A Gestão de Risco Aplicada À Auditoria

Universidade de Aveiro Departamento de Economia, Gesto e Engenharia
2010 Industrial
ALBERTINA A GESTO DE RISCO APLICADA AUDITORIA

DA CUNHA COUTO INTERNA
FERREIRA
Universidade de Aveiro Departamento de Economia, Gesto e Engenharia
2010 Industrial
ALBERTINA A GESTO DE RISCO APLICADA AUDITORIA

DA CUNHA COUTO INTERNA
FERREIRA
Dissertao apresentada Universidade de Aveiro para cumprimento dos

requisitos necessrios obteno do grau de Mestre em Contabilidade e
Auditoria, realizada sob a orientao cientfica da Doutora Helena Coelho
Incio, Professor Ajunto do Departamento de ISCAA da Universidade de Aveiro
Dedico este trabalho ao meu marido, Jos Antnio, e aos meus filhos, Jos
Antnio e Jos Miguel, pelo apoio e pela fora que me deram para realizar
este trabalho e acima de tudo pela compreenso de se verem privados da
minha companhia e ateno.
o jri
presidente Prof. Doutora Maria de Ftima Marques Teixeira Lopes Pinho

professora adjunta da Universidade de Aveiro
Prof. Doutor Manuel Emlio Mota de Almeida Delgado Castelo Branco

professor auxiliar da Faculdade de Economia da Universidade do Porto
Prof. Doutora Helena Coelho Incio

professora adjunta da Universidade de Aveiro
agradecimentos Agradeo minha orientadora, Doutora Helena Incio Coelho, pela
disponibilidade demonstrada e pela preciosa ajuda na elaborao deste
trabalho.
Quero tambm agradecer aos meus colegas e amigos, Dr. Joo Machado, Dr.
Armando Lopes, Dr. Paulo Rodrigues e D. Candida Castro, pelo apoio
prestado.
palavras-chave Gesto de Risco, Risco, Medidas, Auditoria Interna, Processo de Compras.
resumo A globalizao da economia, o aumento da concorrncia, as expectativas cada

vez maiores dos consumidores, a crise econmica mundial a que assistimos,
esto a afectar as organizaes, expondo-as a uma grande variedade de
riscos, que podem afectar a concretizao dos seus objectivos. Deste modo,
as organizaes devem conhecer os riscos que ameaam o seu negcio, de
modo a implementar medidas adequadas que mitiguem estes mesmos riscos e
assim no coloquem em causa o cumprimento dos objectivos definidos para a
organizao.
Neste contexto actual, consideramos que a nova viso da Auditoria Interna
uma mais-valia para a criao de valor da organizao, uma vez que, deixa de
se preocupar apenas com factos passados e controlos e passa a incluir no seu
trabalho a identificao, anlise e avaliao dos riscos (viso futura),
contribuindo para a obteno de uma segurana razovel de que os
principais objectivos de negcio sero concretizados.
Neste contexto, partindo do modelo de gesto de risco da norma
Australiana/Neozelandesa (AS/NZS 4360:2004) e do COSO ERM, aplicamos a
metodologia da gesto de risco a um processo de compras, cujo objectivo
demonstrar como que se pode incorporar a gesto de risco nos trabalhos
realizados pela Auditoria Interna incluindo a apresentao de ferramentas que
suportam o trabalho realizado e os resultados obtidos.
O trabalho apresentado nesta dissertao seguiu as fases definidas na norma
AS/NZS 4360:2004, tendo-se iniciado pelo estabelecimento do contexto,
passando pela identificao, analise e avaliao dos riscos e dos controlos,
determinando-se assim o risco residual. Por fim, so identificadas as falhas de
controlo e efectuadas as recomendaes pela Auditoria Interna que visam
reduzir a exposio do processo de compras, sub-processo compras
oramento, ao risco analisado.
De referir que a fase da comunicao e consulta se relaciona com todas as
fases do processo de gesto de risco. A fase da monitorizao e reviso no
foi englobada no mbito deste trabalho. Todo este trabalho est suportado em
mapas de trabalho, dos quais destacamos as matrizes de risco absoluto e risco
residual, matriz de anlise de riscos e controlos e matriz de tratamento de
riscos.
keywords Risk Management, Risk, Internal, Audit, Procurement.
abstract Nowadays there are several issues affecting organizations, the globalization of
the economy, the increase of competitiveness among companies, and the
world crisis that we are now dealing with. Those facts are exposing companies
to higher risks which may compromise the objectives set by Management.
Therefore companies should know the risks they are facing so they can
implement the necessary measures to mitigate those risks and accomplish their
objectives.
This new paradigm of the Internal Audit function adds up value for the
organization, since it concentrates not in the past but in the future, including in
their work the identification, analysis and evaluation of risks relating them with
the main objectives set by the company.
In this context, based on the risk management framework AS/NZS 4360:2004

and in COSO ERM, it was applied in this work the risk management
methodology to an audit work of a procurement process with the objective of
demonstrating the application of risk management techniques in the internal
audit work, including the presentation of the support files and the results
achieved.
The work performed followed the phases defined in the risk management
model AS/NZS 4360:2004, starting by establishing the context, followed by the
identification, analysis and evaluation of absolute risks, controls in place and
the residual risks.
Finally, findings were identified and Internal Audit issued their
recommendations that in their perspective would help the company to reduce
company risk exposures.
Communication and consultation were contemplated in each phase of risk
management process.
Monitoring and Reviewing were not included in the scope of this work.
All work is supported in worksheets, for example, the absolute and residual
risks matrix, the risk analysis matrix and the risk treatment matrix.
NDICE GERAL
1.Introduo....................................................................................................................... 1
2. Abordagens da Auditoria Interna.................................................................................... 3
2.1. Perspectiva evolutiva da Noo de AI .................................................................... 3
2.2. Controlo Interno ..................................................................................................... 7
2.3. Principais diferenas entre Controlo Interno e Auditoria Interna ............................11
2.4. As Normas Internacionais para a Prtica Profissional de Auditoria Interna ...........12
3. Gesto de Risco Empresarial ...................................................................................... 14
3.1. Evoluo e Conceito .............................................................................................14
3.2. Risco .....................................................................................................................16
3.3. Utilizadores da Gesto de Risco ...........................................................................18
3.4. Modelos de Gesto de Risco Empresarial.............................................................19
3.4.1. O COSO ERM ................................................................................................ 19
3.4.2. Norma Australiana / Neozelandesa AS/ NZS 4360:2004 ................................ 23
3.4.3. Norma de Gesto de Riscos - FERMA ........................................................... 27
3.4.4. O COBIT ........................................................................................................ 28
3.4.5. ISO 31000:2009 ............................................................................................. 30
3.5. Limitaes da Gesto de Risco Empresarial .........................................................32
4. Metodologia da Auditoria Focalizada na Gesto de Riscos.......................................... 33
4.1. Processo de Auditoria Interna baseado nos Riscos do Negcio............................33
4.2. Principais Objectivos de uma AIBR .......................................................................34
4.3 Razes para a implementao de uma AIBR .........................................................35
4.4. O Papel do Auditor Interno na Gesto de Riscos ..................................................36
4.5.Tcnicas utilizadas para medir o risco....................................................................39
5. Aplicao prtica: a avaliao do risco num processo de compras .............................. 43
5.1. Metodologia ..........................................................................................................43
5.1.1. Objectivos ...................................................................................................... 43
5.1.2. Modelo e fases de aplicao .......................................................................... 43
5.1.3. Universo utilizado para aplicao do modelo.................................................. 52
5.1.4. Pressupostos ................................................................................................. 52
5.2. Aplicao da avaliao de risco num processo de compras ..................................53
5.2.1. Estabelecimento do Contexto ......................................................................... 53
5.2.1.1. Compreender o contexto estratgico ........................................................... 54
5.2.1.1.1. Caracterizao do Departamento de Compras ......................................... 54
5.2.1.1.2. Polticas e Procedimentos internos aplicveis .......................................... 56
i
5.2.1.2. Compreender os processos de negcio ...................................................... 56
5.2.1.2.1. Processos principais e de suporte s Compras ........................................ 56
5.2.1.2.1.1. Processos principais.............................................................................. 58
5.2.1.2.1.2. Processos de suporte s Compras ........................................................ 62
5.2.1.2.2. Enquadramento dos processos na Estrutura Organizativa ....................... 63
5.2.1.3. Estabelecer uma linguagem comum............................................................ 65
5.2.2. Processo de Avaliao dos Riscos................................................................. 68
5.2.2.1. Identificao dos riscos - Risco Absoluto .................................................... 68
5.2.2.2. Anlise dos riscos ....................................................................................... 72
5.2.2.3. Avaliar os riscos .......................................................................................... 76
5.2.3. Tratar os riscos .............................................................................................. 80
5.2.4. Ficha de anlise de riscos e controlos ............................................................ 82
5.3. Limitaes da aplicao prtica ............................................................................84
5.4. Anlise crtica ........................................................................................................85
6. CONCLUSO .............................................................................................................. 88
BIBLIOGRAFIA ................................................................................................................ 90
ANEXOS.......................................................................................................................... 95
ii
ndice de Quadros
Quadro 1: Comparao entre o Velho e o Novo Paradigma .................................................... 5

Quadro 2: Principais diferenas entre CI e AI ........................................................................ 11
Quadro 3: Normas de Desempenho IIA, relevantes na GR .................................................... 13
ndice de Figuras
Figura 1: Ideograma Chins (Risco/Crise) ............................................................................. 17

Figura 2: Principais interessados ........................................................................................... 19
Figura 3: Cubo do COSO ERM .............................................................................................. 21
Figura 4: Processo de Gesto de Risco ................................................................................. 23
Figura 5: Matriz de Risco ....................................................................................................... 40
Figura 6: Exemplo de Matriz de Riscos ................................................................................... 45
Figura 7: Excerto Mapa dos Riscos Inerentes ........................................................................ 48
Figura 8: Matriz Risco Inerente ............................................................................................... 48
Figura 9: Passagem da Matriz de Risco Inerente para a Matriz de Risco Residual ................ 50
Figura 10: Estabelecimento do Contexto ............................................................................... 54
Figura 11: Processos principais e processo de suporte Compras ....................................... 57
Figura 12: Fluxograma do Processo Compras Oramento ..................................................... 59
Figura 13: Fluxograma do Processo de Compras de Servios ............................................... 60
Figura 14: Fluxograma do Processo de Compras Pontuais ................................................... 61
Figura 15: Fluxograma do processo de Compras Delegadas ................................................. 62
Figura 16: Enquadramento dos processos de Compras na Organizao ............................... 64
Figura 17: Fontes de Incerteza .............................................................................................. 65
Figura 18 . Matriz de Riscos de Negcio ................................................................................ 68
Figura 19: Matriz de Risco Inerente dos Processos de Compras ........................................... 70
Figura 20: Tabela dos riscos mais importantes (Relativas aos cinco riscos inerentes mais
significativos) (Impacto> 3) .............................................................................................. 71
Figura 21: Tabela do Processo Auditado ............................................................................... 71
Figura 22: Excerto da Matriz de Risco Inerente dos Processos Auditados ............................. 72
Figura 23: Exemplo de Matriz de Anlise dos Controlos ao Processo Analisado (excerto) .... 75
Figura 24: Matriz de Risco Residual dos Processos Auditados .............................................. 78
Figura 25: Tabela de frequncia das ocorrncias (Relativas aos riscos residuais mais
significativos, com impacto> 3) ........................................................................................ 79
Figura 26: Ficha de anlise de Riscos e Controlos ................................................................ 83
iii
GLOSSRIO DE SIGLAS
AI Auditoria Interna
AIBR Auditoria Interna Baseada no Risco
AICPA American Institute of Certified Public Accountants
CI Controlo Interno
COBIT Control Objectives for Information and Related Technology
COSO The Committee of Sponsoring Organizations of the Treadway Commission
ERM Enterprise Risk Management
FERMA - Federation of European Risk Management Associations
IIA The Institute of Internal Auditors
IFAC International Federation of Accountants
IGIT IT Governance Institute
IPAI Instituto Portugus de Auditores Internos
IRAM Instituto Argentino de Normalizacin e Certificacin
ISA International Standards on Auditing
ISACA Information Systems Audit and Control Association
SEC Securities and Exchange Commission
SOX Lei Sarbanes-Oxley
TI - Tecnologia de Informao
iv
1. Introduo
A velocidade de mudana, a complexidade crescente da economia associada crise

econmica mundial que estamos a atravessar, as expectativas cada vez maiores dos
consumidores, a agressividade da concorrncia, as consequncias dramticas que
podem advir das falhas de controlo, a rpida evoluo da tecnologia, entre outros
factores, esto a afectar as organizaes, expondo-as a uma grande variedade de
riscos. Os riscos empresariais podem assumir vrias formas e o seu impacto nos
stakeholders (accionistas, clientes, fornecedores, colaboradores, entre outros) pode
ser inesperado, rpido e atingir grandes propores. Deste modo, as Organizaes
devem conhecer os riscos que ameaam o seu negcio, de modo a implementar
medidas adequadas que mitiguem estes mesmos riscos e que evitem colocar em
causa a concretizao dos objectivos e at mesmo a continuidade do negcio.
Tendo em considerao o contexto actual, consideramos que a nova viso da

Auditoria Interna uma mais-valia para a criao de valor da organizao. Neste
sentido, referimo-nos evoluo do paradigma da Auditoria Interna, nomeadamente
ao facto da Auditoria Interna deixar de se preocupar apenas com factos passados e
controlos e passar a incluir no seu trabalho a identificao, anlise e avaliao dos
riscos (viso futura), o que contribui para a obteno de uma segurana razovel de
que os principais objectivos de negcio sero concretizados.
A viso moderna diz-nos que as empresas que melhor respondero s mutaes que
rapidamente esto a acontecer no mercado global, so aquelas que compreendem
desde j, de uma forma mais esclarecida, os seus riscos e que alinham essa
assumpo de riscos com aquilo que melhor sabem fazer.
neste enquadramento que entendemos ser relevante conhecer a forma como a

Auditoria Interna pode articular-se com a Gesto de Risco com vista criao de valor
para a empresa.
Assim, com o objectivo de mostrar a aplicabilidade de um modelo de gesto de risco

nos processos de Auditoria Interna, apresentamos uma aplicao prtica do modelo de
risco resultante da conjugao entre a Norma Australiana/Neozelandesa 4360:2004 e
o COSO ERM a um dos processos de uma empresa o processo de compra.
1
A nossa dissertao encontra-se dividida em cinco captulos que passamos a
apresentar de forma resumida.
No primeiro captulo apresentamos o enquadramento do tema, o principal objectivo,

assim como o contedo de cada captulo.
No segundo capitulo, apresentamos a evoluo da actividade da Auditoria Interna,

focando-se a mudana de paradigma, assim como as diferenas entre a Auditoria
Interna e Controlo Interno.
No terceiro captulo, fizemos uma abordagem gesto de risco nas organizaes,

bem como, apresentamos vrios modelos de gesto de risco, considerados a nvel
mundial como os mais conceituados e que representam as melhores prticas nesta
rea.
No quarto captulo, abordamos a metodologia da Auditoria Interna focalizada na

gesto de risco, nomeadamente no que diz respeito aos objectivos e ao papel do
Auditor Interno na gesto de riscos.
Por ltimo, no quinto captulo, apresentam-se as principais concluses obtidas no

nosso estudo.
2
2. Abordagens da Auditoria Interna
2.1. Perspectiva evolutiva da Noo de AI
Durante muitas dcadas a Auditoria Interna foi entendida como uma actividade que
visava essencialmente a avaliao da fiabilidade dos controlos internos,
frequentemente, designada de o controlo dos controlos, ou seja, tinha como principal
funo salvaguardar os activos da empresa, verificar se os procedimentos institudos
na organizao estavam a ser cumpridos e ainda verificar a veracidade da informao
financeira.
No podemos deixar de salientar a importncia que teve no desenvolvimento da

actividade de Auditoria Interna, o Institute of Internal Auditors (IIA), criado em 1941.
Este organismo tem membros em vrios pases o que vai permitindo, por um lado, a
divulgao das melhores prticas de Auditoria Interna, por outro, a uniformizao da
profisso pelos padres mais elevados. Em Portugal, foi criado em 1992, o Instituto de
Auditores Internos (IPAI, tambm membro do IIA).
Conforme referido por Costa (2007), a aprovao dos Standards for the Professional
Practice of Internal Auditing em 1978, pelo IIA, tambm teve um contributo muito
positivo na evoluo da Auditoria Interna, dado que na introduo se define a Auditoria
Interna como uma funo de apreciao independente, estabelecida dentro de uma
organizao, como um servio para a mesma, para avaliar e examinar as suas
actividades. O objectivo da Auditoria Interna o de auxiliar os membros da
organizao no desempenho eficaz das suas responsabilidades. Com esta finalidade,
a Auditoria Interna fornece-lhes anlises, apreciaes, conselhos e recomendaes
respeitantes s actividades analisadas (Costa, 2007:88).
Em Junho de 1999, a noo de Auditoria Interna foi redefinida pelo IIA, passando a
incorporar as mudanas ocorridas na profisso e a orientar os auditores internos para
uma actividade mais abrangente, em que se d maior relevo questo do valor
acrescentado que dado pela Auditoria Interna organizao. A Auditoria Interna
passou a ser definida como uma actividade independente de garantia e de
consultoria, destinada a acrescentar valor e a melhorar as operaes de uma
organizao. Assiste a organizao na consecuo dos seus objectivos, atravs de
3
uma abordagem sistemtica e disciplinada, para a avaliao e melhoria da eficcia
dos processos de gesto de risco, controlo e governao (IIA,1999).
Esta alterao mostra a mudana que tem vindo a acontecer ao longo dos anos na
actividade de Auditoria Interna, em que estamos a passar de um trabalho
essencialmente focado em factos passados, para um trabalho que se foca no presente
e no futuro, acrescentando deste modo maior valor organizao. Esta nova
focalizao da Auditoria Interna veio dar lugar ao que se designa, frequentemente,
Auditoria Interna Base Risco (AIBR).
Na mesma linha de pensamento est Junior (2005) ao referir que inicialmente, a

funo de Auditoria Interna estava ancorada na anlise das transaces com o
objectivo de evitar fraudes, depois focou-se na avaliao dos controlos internos com o
objectivo de reduzir os erros e actualmente est centrada na avaliao dos controlos
internos numa ptica de risco com a finalidade de optimizar o processo de gesto, isto
, de criar valor aos accionistas.
De acordo com Sousa (2007), a Auditoria Interna dever deixar de estar focalizada na
garantia da correcta escriturao do passado, para estar mais comprometida com a
Gesto, de modo a que os objectivos e metas da empresa sejam alcanados.
Deste modo, a AIBR passou a utilizar todas as tcnicas de gesto de riscos, incluindo
outras tcnicas de gesto alm de actividades de controlo.
A este propsito Pinheiro (2008), refere que a Auditoria Interna dever evoluir para a
Auditoria de Gesto (Value For Money Audit), com o objectivo de acompanhar o
desenvolvimento e a utilizao de mtodos de gesto de riscos negativos das
empresas e, assim, aumentar o sucesso da funo numa ptica de acrescentar valor
quer aos processos quer empresa.
Segundo Morais (2008), fornecer valor empresa, trata-se de um conjunto de

interesses internos e externos que possibilitam um ganho, quer seja monetrio ou no.
Os controlos so importantes mas para fornecer valor empresa a funo de Auditoria

Interna deve focar-se nos riscos de negcio que podem ser crticos para a sua
empresa, conforme refere Lorenzo (2001).
O quadro 1 apresenta um resumo das diferenas nos focos da auditoria em termos

gerais, dos testes, relatrio e dos resultados de auditoria, entre o velho e o novo
paradigma.
4
rea de Auditoria Velho Paradigma Novo Paradigma
Focus de auditoria Sistemas de controlo interno Riscos de Negcio

