de que determinado risco ocorra. Uma probabilidade é possível, quando existe um grau de probabilidade que determinado risco venha a acontecer e a probabilidade será considerada provável, quando existe uma forte possibilidade de um risco acontecer.
Suportado numa técnica intuitiva e de simples compreensão e num determinado horizonte temporal (por exemplo 1 ano, 3 anos, etc.), no eixo das ordenadas avalia-se o impacto que o risco pode causar, caso se venha a verificar. O impacto está classificado em gerível, importante e crítico. O impacto é gerível quando o risco ao acontecer, é controlável. O impacto é importante, dado que se trata de um risco que merece alguma atenção pela gestão, porque caso aconteça pode ter consequências desagradáveis na organização. O impacto é crítico, porque é o mais preocupante para a gestão, uma vez que, caso ocorra poderá ter implicações graves e, como tal, merece uma atenção redobrada. Digamos que se trata de uma avaliação em 3 dimensões, horizonte temporal, impacto e a probabilidade de um determinado risco acontecer. A avaliação do impacto e da probabilidade de ocorrência dos riscos de cada processo permite identificar os riscos que apresentam maior criticidade e que exigem uma atenção especial da gestão.
Podem ser utilizadas várias técnicas, nomeadamente recorrendo à linguagem comum, isto é, um instrumento que facilita o diálogo permanente entre os vários intervenientes na gestão de risco de uma empresa, o glossário de riscos, identificação dos riscos aplicáveis, localizar as origens e as fontes de incerteza dos riscos, medir o impacto (gerível, importante ou critico) e o grau de probabilidade (remota, possível e provável), sequenciar os riscos de acordo com a sua importância, considerar potenciais perdas
financeiras, impactos de imagem, reputação da empresa, impacto no cumprimento dos objectivos, entrevistas com pessoas em lugares chave da organização, workshops, aplicação de checklists e análise de histórico.
Uma linguagem comum organiza as informações e dados relacionados com os riscos, as fontes de risco, métricas de risco, análise e comunicação na empresa, bem como, os níveis de processos.
“Utilizando uma linguagem comum, imaginação e um forte conhecimento do processo de negócio, a organização está mais habilitada a alcançar os objectivos do negócio” (Mcnamee, 2000:51).
O COSO ERM (2004a), considera que a avaliação da probabilidade e do impacto do risco pode ser efectuada através de métodos qualitativos e quantitativos e podem ser avaliados individualmente ou por categorias, tendo por base um período temporal. Por regra são utilizados métodos qualitativos, quando os riscos são difíceis de quantificar ou não existe informação suficiente. Os métodos quantitativos são mais precisos e são normalmente utilizados em actividades mais complexas e como complemento ás técnicas qualitativas. A probabilidade e o impacto de um ou mais riscos podem ser representadas graficamente através da utilização de uma matriz de riscos, conforme figura 5.
As directrizes para a implementação da AS/NZS 4360:2004 (Série Risk Management, 2005), refere que as ferramentas de análise permitem que os riscos sejam expressos pela combinação dos seus dois componentes, ou seja, impacto e probabilidade. A relação entre estes dois componentes depende de muitos factores que, por sua vez, reflectem a real natureza do risco e o modo como ele é entendido. Se considerarmos que o nível de risco é proporcional a cada um dos seus dois componentes o risco poderá ser expresso matematicamente como: Risco = Impacto X Probabilidade. De modo a ser possível efectuar uma categorização dos riscos de acordo com o seu grau de criticidade classificamos o impacto e a probabilidade do seguinte modo:
Impacto (Gerível =1, Importante=2; Crítico=3) Probabilidade (Remota=1; Possível=2; Provável=3).
Refere ainda que podem ser utilizados métodos qualitativos, quantitativos e semi- quantitativos na avaliação dos riscos. A escolha depende em parte do contexto, dos objectivos e dos recursos disponíveis, conforme referido no ponto 3.4.2. Norma Australiana e Neozelandesa (AS/NSZ 4360:2004).
De salientar que, o conhecimento dos processos dos negócios é uma mais-valia na avaliação dos riscos.
A gestão de riscos fecha o ciclo tomando as decisões de gestão que mais se adequam ao risco identificado. Existem várias estratégias que podem ser seguidas na gestão de risco das quais destacamos:
Prevenir Riscos – Esta é uma das melhores estratégias, porque se conseguirmos
identificar e prevenir atempadamente quais os eventos negativos que podem acontecer, melhor para a empresa.
Partilhar/Transferir Riscos – É uma forma de gerir riscos. Por exemplo, efectuando
contratos com fornecedores ou empresas seguradoras.
Controlar o Risco – Inclui procedimentos de controlo do processo que minimizem as