Actividades de Mitigao de
Focus de testes Actividades de controlo
todos os Riscos
Adequacidade e eficcia dos Adequacidade e eficcia da
Focus de relatrio
controlos internos Mitigao dos Riscos
Resultados de auditoria Controlo novo ou melhorado Mitigao apropriada do Risco
Quadro 1: Comparao entre o Velho e o Novo Paradigma (Fonte: Mc Namee, 1997)
A diferena entre estes dois paradigmas reside essencialmente na transferncia da

focalizao do controlo para os riscos. A auditoria, deixou de ser vista como uma mera
funo de controlo financeiro/contabilstico, passando a preocupar-se com a
identificao dos riscos inerentes ao negcio, na identificao das actividades de
controlo e avaliao da eficcia das mesmas na mitigao dos riscos, bem como,
propor recomendaes com o objectivo de implementarem medidas de correco e
melhoria para mitigao do risco, de modo a que os objectivos da organizao sejam
atingidos. Deste modo, a Auditoria Interna tem como principal objectivo apoiar a
gesto de topo a alcanar os objectivos definidos para a organizao.
Trata-se de um paradigma diferente, do olhar para a frente, uma auditoria centrada

sobre os riscos acrescenta mais valor organizao do que uma auditoria centrada
apenas nos controlos e ou somente nos factos passados registados na contabilidade
como refere Cocurrullo e Vanca (2002).
De acordo com Almeida (2006), o valor em auditoria traduz-se no desenvolvimento de

actividades nos processos e reas de maior risco das organizaes, de modo a reduzir
esse risco para nveis aceitveis e na melhoria do ambiente de controlo interno. No
mais do que partir do risco inerente elevado para chegar a um risco residual tolervel
pela empresa e que no coloque em causa a concretizao dos seus objectivos.
Segundo Lorenzo (2001), hoje em dia o Auditor Interno fixa-se no presente e no futuro,
nos riscos actuais e nos que ho-de vir, a sua atitude torna-se pr-activa
acrescentando maior valor empresa.
De acordo com McNamee (1997a), a avaliao de riscos permite ao auditor definir um

programa de auditoria capaz de testar os controlos mais importantes, ou testar os
5
controlos com maior detalhe, bem como, ajuda a definir as reas auditveis mais
crticas, sobre as quais a auditoria se ir debruar em primeiro lugar.
No seguimento do Enterprise Risk Management (ERM) emitido pelo COSO, o IIA veio
esclarecer a posio da Auditoria Interna, considerando que:
O principal papel da Auditoria Interna no processo de gesto de risco

fornecer segurana objectiva acerca da eficcia das actividades de gesto
de risco das organizaes, para ajudar a assegurar que os principais riscos
do negcio esto a ser geridos de forma apropriada e que o sistema de
controlo interno est a funcionar eficazmente (IIA, 2004:2).
De acordo com McNamee (1997b), a Auditoria Interna baseada em riscos, melhora o

modelo de avaliao de riscos e altera o foco da Auditoria Interna, que em vez de
olhar para os processos de negcio como fazendo parte de um sistema de controlo,
analisa-os numa perspectiva de risco. Uma auditoria baseada no risco acrescenta
mais valor a uma organizao do que uma auditoria assente nos controlos, uma vez
que os controlos por si s no garantem o sucesso.
A auditoria baseada em riscos, significa ampliar a perspectiva de todas as auditorias

internas, quer sejam financeiras, da qualidade, ambiental, da segurana da
informao, etc., para abarcar todas as etapas da gesto de risco, incluindo as
actividades de controlo (McNamee, 1997b).
De referir que a AIBR, permite ao auditor verificar no s se os controlos existentes

so suficientes e eficazes na mitigao dos riscos, mas, tambm verificar se existem
controlos excessivos, podendo recomendar a existncia de menos controlos caso se
venha a confirmar que os mesmos so ineficazes ou que os custos so demasiado
elevados face ao risco.
Neste sentido, espera-se que a Auditoria Interna seja, principalmente, uma ferramenta
de apoio Gesto e que ajude a organizao a alcanar os seus objectivos.
De acordo com Cocurullo e Vanca (2002), a avaliao do risco, em auditoria utilizada

para determinar as reas a auditar com maior prioridade. A avaliao do risco permite
ao auditor definir um programa de auditoria capaz de testar os controlos mais
importantes ou com maior detalhe.
Conforme referido por Morais (2008), a Auditoria Interna vive um momento nico na
sua histria tornando-se um dos principais alicerces da estrutura de governo das
organizaes. O papel da Auditoria Interna mais abrangente, incorpora os processos
6
de gesto de riscos, auxiliando na preveno de perdas e na identificao de
oportunidades de melhoria dos instrumentos de gesto e controlo das operaes.
Para Almeida (2006), a Auditoria Interna contribui para um maior conforto e garantia
no controlo dos riscos de negcio; fomenta o alinhamento de objectivos nos vrios
nveis da organizao e um agente de mudana, j que permite assumir mais risco e
aproveitar oportunidades.
De salientar a importncia da Auditoria Interna no Governo das Sociedades. De

acordo com Cmara (2008:12), a Auditoria Interna favorece a qualidade da
informao financeira, incrementando uma prestao de contas eficiente por parte dos
rgos de administrao.
Tendo em considerao as opinies apresentadas sobre a nova realidade da Auditoria

Interna, podemos concluir que todos so unnimes em referir que chegou uma nova
era para a Auditoria Interna. A Auditoria Interna deixa de exercer funes meramente
de controlo (anlise de factos passados), passando a ter uma atitude muito mais pr-
activa e de colaborao com a gesto, no que diz respeito identificao, anlise e
avaliao dos riscos de negcio (factos presentes e futuros), cujo objectivo ajudar a
Gesto a atingir os objectivos definidos acrescentando, deste modo, valor
organizao.
2.2. Controlo Interno
O conceito mais comum de Controlo Interno est relacionado com as normas e

procedimentos definidos na organizao e que tm como objectivo auxiliar todos os
colaboradores na execuo das tarefas no mbito da sua funo. Podemos dizer que
so um conjunto de regras que definem as melhores prticas a seguir, cujo objectivo
final a salvaguarda dos interesses da empresa.
De referir que inicialmente a Auditoria Interna era baseada nos controlos, o que estava
em causa era essencialmente garantir o cumprimento da legislao e regulamentos
aplicveis: normativos contabilsticos, fiscais e sectoriais.
Conforme referido por Gonalves (2008), foi publicado em 1987 o primeiro documento
que trata da temtica do Controlo Interno, o denominado Treadway Report1. Neste
relatrio foram, efectuadas uma srie de recomendaes, nomeadamente para a
existncia de um Comit de Auditoria composto por profissionais independentes,
1
Report of the National Commission on Fraudulent Financial Reporting (National Commission on the Fraudulent Financial Reporting, 1987),
7
competentes e que possussem um adequado conhecimento da actividade
desenvolvida, bem como, a emisso de relatrios de auditoria que descrevessem a
eficcia das medidas de controlo interno.
No seguimento deste relatrio (Treadway Report), foi desenvolvido e publicado em

1992, pelo COSO, um trabalho sobre o Controlo Interno, designado por "Internal
Control-Integrated Framework".
Este documento foi desenvolvido por um grupo de trabalho que Treadway Commission
formou com o objectivo de uniformizar o conceito de Controlo Interno, uma vez que
existiam vrias opinies sobre este tema, dependendo da pessoa e da funo que a
mesma desempenhava. Digamos que no havia um entendimento comum, sobre o
que o Controlo Interno e qual a sua misso.
Este grupo de trabalho estava constitudo por representantes da American Accounting

Association (AAA), American Institute of Certified Public Accountants (AICPA),
Financial Executive Institute (FAI), Institute of Internal Auditors (IIA) e Institute of
Management Accountants (IMA), e as suas siglas COSO correspondem ao Committee
of Sponsoring Organizations of the Treadway Commission,
Este modelo considerado uma das referncias a nvel mundial para a auditoria aos
controlos internos.
De acordo com o COSO, Controlo Interno um processo, desenvolvido pelo Conselho

de Administrao, rgos de Gesto e outros elementos da organizao definido com
o propsito de garantir uma segurana razovel com vista ao cumprimento de metas,
atendendo aos seguintes objectivos do controlo:
garantir a eficcia e eficincia das operaes
garantir a fiabilidade da informao
assegurar o cumprimento com obrigaes legais e regulamentares
Esta definio de Controlo Interno continua a ser aceite em todo o mundo e o objectivo
principal, conforme definio acima de auxiliar a empresa a atingir os seus
objectivos.
Pereira et al. (2008) considera que os objectivos referidos nesta definio podem
apresentar-se de uma forma mais detalhada, como:
Salvaguarda dos activos da empresa, preveno e deteco de fraudes e

erros;
8
Exactido, integridade e fiabilidade da informao financeira e contabilstica;
Conformidade com as normas e polticas em vigor na empresa e com as leis e

regulamentos aplicveis.
O Controlo Interno da responsabilidade de todas as reas da organizao, uma vez

que todos trabalham com o mesmo fim, isto , alcanar os objectivos definidos pela
Gesto. No entanto, o Controlo Interno proporciona uma garantia razovel e no uma
garantia absoluta de que os objectivos sejam atingidos.
Segundo Gonalves (2008), o Guia elaborado pelo IFAC para as PME's (Guide to
Using International Standards on Auditing in the Audits of Small-and Medium sized
Entities") defende que existe uma relao directa entre os objectivos de uma entidade
e o sistema de Controlo Interno implementado de modo a garantir a sua realizao.
De acordo com Ferreira (2002), o Controlo Interno auxilia a organizao a atingir os

seus objectivos, mas no garante que os mesmos sejam alcanados, por vrios
motivos, como por exemplo, o custo/benefcio que a implementao de um controlo
tem para a organizao. Como sabemos, todo o controlo tem um custo, que deve ser
inferior perda que se pode vir a ter caso ocorra o risco.
De acordo com Pereira et al. (2008), os Controlos Internos auxiliam na consecuo

dos objectivos, mas no garantem que estes sejam atingidos. Isto ocorre segundo o
autor devido, principalmente, a trs motivos bsicos:
Custo/benefcio. Todo o controlo tem um custo que deve ser inferior ao

custo da concretizao do risco que est a ser controlado.
Conluio entre pessoas. As pessoas responsveis pelos controlos,

tambm podem usar os seus conhecimentos para burlar o sistema com
objectivos ilcitos em parceria com outros funcionrios, clientes ou
fornecedores.
Eventos externos. Eventos externos esto alm do controlo de qualquer

organizao, podendo ser responsveis por levar um negcio a deixar de
alcanar as suas metas operacionais ou at mesmo encerrar as
actividades de uma organizao.
De acordo com Beja (2004a), o Controlo Interno um dos componentes que integra os
procedimentos especficos da gesto de risco de negcio. Tem como principal funo
salvaguardar o valor, os interesses e as responsabilidades de uma empresa.
9
Este conceito tem evoludo de tal modo que hoje em dia, j se relaciona o Controlo
Interno com o Risco Empresarial, conforme poderemos verificar no ponto seguinte, em
que o COSO passou a integrar componentes de gesto de risco.
Beja (2004a:90) chama a ateno para o facto de se confundir Controlo Interno com
Gesto de Risco referindo que O Controlo Interno um dos controlos intrnsecos aos
procedimentos especficos de gesto de riscos de negcio que, como processo
visando salvaguardar o valor, os interesses e as responsabilidades da empresa e
minimizar os riscos decorrentes da sua actividade operacional, por vezes confundido
com o Risk Management.
De acordo com Martin e Morales (2001), os sistemas de Controlo Interno e o modo

como so aplicados evoluem com o tempo, pelo que os procedimentos que eram
eficazes num determinado momento podem perder a sua eficcia ou deixarem de se
aplicar. Assim, as empresas tm de verificar e garantir que o actual sistema de
Controlo Interno o adequado e capaz de detectar os riscos do negcio que esto
em constante mutao.
Temos assistido nos ltimos anos a uma evoluo bastante acentuada dos sistemas
de governo das sociedades, sobretudo na resposta dada a falhas e fraudes que
surgiram em grandes empresas como a Enron e a WorldCom, nos anos 2001/2002.
Estas falhas de controlo ajudaram a perceber como que possvel acontecerem
situaes deste tipo, resultando em melhorias no sistema de governo das sociedades,
nomeadamente na implementao de novos controlos. Em resposta a estes
escndalos corporativos a SEC (Securities and Exchange Commission) implementou
novas condies para a gesto e administrao das empresas atravs da Lei
Sarbanes-Oxley de 2002 dos Estados Unidos da Amrica, em que obriga as empresas
cotadas a apresentarem um relatrio anual sobre os seus controlos, o qual, segundo a
Seco 404 Lei Sarbanes-Oxley, 2002: (1) indicar a responsabilidade da gesto
em estabelecer e manter uma estrutura adequada de controlos internos e
procedimentos com vista emisso das demonstraes financeiras; e (2) conter uma
avaliao, data do termo do mais recente ano fiscal, da Emissora, da eficcia da
estrutura dos controlos internos e procedimentos da Emissora para a emisso dos
relatrios financeiros (IPAI, 2002).
, ainda, referido na seco 404 da Lei Sarbanes-Oxley (IPAI, 2002) relativamente

avaliao dos controlos internos, que cada empresa de auditoria registada que
prepare ou emita o relatrio de auditoria para a emissora atestar e divulgar a
avaliao feita pela gesto da emissora.
10
Estas disposies, assim como outras semelhantes que tm vindo a ser
implementadas neste mbito, nos diversos pases, muito tm contribudo para o
desenvolvimento e reforo da importncia do controlo interno.
2.3. Principais diferenas entre Controlo Interno e Auditoria

Interna
Por fora dos seus objectivos o Controlo Interno e a Auditoria Interna andam sempre
ligados, no entanto, so conceitos que existem individualmente, isto , podemos ter
Controlo Interno dentro de uma empresa sem que exista Auditoria Interna e a Auditoria
Interna no se resume ao acompanhamento do Controlo Interno.
Assim, com o objectivo de clarificar as principais responsabilidades de cada um dos

conceitos referidos, Controlo Interno e Auditoria Interna, apresentamos o quadro
abaixo:
Controlo Interno Auditoria Interna
Um processo integrado, ou seja, a Deve proceder anlise e avaliao do

definio e controlo da responsabilidade sistema de Controlo Interno institudo na
da Gesto de Topo e Intermdia. empresa pela Gesto de forma
independente.
A Gesto Operacional tem como Embora no seja responsvel pela

preocupao manter-se devidamente definio do Controlo Interno, deve
actualizada. sempre que possvel contribuir para a sua
melhoria.
A responsabilidade transmite-se do Topo Deve exercer a sua actividade com

para a Base. carcter regular e utilizar metodologias
adequadas.
O reporte da informao deve ser O reporte da informao efectuado para

controlado pela estrutura hierrquica o Comit de Auditoria, Conselho de
definida na empresa Administrao, Comisso Executiva e
Gestores de Topo, conforme a estrutura
organizativa da empresa a auditar.
Quadro 2: Principais diferenas entre CI e AI (Fonte: Adaptado de Morais (2000))
11
Actualmente, de acordo com Martin e Morales (2001), a Auditoria Interna pode e deve
contribuir para o cumprimento dos objectivos fixados pela Gesto e, a um nvel inferior,
aos de cada rea ou unidade de negcio da empresa mediante a avaliao dos
controlos que contribuem para alcanar esses mesmos objectivos.
2.4. As Normas Internacionais para a Prtica Profissional de

Auditoria Interna
De acordo com o IIA, as Normas esto direccionadas para questes de princpios, e

fornecem um enquadramento para o desempenho e promoo de Auditoria Interna. As
Normas so requisitos obrigatrios e consistem em:
Declaraes de requisitos bsicos para a prtica profissional de

Auditoria Interna e para a avaliao da eficcia do seu desempenho,
aplicveis internacionalmente, a nvel individual e da organizao.
Interpretaes que clarificam os termos ou os conceitos no mbito das

Declaraes.
As normas internacionais para o exerccio de Auditoria Interna emitidas pelo IIA (2009)
referem-se tambm ao papel da Auditoria Interna no processo de gesto de risco.
Assim, no Quadro 3, apresentamos as normas que consideramos mais relevantes no
contexto do nosso trabalho.
Norma de Desempenho Objectivo da norma

O responsvel pela auditoria tem que gerir com
2000 - Gesto da Actividade eficcia a actividade de Auditoria Interna, de forma a
de Auditoria Interna garantir que a mesma acrescenta valor organizao
O responsvel pela auditoria tem que estabelecer

planos, baseados no risco, para determinar as
2010.A1 - Planeamento prioridades da actividade de Auditoria Interna
consistentes com os objectivos da organizao.
O responsvel pela auditoria tem que relatar
periodicamente aos Gestores Superiores e ao
Conselho sobre os objectivos, autoridade,
responsabilidade e desempenho de Auditoria Interna,
2060 Reporte aos relativamente ao seu plano. O reporte tem igualmente
Gestores de Topo e da que incluir as exposies significativas ao risco e
Administrao questes de controlo, incluindo riscos de fraude,
questes relativas ao governo e outros assuntos
necessrios ou que tenham sido solicitados pelos
gestores superiores e pelo Conselho.
12
Norma de Desempenho Objectivo da norma
(continuao) (continuao)
A actividade de Auditoria Interna tem que avaliar e
2100 Natureza do contribuir para a melhoria dos processos de
Trabalho governao, de gesto do risco e de controlo,
utilizando uma abordagem sistemtica e disciplinada.
A actividade de Auditoria Interna tem que avaliar a
2120 Gesto de riscos eficcia e contribuir para a melhoria da gesto do
risco.
Quando o responsvel pela auditoria for da opinio de
que os Gestores de Topo optaram por um nvel de
risco residual que possa ser inaceitvel para a
2600 Resoluo da
organizao, o responsvel pela auditoria tem que
Aceitao dos Riscos pelos
discutir o assunto com os Gestores de Topo. Caso a
Gestores de Topo
deciso sobre o risco residual no tenha sido resolvida,
o responsvel pela auditoria tem que reportar o
assunto Administrao para deciso superior.
Quadro 3: Normas de Desempenho IIA, relevantes na GR (Fonte: Produo prpria)
Conforme se pode ver no quadro acima, os standards de Auditoria Interna endeream

e incorporam, de forma clara e exaustiva, os riscos no processo de auditoria.
Esta nova viso da Auditoria Interna focada no risco, levou a uma redefinio do papel
do Auditor e do trabalho que o mesmo deve desenvolver. Mesmo no que se refere ao
papel e abordagem da Auditoria Externa denota-se que a actual redaco das Normas
Internacionais de Auditoria emanadas pelo IAASB (International Auditing and
Assurance Standards Board) da IFAC, nomeadamente, a ISA 300 (Planear uma
Auditoria de Demonstraes Financeiras) e 315 (Identificar e Avaliar os Riscos de
Distoro Material por Meio da Compreenso da Entidade e do seu Ambiente), foi
claramente influenciada por estes desenvolvimentos.
De acordo com Barros (2006), a actual redaco das normas da IFAC est em linha
com a uma nova abordagem do risco de auditoria, que passa, pela considerao do
risco de negcio nas avaliaes do risco de auditoria. Estando esta viso patente,
quanto a ns, nas vrias vertentes da auditoria.
13
3. Gesto de Risco Empresarial
3.1. Evoluo e Conceito
De acordo com Beja (2004a), o conceito de Gesto de Risco que representa o

conjunto de meios utilizados na identificao, avaliao e relato do risco empresarial,
surgiu nos Estados Unidos da Amrica, e foi referido pela primeira vez num artigo
publicado no Harvard Business Review no ano de 1956. No entanto, s nos finais do
Sculo XX, que a Gesto de Risco foi considerada como um elemento importante e
essencial no governo empresarial. A Gesto de Risco Empresarial passou a fazer
parte das boas prticas de gesto, apoiando a tomada de deciso.
Na mesma linha de pensamento est o Instituto Argentino de Normalizao y

Certificao (IRAM, 2004) que considera a gesto de risco como parte integrante de
uma boa prtica de gesto e um elemento essencial no bom governo corporativo.
Um dos nossos maiores empresrios referiu a importncia crescente da gesto de

risco nas empresas na interveno proferida no Risk Management Forum 2005 da
FERMA, afirmando que a gesto de risco envolve um conjunto muito diversificado de
actividades e aces, que vo desde as que se relacionam com os riscos dos
negcios, at s que dizem respeito aos riscos dos processos operacionais da
empresa. Defendendo que, esta gesto deve ser integrada e unificadora, dado que as
decises tomadas por uma determinada rea para reduzir os seus riscos podero criar
ou aument-los noutra rea (Azevedo, 2005).
A Gesto de Risco, de acordo com o Instituto de Gesto de Risco (IRM) de Londres,

conforme citado por Willsher (2007:45), o processo que pretende ajudar as
organizaes a compreender, avaliar e actuar sobre todos os seus riscos, para
aumentar a probabilidade de sucesso e reduzir a de fracasso.
De acordo com Azevedo (2005:14) criar valor implica assumir riscos, conhec-los e
geri-los d-nos uma fora necessria para a fabulosa aventura que de criar riqueza
e emprego.
Segundo o COSO ERM a Gesto de Risco Empresarial um processo, desenvolvido

pelo Conselho de Administrao, rgos de Gesto e outros elementos da
organizao, aplicado na definio da estratgia e que deve abranger toda a
organizao.
14
Este processo tem como objectivo a identificao dos eventos que podem afectar a
organizao e a gesto dos riscos, alinhados com o perfil de exposio definido, com
vista a providenciar uma segurana aceitvel com vista ao cumprimento dos objectivos
definidos pela organizao COSO (2004a:16)2.
A gesto de risco um meio para atingir um fim e, no um fim em si mesmo. um

processo educativo que nos consciencializa que de facto existem riscos, e que aos
gestores cabe a responsabilidade de os gerir.
De acordo com Castanheira e Rodrigues (2006a) o principal objectivo da gesto

evitar que a empresa sofra as consequncias de surpresas desagradveis.
De acordo com FERMA a gesto de risco deve ser um processo contnuo e em

constante desenvolvimento aplicado estratgia da organizao e implementao
dessa mesma estratgia. Deve analisar metodicamente todos os riscos inerentes s
actividades passadas, presentes e, em especial, futuras de uma organizao
(FERMA, 2003:3).
De acordo com a nova norma internacional sobre gesto de risco, publicada em

Dezembro de 2009, ISO 31000: 2009, e referido por Simes (2009), a gesto de risco
consiste num conjunto de actividades coordenadas que visam gerir e controlar os
riscos de uma organizao.
A tentativa de reduo da incerteza a origem da gesto profissional de riscos, de

acordo com Veja (2003). O mesmo autor refere, ainda, que a gesto de riscos,
nomeadamente, os operacionais e os de cumprimento, servir para melhorar o
Controlo Interno e, portanto, como medida para potenciar o bom governo corporativo.
Nestes ltimos anos, a gesto de riscos, de um modo geral, tem procurado aproveitar
as oportunidades de ganho e minimizar os impactos negativos. A "nova" gesto de
risco parte integrante das boas prticas de gesto empresarial e um elemento
essencial do governo empresarial.
A gesto de risco desenvolvida como um processo interactivo, que permite a

melhoria contnua da tomada de decises e do desempenho da organizao (Cicco,
2010).
Na gesto de riscos devem ser utilizadas metodologias adequadas, senso comum,

conhecimento da cultura organizacional e, ainda, sensibilidade pessoal.
2
Traduo prpria
15
A principal diferena entre o processo de ERM e as outras formas tradicionais de
gesto de risco que o processo de ERM adopta uma perspectiva que coordena a
gesto de risco ao longo de toda a organizao, em vez de cada rea da organizao
gerir os seus prprios riscos (Banham, 2004) citado por Castanheira e Rodrigues
(2006b:58).
Segundo a KPMG (2006:4) o ERM uma proposta disciplinada e estruturada que

alinha a estratgia, os processos, as pessoas, a tecnologia e o conhecimento, com o
objectivo de avaliar e gerir as incertezas que a empresa enfrenta medida que cria
valor.
3.2. Risco
A noo de risco nem sempre pacfica, no entanto, est sempre relacionada com os
efeitos possveis da ocorrncia de um evento. Em regra, est associado ao efeito
negativo dessa ocorrncia.
Assim, o risco a possibilidade de um evento ocorrer e afectar negativamente a

concretizao de um objectivo planeado, seja por uma pessoa ou por uma empresa.
No mesmo sentido temos Borge (2001), citado por Beja (2004a:81) que considera que
Risco significa estar exposto possibilidade de um resultado negativo.
Cicco e Fantazzini (2003) consideram ainda que risco, pode significar por um lado a
incerteza quanto ocorrncia de um determinado evento (acidente) e por outro a
probabilidade de perda ou perdas que uma empresa pode sofrer em consequncia de
um ou de vrios acidentes.
O COSO define risco como sendo a possibilidade de um evento ocorrer e afectar

negativamente a realizao dos objectivos. Contudo, os eventos podem resultar de
fontes internas ou externas organizao e podem causar impactos positivos e ou
impactos negativos. Neste sentido, o COSO refere o seguinte:
Os que geram impacto negativo representam riscos que podem impedir a

criao de valor ou mesmo destruir o valor existente. Os de impacto
positivo podem contrabalanar os de impacto negativo ou podem
representar oportunidades, que por sua vez representam a possibilidade
de um evento ocorrer e influenciar favoravelmente a realizao de
objectivos(COSOa, 2004:28).
16
Na sequncia do impacto poder ser negativo ou positivo encontramos o ideograma
chins que apresenta Risco/Crise atravs de dois smbolos, conforme figura1.
Figura 1: Ideograma Chins (Risco/Crise) (Fonte: Cocurullo, 2008:4)
O ideograma chins para "Crise/Risco" a combinao de dois smbolos. Um significa

a "Ameaa", o outro pode ser traduzido como "Oportunidade". Apesar da crise, riscos
e ameaas, podemos estar diante de uma grande oportunidade de negcio. Por vezes,
os riscos tornam-se em oportunidades. Desta forma, curiosamente os chineses na
noo de risco tem os dois conceitos associados, ameaa (negativo) e oportunidade
(positivo).
No mesmo sentido temos a opinio que abaixo transcrevemos:
Quando investidores compram aces, cirurgies realizam operaes,

engenheiros projectam pontes, empresrios abrem seus negcios e polticos
concorrem a cargos electivos, o risco um parceiro inevitvel. Contudo, as
suas aces revelam que o risco no precisa ser hoje to temido: administr-
lo tornou-se sinnimo de desafio e oportunidade. (IBGC, 2007).
De acordo com Hussein (2008), o American Institute of Certified Public Accountants

(AICPA), classificou os riscos em trs grupos, a saber:
Riscos relacionados com o ambiente empresarial ameaas do ambiente

empresarial em que a entidade opera, como riscos decorrentes da actuao
da concorrncia, polticos, legais ou decorrentes da aco de rgos
reguladores e fiscalizadores, financeiros e de procura;
Riscos relacionados com o processo de negcio e dos seus activos

ameaas ao negcio da organizao pelos concorrentes e perdas de
activos, sejam fsicos ou financeiros; e,
17
Riscos relacionados com as informaes ocorrncia de ameaas
decorrentes de m qualidade das informaes para o processo de tomada
de deciso e, fornecimento de informaes a terceiros.
De acordo com FERMA (2003:3) o risco pode ser definido como a combinao da
probabilidade de um acontecimento e das suas consequncias (ISO/IEC Guide 73).
De acordo com Beja (2004b) o risco constitui uma componente intrnseca do negcio e
a informao sobre os riscos do negcio assume-se como um dos principais temas do
moderno governo empresarial.
A nova norma internacional sobre Gesto de Risco, ISO 31000:2009, segundo Simes
(2009), define que o Risco o efeito da incerteza nos objectivos.
No mesmo sentido, Morais e Martins (2007), defendem que o risco importante e

interfere no trabalho dos auditores internos, j que a necessidade de controlo tanto
maior quanto maior for o risco.
3.3. Utilizadores da Gesto de Risco
O risco est no centro das atenes de toda a organizao, desde o Conselho de

Administrao, Gestores de Topo, Gestores Operacionais, Auditores e Reguladores
Externos, Auditoria Interna e Comit de Auditoria (quando existe), como podemos
observar na figura 2. A Auditoria Interna reporta directamente ao Comit de Auditoria,
caso a empresa disponha deste rgo, caso, no disponha, deve reportar
Administrao. Assim a deciso da Auditoria Interna focar o seu trabalho na
identificao e avaliao dos riscos parte de instrues dadas pelo Comit de
Auditoria, conforme se apresenta na figura seguinte, ou da Administrao. O Srie
Risk Management (2007) refere que a Auditoria Interna deve obter junto do Comit de
Auditoria e da Administrao orientaes sobre a natureza da garantia objectiva que
esperam obter com a actividade da Auditoria Interna, podendo prioritizar os riscos que
considerem, mais relevantes.
18
Figura 2: Principais interessados (Fonte: Produo prpria)
Neste sentido, o Srie Risk Management (2005:8:) refere o seguinte:

A gesto de riscos motiva a organizao a identificar interna e
externamente as partes envolvidas e a desenvolver um dilogo de mo
dupla entre elas e a organizao
3.4. Modelos de Gesto de Risco Empresarial
Existem vrios modelos de gesto de risco empresarial. Contudo, vamo-nos focar

naqueles que consideramos mais relevantes, nomeadamente o COSO ERM, a norma
AS/NZS 4360:2004, a Norma de gesto de risco Ferma, o COBIT e faremos uma
pequena abordagem ltima norma emitida sobre o tema, a ISO 31000:2009.
3.4.1. O COSO ERM
Em 2001, o COSO iniciou um projecto, em parceria com a PricewaterhouseCoopers

com vista ao desenvolvimento de um modelo que permitisse ajudar os gestores na
avaliao e melhoria da gesto de risco das suas organizaes.
Nos ltimos anos, os escndalos financeiros das empresas que manipularam as

informaes financeiras como a Enron, Tyco, WorldCom e outras, afectaram de forma
significativa a confiana dos investidores, funcionrios e outros stakeholders, vindo
reforar a necessidade de maior transparncia e fiabilidade na realizao e divulgao
de informao contabilstica e financeira e introduo de medidas de melhoria e
19
reforo de competncias ao nvel da governao corporativa e da gesto de risco,
atravs de novas leis e regulamentaes.
Estes factos vieram reforar a necessidade do desenvolvimento de um modelo de

gesto de risco que fornecesse princpios e conceitos chave, uma linguagem comum e
que constitusse um guia para a Gesto de Risco nas organizaes.
O modelo de Gesto de Risco (publicado em Setembro de 2004), designado Gesto

de Riscos Corporativos Estrutura Integrada, emitido pelo Committee of Sponsoring
Organizations of the Treadway Commission (COSO) com a colaborao da
PriceWaterHouseCoopers expande-se para alm do sistema de Controlo Interno,
promovendo uma focalizao mais forte e abrangente na gesto de risco empresarial.
No substitui o modelo de controlo interno desenvolvido pelo COSO em 1992, mas

incorpora-o, permitindo que as organizaes adoptem este modelo com vista a
satisfazerem as necessidades do seu sistema de controlo interno, progredindo para
um processo de gesto de risco.
O COSO - Gesto de Riscos Corporativos Gesto Integrada, inclui tambm outra

categoria de objectivos, denominados objectivos estratgicos, que operam a um nvel
superior dos outros objectivos que resultam da misso ou viso da entidade, com as
quais deveriam estar alinhados os objectivos operacionais, de informao e de
cumprimento, bem como, inclui o conceito de apetite ao risco e tolerncia ao risco.
De salientar que todos os dias, as organizaes enfrentam incertezas, desafios e uma

diversidade de riscos, sendo o grande desafio da Gesto determinar qual o nvel de
incerteza para o qual a empresa est preparada para aceitar. Nem todos os riscos
apresentam o mesmo nvel de importncia. A gesto de riscos corporativos permite
aos gestores identificar, avaliar e gerir os riscos de acordo com as incertezas, focando-
se nos riscos cujo impacto seja maior quer seja positivo quer seja negativo, com o
objectivo de criar valor para os accionistas.
O modelo de Gesto de Risco proposto pelo COSO-ERM apresentado como um

modelo de referncia, no s a nvel internacional como tambm a nvel nacional.
O modelo de gesto de risco proposto pelo COSO-ERM est assente em 8

componentes que so afectados de acordo com os objectivos da organizao. Estes
objectivos podem ser classificados em: Estratgicos, Tcticos, Comunicao,
Regulao e Conformidade Legal.
20
Existe uma relao directa entre objectivos e componentes, uma vez que os objectivos
so metas que a entidade pretende alcanar e os componentes so os meios
necessrios para atingir esses objectivos.
Esta relao representada atravs de uma matriz tridimensional, com o aspecto de

um cubo, conforme figura a seguir:
Figura 3: Cubo do COSO ERM (Fonte: COSO, 2004b)
O modelo dever ser avaliado e implementado de uma forma abrangente a toda a

organizao, partindo de um nvel mais elevado (Entidade) at chegar ao nvel mais
bsico (Actividades).
De acordo com este modelo, os componentes da gesto do risco esto identificados

como sendo os seguintes:
Ambiente Interno, ou seja, contexto ou ambiente onde as organizaes funcionam

com objectivos a atingir e meios a serem utilizados para esse fim. Abrange a cultura
da organizao, a base como o risco visto e dirigido por uma entidade, incluindo a
gesto do risco, a conscincia interna sobre risco, a integridade, os valores ticos e o
ambiente em que a empresa opera.
Definio de Objectivos, uma pr-condio para a identificao dos riscos, para a

sua avaliao e formulao das respostas possveis de serem implementadas.
Identificao de Eventos/Acontecimentos, trata-se de identificar os factores internos

e externos, com capacidade de influenciar a estratgia e os seus objectivos. Os
factores externos compreendem a conjuntura econmica/financeira, factores sociais,
polticos, tecnolgicos e de natureza ambiental. Os factores internos esto ligados s
21
infra-estruturas, aos activos humanos, aos processos de trabalho e tecnologia
aplicada.
Avaliao dos Riscos, a gesto avalia a situao potencial subdividindo o conceito

de risco em risco inerente (aquele em que a organizao incorre na ausncia de
medidas preventivas ou de correco) e risco residual (risco que permanece mesmo
depois de tomadas as aces preventivas e/ou correctivas de comportamentos). Os
riscos so valorizados mediante a probabilidade de ocorrncia do acontecimento e das
suas consequncias ou impactos.
Na anlise dos riscos, pode-se recorrer a anlises qualitativas ou quantitativas dos

mesmos. A anlise qualitativa faz a prioritizao dos riscos atravs da avaliao e
combinao da probabilidade de ocorrncia e impacto. J a anlise quantitativa faz a
anlise numrica do efeito dos riscos identificados nos objectivos gerais.
Resposta aos Riscos, isto , depois de identificados e avaliados os riscos, a gesto

deve preparar respostas que obedecem inevitavelmente s seguintes possibilidades:
evitar o risco, reduzir o risco, partilhar o risco ou aceitar o risco.
A resposta ao risco o processo de desenvolver e determinar aces para mitigar os

riscos, reduzindo as ameaas dos objectivos da organizao. A administrao avalia a
probabilidade e o impacto da ocorrncia do risco, os custos e benefcios, a prioridade
das aces a implementar e selecciona a resposta que melhor se adequar dentro dos
limites de tolerncia do risco aceite.
Controlo das actividades, este controlo deve ser efectuado atravs do vector risco.
Como tal deve ser enquadrado/identificado com as polticas (o que deve ser feito) e os
procedimentos (a forma como se deve fazer) que garantem a resposta aos riscos.
Informao e comunicao, torna-se particularmente importante, com vista a facilitar

a criao de valor acrescentado, formalizar na organizao um sistema de informao
estratgico.
Monitorizao, pode revestir-se de duas formas. A primeira, prende-se com o

conhecimento (em tempo real) do desenvolvimento das actividades, sendo a
monitorizao, neste caso, parte integrante das actividades operacionais definidas
numa organizao. A segunda consiste em actividades de avaliao, que o
departamento de Auditoria Interna e outras entidades desenvolvem, em funo do
perfil e frequncia dos riscos, da dificuldade ou importncia das respostas aos riscos e
dos seus controlos de gesto.
22
3.4.2. Norma Australiana / Neozelandesa AS/ NZS 4360:2004
Esta norma fornece orientaes genricas para a aplicao de uma gesto de riscos,
podendo ser aplicada em diferentes organizaes, quer sejam privadas, pblicas ou
comunitrias.
O principal objectivo desta norma o de fornecer orientaes s diferentes

organizaes de modo a que possam ter uma base segura na tomada das suas
decises e na realizao do planeamento. Permite identificar oportunidades e
ameaas, tirar proveito das incertezas, utilizar de forma mais eficiente os recursos
disponveis, reduzindo perdas e custos, bem como, permite melhorar a segurana e
confiana de todos os interessados, melhorar a conformidade com a legislao
aplicvel e o governo corporativo.
Apresentamos na figura a seguir o modelo de gesto de risco definido na norma

Australiana/neozelandesa (AS/NZS 4360:2004). Alis conforme referimos, utilizamos
este modelo de gesto de risco na aplicao prtica apresentado neste trabalho.
3
Figura 4: Processo de Gesto de Risco (Fonte: AS/NZS 4360:2004:9)
3
Traduo prpria
23
Apresentamos de seguida uma breve descrio de cada uma das fases deste
modelo, tendo por base o esquema acima apresentado, onde se evidenciam os
principais elementos do processo de gesto de risco, a prpria norma (Srie Risk
Management; 2004) e as Directrizes para a implementao desta norma (Srie Risk
Management; 2005).
Em termos gerais, o processo apresenta sete fases devidamente identificadas, a

saber: Comunicao e Consulta; Estabelecer o Contexto; Identificar os Riscos,
Analisar os Riscos, Avaliar dos Riscos; Tratamento dos Riscos; Monitorizar e Rever.
A fase da Comunicao e Consulta, est associada a todas as fases do processo de

gesto de risco e ao processo como um todo. Deste modo, assume uma importncia
fundamental, j que, essencial uma comunicao interna e externa eficaz, para
garantir que os responsveis pela implementao da gesto de risco, bem como
todos os intervenientes no processo, compreendam a base sobre a qual as decises
so tomadas e porque razo necessrio implementar determinadas aces.
No que diz respeito ao Estabelecimento dos Contextos, a norma refere que nesta
fase se definem os parmetros bsicos nos quais os riscos devem ser geridos, e
define o enquadramento do restante processo de gesto de risco. De salientar a
importncia do ambiente organizacional e do ambiente externo, no estabelecimento
dos objectivos definidos no processo de gesto de risco.
Nesta fase so definidos os contextos externos, internos, da gesto de risco, bem

como, o desenvolvimento de critrios e definio da estrutura.
Como exemplo de ambiente externo da organizao, temos o ambiente empresarial,

social, regulamentar, cultural, financeiro, entre outros. Identificam-se os pontos fortes
e fracos da organizao e as partes externas envolvidas no processo, bem como, no
se pode deixar de ter em considerao as ameaas e oportunidades que surgem do
exterior.
O estabelecimento do contexto interno igualmente muito importante, uma vez que,

em qualquer fase necessrio compreender e conhecer muito bem a organizao,
nomeadamente no que diz respeito cultura, reas envolvidas, estrutura
organizacional, processos, objectivos definidos e estratgias utilizadas para os atingir.
O estabelecimento do contexto da gesto de riscos, envolve a definio do processo,

actividade e objectivos a atingir na aplicao do processo de gesto de riscos. Deve
ser definido o mbito da actividade quer em termos de prazo quer no que respeita
profundidade e extenso das actividades de gesto de risco a serem executadas.
24
Tambm podem ser definidas as reas da organizao e responsabilidades das
pessoas intervenientes no processo de gesto de risco a implementar.
No incio do processo devem ser determinados os critrios de risco apropriados em

relao aos quais os riscos sero avaliados e as decises sero tomadas,
nomeadamente no que respeita ao tratamento dos riscos. Os critrios podem ser
operacionais, tcnicos, financeiros, legais, ambientais, entre outros e, regra geral,
dependem das polticas internas, objectivos da organizao e dos interesses das
partes envolvidas.
Por ltimo, temos a definio da estrutura para o restante processo e que consiste
em subdividir a actividade ou, processo em conjuntos de etapas, de modo a garantir
que todos os riscos importantes so identificados. A estrutura escolhida depende da
natureza dos riscos e da estrutura do processo ou actividade.
A fase que se segue a da Identificao dos Riscos, cujo objectivo identificar os

riscos que devem ser geridos. importante que nesta fase sejamos muito
cuidadosos, de modo, a evitar falhas na identificao de riscos, quer estejam sob
controlo ou no da organizao, isto porque, uma falha nesta fase poder implicar
que esses riscos no sejam identificados nas fases posteriores.
Nesta fase, vamos procurar dar resposta a quatro perguntas: o que pode acontecer,
onde, quando e como? Vamos tentar identificar todos os eventos possveis que
possam de algum modo afectar positiva ou negativamente a concretizao de
objectivos do processo em anlise. Cada evento pode ocorrer de vrias maneiras
pelo que importante que no nos esqueamos de nenhuma causa possvel.
As ferramentas e tcnicas utilizadas na identificao dos riscos incluem checklists,

observaes e opinies suportadas no conhecimento da organizao e dos
processos em anlise, fluxogramas e descritivos de actividades e processos, anlise
de cenrios e de sistemas e entrevistas aos responsveis e colaboradores da rea
auditada. De salientar que a escolha das ferramentas e tcnicas a utilizar dependem
da natureza dos processos em anlise, da sua contextualizao na organizao e do
objectivo do trabalho sobre gesto de riscos em causa.
Depois de identificados todos os riscos do processo/sub-processo/actividade,

dependendo do detalhe e profundidade do trabalho a executar sobre gesto de
riscos, devemos proceder fase da Anlise dos Riscos, ou seja, vamos tentar
compreender quais os nveis dos riscos identificados, de modo a que nos seja
possvel decidir qual o tratamento mais adequado para cada um dos riscos, tendo em
25
considerao a relao custo/benefcio da opo tomada. Os nveis dos riscos so
determinados atravs da combinao de dois factores, a Probabilidade e o Impacto.
As escalas e tcnicas utilizadas para esta combinao dependem dos critrios
previamente definidos na fase dos contextos, uma vez que depende muito da
situao em anlise, dos objectivos e dos recursos disponveis. A anlise pode ser
qualitativa, semi-quantitativa, quantitativa e de sensibilidade. Uma anlise diz-se
qualitativa quando utiliza a descrio em vez de meios numricos para definir o nvel
de risco. No mtodo semi-quantitativo, os resultados no podem ser interpretados,
uma vez que, no so precisos, contrariamente ao mtodo quantitativo, em que os
resultados determinam o nvel de risco, uma vez que, foi possvel quantificar com
algum rigor a probabilidade de ocorrncia de um determinado risco e o impacto desse
mesmo risco caso venha a acontecer. De referir que nesta fase so identificados os
controlos existentes.
A fase seguinte a Avaliao dos Riscos, cuja finalidade a tomada de deciso,

nomeadamente no que diz respeito ao tratamento dos riscos, isto , a avaliao dos
riscos permite-nos catalogar os riscos em funo do seu grau de criticidade e
prioritizao das medidas a tomar e riscos a tratar.
Passamos de seguida para a fase do Tratamento dos Riscos, em que se identificam

as possveis opes para tratar os riscos, se analisam e avaliam essas mesmas
opes, elaborando-se e implementando-se os planos de aco que se entenderem
mais adequados e eficazes, no esquecendo a anlise da relao custo/benefcio das
medidas propostas e se estamos perante riscos com resultado positivo
(oportunidades) ou negativo (ameaas).
Conforme referimos acima, so vrias as estratgias de gesto de risco que podem

ser utilizadas, por exemplo no caso de resultados negativos, podemos optar por evitar
o risco (averso aos riscos), deixando de realizar a actividade que gera esse mesmo
risco, ou podemos compartilhar o risco com uma entidade terceira, como por exemplo
atravs do pagamento de um prmio de seguro. Os riscos podem ser partilhados total
ou parcialmente. De salientar que quando se decide partilhar o risco, estamos a
adquirir um novo risco, uma vez que no h segurana absoluta de que a entidade
para quem estamos a transferir o risco, o vai gerir eficazmente. Podemos ainda, optar
por reduzir quer a probabilidade de ocorrer quer o seu impacto atravs da
implementao de medidas que mitiguem esses riscos.
Quando estamos perante resultados positivos, as opes para o tratamento deste

tipo de riscos, dependem dos objectivos da organizao. No entanto, podemos
26
enumerar possveis solues, nomeadamente alterar a probabilidade da oportunidade
ocorrer, aumentando a probabilidade dos ganhos que podem resultar deste risco.
Tambm se pode partilhar o risco com uma entidade terceira, como por exemplo
atravs do fornecimento de recursos adicionais que aumentem a probabilidade da
oportunidade ocorrer e consequentemente um aumento de resultados positivos.
A ltima fase deste processo de gesto de risco Monitorizar e Rever, que tem
como principal objectivo verificar a evoluo real da situao face s recomendaes
e planos de aco propostos com vista mitigao e ou reduo do nvel de risco.
Por outro lado, tambm tem como finalidade analisar e avaliar possveis alteraes
no processo que tenham implicao directa ou indirecta na probabilidade ou impacto
de um determinado risco acontecer, quer seja um risco j identificado anteriormente,
quer seja um risco novo que seja identificado nesta fase.
Embora, no evidenciado neste fluxograma da figura 4, a norma refere que cada

etapa de gesto de riscos deve estar devidamente registada e documentada. Alis
trata-se de uma boa prtica de Governao Corporativa, para alm de um requisito
bsico de auditoria recolha e documentao da prova.
3.4.3. Norma de Gesto de Riscos - FERMA
A norma de gesto de riscos da FERMA (2003) resultado do trabalho de uma equipa

composta por elementos das principais organizaes de gesto de risco do Reino
Unido The Institute of Risk Management (IRM), The Association of Insurance and
Risk Managers (AIRMIC) e The Nacional Forum for Risk Management in the Public
Sector (ALARM), cujo objectivo era chegar a um consenso sobre gesto de riscos,
uma vez que existem diversos pontos de vista sobre este tema. As normas servem
para garantir concordncia em relao terminologia utilizada (esta norma utilizou
sempre que possvel a terminologia para o risco definida pela Organizao
Internacional de Normalizao (ISO), processo de implementao de gesto de riscos,
estrutura organizacional para a gesto de riscos e objectivos da gesto de riscos.
De acordo com esta norma a gesto de riscos o processo atravs do qual as

organizaes analisam metodicamente os riscos inerentes s respectivas actividades,
com o objectivo de atingirem uma vantagem sustentada em cada actividade individual
e no conjunto de todas as actividades (FERMA, 2003:3).
A gesto de riscos deve ser um processo contnuo e em constante desenvolvimento,

deve ser integrada na cultura da organizao e deve traduzir a estratgia em
27
objectivos tcticos e operacionais. Toda a organizao tem responsabilidades na
gesto de riscos.
Esta norma apresenta um processo de gesto de risco. O processo inicia-se com os

objectivos estratgicos da organizao, partindo-se depois para a fase da avaliao do
risco. Esta fase composta pela anlise do risco e pela comparao do risco. A
anlise do risco engloba a identificao dos riscos ou seja identificar a exposio de
uma organizao ao elemento incerteza, o que exige um conhecimento bastante
aprofundado da organizao, a descrio do risco, ou seja, a apresentao dos riscos
de forma estruturada e a avaliao do risco, que pode ser quantitativa, semi-
quantitativa em termos de probabilidade de ocorrncia e possvel consequncia.
A comparao dos riscos efectuada quando o processo de anlise est concludo,

uma vez que se tem de comparar os riscos estimados com os critrios de riscos
definidos pela organizao e que podem ser exigncias legais, factores
socioeconmicos e ambientais entre outros.
A fase seguinte corresponde ao reporte do risco, quer se trate de ameaas ou de

oportunidades. Depois passa-se fase da deciso sobre a importncia dos riscos para
a organizao e sobre a possibilidade de cada risco especfico ser aceite ou corrigido.
Passando-se fase do tratamento de riscos, ou seja, o processo de seleco e
implementao de medidas para modificar um determinado risco. Esta norma define
como elemento principal de tratamento de riscos o controlo/diminuio dos riscos,
como por exemplo evitar riscos ou transferi-los (seguros). Por fim, vem o reporte do
risco residual, ou seja, a comunicao de riscos dentro da organizao a diferentes
nveis (Conselho de Administrao, Unidades de negcio, Colaborador). Contudo,
tambm pode existir comunicao externa aos seus intervenientes, uma vez que, cada
vez mais, se pretende que as organizaes apresentem provas de uma gesto eficaz.
Por fim, feita a monitorizao de modo a assegurar que os riscos so identificados e
avaliados de forma eficaz e que os controlos e as respostas so adequados e eficazes
na mitigao dos riscos e que os procedimentos so compreendidos e seguidos.
Em anexo norma so apresentados exemplos de tcnicas de identificao de riscos

e de mtodos e tcnicas de anlise de riscos.
3.4.4. O COBIT
Existem dois modelos de referncia a nvel mundial, o modelo publicado pelo COSO
para a gesto de riscos dos negcios que analismos no ponto 3.4.1 e o COBIT
28
(Control Objectives for Information and related Technology) para a gesto de riscos
dos sistemas de informao.
Segundo BLOEM et al. (2005), citado por Sandonato (2007), a prevalncia destes
modelos decorre da indicao da SEC (Securities and Exchange Commission),
responsvel pela implantao da SOX, pelo uso de um Framework reconhecido,
recomendando a implementao de um processo de gesto de riscos, com mtodos
estruturados de controlos internos que permita alcanar os objectivos de negcio, e
refere o modelo COSO como a estrutura de controlos mais recomendada para a
conformidade com a SOX.
O COBIT considerado uma das estruturas mais adequadas para a gesto de TI, e
aquela que melhor articula o modelo COSO com a gesto de TI e com o governo das
sociedades. O Cobit (2007), refere que existem vrias vantagens para implementar
este modelo como referncia de gesto de TI, nomeadamente, o entendimento entre
todos os interessados, atravs da utilizao de uma linguagem comum e o
cumprimento dos requisitos definidos pelo COSO, no que diz respeito ao ambiente de
controlo de TI.
Os objectivos de controlo detalhados no Cobit relacionam-se com as cinco

componentes do controlo interno do COSO.
Assim, como o COSO o mais indicado e uma referncia mundial no que diz
respeito aos controlos internos dos processos de negcios, o COBIT o mais utilizado
para implementar uma estrutura de controlos internos sobre a gesto dos recursos de
tecnologias da informao.
Os mapas de controlo fornecidos pelo Cobit auxiliam os auditores e gestores a manter

os controlos necessrios de modo a garantir os objectivos da organizao, atravs de
uma gesto eficaz da informao.
O COBIT permite o desenvolvimento de polticas claras e de boas prticas para

controlar as TI atravs das empresas (Cobit 4.1, 2007:8).
O COBIT surgiu a partir de estudos da ISACA Information Systems Audit and Control
Association, que foi criada em 1967, com o objectivo de estabelecer, de modo
centralizado, uma fonte de divulgao de informaes e orientaes para os
profissionais envolvidos em auditoria de sistemas de informao. O Cobit recebe
vrias contribuies de empresas e organismos internacionais, nomeadamente
Cdigos de conduta emitidos pelo ISACA, padres profissionais para controlo interno e
auditoria como por exemplo do COSO, IFAC, AICPA entre outros.
29
Em 1998, a ISACA criou o ITGI, com o objectivo de alargar os benefcios da aplicao
de modelos de governao corporativa na gesto dos recursos de TI.
O COBIT ajuda a gesto a alcanar os seus objectivos quer nos requisitos de eficcia,
eficincia e economia, quer no que diz respeito confidencialidade dos dados,
integridade, disponibilidade, conformidade e fiabilidade da informao necessria para
controlo e tomada de deciso pela organizao.
De acordo com Cobit (2007) a gesto de TI facilita que a empresa aproveite ao

mximo a sua informao, maximizando assim os benefcios, aumentando as
oportunidades e as vantagens competitivas.
O Cobit est orientado para o negcio, proporcionando a informao necessria para

que a empresa atinja os seus objectivos, gerindo e controlando os recursos de TI.
3.4.5. ISO 31000:2009
A ISO 31000:2009, a mais recente norma mundial lanada sobre gesto de riscos,
que fornece princpios e directrizes para a implementao eficaz da gesto de riscos
nas organizaes, encontrando-se alinhada com a viso integrada da gesto de risco
empresarial (ERM).
De acordo com Bastos (2009), o processo de criao da ISO 31000 iniciou-se com a
primeira reunio que foi efectuada em Tquio no Japo em 2005.
Conforme referido por Jnior (2009), a ideia partiu de uma norma australiana que
abordava o que deveria ser feito para melhorar a gesto de risco nas empresas.
Passados cerca de cinco anos de trabalho e depois de muitas reunies, anlises e

discusses em vrios pases e com vrios especialistas de diferentes sectores de
actividade, foi publicada em Novembro de 2009, a to esperada norma, ISO
31000:2009, com recomendaes das melhores prticas em gesto de risco.
De acordo com Bastos (2009), o trabalho demorou a ser concludo por se tratar de
uma abordagem que abrange diferentes reas. Basto (2009) refere ainda que o mais
difcil foi conseguir conciliar diferentes reas e termos utilizados na gesto de risco.
Alis uma das grandes dificuldades foi definir risco. Foram apresentadas vrias
definies de risco. Contudo, conseguiram chegar a uma definio comum de risco
amplamente aceite em todas as reas.
30
A norma pode ser aplicada em qualquer tipo de empresa, mas no destinada para
fins de certificao. Trata-se de uma norma abrangente e que tem como principal
objectivo ajudar os responsveis pelo desenvolvimento da poltica de gesto de riscos
nas organizaes a assegurar que os riscos so eficazmente geridos.
Hoje em dia verificamos que cada rea das empresas avalia os seus riscos, utilizando
os meios que considera mais adequados, no existe uma gesto integrada do risco.
Deste modo, esta norma vem ajudar as organizaes a desenvolver, programar e
melhorar continuamente uma estrutura com a finalidade de integrar o processo de
gesto de riscos no governo, na estratgia, na gesto, nos processos e na cultura de
toda a organizao.
De acordo com Blair (2009) a nova norma internacional tem por base a norma AS /
NZS 4360-2004 e foi ajustada com a entrada de novos membros experientes e
especialistas de cerca de 28 pases, representando todos os continentes.
De salientar que a norma AS/NZS 4360:2009, foi substituda pela AS/NZS ISO
31000:2009 Gesto de riscos Princpios e directrizes.
A novidade desta norma a incluso de princpios de gesto e da nfase que dada

ao risco. O risco definido como o efeito da incerteza sobre os objectivos, e no
apenas como um evento. Cada organizao tem objectivos estratgicos, tcticos e
operacionais para alcanar e para isso vai ter de saber gerir o efeito da incerteza
sobre os objectivos.
Actualmente nas organizaes, os departamentos agem isoladamente, avaliando os

seus riscos, atravs de diversas ferramentas. Esta norma tem como principal objectivo
ajudar as organizaes a desenvolverem, programarem e melhorarem de forma
contnua uma estrutura com a finalidade de integrar o processo de gesto de riscos no
governo, na estratgia e planeamento, na gesto, nos processos de reportar dados e
resultados, nas polticas, valores e cultura de toda a organizao.
Ao mesmo tempo, est a ser publicado a ISO Guia 73:2009, vocabulrio de gesto de
risco, que complementa a ISO 31000:2009, fornecendo um conjunto de termos e
definies relativas gesto de risco, de acordo com ISO (2009).
De acordo com Knight (2009) a ISO 31000 um documento prtico que visa auxiliar
as organizaes a desenvolver e a implementar a sua prpria metodologia de gesto
de risco. A ISO 31000, uma referncia a nvel internacional, pelo que poder ser
utilizada como referncia nas organizaes que pretendam implementar um modelo de
gesto de risco, proporcionando bons princpios de gesto.
31
De salientar que em Dezembro de 2009 foi publicada uma nova norma internacional a
ISO/IEC 31010:2009 - Gesto de riscos - Tcnicas de avaliao de riscos. A
31010:2009 uma norma de apoio ISO 31000:2009 e fornece orientao sobre a
seleco e aplicao de tcnicas sistemticas de avaliao de riscos.
A ISO 31000:2009, (QSP; 2010), utiliza o mesmo processo de Gesto de Risco da
norma Australiana/neozelandesa (AS/NZS 4360:2004), conforme apresentado na
figura 4.
3.5. Limitaes da Gesto de Risco Empresarial
A Gesto de Risco Empresarial, qualquer que seja o modelo que se aplique, no

garante que os objectivos de uma organizao sejam todos atingidos, apenas d uma
segurana razovel de que tais objectivos possam ser alcanados.
No nos podemos esquecer que o risco pertence ao futuro, logo um acontecimento

que no possvel prever com segurana e muitos deles no dependem da prpria
organizao, so externos organizao, o que os torna ainda mais difceis de prever.
A gesto de riscos feita por pessoas, logo, existe a possibilidade de ocorrer um erro
humano, como por exemplo uma informao mal entendida pode dar origem a uma
deciso ou um juzo de valor menos correcta, podendo afectar a concretizao de
determinado objectivo.
Por outro lado, e tendo em considerao os dias de hoje, em que os recursos so

escassos, as organizaes devem ter em considerao os custos/benefcios da
implementao de controlos para a mitigao de riscos, ou at mesmo ponderar se
vantajoso para determinada organizao implementar um modelo de gesto de risco.
De acordo com o COSO ERM, o conceito de segurana razovel, no quer dizer que a
gesto de riscos corporativa v fracassar frequentemente. Contudo, pode ocorrer um
erro, um evento incontrolvel ou uma informao falsa. Uma segurana razovel no
constitui uma segurana absoluta.
32
4. Metodologia da Auditoria Focalizada na Gesto de
Riscos
4.1. Processo de Auditoria Interna baseado nos Riscos do

Negcio
A AIBR suportada na anlise de riscos do negcio e focalizada nas reas que

apresentam riscos de maior grau de criticidade e urgncia.
Actualmente a abordagem de Auditoria Interna est muito direccionada para a

focalizao no risco, da que Castanheira e Rodrigues (2006 b:11) refira que a actual
orientao da Auditoria Interna aponta para uma abordagem baseada nos principais
riscos do negcio, pelo que o planeamento de auditoria dever estar alinhado com a
estratgia da organizao e o plano de negcio.
De acordo com Cicco (2006), a auditoria, identifica, avalia e prioriza os riscos para se
focalizar nas reas mais importantes a auditar. A avaliao de riscos permite ao
auditor delinear um programa de auditoria capaz de testar os controlos mais
importantes ou com maior nvel de profundidade.
A AIBR no se foca exclusivamente nos riscos da rea financeira, no se preocupa s

com factos passados e em emitir uma opinio sobre a razoabilidade das
Demonstraes Financeiras e o adequado cumprimentos das normas, regulamentos e
procedimentos de controlo interno da organizao. Passou a ter outra preocupao
que se trata de analisar, avaliar e controlar os riscos de negcio. Passou a ter uma
atitude mais pr-activa, mais comprometida com a Gesto, no cumprimentos dos
objectivos.
Conforme referido pela FERMA (2003), a funo da Auditoria Interna diferente em

cada organizao. Contudo, na prtica, a funo de Auditoria Interna pode incluir
alguns ou todos os seguintes pontos:
Focar o seu trabalho nos principais riscos do negcio, identificados pela

gesto da organizao e efectuar auditorias aos processos de gesto de
riscos implementados;
Garantir que a gesto de riscos eficaz e apoiar no processo de gesto de

riscos da organizao;
33
Possibilitar a identificao/avaliao de riscos e promover formao sobre
gesto de riscos e controlo interno aos colaboradores;
Gerir a comunicao de riscos que efectuada ao Conselho de

Administrao, ao Comit de Auditoria, etc.
De acordo com Cicco (2006) a AIBR comea e acaba com a considerao dos riscos
do negcio. Os controlos internos so uma parte importante do tratamento de riscos,
mas no so a soluo completa.
4.2. Principais Objectivos de uma AIBR
A AIBR tem como principais objectivos fornecer uma segurana razovel no que diz
respeito a se:
os Processos de Gesto de Risco que a gesto implementou na Organizao

esto a funcionar correctamente, conforme foram definidos e se so
adequados;
as respostas aos riscos so eficazes e adequadas na gesto do risco inerente,

reduzindo esses riscos para nveis aceitveis pela organizao;
esto definidos e correctamente implementados controlos que mitiguem

eficazmente os riscos de modo a no colocar em causa a concretizao dos
objectivos definidos pela gesto;
os processos de gesto de risco so acompanhados pela gesto de modo a

garantir que os riscos, respostas e aces desenvolvidas so eficazes e esto
em linha com os objectivos da organizao.
Assim, a Auditoria Interna pode dar um apoio importante gesto na medida em que
garante que os processos de gesto de risco so adequados e funcionam de forma
eficaz, bem como, garantem a eficcia dos controlos ou identificam necessidades de
melhoria dos controlos existentes ou ainda implementao de novas medidas, caso se
justifiquem. A Auditoria Interna tambm garante uma correcta identificao e avaliao
dos riscos na organizao.
A AIBR tem como principal objectivo determinar quais os objectivos primrios do

negcio da organizao, os riscos associados, o apetite ao risco e nveis de tolerncia,
de modo a avaliar o grau de eficcia das actividades de gesto do risco empresarial
desenvolvidas de forma a garantir a prossecuo dos objectivos da organizao,
34
nomeadamente no que diz respeito s medidas de controlos implementadas e a
eficcia das mesmas na reduo dos riscos para nveis aceitveis, de modo a garantir
a concretizao dos seus objectivos. Estamos perante uma nova abordagem, que visa
alinhar os objectivos estratgicos, com os mecanismos de identificao dos riscos, sua
avaliao, gesto e acompanhamento efectuado pelos Auditores Internos, conforme
referido por Gonalves (2008).
De acordo com Sumners (1999), a Auditoria Interna tem que se integrar no processo
de gesto de risco. No obstante o facto da organizao poder nomear um
responsvel pela Gesto de Risco, necessrio que os Auditores Internos
desenvolvam uma metodologia de avaliao dos riscos do negcio, com a devida
independncia.
4.3 Razes para a implementao de uma AIBR
Existem vrias razes que levam implementao da gesto de risco numa

organizao, das quais destacamos o alinhamento e a integrao de diferentes vises
da gesto de risco, a construo de uma base de confiana em relao aos diferentes
parceiros de negcio, o fortalecimento do governo das sociedades, resposta eficaz a
eventuais mudanas que possam ocorrer no negcio e o alinhamento da estratgia
com a cultura da organizao.
A organizao ao avaliar os riscos percebe at que ponto os eventos previstos e no

previstos podem ter influncia no cumprimento dos seus objectivos, bem como avalia
qual a probabilidade de tais eventos acontecerem ou no e que impactos podem ter na
organizao.
A finalidade da anlise e gesto do risco de negcio essencialmente para aumentar

a probabilidade e o impacto dos eventos positivos e diminuir a probabilidade e
impactos dos eventos negativos.
De acordo com Zrate (2001), e numa perspectiva de evoluo da funo, a gesto de

riscos permite orientar a actividade da Auditoria Interna para as reas onde se
identificaram os riscos mais relevantes do negcio e ou processo, bem como se traduz
numa ferramenta extraordinria, uma vez que os Auditores Internos ao focarem o seu
trabalho sobre reas crticas esto em condies de dar uma opinio sobre a
razoabilidade da realizao de determinados objectivos.
35
Cada organizao deve determinar o modo como quer implementar a gesto de
riscos. De salientar que nem todas as empresas esto no mesmo grau de maturidade
da gesto de riscos, ou seja, necessrio verificar se j existe uma cultura de gesto
de risco formalizada no seio da organizao, se existem estratgias e polticas
implementadas e comunicadas a todas as reas da empresa ou se no foi
desenvolvida qualquer abordagem sobre gesto de risco. Estes factores so
relevantes na implementao de uma AIBR e de acordo com Srie Risk Tcnologia
(2007), a primeira fase da AIBR analisar de forma critica o nvel de maturidade de
riscos. Esta obra refere ainda que a Auditoria Interna pode ajudar a melhorar os
processos de gesto de riscos e de governo, comunicando os resultados da avaliao
sobre a maturidade dos riscos da organizao ao Comit de Auditoria e, promovendo
a gesto de riscos em todos os trabalhos realizados pela Auditoria Interna.
Uma caracterstica importante da AIBR que a prioritizao sempre feita tendo em

considerao a criticidade dos riscos e a avaliao dos controlos na mitigao desses
mesmos riscos.
De acordo com Srie Risk Management (2007), seguindo a AIBR, a Auditoria Interna
deve poder concluir que a Gesto identificou, avaliou e deu respostas eficazes aos
riscos, de modo a alinhar os riscos residuais dentro do apetite ao risco aceite pela
organizao. A gesto deve garantir que quer os processos de gesto de risco quer a
eficcia das respostas e concluses das aces tomadas pela organizao esto a ser
monitorizadas e consequentemente continuam a operar eficazmente.
Isto permite que a Auditoria Interna d ao Comit de Auditoria e Gesto garantia de

que os processos de gesto de riscos so adequados organizao e eficazes na
mitigao de riscos, nomeadamente no que diz respeito eficcia dos controlos
implementados, de modo a que no sejam colocados em causa a concretizao dos
objectivos e metas definidos.
4.4. O Papel do Auditor Interno na Gesto de Riscos
A Auditoria Interna tem um papel importante na avaliao da eficcia da gesto de

risco na organizao. Deve avaliar com regularidade a eficcia dos controlos internos
relativos quantificao, informao e limitao dos riscos. A avaliao dos diferentes
riscos ajudam a Auditoria Interna a definir o seu plano de trabalho, uma vez que lhe
permite determinar quais so as reas de maior risco, isto , as reas prioritrias e
36
sobre as quais devem recair todas as atenes, portanto, as que devem ser
analisadas primeiro.
Segundo o COSO (2004a), a avaliao de riscos uma responsabilidade da

Administrao, mas cabe Auditoria Interna fazer uma avaliao prpria dos riscos,
confrontando-a com a avaliao feita pelos administradores.
De acordo com Cicco (2006), a identificao e avaliao dos riscos nos trabalhos
realizados pela auditoria permite identificar quais as reas mais importantes da
organizao e consequentemente elaborar um programa de auditoria que permita
testar os controlos mais importantes ou com maior detalhe.
Assistimos a uma mudana nos focos da auditoria, ou seja, deixou de se preocupar s

com a anlise de avaliao de controlos, para se preocupar tambm com a anlise e
avaliao do risco (financeiro, operacional, etc.), deste modo a Auditoria Interna gera
mais valor para a empresa.
Poder-se- perguntar se a gesto de risco no extravasa o papel da Auditoria Interna.

E a resposta ser no. Pelo contrrio, at consistente com as actividades previstas
pelo Institute of Internal Auditors (IIA4, 2004), no que concerne a actividades de
segurana e consultoria, modernamente preconizadas. Com a ressalva, que as
empresas devem compreender de uma forma integral que a Administrao a
responsvel pela gesto de risco. Os Auditores Internos devem providenciar conselho
e apoiar ou contestar as decises tomadas pela gesto sobre risco em vez de tomar
decises sobre gesto de riscos. Deste modo, de acordo com o IIA, a Auditoria Interna
no mbito do ERM deve (IIA:2004):
Certificar os processos de gesto de risco.
Certificar que os riscos esto correctamente identificados e avaliados.
Avaliar os processos de gesto de risco.
Avaliar o reporte dos principais riscos.
Rever a gesto dos principais riscos.
O IIA (2004), estabelece ainda quais as actividades que a auditoria no deve realizar,
por deverem ser da responsabilidade da gesto e quando tomadas pela Auditoria
Interna vo diminuir a independncia desta nas competncias que o IIA lhe atribui.
Assim, algumas das actividades que no devem ser realizadas pelo Auditor Interno,
so as seguintes:
37
estabelecer o apetite ao risco
estabelecer processos de gesto de risco
tomar decises quanto s respostas a dar aos riscos identificados
implementar medidas que mitiguem os riscos
ser responsvel pela gesto de riscos.
Neste contexto, para que o Auditor Interno possa desempenhar adequadamente o seu
papel necessrio que domine vrias matrias. Da que tenhamos autores como,
Sumners (1999:92) que referem que:
Os auditores tero que ser primeiro bons Homens de negcio e, em

Segundo lugar bons Auditores. Devero ser conscientes do que passa
fora da empresa, especialmente no que respeita ao sector, economia,
s tendncias do Mercado, tecnologia, s inovaes, etc. Para ele,
precisar de uma formao multidisciplinar, e isto far com que a
percentagem de Auditores nos departamentos de Auditoria Interna
reduza
Pode ser uma opinio extrema, defendendo que ser bom auditor vem em segundo
lugar mas, exemplifica bem a necessidade do conhecimento do negcio e das
estratgias para desempenhar adequadamente o trabalho do Auditor.
Em muitos casos os Auditores Internos desempenham um papel fundamental na

aplicao de riscos empresariais. Os Auditores Internos podem fazer trabalhos de
Auditoria que proporcionem a avaliao objectiva de um processo, quer seja completo
ou parcial, da gesto de riscos.
De acordo com as normas do IIA, o alcance da Auditoria Interna deve contemplar a

gesto de riscos e os sistemas de controlo, incluindo a avaliao da fiabilidade da
informao, a eficincia e eficcia das operaes e o cumprimento das leis e
regulamentos aplicveis.
Conforme referido no COSO (2004a), os auditores internos no mbito das sua funes
ajudam a Administrao de uma Empresa ou o Comit de Auditoria, analisando,
avaliando e informando sobre a adequao e eficcia da gesto de riscos corporativos
da organizao e na recomendao de melhorias do sistema de gesto de riscos.
4
Declaracin de Posicin 2004, El Rol de la Auditoria Interna en la Gestin de Riesgo empresarial; traduo prpria
38
Os Auditores Internos por vezes assumem o papel de consultores, sugerindo
melhorias no processo de gesto de riscos corporativos da organizao. Nestes
casos, os Auditores Internos, podem entre outras actividades promover o
desenvolvimento de um conhecimento comum da gesto de riscos corporativos dentro
de uma organizao, orientar grupos de trabalhos relativos a riscos, bem como,
proporcionar ferramentas e tcnicas para ajudar a Gesto a analisar os riscos e
desenhar actividades de controlo.
Conforme, Sousa (2007) a AI dever deixar de estar virada essencialmente para

garantir a correcta escriturao do passado, sendo muitas vezes vista como um mal
necessrio, passando a preocupar-se com a consecuo dos objectivos e metas da
Empresa, atravs da deteco, anlise e gesto dos principais riscos. Deste modo,
acrescenta valor, na medida em que contribui para assegurar os resultados esperados
so alcanados.
Desta forma o risco passa a assumir uma importncia fundamental no processo de

Auditoria Interna, devendo ser o centro de toda a actividade, desde o planeamento at
emisso do relatrio, passando pela execuo e documentao suporte do trabalho
realizado (Almeida, 2009).
4.5.Tcnicas utilizadas para medir o risco
No existe um modelo de avaliao do risco que seja standard e como tal aplicado a
todas as empresas, pois cada uma tem as suas prprias especificidades, pelo que o
Auditor Interno deve ter em considerao as caractersticas mais representativas do
risco. O importante conhecer os mtodos e a filosofia de medio dos riscos, de
modo a poder-se adaptar de acordo com o caso em anlise. Contudo, iremos dar um
exemplo de como que se pode medir o risco, partindo do modelo apresentado pela
Protiviti, do COSO ERM e da norma AS/NZS 4360;2004.
A medio do risco pode ser feita atravs de mapeamento do risco, utilizando para o
efeito a matriz de risco, conforme exemplo apresentado na figura 5.
39
Figura 5: Matriz de Risco (Fonte: Protiviti, 2006)
Trata-se de uma matriz de dupla entrada, em que no eixo das abcissas se mede a
probabilidade de um determinado risco vir a ocorrer e que foi classificada como
remota, possvel ou provvel. Diz-se que estamos perante uma probabilidade remota,
quando no existem perspectivas de que determinado risco ocorra. Uma probabilidade
possvel, quando existe um grau de probabilidade que determinado risco venha a
acontecer e a probabilidade ser considerada provvel, quando existe uma forte
possibilidade de um risco acontecer.
Suportado numa tcnica intuitiva e de simples compreenso e num determinado

horizonte temporal (por exemplo 1 ano, 3 anos, etc.), no eixo das ordenadas avalia-se
o impacto que o risco pode causar, caso se venha a verificar. O impacto est
classificado em gervel, importante e crtico. O impacto gervel quando o risco ao
acontecer, controlvel. O impacto importante, dado que se trata de um risco que
merece alguma ateno pela gesto, porque caso acontea pode ter consequncias
desagradveis na organizao. O impacto crtico, porque o mais preocupante para
a gesto, uma vez que, caso ocorra poder ter implicaes graves e, como tal, merece
uma ateno redobrada. Digamos que se trata de uma avaliao em 3 dimenses,
horizonte temporal, impacto e a probabilidade de um determinado risco acontecer. A
avaliao do impacto e da probabilidade de ocorrncia dos riscos de cada processo
permite identificar os riscos que apresentam maior criticidade e que exigem uma
ateno especial da gesto.
Podem ser utilizadas vrias tcnicas, nomeadamente recorrendo linguagem comum,

isto , um instrumento que facilita o dilogo permanente entre os vrios intervenientes
na gesto de risco de uma empresa, o glossrio de riscos, identificao dos riscos
aplicveis, localizar as origens e as fontes de incerteza dos riscos, medir o impacto
(gervel, importante ou critico) e o grau de probabilidade (remota, possvel e provvel),
sequenciar os riscos de acordo com a sua importncia, considerar potenciais perdas
40
financeiras, impactos de imagem, reputao da empresa, impacto no cumprimento dos
objectivos, entrevistas com pessoas em lugares chave da organizao, workshops,
aplicao de checklists e anlise de histrico.
Uma linguagem comum organiza as informaes e dados relacionados com os riscos,

as fontes de risco, mtricas de risco, anlise e comunicao na empresa, bem como,
os nveis de processos.
Utilizando uma linguagem comum, imaginao e um forte conhecimento do processo

de negcio, a organizao est mais habilitada a alcanar os objectivos do negcio
(Mcnamee, 2000:51).
O COSO ERM (2004a), considera que a avaliao da probabilidade e do impacto do

risco pode ser efectuada atravs de mtodos qualitativos e quantitativos e podem ser
avaliados individualmente ou por categorias, tendo por base um perodo temporal. Por
regra so utilizados mtodos qualitativos, quando os riscos so difceis de quantificar
ou no existe informao suficiente. Os mtodos quantitativos so mais precisos e so
normalmente utilizados em actividades mais complexas e como complemento s
tcnicas qualitativas. A probabilidade e o impacto de um ou mais riscos podem ser
representadas graficamente atravs da utilizao de uma matriz de riscos, conforme
figura 5.
As directrizes para a implementao da AS/NZS 4360:2004 (Srie Risk Management,

2005), refere que as ferramentas de anlise permitem que os riscos sejam expressos
pela combinao dos seus dois componentes, ou seja, impacto e probabilidade. A
relao entre estes dois componentes depende de muitos factores que, por sua vez,
reflectem a real natureza do risco e o modo como ele entendido. Se considerarmos
que o nvel de risco proporcional a cada um dos seus dois componentes o risco
poder ser expresso matematicamente como: Risco = Impacto X Probabilidade. De
modo a ser possvel efectuar uma categorizao dos riscos de acordo com o seu grau
de criticidade classificamos o impacto e a probabilidade do seguinte modo:
Impacto (Gervel =1, Importante=2; Crtico=3)
Probabilidade (Remota=1; Possvel=2; Provvel=3).
Refere ainda que podem ser utilizados mtodos qualitativos, quantitativos e semi-
quantitativos na avaliao dos riscos. A escolha depende em parte do contexto, dos
objectivos e dos recursos disponveis, conforme referido no ponto 3.4.2. Norma
Australiana e Neozelandesa (AS/NSZ 4360:2004).
41
De salientar que, o conhecimento dos processos dos negcios uma mais-valia na
avaliao dos riscos.
A gesto de riscos fecha o ciclo tomando as decises de gesto que mais se adequam
ao risco identificado. Existem vrias estratgias que podem ser seguidas na gesto de
risco das quais destacamos:
Prevenir Riscos Esta uma das melhores estratgias, porque se conseguirmos

identificar e prevenir atempadamente quais os eventos negativos que podem
acontecer, melhor para a empresa.
Partilhar/Transferir Riscos uma forma de gerir riscos. Por exemplo, efectuando

contratos com fornecedores ou empresas seguradoras.
Controlar o Risco Inclui procedimentos de controlo do processo que minimizem as

consequncias e os efeitos da ocorrncia do risco.
42
5. Aplicao prtica: a avaliao do risco num
processo de compras
5.1. Metodologia
5.1.1. Objectivos
A apresentao deste trabalho tem como principal objectivo demonstrar, a

aplicabilidade de um modelo de gesto de risco nos processos de Auditoria Interna
mais especificamente a avaliao dos riscos do negcio que afectam o processo de
compras. Neste sentido, efectua-se o levantamento e anlise dos riscos dos
processos e a avaliao dos respectivos controlos implementados no Departamento
de Compras.
Este trabalho permitir no s introduzir o conceito de gesto de risco na rea em

estudo como em todas as reas transversais ao processo de compras, permitindo
simultaneamente preparar o trabalho de campo nessas reas em que a Auditoria
Interna vir a realizar em momento posterior.
Desta forma, como resultado final do trabalho ser preparada uma matriz de riscos
residuais (avaliao dos riscos contemplando a eficcia dos controlos institudos),
devendo ser tambm apresentadas as principais concluses da anlise aos controlos
e respectivas recomendaes que na perspectiva da Auditoria Interna contribuem para
diminuir o nvel de exposio aos riscos analisados, fortalecendo o sistema de controlo
interno.
5.1.2. Modelo e fases de aplicao
Este trabalho est sustentado em dois pilares fundamentais, uma das mais
conceituadas normas internacionais de gesto de risco, a norma Australiana e
Neozelandesa (AS/NZS 4360:2004) e no COSO ERM (COSO, 2004a). Foram
utilizadas como ferramenta de apoio a Norma de Gesto de Riscos, (FERMA, 2003),
o Guide to Enterprise Risk Management (Protiviti, 2006), suportado no COSO
nomeadamente, no que diz respeito s matrizes de risco e ao modelo de risco de
negcio por eles apresentado, e o Modelo de Riscos do Negcio
43
(PriceWaterHouseCoopers, 2002). O Manual de Riscos de Negcio utilizado neste
estudo foi o da PricewaterhouseCoopers, mas com a introduo de algumas
adaptaes, nomeadamente, a substituio de alguns riscos deste modelo por riscos
do modelo apresentado pela Protiviti (2006). De referir que os modelos so bastante
semelhantes. Fazem a diviso em trs grandes grupos (riscos da envolvente, riscos
do processo e riscos financeiros), diferindo apenas em alguns dos riscos especficos
apresentados em cada uma das categorias atrs referidas.
Os passos seguidos na aplicao prtica por ns apresentada so os referidos na

norma Neozelandesa (AS/NZS 4360:2004) e que detalhamos no ponto 3.4.2. Norma
Australiana e Neozelandesa (AS/NSZ 4360:2004). De referir que no est no mbito
deste trabalho a aplicao da fase relacionada com Monitorar e Rever. Este ponto
poder ser alvo de desenvolvimento num futuro trabalho sobre este tema.
Iniciamos com a Comunicao e Consulta, uma vez que est associada a todas as
fases do processo de gesto de risco e em relao ao processo como um todo,
conforme j referido no ponto 3.4.2. Norma Australiana e Neozelandesa (AS/NSZ
4360:2004).
De acordo com a norma, o primeiro passo inicia-se com o estabelecimento do

contexto interno e externo, o contexto da gesto de risco, desenvolvimento de
critrios e definio da estrutura.
Em termos prticos, o estabelecimento do contexto quando aplicado a um processo

de negcio de uma organizao traduz-se no seguinte:
1. identificao dos processos/sub-processos;
2. identificao e enquadramento nos processos dos objectivos definidos;
3. desenho das principais actividades identificadas em cada um dos

processos/sub-processos definidos. Este desenho no necessita de ser
realizado de forma detalhada, pretendendo-se apenas a identificao das
principais actividades e sistemas de suporte. O desenho poder ser
efectuado atravs da elaborao de fluxogramas e descritivo das respectivas
actividades. De salientar, que devemos evidenciar desde logo as actividades
de controlo, uma vez que, esta informao ser til numa fase posterior
(avaliao dos controlos).
44
O passo nmero dois corresponde identificao dos riscos, e basicamente a
resposta a quatro questes, ou seja, o que pode acontecer, quando, onde, como e
porqu. Tal como referido abaixo, trata-se de identificar o risco inerente.
Trata-se da identificao dos riscos de negcio que podem existir em cada um dos
processos / sub-processos identificados e dentro destes nas principais actividades.
Nesta fase do trabalho deve ignorar-se se existem controlos e qual o nvel de
confiana nos mesmos. Ou seja, pretende-se identificar o risco inerente (o risco que
existe para qualquer entidade, na ausncia de quaisquer aces que a Gesto venha
a tomar, com vista a alterar, quer a probabilidade de ocorrncia do mesmo, quer o
respectivo impacto). A identificao dos riscos efectuada com recurso construo
de uma matriz de riscos por processos (Figura 6), classificados de acordo com o
impacto e probabilidade de ocorrncia dos mesmos;
Riscos Estratgicos
e de Negcio
Riscos de Processo
e de Negcio
Riscos de
Informao
Figura 6: Exemplo de Matriz de Risco (Fonte: Adaptado de PricewaterhouseCoopers, 2002)
45
Na aplicao prtica apresentada utilizamos este tipo de matriz para identificar e
avaliar os riscos.
O princpio do bom senso aponta-nos para a necessidade de se dispor de uma

linguagem dentro das organizaes que permita a todos os seus membros utiliz-la
sem correrem o risco de serem atribudos significados distintos pelos diferentes
intervenientes no processo. Segundo esta linguagem comum as categorias de riscos
esto agrupadas de acordo com as origens da incerteza dos factos que lhes esto na
base. As principais fontes de incerteza foram classificadas da seguinte forma:
Os riscos da envolvente que uma empresa enfrenta so originados por

realidades do negcio, quer internas, quer externas. So incertezas que
afectam a viabilidade do modelo de negcio. Estes riscos ocorrem quando h
foras externas que podem por ou pem em causa a continuidade do
negcio, ou mudam de forma acentuada os principais pressupostos que
conduzem os seus objectivos globais e respectivas estratgias. Estas foras
incluem a disponibilidade de capital, as aces dos concorrentes e
reguladores, variaes ocorridas no mercado, ou outros factos que estejam
fora da capacidade da empresa os controlar. Mudanas na envolvente
externa podem apresentar ameaas significativas ao negcio.
Os riscos de processo so incertezas que afectam a execuo do modelo

de negcio. Estes riscos acontecem quando os processos utilizados no
negcio no atingem aquilo para que foram desenhados. Alguns exemplos de
caractersticas de processos deficientemente desenhados, ou riscos de
processo, podem ser:
O processo no est alinhado de forma eficaz com as estratgias

globais, ineficaz no tocante satisfao das necessidades dos
clientes, no funciona de uma forma operacionalmente eficaz e no
resulta na criao de riqueza.
O processo falha no que proteco de perdas inaceitveis diz respeito,

isto , falha na tomada de deciso ou uso indevido de activos
financeiros, intelectuais e fsicos.
Includo nos riscos de processo est o risco de processamento da

informao/risco tecnolgico, o qual ocorre quando as tecnologias de
informao utilizadas no processo no esto a funcionar, tal como planeado,
46
ou esto a comprometer a disponibilidade, integridade e segurana da
informao e de outros activos.
Risco relativo informao so incertezas sobre a relevncia e fiabilidade da

informao. Estes riscos ocorrem quando a informao utilizada para apoiar a
tomada de deciso incompleta, desactualizada, pouco precisa, atrasada ou
irrelevante. Neste campo a maior parte das empresas reconhece que os
sistemas de apoio deciso esto longe daquilo que seria o ptimo. Este risco
directamente afectado pela eficcia e segurana dos sistemas de
processamento da informao e de processos informais de recolha de
informao confidencial no que captura de informao relevante diz
respeito, convertendo as notcias em informao e fornecendo essa informao
aos gestores apropriados, na forma de relatrios tempestivos e de
comunicaes verbais.
So estas as trs categorias de riscos do negcio que, por sua vez, proporcionam uma
ampla base a partir da qual riscos mais especficos podem ser identificados e
detalhados, conforme se pode ver no manual de riscos do negcio em anexo (Anexo
1).
Tal como nos riscos da envolvente ao negcio, a mudana constante tem impacto em
todas as categorias do risco do processo. A reengenharia de processos, a
subcontratao, alteraes nos volumes de vendas, mudanas efectuadas na
estrutura organizacional, alteraes ao nvel de pessoal, implementao de novos
sistemas de informao, fuses, aquisies e reorganizaes empresariais so
exemplos de mudanas indicativas de potenciais riscos de processo.
Os riscos de processo so muitas vezes no distinguveis de informaes para a

tomada de deciso, uma vez que a informao necessria para se tomarem
decises esclarecidas acerca de um processo. Um fluxo contnuo de informao
deveria dotar os decisores com as perspectivas que necessitam acerca da envolvente
e da performance dos processos utilizados pela empresa de tal modo que possam
gerir os riscos da organizao de forma eficiente.
A matriz de risco de processo vai permitir fazer a identificao e avaliao dos riscos
dos processos. Depois de identificados os riscos passa-se fase de anlise. Nesta
fase feito o mapeamento dos riscos absolutos, isto , representar numa Matriz os
Riscos Inerentes (Figura 7), posicionando-os de acordo com a sua gravidade, isto ,
47
de acordo com a classificao obtida em resultado da multiplicao do Impacto pela
Probabilidade e obtemos a Matriz de Risco Inerente (Figura 7 e 8).
Entende-se por Risco inerente/absoluto, o risco que existe para qualquer entidade,
na ausncia de quaisquer aces que a Gesto venha a tomar, com vista a alterar,
quer a probabilidade de ocorrncia do mesmo, quer o respectivo impacto.
Figura 7: Excerto Mapa dos Riscos Inerentes (Fonte: Produo prpria)
Figura 8: Matriz Risco Inerente (Fonte: Adaptado de Protiviti, 2006)
48
Para a realizao deste trabalho conjunto de anlise e avaliao dos riscos,
socorremo-nos de:
Uma linguagem comum (riscos agrupados de acordo com a origem das

incertezas que lhes esto na base) e,
Uma metodologia para tipificao dos riscos e sua caracterizao (glossrio,

matriz e mapeamento dos riscos).
Os riscos foram classificados de acordo com o nvel de:
Impacto ou seja, qual a magnitude que determinado risco teria, se viesse a

ocorrer (o impacto pode ser em muitas reas, incluindo a financeira, a da
imagem/reputao, ao nvel dos recursos humanos, sobre a valorizao das
existncias, etc.), e
Probabilidade dadas as inerentes incertezas do negcio, qual ser a

probabilidade que determinado risco tem de poder ocorrer.
Em termos prticos esta anlise pode ser feita do seguinte modo:
Construo da lista de actividades crticas por processo a avaliar e testar;
Definir um programa detalhado de identificao, avaliao e execuo de

testes aos controlos nas actividades com risco e probabilidade de ocorrncia
mais elevados;
Concluda a fase da anlise dos riscos e avaliao dos controlos, ou seja, depois de
identificados e avaliados os controlos existentes, passamos fase de identificao
dos riscos residuais.
Os riscos so reavaliados considerando os resultados dos testes efectuados, tendo

em conta a capacidade que os controlos implementados tm para mitigar os riscos
identificados, associados aos processos, determinando-se assim o risco residual.
A avaliao dos riscos de processo com base nos resultados dos testes efectuados e
construo de uma matriz final dos riscos de processo de acordo com os resultados
da avaliao aos controlos, ou seja, a matriz do risco residual (Figura 9), isto ,
aquele que permanece depois de implementados os controlos e medidas de reduo
do risco. O objectivo ptimo ser que o risco residual tenda para zero.
Segundo Silva (2006) o papel da Auditoria Interna vai centrar-se na diferena entre o
risco inerente e o residual:
49
na anlise da diferena entre o risco inerente e o residual que a
Auditoria Interna dever ter particular interesse pois atravs dela se
constatar se o sistema de controlo interno funciona e se a gesto
eficaz fazendo com que o sistema de acumulao da empresa continue a
funcionar de uma forma sustentada, Silva (2006:12).
Figura 9: Passagem da Matriz de Risco Inerente para a Matriz de Risco Residual (Fonte:
Adaptado de Protiviti, 2006)
Depois de identificados os riscos residuais deve ser promovida uma discusso dos
riscos, ocorrncias e controlos com o grupo de trabalho, em workshops e
apresentao das recomendaes e propostas de melhoria, de modo a que todas as
50
pessoas envolvidas no trabalho possam pronunciar-se sobre as concluses a que
chegamos e as respectivas recomendaes de melhoria. O objectivo destas reunies
de trabalho que Auditoria e rea Auditada estejam de acordo quanto avaliao
dos riscos e recomendaes propostas.
Face avaliao realizada sobre os controlos, a lista dos principais riscos inicialmente
calculada, tendo como referncia o risco absoluto, sofreu naturalmente algumas
mudanas tendo mesmo ocorrido a sada de alguns riscos dessa lista e entrado outros
que, inicialmente, no se consideravam to relevantes.
Determinados os riscos residuais do processo e aps consenso com a rea auditada,

vo ser definidas medidas para mitigar os riscos e definidos planos de aco.
Nesta fase que se decide como que vo ser tratados os riscos, ou seja, se vo
ser transferidos ou partilhados, por exemplo atravs da contratao de seguros, se
vo ser controlados e aceites ou, ainda, se a opo passa por diversificar ou evitar.
Nesta fase deve ser efectuado um workshop, onde se faz uma apresentao rea
auditada. Este workshop tem como objectivo discutir as concluses obtidas de acordo
com a percepo e avaliao dos riscos feita pela Auditoria Interna, de modo a que
haja consenso entre as duas reas.
Devem ser definidas medidas que mitiguem o risco, estabelecido um calendrio e

definidos os intervenientes para a sua implementao.
O processo de avaliao dos riscos engloba trs fases: i) Identificao dos Riscos, ii)
Anlise dos Riscos e iii) Avaliao dos Riscos.
Na fase do Tratamento dos Riscos definido o plano de resoluo e implementao

pela gesto em parceria com a Auditoria Interna, que vai agir como facilitador e
avaliador da qualidade dos controlos a implementar face aos objectivos definidos;
As fases de Monitorar e Rever, sero aplicadas em momento posterior, uma vez que,
visam verificar se as medidas propostas para a mitigao dos riscos identificados
como passveis de serem tratados, foram ou no implementadas. Caso tenham sido
implementadas necessrio confirmar que as mesmas so eficazes na mitigao
desses mesmos riscos. O resultado deste trabalho posteriormente comunicado ao
Responsvel da rea auditada e Gesto.
Caso as medidas tenham sido implementadas mas se revelem pouco ou nada

eficazes, deve proceder-se identificao de novas medidas de modo a que se
consiga o objectivo, ou seja, a mitigao dos riscos.
51
Esta fase, no esttica, deve-se fazer uma monitorizao e um acompanhamento
peridico, de modo a verificar se os controlos foram bem implementados e so
eficazes e, por outro lado, verificar se surgiram novos eventos que necessitem de ser
analisados e acompanhados, razo pela qual importante a anlise crtica e a
repetio regular do ciclo de gesto de riscos.
Deve ser feita uma anlise crtica contnua de modo a assegurar que as medidas
correctivas propostas foram correctamente implementadas e so eficazes na
mitigao dos riscos identificados e para os quais foi aprovada a implementao das
recomendaes sugeridas pela Auditoria Interna.
Os resultados obtidos na monitorizao so posteriormente comunicados rea

auditada e gesto.
5.1.3. Universo utilizado para aplicao do modelo
O caso prtico apresentado, aplica-se a um grupo empresarial (industrial e

comercial), de grande dimenso, que ocupa lugar de destaque no sector em que
opera, quer no mercado nacional, quer no mercado internacional.
Para efeito deste estudo vamos limitar o mbito do trabalho de Auditoria, focalizado
na gesto de risco, ao processo de compras. Contudo, tendo em considerao a
dimenso deste processo, restringimos o nosso trabalho ao sub-processo compras
oramento (materiais de embalagem). Optmos pelos materiais de embalagem, pelo
facto, dos mesmos representarem cerca de 50% do total das compras realizadas
neste departamento.
5.1.4. Pressupostos
Tendo em considerao a complexidade do processo e o objectivo deste trabalho,

vamos limitar o mbito, utilizando os seguintes pressupostos:
Trabalho realizado no mbito do plano anual de auditoria aprovado pelo Comit

de Auditoria. O plano de auditoria realizado, tendo em considerao os riscos
do negcio e os objectivos estratgicos da empresa.
No obstante o processo de compras estar interligado com diferentes reas da

empresa a nossa aplicao incide apenas nas actividades desenvolvidas na
52
rea de Compras, pelo que, fica fora do mbito deste trabalho o levantamento
e anlise dos processos das reas transversais ao processo em anlise;
As tcnicas de Auditoria utilizadas na realizao deste tipo de trabalho de

Auditoria de Processos, so regra geral, as entrevistas e questionrios
efectuados aos responsveis e colaboradores da rea auditada, permitindo
deste modo efectuar o levantamento e desenho dos processos em anlise,
caso a rea no disponha desta informao, bem como, a recolha e anlise de
informao gerada nos processos avaliados e a realizao de testes de
conformidade;
Foram desenhados programas de testes de conformidade essencialmente para

avaliao dos controlos transaccionais (considerando a eficincia/eficcia das
operaes, cumprimento de leis e regulamentos e reporte de informao
financeira/performance).
Todo o trabalho desenvolvido no pressuposto de que a organizao dispe de um

manual de procedimentos de controlo interno.
5.2. Aplicao da avaliao de risco num processo de compras
Partindo dos passos descritos no ponto anterior vamos aplic-los ao processo de

compras. Iniciamos com o estabelecimento do contexto que engloba vrios aspectos:
compreender o contexto estratgico, compreender os processos de negcio e
estabelecer uma linguagem comum. De seguida, passamos ao processo de avaliao
dos riscos com a apresentao das respectivas matrizes. Por ltimo, apresentamos a
fase do tratamento dos riscos.
5.2.1. Estabelecimento do Contexto
Como vimos no ponto 5.1.2 Modelo e fases de aplicao, o estabelecimento do

contexto corresponde ao primeiro passo do processo de gesto de risco. Desta forma,
a fase onde se faz o enquadramento do trabalho de anlise e avaliao dos riscos e
controlos, caracterizando-se pelo estabelecimento dos parmetros bsicos que
definem o mbito da nossa anlise e pela definio dos critrios a considerar na
avaliao do risco dentro desse contexto.
53
Esta definio do contexto inclui a identificao das reas de negcio que se
consideram ter maior interveno nos processos de compras, a identificao dos
objectivos de negcio relacionados com esta rea (seguindo o referido no ponto 2.4.) e
a definio dos parmetros considerados na qualificao dos riscos quanto ao impacto
e probabilidade de ocorrncia (avaliao do risco). Logo, engloba trs elementos
bsicos: compreender o contexto estratgico, compreender os processos de negcio e
estabelecer uma linguagem ou modelo comum (figura 10).
Figura 10: Estabelecimento do Contexto (Fonte: Produo Prpria)
Este passo constitui a base de suporte das concluses apresentadas neste trabalho e
que vo, naturalmente, influenciar todo o processo de gesto dos riscos que venha a
ser conduzido em funo dos resultados apresentados.
5.2.1.1. Compreender o contexto estratgico
Sendo o nosso estudo relativo aplicao da gesto de risco a um processo de

compra, a compreenso do contexto estratgico ao nvel mais especfico, prende-se
com a envolvente do Departamento de compras. Assim, para que se possa realizar
uma correcta avaliao dos riscos de negcio que afectam os processos
desenvolvidos no mbito de actuao da Departamento de Compras, necessrio
compreender os objectivos, responsabilidades e modelo organizacional desta rea.
5.2.1.1.1. Caracterizao do Departamento de Compras
O Departamento de Compras deve garantir os processos de compra de todos os

materiais, bens e servios, nas melhores condies de preo, servio e qualidade,
assegurando a satisfao das necessidades apresentadas pelas diferentes reas da
54
organizao, tendo sempre como principal objectivo diminuir custos e maximizar o
valor da empresa.
As Principais responsabilidades do Departamento de Compras so:
Comprar todos os materiais, bens e servios externos, de acordo com as

necessidades das diferentes reas da organizao, com excepo de compras
especficas que requerem a interveno directa da prpria rea requisitante
enquadrando-se no mbito de actividade de Compras Delegadas.
Efectuar uma procura regular, nos mercados interno e externo, de

fornecedores adequados s necessidades das diferentes reas da
organizao;
Manter actualizado o Sistema de Avaliao de Fornecedores e utiliz-lo como

ferramenta de apoio deciso, identificao e seleco dos principais
fornecedores;
Garantir a gesto eficaz das bases de dados do sistema informtico, em

concreto do Ficheiro Mestre de Materiais e do Ficheiro Mestre de
Fornecedores
As compras podem ser classificadas em grandes grupos de acordo com diferentes

critrios. Cada um dos grupos pode representar distintos pesos no valor total dos
gastos incorridos e na sua importncia para o negcio. Uma classificao possvel
de acordo com o destino dos bens e servios comprados resultando, por exemplo, os
seguintes grupos de compras: Industrial, Matrias-primas, Qumicos, Material de
Embalagem e Servios Diversos.
A classificao e o peso de cada um dos grupos depende muito de empresa para

empresa. Para a realizao deste trabalho, como vimos, considermos uma Empresa
Industrial e Comercial em que o grupo com maior peso no total de compras desta
empresa o de materiais de embalagem (representam cerca de 50% do total das
compras desta empresa), razo pela qual foi seleccionado para o trabalho.
A actividade de compras deve ser exercida de acordo com um conjunto de princpios

gerais, que devem estar descritos no Manual de Procedimentos de Controlo Interno,
nomeadamente, no que diz respeito eficincia organizativa, minimizao de custos,
eliminao de conflitos de interesses, respeito pelas normas ticas, garantia do
cumprimento dos normativos e atitude positiva e de responsabilidade.
55
5.2.1.1.2. Polticas e Procedimentos internos aplicveis
importante a Auditoria Interna ter conhecimento dos manuais existentes na

Organizao, nomeadamente, o Manual de Qualidade e o Manual de Procedimentos
de Controlo Interno. Estes manuais so as duas principais referncias na aplicao
das normas e procedimentos neste processo, caso a empresa disponha deles.
O Manual de Qualidade est inserido no Sistema de Gesto da Qualidade, Ambiente e

Segurana cabendo a responsabilidade pela sua manuteno rea de Qualidade,
que promove tambm a realizao de auditorias neste mbito. Estamos a falar de uma
empresas certificada.
O Manual de Procedimentos de Controlo Interno define as Polticas e Procedimentos

de Controlo Interno adoptados pela empresa. conveniente que os manuais se
encontrem actualizados.
5.2.1.2. Compreender os processos de negcio
Nesta fase importa conhecer os processos principais e os de suporte das compras e

entender de que forma estes processos se enquadram na estrutura organizativa.
5.2.1.2.1. Processos principais e de suporte s Compras
Lorenzo (2001), define processo da seguinte forma:
um conjunto estruturado de actividades organizadas desenhadas para

alcanar um ou vrios objectivos e conta sempre com pelo menos um
intput e um output. Os processos podem dividir-se em sub-processos,
sendo que estes so formados por actividades que por sua vez se
desdobram em tarefas5 (Lorenzo, 2001:79).
Assim, quando se pretende analisar um processo dever-se- comear pela

decomposio do mesmo nos seus trs principais nveis hierrquicos (processo, sub-
processo e actividade). Neste trabalho, dada a complexidade e diversidade de
actividades envolvidas, apenas nos focalizaremos ao nvel do processo e sub-
processo.
5
Traduo prpria
56
Para compreender os processos de negcio ligados s compras procedemos
identificao e caracterizao dos processos principais que suportam o Departamento
de Compras e que se encontram esquematizados na figura 11.
Figura 11: Processos principais e processo de suporte Compras (Fonte: Produo Prpria)
O desenho de um adequado sistema de controlo interno requer conhecer inicialmente

quais so os processos principais e sub-processos do negcio, (Martn e Morales,
2001). Assim, no mbito de interveno em que a anlise do risco dever ocorrer
necessrio uma desagregao por processos principais , processos de suporte e sub-
processos, que visvel na figura 11. Daqui resultam dois processos principais,
processo geral e compras delegadas; e cinco processos de suporte: reclamaes de e
a fornecedores, manuteno de ficheiros mestres (Fornecedores e Materiais),
avaliao de fornecedores e elaborao de informao de gesto, inquritos e outros
relatrios. De seguida passaremos a explicar os diferentes processos.
57
5.2.1.2.1.1. Processos principais
O Macro processo do Departamento de Compras est dividido em processos

principais e processos de suporte e controlo. Foram identificados dois processos de
negcio, o Processo Geral de Compras, ou seja, o processo normal de compras que
envolve a participao do Departamento de Compras com nveis de interveno
diferenciados, tendo em considerao o tipo de material e as suas especificidades que
podem subdividir-se em Compras Oramento, Compras Anuais de Servios e
Compras Pontuais.
Nas Compras Oramento esto includos os Acordos de Fornecimento Anuais (ou at

por perodos superiores) efectuados com base nos oramentos anuais de consumos
de materiais em quantidades e valor. Estes oramentos so funo dos programas de
vendas elaborados pela rea comercial, normalmente em Setembro, para o ano
seguinte. Os oramentos so enviados pelas diferentes reas de negcio para o
Departamento de Compras, conforme se pode ver na figura 12. So exemplos de
compras oramento, as compras de materiais de embalagem e de matrias-primas.
A anlise dos processos recorrendo utilizao de fluxogramas facilita a deteco de

pontos de risco.
O processo inicia-se com a prospeco de novos fornecedores no mercado. Com base

nesta prospeco o gestor de compras actualiza a lista de fornecedores e
consequentemente o ficheiro mestre de fornecedores.
De salientar que, os fornecedores considerados relevantes para a qualidade tm de

ser aprovados pela Direco de Qualidade, ou seja, todos aqueles cujo material tenha
contacto directo com o produto, como o caso dos materiais de embalagem. Assim,
s depois de aprovados sero includos no cadastro de fornecedores, encontrando-se
disponveis para efectuar pedidos de cotao.
58
Figura 12: Fluxograma do Processo Compras Oramento (Fonte: Produo prpria)
O Departamento de Compras, com base na informao dos oramentos de compras

enviados pelas respectivas reas operacionais, selecciona os fornecedores a
contactar e solicita cotaes. De acordo com os procedimentos internos devem ser
solicitadas propostas a pelo menos trs fornecedores. Recepcionadas as propostas, o
gestor de compras faz uma anlise comparativa permitindo-lhe avaliar e apresentar a
proposta mais favorvel para validao superior. Seleccionado o fornecedor, o gestor
de compras informa a rea requisitante para que seja efectuada a requisio de
compra. Com base na requisio de compra o gestor de compras cria o acordo de
fornecimento.
59
Posteriormente, a rea operacional faz a diviso de remessa, isto , encomenda de
acordo com as necessidades, uma vez que o acordo vigora para o perodo de um ano
e feito pela totalidade das quantidades oramentadas. A encomenda satisfeita pelo
fornecedor e a rea requisitante procede recepo dos materiais / servios.
O Controlo de Qualidade verifica se os materiais esto em conformidade, caso se trate

de materiais relevantes para a qualidade, caso contrrio a validao efectuada pela
rea requisitante. Caso no estejam conforme, os materiais so devolvidos e feita
uma reclamao ao fornecedor. Se os materiais corresponderem ao pretendido e
estiverem em conformidade efectuada a conferncia da factura e solicitada a
aprovao superior, passando-se sua contabilizao para posterior pagamento na
data de vencimento, concluindo assim o processo.
As Compras Anuais de Servios dizem respeito contratao de servios anuais,

avenas mensais, nas quais se conhecem os valores a pagar mensalmente at ao fim
do ano. Apresenta-se na figura 13 o fluxograma do processo de compras de servios
nas quais se incluem, por exemplo, os servios de limpeza, de vigilncia e de
manuteno.
Conforme se pode ver no fluxograma apresentado abaixo, em termos de processo

idntico ao das compras oramento, apenas difere no modo como formalizada a
compra, ou seja, nas compras oramento utiliza-se a figura de acordo de fornecimento
(contrato), enquanto que nas compras anuais de servios criada uma encomenda
anual. Esta questo prende-se essencialmente com o tipo de compra e de negociao
que efectuada.
Figura 13: Fluxograma do Processo de Compras de Servios (Fonte: Produo prpria)
60
As Compras Pontuais, por excluso de partes, esto relacionadas com a compra de
materiais/servio que no se enquadram nos restantes processos devido reduzida
significncia, urgncia da compra, ao seu carcter espordico ou ainda s
particularidades do material/servio requisitado. Neste caso, criada uma encomenda
normal, sendo que o restante processo idntico aos referidos anteriormente. A figura
14 apresenta o fluxograma correspondente a este tipo de compras.
Figura 14: Fluxograma do Processo de Compras Pontuais (Fonte: Produo prpria)
O segundo processo de negcio foi designado por Compras Delegadas e refere-se s

compras efectuadas directamente pelas reas Operacionais sem qualquer interveno
da rea de Compras. Regra geral, trata-se de compras de materiais/servios muito
especficos, sujeitas a especificaes prprias, que requerem interveno directa da
prpria rea requisitante, uma vez que, as pessoas que fazem parte do Departamento
61
de Compras no dispem dos conhecimentos necessrios para fazer estas
aquisies. A figura 15 apresenta o fluxograma relativo a este tipo de compras. So
exemplo de compras delegadas os transportes de mercadorias, materiais destinados a
aces de marketing e comunicao.
Figura 15: Fluxograma do processo de Compras Delegadas (Fonte: Produo Prpria)
5.2.1.2.1.2. Processos de suporte s Compras
Foram identificados cinco processos de suporte, reclamaes a e de fornecedores,

manuteno de ficheiros mestres de fornecedores e de materiais, avaliao de
fornecedores, elaborao de informao de gesto, inquritos e outros relatrios.
As reclamaes a e de fornecedores, compreende as actividades desenvolvidas pela

rea de Compras no mbito de reclamaes que possam surgir na sequncia do no
cumprimento do acordo por qualquer uma das partes.
No que diz respeito manuteno de ficheiros mestres de fornecedores consideram-

se todas as actividades relacionadas com a manuteno da informao dos dados
mestre de fornecedores no sistema de informao (criao de novos fornecedores,
alterao de dados dos j existentes, actualizao da base de dados, etc.).
62
A manuteno de ficheiros mestres de materiais diz respeito a todas as actividades
relacionadas com a manuteno da informao dos dados mestre de materiais no
sistema de informao, nomeadamente a criao de novos materiais,
alterao/eliminao de materiais j existentes, etc.
A avaliao de fornecedores, trata-se do processo de avaliao e acompanhamento

dos fornecedores ao longo do ano. A avaliao dos fornecedores efectuada tendo
em considerao vrios parmetros, nomeadamente, se os materiais fornecidos esto
de acordo com as especificaes indicadas, se passou nos testes efectuados pelo
controlo de qualidade, se a recepo dos materiais foi efectuada dentro do prazo
acordado, etc.
Estas avaliaes tem como principal objectivo, identificar os fornecedores que ao

longo do ano no cumpriram com todos as suas obrigaes, avaliando os impactos
que tiveram na empresa, de modo, a que sejam definidas e implementadas medidas
correctivas, que podem passar pela substituio do fornecedor. Por regra, apenas so
informados da avaliao os fornecedores que no cumpriram com as suas obrigaes,
de modo, a alerta-los para o sucedido e tentarem junto dos mesmos identificar quais
as razes de tal incumprimento, de modo a que sejam evitadas no futuro. Por outro
lado, e tendo em considerao a gravidade das situaes, poder a empresa optar por
recorrer a novas pesquisas no mercado e seleccionar fornecedores alternativos.
O processo de elaborao de informao de gesto, inquritos e outros relatrios

compreende toda a informao de gesto desenvolvida pelo prprio Departamento de
Compras, bem como, resposta a inquritos de entidades externas. Trata-se de
informao especfica, nomeadamente, anlise de indicadores de rentabilidade e
performance da prpria rea.
5.2.1.2.2. Enquadramento dos processos na Estrutura Organizativa
Os processos relacionados com as Compras so transversais a toda a organizao,

tocando por isso mesmo as mais diversas reas do negcio. , portanto, necessrio
identificar de que forma se enquadra na estrutura da Organizao e qual o grau de
interveno de cada rea para que possa ser desenvolvida uma anlise adequada
dos riscos e uma correcta identificao e avaliao dos controlos implementados.
A matriz a seguir apresentada (figura 16) pretende demonstrar de que forma os

processos identificados envolvem a participao das vrias rea da organizao.
63
Figura 16: Enquadramento dos processos de Compras na Organizao (Fonte: Produo
Prpria)
Conforme se pode verificar na figura 16, os processos de compras esto relacionados

com diferentes reas da empresa. No que diz respeito s compras oramento
verificamos que as reas envolvidas para alm das Compras so a Qualidade,
Produo, Operaes, Contabilidade/Financeira e Controlo de Gesto. Estamos a
referir-nos a reas que esto abrangidas por este tipo de compra, ou seja, que
fornecem ao Departamento de Compras informao (oramento em quantidade) dos
materiais a adquirir.
As compras anuais de servios so transversais a todas as reas, pelo que, todas as

reas intervm neste processo. Relativamente s compras pontuais, verificamos que
apenas o Controlo de Gesto no recorre a este tipo de compras, todas as restantes
reas efectuam compras pontuais ao longo do ano. As compras delegadas, tal como o
prprio nome indica so compras efectuadas fora do Departamento de Compras, pelo
que esta rea no est contemplada, assim como, a rea de Vendas e de Controlo de
Gesto.
64
As reclamaes de e a fornecedores s podem ser efectuadas por duas reas, a de
compras e a da qualidade. A manuteno dos ficheiros mestres de fornecedores e de
materiais, tambm se encontra restringido a quatro reas, compras, qualidade,
produo e operaes, isto porque, so as reas que intervm no processo de
criao/alterao de dados mestre de fornecedores e materiais.
A avaliao de fornecedores e a elaborao de informao de gesto, inquritos e

outros relatrios so exclusivos da rea de compras.
5.2.1.3. Estabelecer uma linguagem comum
A nossa anlise est focalizada nos processos desenvolvidos no Departamento de

Compras, ou seja, aqueles designados como Processo Principal, referidos no ponto
5.2.1.2.1.1. deste documento.
Para dar resposta ao objectivo deste trabalho a avaliao dos riscos do negcio que
afectam o processo de compras adoptmos o que se convencionou apelidar de
linguagem comum no tocante tipificao dos riscos e que detalharemos abaixo.
O COSO, tambm refere a utilizao de uma linguagem comum, no que diz respeito
classificao dos riscos. Tal como referido no ponto 5.1.2. vamos considerar as trs
categorias de riscos: de envolvente, do processo e da informao para a tomada de
deciso, e que a Figura 17 apresenta esquematicamente.
Fontes
de
Incerteza
Riscos da
Riscos da Informao p/
Riscos do
Envolvente a tomada de
Processo
deciso
Figura 17: Fontes de Incerteza (Fonte: Protiviti, 2006)
65
Conforme referido no Guide to Enterprise Risk Management (Protiviti, 2006) estes trs
grupos de riscos esto inter-relacionados. Os riscos da envolvente e do processo que
uma empresa enfrenta so originados por realidades do negcio, quer internas, quer
externas. O risco relativo informao para a tomada de deciso directamente
afectado pela eficcia e segurana dos sistemas formais e informais de recolha e de
processamento da informao e so estas as trs categorias de riscos do negcio que,
por sua vez, proporcionam uma ampla base a partir da qual riscos mais especficos
podem ser identificados e detalhados.
De seguida fazemos uma breve apresentao dos riscos especficos de cada uma
destas categorias de risco de negcio e que vo fazer parte da matriz de risco que
vamos apresentar no caso prtico. Em anexo ser apresentado um manual de ricos de
negcio com todos os riscos da matriz utilizada na aplicao prtica, incluindo uma
breve descrio de cada um deles (Anexo 1).
No que diz respeito ao Risco do Meio Envolvente, consideramos os seguintes riscos

especficos: Disponibilidade de Capital, Perda Catastrfica, Concorrncia, Mercados
Financeiros, Indstria, Legal, Normativo, Sensibilidade, Relaes com Accionistas e
Poltico.
Relativamente ao Risco do Processo, o mesmo ainda subdividido em cinco

subgrupos, Risco Operacional, Risco de Autoridade e Risco Tecnolgico/
Processamento da Informao, Risco de Integridade e Risco Financeiro. Por sua vez,
cada um destes subgrupos tem riscos especficos associados que passamos a
elencar.
No que diz respeito ao Risco Operacional, foram considerados os seguintes riscos

especficos: Interrupo do Negcio, Capacidade, Cumprimento Normas e
Regulamentos, Satisfao dos Consumidores, Tempo do processo, Eficincia,
Ambiental, Sade e Segurana, Obsolescncia, Recursos Humanos, Expectativas
Performance, Desenvolvimento do produto, Falha do Produto/Fornecimento e Perda
de Valor das Marcas.
Quanto ao risco de autoridade, foram-lhe associados os seguintes riscos especficos:

Autorizaes, Facilidade de mudana, Comunicao, Liderana, Subcontratao e
Incentivos Performance.
Relativamente ao Risco Tecnolgico/Processamento de Informao, os riscos

especficos so: Acessos, Disponibilidade, Integridade dos Sistemas de Informao,
Infra-estruturas e Relevncia da Informao.
66
Fazem parte do Risco de Integridade os seguintes riscos especficos: Fraude do
Colaborador, Actos Ilegais, Fraude da Gesto, Reputao e Uso no Autorizado.
O Risco Financeiro tem os seguintes riscos especficos associados: Crdito-Colateral,

Crdito-Concentrao, Crdito-Escassez, Liquidiez-Cash Flow, Liquidez-
Concentrao, Preo Cmbio, Preo-Capitais Prprios, Preo-Instrumentos
Financeiros e Preo-Taxa de Juro.
O Risco de Informao para a tomada de deciso, tambm se subdivide em trs

subgrupos: Risco Operacional, Risco Financeiro e Risco Estratgico.
No que diz respeito ao Risco Operacional, consideramos os seguintes riscos

especficos: Alinhamento, Contratos/Compromissos, Avaliaao da Performance
(operacional), Preo e Reporte Normativo Operacional.
O Risco Financeiro tem os seguintes riscos especificos associados: Informao

Contabilstica, Oramento, .Avaliao da Informao de Gesto, Avaliao de
Investimentos, Fundo de Penses, Reporte Normativo (Financeiro) e Impostos.
Quanto ao Risco Estratgico foram considerados os seguintes riscos especficos:

Porteflio do Negcio, Avaliao do Ambiente de Negcio, Ciclo de Vida, Organizao
da Empresa, Avaliao da Performance (Estratgica), Planeamento, Alocao de
Recursos e a valorizao. A figura 18 apresenta em quadro os diferentes tipos de
riscos enumerados e que vo servir para a elaborao das nossas matrizes de risco.
Na figura j consta a atribuio de um nmero a cada risco especfico. Este nmero
vai ser o que identificar cada risco especfico nas nossas tarefas subsequentes.
67
Figura 18 . Matriz de Riscos de Negcio (Fonte: Adaptada da Business Risk Model
PricewaterhouseCoopers, 2002)
Para alm de ser importante um forte conhecimento dos processos de negcio,

fundamental a linguagem comum proporcionada pelo mapa de riscos, para que as
organizaes estejam mais preparadas para atingir os objectivos estratgicos
(Castanheira e Rodrigues, 2006b).
5.2.2. Processo de Avaliao dos Riscos
O processo de avaliao dos riscos envolve trs fases: i) identificao do risco, ii) a
anlise do risco e iii) a avaliao do risco, conforme referido no ponto 5.1.2. Modelo e
fases de aplicao.
5.2.2.1. Identificao dos riscos - Risco Absoluto
O segundo passo do processo de gesto de risco consiste na identificao dos riscos

a serem geridos. De acordo com a norma AS/NZS 4360:2004 fundamental que se
68
faa uma correcta identificao dos riscos, isto porque, os riscos que no foram
identificados nesta fase dificilmente sero analisados em fases posteriores. A
identificao deve incluir todos os riscos independentemente da existncia ou no de
controlos. De acordo com Cicco e Fantazzini (2003), uma das tcnicas mais utilizadas
na identificao dos riscos so as checklists (questionrios). De salientar que por
mais extensos que sejam estes questionrios existe uma probabilidade dos mesmos
omitirem situaes de risco, pelo que, para evitar que situaes destas ocorram cada
organizao (gestor de risco), dever adaptar o questionrio s caractersticas e
especificidades da sua empresa.
A identificao dos riscos efectuada com recurso construo de uma matriz de

riscos por processos (Anexo 2), classificados de acordo com o impacto e
probabilidade de ocorrncia dos mesmos. Uma matriz de riscos um documento que
apresenta de forma grfica os riscos de uma organizao. Conforme referido acima
esta matriz obtm-se tendo em considerao a valorizao do risco do negcio,
baseada na anlise que foi feita aos processos de negcio e tendo em considerao
o impacto e a probabilidade dos riscos identificados. Contudo, esta avaliao tambm
pode ser suportada com base nos resultados de determinados indicadores
relacionados com os principais riscos identificados do negcio.
De acordo com Moro (1999:73), as fases de elaborao do mapa de riscos so as

seguintes: Identificao dos riscos do negcio enfrentados por cada um dos processos
de actividade; Quantificao e hierarquizao do risco; Incorporao das anlises
realizadas no modelo do mapa de riscos, pelo que vem de encontro metodologia
seguida no caso prtico.
Entende-se por Risco inerente/absoluto, o risco que existe para qualquer entidade, na
ausncia de quaisquer aces que a Gesto venha a tomar, com vista a alterar, quer a
probabilidade de ocorrncia do mesmo, quer o respectivo impacto.
Os riscos foram classificados de acordo com o nvel de impacto e a probabilidade. O

resultado desta classificao est apresentado na matriz de risco inerente, conforme
se pode ver na figura 19.
O mapa a seguir apresentado rene os riscos de negcio identificados e que foram

considerados mais significativos e sobre os quais incidiu este trabalho. Salientamos,
mais uma vez, que os riscos aqui apontados correspondem percepo que a
Auditoria Interna teve do risco absoluto/inerente que afecta os processos referidos no
69
ponto 5.2.1.2. desta dissertao, ou seja, antes de identificados os controlos e
realizada a anlise qualidade desses mesmos controlos.
Figura 19: Matriz de Risco Inerente dos Processos de Compras (Fonte: Adaptada de Protiviti, 2006)
Legenda:
Face classificao dos riscos em cada um dos sub-processos avaliados na rea de

Compras construmos na figura 20, um ranking de ocorrncia dos cinco riscos
considerados mais importantes, ou seja, aqueles em que o produto entre o grau de
impacto no negcio (1 Gervel, 2 Importante e 3 - Crtico) e a probabilidade de
ocorrncia (1 Remota, 2 Possvel e 3 Provvel) maior do que 3 no processo
analisado.
70
Figura 20: Tabela dos riscos mais importantes (Relativas aos cinco riscos inerentes mais
significativos) (Impacto> 3) (Fonte: Produo Prpria)
Desta forma, a leitura que podemos fazer da figura 20 a seguinte:
Por exemplo, o risco de fornecimento - Risco de rupturas ou custos elevados devido a

insuficincias no fornecimento de materiais de embalagem para as operaes da
Empresa, pode levar incapacidade da Empresa satisfazer as necessidades dos
clientes a preos competitivos, nas datas necessrias com a qualidade esperada
posicionou-se em primeiro lugar dentro da totalidade dos riscos do processo, como
sendo o mais importante, exequo com o risco de Autoridade. Foram os dois riscos que
obtiveram pontuaes mais elevadas, logo os mais preocupantes e os que requerem
uma ateno especial por parte da gesto.
Conforme j foi referido, os riscos foram identificados e avaliados de acordo com os

processos que foram considerados na rea de Compras. Na figura 21 apresentamos o
processo analisado com maior detalhe:
Figura 21: Tabela do Processo Auditado (Fonte: Produo Prpria)
71
O sub-processo Seleco do fornecedor e validao das condies aparece como
sendo aquele que apresenta maior nmero de riscos significativos.
Nas matrizes de dupla entrada dos processos disponibilizadas em anexo (Anexo 3),
pode ser feita essa leitura da relao entre os riscos identificados e o processo
analisado e a respectiva pontuao. A seguir apresentamos, a ttulo exemplificativo,
um excerto de uma dessas matrizes.
Figura 22: Excerto da Matriz de Risco Inerente dos Processos Auditados (Fonte: Produo
Prpria)
Encontra-se em anexo (Anexo 2) a matriz de risco inerente dos sub-processos

analisados, que materializa a 2 fase do modelo de gesto de risco, ou seja feita a
identificao e a avaliao dos riscos absolutos. De seguida efectuado o
mapeamento dos riscos e respectiva representao grfica (3fase), conforme se
apresenta no documento em anexo (Anexo 3).
5.2.2.2. Anlise dos riscos
A anlise de riscos tem como finalidade perceber qual o nvel de risco e a sua
natureza. Esta anlise fornece informaes que determinam a necessidade ou no de
tratar os riscos identificados, bem como, permite identificar as estratgias de
tratamento mais adequadas e com custos mais reduzidos.
De acordo com a norma AS/NZS 4360:2004 a anlise dos riscos tem em considerao
as fontes de risco, as suas consequncias quer sejam positivas quer sejam negativas
e ainda a probabilidade de que as mesmas ocorram. A mesma norma refere que pode
ser feita uma anlise preliminar, de modo a agregar riscos semelhantes ou riscos com
baixo impacto, excluindo-os de um trabalho mais detalhado e aprofundado.
Tendo como referncia os riscos identificados apresentados em anexo (anexo 3),

procedemos identificao e avaliao dos controlos executados na rea de
Compras com o objectivo de aferir o risco residual data de realizao deste trabalho
72
e propor medidas de controlo que permitam a sua reduo. De referir que o risco
residual, poder sofrer alteraes, caso se definam e implementem novas medidas
eficazes na mitigao dos riscos identificados.
Passamos anlise dos controlos do processo considerado para efeito deste

trabalho, isto , o Grupo de Material de Embalagem.
Para cada um dos sub-processos foi construda uma matriz de anlise dos riscos e
controlos. Estas matrizes sintetizam o trabalho de anlise realizado e que se pode
resumir nos seguintes pontos:
Identificao dos processos auditados (Estes processos so elencados na

tabela da figura 22);
Identificao do risco absoluto destes processos, previamente analisado em

conjunto com a rea auditada, conforme descrito no ponto 5.2.2.1. Anlise e
avaliao dos controlos que compreendeu os seguintes passos:
o Identificao dos controlos aplicados aos processos auditados.

Incluem-se neste conceito os procedimentos de controlo previstos
no Manual de Procedimentos de Controlo Interno da Empresa,
Procedimentos de Controlo previstos nas normas da Qualidade e
outros controlos da rea;
o Caracterizao dos controlos de acordo com parmetros
o Seleco de amostras de processos e execuo de testes de

verificao da aplicao dos controlos identificados - Simulados;
o Documentao dos resultados dos testes e avaliao da qualidade

dos controlos (Bom, Mau ou Insuficiente);
A classificao dos riscos foi revista com base nos resultados da avaliao
dos controlos, da qual resulta a matriz de risco residual que apresentaremos
mais adiante.
De referir que os controlos podem ter diferentes classificaes, nomeadamente,

manuais ou automticos; preventivos, detectivos ou correctivos; primrios ou
secundrios.
Os controlos manuais dependem predominantemente da execuo manual de uma

ou mais pessoas.
73
Os controlos automticos esto embebidos em programas informticos ou aplicaes
de tecnologias de informao e executam um passo ou previnem uma transaco de
ocorrer sem uma deciso manual ou iterao.
Existem ainda controlos manuais dependentes de sistemas de informao, isto ,

controlos que so manuais mas que se baseiam em informao retirada dos sistemas
de informao.
Controlos preventivos, manuais ou automticos, so desenhados para prevenir erros

ou omisses de ocorrer e so geralmente posicionados junto fonte do risco dentro do
processo de negcio.
Controlos detectivos so processos, manuais ou automticos, que so desenhados

para detectar ou corrigir um erro ou uma omisso, antes da concretizao do
objectivo.
Controlos correctivos so similares aos controlos detectivos mas tem o objectivo

especfico de corrigir o erro detectado.
Controlos primrios so controlos que so especialmente crticos na mitigao do

risco.
Controlos secundrios so importantes para a mitigao do risco mas no so

considerados crticos pela Gesto e pelos donos dos processos. Apesar destes
controlos serem importantes existem controlos alternativos que garantem a
concretizao dos objectivos.
Os controlos podem ainda ser operacionais, de cumprimento ou financeiros. A maior

parte dos controlos internos servem para cumprir mais do que um objectivo. Em
determinadas situaes, os controlos implementados para atingir objectivos
operacionais ou de cumprimento, tambm podem satisfazer objectivos relacionados
com a informao financeira.
Os controlos operacionais referem-se eficcia e eficincia das operaes e

salvaguarda dos recursos disponveis. Os controlos de cumprimento esto
relacionados com o cumprimento de leis e regulamentos aplicveis na organizao e
os controlos financeiros so os que dizem respeito informao financeira.
Os mapas de anlise dos riscos e controlos foram preparados por Sub-processo e

esto disponibilizadas em anexo para consulta (Anexo 4).
74
A Figura 23 representa, a ttulo exemplificativo, um excerto de uma dessas matrizes.
Figura 23: Exemplo de Matriz de Anlise dos Controlos ao Processo Analisado (excerto)
(Fonte: Produo prpria)
Este mapa de anlise de riscos e controlo, serve para apresentar de forma clara e
precisa toda a informao relacionada, quer com a anlise dos riscos, quer com a
identificao e avaliao dos controlos do processo.
75
Depois de identificados e avaliados os riscos absolutos dos diferentes sub-processos
em anlise, passamos s fases de anlise dos riscos, identificao e avaliao dos
controlos.
Este mapa no mais do que um documento que rene toda a informao necessria
ao desenvolvimento e suporte das fases 3 e 4 (anlise e avaliao dos riscos) do
modelo de gesto de risco adoptado na elaborao deste trabalho.
Depois de identificados e avaliados os riscos absolutos, elabora-se o mapa acima

referido com a informao necessria, ou seja, identificamos e descrevemos as
possveis ocorrncias (para cada risco identificado), identificamos e descrevemos os
controlos diferenciando os que esto suportados em regulamentao interna e ou
externa, o objectivo dos controlos, o responsvel pelo mesmo e classificamos os
controlos de acordo com a sua natureza, isto , se so controlos primrios ou
secundrios, operacionais, de cumprimento ou financeiro, se so manuais ou
baseados em sistemas de informao, se so controlos preventivos, detectivos ou
correctivos.
De seguida, passa-se fase dos testes de conformidade. Com base no programa de

testes elaborado, vamos verificar se os controlos existentes so ou no eficazes na
mitigao dos riscos identificados. Com base na avaliao dos controlos, vamos
reclassificar os riscos, determinando-se assim a matriz dos riscos residuais.
5.2.2.3. Avaliar os riscos
De acordo com a Norma AS/NZS 4360:2004, a avaliao dos riscos tem como
finalidade a tomada de decises, suportada nos resultados da anlise de riscos, sobre
quais precisam de ser tratados e sobre a prioridade de tratamento.
Esta fase corresponde ao quarto passo do processo de gesto de risco (anexo 4),
sendo a fase em que se chega matriz de risco que de seguida dever ser gerido
(anexo 5).
Depois de analisados e avaliados os controlos existentes no processo auditado, foi

possvel rever a classificao atribuda aos riscos identificados e apurado desta forma
o risco residual dos processos.
A avaliao final resultado da maior classificao atribuda a um risco, por exemplo

o sub-processo 1.1.2 no risco Eficincia tem 9 e o sub-processo 1.1.4 no mesmo
risco tem 4, a avaliao final do risco do processo 9.
76
Se estivssemos a avaliar mais do que um processo, j teramos que fazer a
ponderao dos processos, por exemplo tendo em conta o peso de cada um no total
das compras.
Risco residual, como vimos, aquele que permanece depois de implementados os

controlos e medidas de reduo do risco. O objectivo ptimo ser que o risco residual
tenda para zero.
Partindo da matriz inicialmente apresentada com o Risco Inerente atribudo a cada

um dos processos auditados (figura 19), chegmos Matriz de Risco Residual que
apresentada na figura 24.
Neste caso em concreto, estamos a referir-nos ao risco residual data de elaborao

deste trabalho, ou seja, tendo em considerao os controlos existentes e qualidade
desses mesmos controlos na mitigao dos riscos identificados. Contudo, este risco
poder ainda ser reduzido, caso sejam implementadas as sugestes/recomendaes
da Auditoria Interna e ou outras medidas que a rea considere adequadas na
mitigao quer dos riscos identificados, quer de outros que possam entretanto surgir.
Na aplicao prtica do modelo de gesto de risco apresentada neste trabalho, no

iremos analisar a fase do tratamento de riscos, nem a fase da monitorizao/reviso,
pelo que, no nos poderemos pronunciar, sobre a possibilidade deste risco residual
ser alterado em virtude das recomendaes efectuadas pela Auditoria Interna, ou
mesmo, atravs de novas medidas de controlo que tenham sido implementadas por
iniciativa da prpria rea auditada.
Esta questo poder ser abordada e aprofundada num trabalho futuro sobre o tema
em anlise.
Face avaliao realizada sobre os controlos, a lista dos principais riscos inicialmente
calculada tendo como referncia o risco absoluto sofreu naturalmente algumas
mudanas tendo mesmo ocorrido a sada de alguns riscos dessa lista e a entrada de
outros que inicialmente no se consideravam to relevantes.
Depois de identificados, analisados e avaliados os controlos existentes para os riscos

objecto de anlise, o que corresponde 4 fase do modelo de gesto de Risco (Anexo
4), determinamos o risco residual que apresentamos atravs da Matriz de Risco
Residual (Figura 24).
77
Figura 24: Matriz de Risco Residual dos Processos Auditados (Fonte: Adaptado de Protiviti ,
2006)
Identificados os riscos residuais, o passo seguinte diz respeito ao tratamento dos

riscos residuais, ou seja, definir possveis medidas que possam ser implementadas de
modo a mitigar o risco residual.
78
Apresentamos em anexo (Anexo 6) um exemplo de matriz de tratamento de risco
associado a este trabalho e que representa a 5 fase do modelo de Gesto de Risco
apresentado.
Podemos por conseguinte considerar que esta lista que a seguir apresentamos, Figura
25, representa os riscos que na nossa perspectiva merecem uma ateno prioritria
da Gesto e que devero por isso mesmo levar introduo de melhorias ao nvel dos
controlos e de mecanismos de gesto de forma que sejam tratados e reduzidos para
os nveis desejados (mitigao de riscos).
Figura 25: Tabela de frequncia das ocorrncias (Relativas aos riscos residuais mais
significativos, com impacto> 3) (Fonte: Produo prpria)
A matriz representada na figura 24 e a respectiva tabela com os riscos mais

significativos (figura 25), espelham aquilo, que fruto da anlise seguida aplicando a
metodologia de gesto de risco, sero os riscos que afectam o processo de compras,
e mais concretamente a actividade desenvolvida no Departamento de Compras.
No sentido de se completar esta viso transversal do processo de Compras, esta

anlise dever ser estendida s restantes reas onde o mesmo ocorre.
Estas matrizes devero ser entendidas como uma ferramenta de trabalho que
permitir Empresa, e neste caso aos responsveis pelo processo analisado, facilitar
a sua actividade de gesto, focalizando-se em primeiro lugar na resoluo daqueles
que so os riscos mais importantes e que mais podero condicionar os objectivos e a
estratgia da Empresa.
79
No ponto 5.2.3. Tratar os riscos, apresentamos uma proposta de recomendaes que
na nossa perspectiva podero melhorar os nveis de controlo e introduzir maior
eficincia nos processos de forma a reduzir os nveis de riscos.
5.2.3. Tratar os riscos
Aps se conhecer quais os riscos que devem ser geridos, passamos ao passo 5 que
consiste na apresentao das recomendaes para gerir esses riscos.
De acordo com a norma AS/NZS 4360:2004, o tratamento de riscos envolve a

identificao das diferentes opes para tratar os riscos, a anlise e a avaliao
dessas opes e a preparao e implementao de planos de aco.
Deste modo apresentamos possveis recomendaes para o TOP 5 dos riscos

identificados.
Processo: Compras - Processo Geral - Seleco do Fornecedor
Risco: 26. Risco de Autoridade
Falha de Controlo: Processos de compra em que no existe qualquer documento que

justifique a escolha do fornecedor, ou os critrios que estiveram na base dessa
deciso, bem como, no existe evidncia da aprovao.
Recomendao: Entendemos que deve sempre existir um documento justificativo da

escolha do fornecedor e evidncia da sua aprovao, de modo a garantir que a
escolha foi efectuada por pessoa autorizada e a quem est atribuda essa
competncia.
Sugerimos que seja definido um documento modelo obrigatrio que contenha os

motivos que justifiquem a escolha do fornecedor, documento este que dever estar
arquivado juntamente com o processo de compras. Estes mapas devero apresentar
evidncia de aprovao de acordo com os nveis de delegao definidos no
documento interno.
Risco: 24. Fornecimento
Falha de Controlo: A informao solicitada a fornecedores de materiais em que o

risco de fornecimento elevado que permita avaliar a sua capacidade financeira e
situao econmica no parece ser suficiente podendo conduzir a risco de
80
fornecimento, falha do produto ou eficincia no caso de o fornecedor enfrentar
problemas financeiros/econmicos significativos.
Recomendao: Na admisso de um novo fornecedor nacional, sugerimos que se

verifique se a firma em causa se encontra na Lista de Devedores ao Fisco
disponibilizada no site das Finanas.
No caso de fornecedores em que o montante em negociao assume propores

significativas (de acordo com limite a definir pelo Departamento de Compras) ou para
materiais crticos, e se perspectivem perodos de fornecimento longos (por exemplo 1
ano), dever ser ponderada a recolha de informao econmico-financeira do
fornecedor por recurso a entidades especializadas que fornecem este tipo de
informao (ex: Dun & Bradstreet e outras entidades).
Risco: 28. Comunicao
Falha de Controlo: Solicitaes de cotao efectuadas ao mesmo fornecedor com os

materiais repartidos por empresa do grupo. Esta situao leva a que o fornecedor no
tenha uma viso consolidada dos materiais e quantidades solicitados para todo o
Grupo podendo levar a uma perda de vantagem negocial. Nestas situaes o
comprador solicita ao fornecedor que veja para as propostas de um modo global.
Recomendao: Sugerimos que seja desenvolvida uma ferramenta que permita que
uma solicitao de cotao rena todas as requisies de compra do mesmo material
ignorando os campos Empresa permitindo assim que o fornecedor possa ter o
resumo total da quantidade encomendada pelo Grupo.
Riscos: 32. Acessos
O Risco de Acessos no foi avaliado por ser um risco cujos controlos esto
suportados sobretudo na segurana do sistema de informao, pelo que optamos por
manter a pontuao atribuda ao risco absoluto.
Este risco ficou fora do mbito deste trabalho, uma vez que se trata de um trabalho
especfico de auditoria informtica, sendo necessrio recorrer a profissionais
especializados, nomeadamente, auditores informticos. A anlise do risco de
Acessos uma das limitaes deste trabalho. Contudo, poder ser desenvolvido no
mbito de trabalhos futuros.
81
Riscos: 16. Eficincia
Falha de Controlo: As reas operacionais no enviam para o Departamento de

Compras a informao relativa aos oramentos atempadamente, ou quando chega
posteriormente alterada, o que pode pr em causa a recepo de materiais e por
conseguinte a satisfao das necessidades dos clientes. Por outro lado, verifica-se
situaes em que o processo de aprovao de fornecedores moroso. Ambas as
situaes atrs referenciadas podem provocar atrasos nas negociaes, podendo
originar uma perda de oportunidade negocial.
Recomendao: O Departamento de Compras dever definir juntamente com as reas
Operacionais um calendrio para a recepo de toda a informao necessria, de
modo a evitar atrasos e desta forma comprometer o poder negocial, bem como,
dever ser definida uma equipa de trabalho com todos os intervenientes no processo
de aprovao de fornecedores com o intuito de se definirem limites temporais
razoveis de interveno de cada rea por tipo de material.
5.2.4. Ficha de anlise de riscos e controlos
Apresentamos na Figura 26 um exemplo de uma ficha de Riscos e Controlos que

poder ser utilizada, cujo objectivo resumir num documento toda as anlises e
avaliaes dos riscos e controlos, bem como, identificar as falhas de controlo (por
risco), e efectuar as respectivas recomendaes.
Esta ficha de risco inicia-se com a Identificao do Risco e o respectivo

enquadramento no processo analisado. Tal como referimos acima, feita uma ficha
de risco para cada risco identificado. De seguida, a ficha inclui em termos grficos a
matriz dos riscos absolutos, que resultou da avaliao dos riscos efectuados em cada
sub-processo classificando-o quanto probabilidade de ocorrncia e ao seu impacto
sem considerar os controlos existentes.
O passo seguinte, na elaborao da ficha, a identificao e avaliao dos controlos,

ou seja, procedemos identificao dos controlos implementados para mitigar o risco
e avaliao do impacto no processo da falha desse controlo e da robustez do controlo
face aos testes realizados.
Depois passamos inscrio, na ficha, da avaliao do risco residual ( data da

anlise) em cada sub-processo classificando-o quanto probabilidade de ocorrncia
e o seu impacto considerando os controlos existentes.
82
De seguida apresenta-se uma concluso geral, sobre o risco residual do macro-
processo e sobre o risco no mbito do processo em anlise.
Por fim, so identificadas as falhas de controlo e efectuadas as recomendaes pela

Auditoria Interna que visam reduzir a exposio do processo de compras, sub-
processo compras oramento, ao risco analisado.
Ficha de anlise de Riscos e Controlos

Risco: 26 Autorizao O risco das aces serem executadas por quem no tem autoridade e de
descurar as aces que lhe so atribudas.
Este risco ocorre quando colaboradores da empresa excedem as fronteiras de delegao ou
autoridade, ocasionando situaes de actos no autorizados, ilegais, no ticos ou assumem riscos
de negcio no autorizados e inaceitveis.
Avaliao do Risco Absoluto (sem considerar os controlos implementados)

Sub-processos
A
B A. Seleco do fornecedor e validao das condies
B. Criao do Acordo de Fornecimento
Descrio dos Controlos

Mapa de Caracterizao dos Controlos A. Seleco do Fornecedor e avaliao das
condies
+ 003
001 Critrios utilizados na seleco do fornecedor.
002 Validao das condies
Impacto da Falha de Controlo
002
001
B. Criao do Acordo de Fornecimento
003 Informao enviada foi validada e aprovada
-
Robustez do Controlo
Bom Insuficiente Mau
Figura 26: Ficha de anlise de Riscos e Controlos (Fonte: Produo Prpria)
83
5.3. Limitaes da aplicao prtica
A anlise do processo de compras de acordo com a metodologia de gesto de risco,

adoptada, incidiu sobretudo nas actividades desenvolvidas no Departamento de
Compras. Contudo, esta aplicao ficou limitada a um dos sub-processos identificados no
Departamento de compras Compras Oramento. Este facto limita o estudo efectuado,
uma vez que, a avaliao dos riscos no est a ser ponderada por todos os sub-
processos onde esse mesmo risco poder existir. Se tivssemos em considerao todos
os sub-processos, possivelmente existiriam riscos que estariam posicionados de forma
diferente.
No obstante, o processo de compras estar interligado com diferentes reas da empresa,

no foram tidas em considerao quaisquer actividades desenvolvidas nas reas
transversais ao processo e que podem ter impacto (positivo/negativo), na avaliao do
risco do Departamento de compras. De salientar tambm que, a anlise de riscos poderia
ser efectuada ao nvel das actividades. Contudo, dada a complexidade e diversidade de
actividades subjacentes a um processo e compras, optmos por focar a anlise de risco
ao nvel de um sub-processo. Por este facto, fica fora do mbito deste trabalho o
levantamento e anlise dos processos das reas transversais ao processo em anlise,
nomeadamente Controlo de Qualidade, Gesto de Stocks, Armazns, Produo, entre
outras, pelo que, uma opinio sobre o risco residual que afecta todos os restantes
processos implica uma anlise junto destas reas operacionais onde os mesmos
ocorrem.
Desta forma, para que se possa apresentar uma viso transversal na organizao sobre
o risco residual necessrio desenvolver uma anlise junto das restantes reas
operacionais onde os processos identificados ocorrem.
S ser possvel avaliar da adequao dos controlos, depois de analisados todos os

processos considerados como fazendo parte do processo de compras e que esto
inseridos noutras reas conforme referido atrs, digamos que ser uma das limitaes
deste estudo.
De salientar o facto de apenas se ter analisado um dos sub-processos (compras

oramento), embora tenham sido identificados mais sub-processos, conforme
apresentamos na figura 16.
84
De referir que o Risco de Acessos no foi avaliado por ser um risco cujos controlos
esto suportados sobretudo na segurana do sistema de informao.
Este risco ficou fora do mbito deste trabalho, uma vez que se trata de um trabalho
especfico de auditoria informtica, sendo necessrio recorrer a profissionais
especializados, nomeadamente, auditores informticos.
Relativamente fase do tratamento de riscos, apenas foram identificadas possveis

aces a desenvolver e efectuadas recomendaes que, no entender da Auditoria
Interna, ajudam na mitigao dos riscos identificados, isto , se as medidas forem
devidamente implementadas.
Antes de emitir o relatrio final, deve ser feito um workshop com o Director da rea
auditada e com os colaboradores intervenientes no processo para apresentao das
concluses.
De referir, que dada a dimenso do trabalho, no nos foi possvel aplicar todas as fases
do modelo de gesto de risco, tendo ficado por analisar com detalhe a fase do tratamento
de riscos e a fase da monitorizao e reviso. Assim, outra das limitaes deste estudo
precisamente o facto de no ter sido executado o trabalho de monitorizao e Reviso
(follow-up) das questes reportadas, nomeadamente no que diz respeito correcta
implementao das recomendaes sugeridas pela Auditoria Interna e que corresponde a
um passo da Gesto de Risco da Norma Neozelandesa 4360:2004.
Consideramos que as limitaes referidas acima podero ser analisadas e desenvolvidas

em trabalhos futuros sobre este tema.
5.4. Anlise crtica
Este trabalho trata de um tema muito actual, mas sobre o qual ainda no existe muita
informao disponvel, nomeadamente ao nvel prtico. Uma das grandes dificuldades
com que nos confrontamos entender como se podem aplicar estes novos conceitos na
nossa actividade profissional, isto , como que se pode aplicar na prtica um modelo de
gesto de risco nos trabalhos executados pela Auditoria Interna.
De acordo com Beja (2004b), h em Portugal, no que respeita Gesto de Risco, um

longo e urgente caminho a percorrer pelas nossas Empresas e pelos nossos Gestores,
mas tambm pelas nossas Escolas e Instituies Profissionais ligadas Contabilidade e
Gesto.
85
Deste modo, consideramos que este trabalho poder servir de guia para a
implementao de um modelo de gesto de risco nos trabalhos elaborados pelos
Departamentos de Auditoria Interna e, assim, dar um contributo para o caminho que
ainda falta percorrer nesta matria em Portugal.
No entanto, os modelos tero de ser ajustados de acordo com a dimenso e realidade de

cada empresa.
forte a convico de que estamos perante um processo em rpida

evoluo e em crescimento acentuado, embora ainda num estado
embrionrio de desenvolvimento terico e de aplicao prtica, em
Portugal (Beja, 2004b:18).
De salientar o aspecto positivo deste trabalho que foi, por um lado, a materializao na
prtica da norma neozelandesa 4360;2004 e dos conceitos do COSO ERM num
trabalho de Auditoria Interna e, por outro, a viso e o conhecimento que nos permite ter,
quer ao nvel da rea auditada, quer ao nvel da empresa como um todo, uma vez que
este trabalho visto de forma transversal, permitindo auxiliar a gesto no cumprimento
dos seus objectivos, criando deste modo mais valor para a empresa. Efectivamente,
estamos perante uma nova era da Auditoria Interna, que nos permite olhar para o
presente e futuro e no apenas para factos passados, passando a centrar a ateno nos
riscos, fornecendo informao relevante para a tomada de deciso da Gesto.
No podemos deixar de salientar que a aplicao deste modelo, tal como apresentado
um pouco complexo, nomeadamente no que diz respeito aos documentos de suporte
(matrizes de risco, avaliao dos controlos, etc.). Contudo, todos estes mapas devem ser
ajustados realidade e dimenso de cada empresa. Alis, podem ser desenvolvidos
outros tipos de mapas, de acordo com as necessidades de cada empresa, desde que se
consiga obter e documentar convenientemente a informao suporte do trabalho
realizado.
Para que a aplicao de um modelo de gesto de risco tenha sucesso fundamental que
todas as pessoas estejam devidamente informadas sobre a Gesto de Risco
Empresarial, de modo, a que haja uma consciencializao de que todos so importantes
no processo de Gesto de Risco da sua empresa. Os Auditores Internos devem avaliar
at que ponto a gesto de riscos adoptada e aplicada pela empresa eficaz na mitigao
dos riscos do negcio para um nvel aceitvel, de modo, a que sejam atingidos os
objectivos propostos. importante realar que nem todas as empresas esto no mesmo
86
nvel de implementao da gesto de riscos, o qual ter impacto no trabalho que ser
desenvolvido pela Auditoria Interna.
Cada empresa dever adoptar o seu modelo de gesto de risco e numa primeira fase, a
empresa dever promover aces de formao, nomeadamente, a todos os gestores de
topo e intermdios, com o objectivo de os consciencializar para esta temtica e incutir a
responsabilidade que cada um tem no processo de gesto de risco da empresa.
Trata-se de uma viso integrada dos riscos, isto , os riscos so analisados de forma
transversal organizao, o que proporciona uma melhor avaliao dos riscos e dos
controlos implementados na mitigao dos riscos do negcio e na concretizao dos
objectivos estratgicos e operacionais definidos.
87
6. CONCLUSO
A Auditoria Interna apresenta uma mudana de atitude e uma nova viso, uma vez que
deixou de olhar s para os factos passados para passar a olhar para o presente e
futuro, tornando-se um apoio importante da gesto e, como tal, acresce valor
organizao.
Com vista a este fim, acrescer valor, o Auditor Interno passa a ter um papel importante no
processo de gesto de risco empresarial.
No mbito da gesto de risco existem vrios modelos dos quais salientamos o COSO a
Norma AS/NZS 4360:29004, o COBIT, a norma sobre gesto de riscos FERMA e a ISO
31000. De entre estes, o COSO e a Norma Australiana/Neozelandesa (AS/NZS
4360:2004), so modelos de referncia de nvel mundial na implementao de sistemas
de gesto de risco empresarial e foram os principais pilares deste trabalho.
Atravs da aplicao prtica, propusemo-nos demonstrar como que se pode aplicar um

modelo de gesto de risco nos trabalhos realizados pela Auditoria Interna, incluindo a
matriz do risco inerente e matriz do risco residual, obtida depois de analisados os
controlos, para alm das recomendaes propostas pela Auditoria Interna, tendo em vista
a reduo desse risco residual nos processos auditados.
Deste modo, com este trabalho pretendeu-se chamar a ateno para a importncia da
Gesto de Risco atravs da aplicao de um modelo de gesto de risco num processo de
compras de uma organizao. De salientar que no existe um modelo nico, apenas
existem referncias que nos podem ajudar a adaptar a gesto de risco a determinada
organizao. Trata-se de um trabalho com alguma complexidade que exige
conhecimentos adicionais, nomeadamente tcnicas de gesto de risco e um
conhecimento efectivo do negcio e das reas a auditar.
Na aplicao prtica foi efectuada uma anlise do processo de compras de acordo com a
metodologia de Gesto de Risco adoptada, incidindo apenas nas actividades
desenvolvidas no Departamento de Compras. Desta forma, para que se possa apresentar
uma viso transversal na Organizao sobre o risco residual necessrio desenvolver
88
uma anlise junto das restantes reas operacionais onde os processos identificados
ocorrem.
Assim sendo, depois de concluda a auditoria na rea de Compras, com a emisso das
propostas de recomendao, a Auditoria Interna dever facilitar o processo de avaliao
do risco residual das compras nas restantes reas operacionais no abrangidas na
anlise agora desenvolvida mas que esto j identificadas no captulo de
estabelecimento do contexto e que esto inter-relacionadas.
Esse trabalho permite, no s, introduzir o conceito de gesto de risco nessas reas, com
a apresentao da metodologia de gesto de risco e concluses at ao momento
apresentadas, como tambm, preparar o trabalho de campo nas reas que a Auditoria
Interna vir a realizar em momento posterior.
Como foi possvel verificar ao longo da realizao deste trabalho, esta abordagem da
Auditoria Interna focada no risco do negcio proporciona um conhecimento exacto dos
processos de negcio, sub-processos e actividades permitindo uma gesto mais eficaz
dos riscos. Permite fixar o apetite ao risco e determinar o risco residual atravs da matriz
de riscos, o que facilita a elaborao do plano de auditoria, uma vez que, a Auditoria
Interna poder concentrar-se nos riscos chave do negcio.
Embora haja em Portugal, no que respeita Gesto de Risco Empresarial, um longo

caminho a percorrer pelas nossas Empresas e Gestores, bem como, pelas nossas
Escolas, entendemos que este trabalho poder ser uma ajuda na implementao de um
modelo de gesto de risco empresarial e deste modo fomentar a cultura de gesto de
risco e sensibilizar para a sua importncia no seio de uma organizao.
89
BIBLIOGRAFIA
Almeida, Domingos; 2009; Auditoria Interna e Gesto do Risco; XVI Conferncia Anual
do IPAI.
Almeida, Domingos; 2006; O Valor da Auditoria Interna; Revista do IPAI n 25;
Outubro/Dezembro; pgs. 3-4.
.
Azevedo, Belmiro; 2005; Gerir o Risco atravs da Criao de Valor; Revista IPAI, n 23;
Janeiro/Maro 2006.
Barros, Carlos; 2006; Dependncia entre Risco e Inerente e Risco de Controlo; Revista
Revisores & Empresas; Abril/Junho; Pg.10 a 18.
Bastos, Alberto; 2009; Focaliza a ISO 31000 em Entrevista Brasiliano&Associados
(B&A); Revista de Gesto de Riscos n 47; Setembro.
Beja, Rui; 2004a); Risk Management Gesto, Relato e Auditoria dos Riscos do
Negcio; reas Editora.
Beja, Rui; 2004b); Relato e Auditoria dos Riscos do Negcio; Comunicao efectuada no
X Congresso de Contabilidade consultada em Novembro de 2009 em:
http://www.ordemeconomistas.pt
Beja, Rui; 2004c); Risk Management: Conceito, mbito e Procedimentos; Artigo
consultado em Novembro 2009 em: http://www.ordemeconomistas.pt
Blair, Colin; 2009; Gesto de Risco Eficaz; Artigo consultado em
http://www.standards.org.au/downloads/091120_New_Risk_Management_Standard.pdf
Cmara, Paulo; 2008; A Auditoria Interna e o Governo das Sociedades; Revista do IPAI,
n 31; Julho/Setembro; pgs.11-15.
Castanheira, Nuno; 2007; Auditoria Interna Baseada no risco: Estudo do caso Portugus;
Tese de Mestrado; Universidade do Minho; Junho.
Castanheira, Nuno; Rodrigues, Lcia; 2006a); Gesto de Risco Da Abordagem
Tradicional Gesto de Risco Empresarial (ERM); Revista Revisores & Empresas;
Julho/Setembro; pg. 58.
Castanheira, Nuno; Rodrigues, Lcia; 2006b); Mapa de Riscos - Ferramenta de
Integrao da Gesto de Riscos e da Auditoria Interna; Revista do IPAI, n 24;
Julho/Setembro; pg.11.
Cicco, Francesco; 2010; Dos Rriscos Negativos aos Riscos Positivos consultado em
20 Janeiro 2010 em http://www.iso31000qsp.org/
Cicco, Francesco; 2009; ISO 31000:2009 Gesto de Riscos; consultado em 20
Dezembro 2009 em; http://www.iso31000qsp.org/2009/08/29ago.html
Cicco, Francesco; Fantazzini, Mario; 2003; Tecnologias consagradas de gesto de
riscos; Srie Risk Management; Risk Tecnologia Editora Ltda; 2 Edio Maio.
90
COBIT 4.1 Spanish; 2007; Resumen Ejecutivo; IT Governance Institute; consultado em
09/10/2009 em: www.isaca.org.
Cocurullo, Antonio; 2008; Viso Estratgica e Gesto de risco; Ernest&Young,
consultado em Novembro 2009 em: http//www,prmia,org.
Cocurullo, Antonio; 2006; Enterprise Wide Risk Management; Gerenciamento de Riscos
Corporativos; Classificao de Riscos; Maro.
Cocurullo, Antonio e Vanca, Paulo; 2002; A importncia da Gesto de Riscos nos
processos de Auditoria; PricewaterhouseCoopers;
COSO Committee of Sponsoring Organizations of the Treadway Commission;
Entreprise Risk Management Integrate Framework; 2004a); traduzido pelo Instituto
de Auditores Internos de Espanha e PriceWaterHouseCoopers em 2009
COSO Gerenciamento de Riscos Corporativos Gesto Integrada Sumrio
Executivo; 2004b); traduo conjunta de AUDIBRA e PricewaterhouseCoopers
COSO Committee of Sponsoring Organizations of the Treadway Commission; Internal
Control Integrate Framework; 1992; traduzido pelo Instituto de Auditores Internos de
Espanha e Coopers&Lybrand, S.A. em1997.Ediciones Diaz de Santos, S.A.
Costa, Carlos; 2007; Auditoria Financeira teoria e prtica; Editora Rei dos Livros; 7
Edio.
Ferma; 2003; Federation of European Risk Management Associations; Norma de Gesto
de Riscos.
Ferreira, Luiz; 2002; Entendendo o COSO - Um Roteiro Prtico para Entender os
Princpios do COSO; consultado em 27/07/2007:
www.auditoriainterna.com.br/coso.htm.
Gonalves, Antnio; 2008; A Evoluo das Metodologias de Auditoria; Revista Revisores
& Empresas; Julho/Setembro.
Hussein, Haji; 2008; E- Commerce e Ressource Centre; Article; Risk Assessement;
Using COBIT as a Guide Risk Assessement Assurande Services, consultado em
06/06/2009: http://fata86.webs.com/riskassesment.html.
IBCG - Instituto Brasileiro de Governana Corporativa; 2007; Guia de Orientao para
Gerenciamento de Riscos Corporativos.
IIA, Normas Internacionais para o Exerccio Profissional de Auditoria Interna; 2009;
Traduo do IPAI.
IIA and Institute of Internal Auditors UK&Ireland ; 2004; Declaracin de Posicin ; El Rol
de la Auditoria Interna en la Gestin de Riesgo Empresarial. Consultado em:
http://coso.org/chapters/pubdocs/264/Rol_del_Auditor_Interno_en_el_ERM[1].pdf
IIA, Normas Internacionais para o Exerccio Profissional de Auditoria Interna; 1999;
Definio de Auditoria Interna; Traduo do IPAI.
IPAI (Instituto Portugus de Auditores Internos); 2002; A Lei de Sarbanes-Oxley de 2002;
Resumo das principais clusulas de interesse para os Auditores Internos.
IRAM, Instituto Argentino de Normalizacon y Certifivacin; 2004; Normaria - Boletn de la
Comissin de Normas e Asuntos Profesionales del Instituto de Auditores Internos de
Argentina; Gestin de Riesgos; Norma IRAM 17550 Esquema A1; n 18; Dezembro,
consultado em 04/06/2009: http://www.iaia.org.ar/Normaria/Normaria18.pdf.
91
ISO International Organization for Standardization; 2009; Novo padro ISO para a
gesto eficaz dos riscos; http://www.modulo.com.br/site?infoid=800&lng=br&sid=91
Jnior, Odete; 2009; Por uma gesto de risco eficiente; Artigo disponvel na B2B
Magazine; Outubro, consultado em 22 de Novembro 2009:
http://www.b2bmagazine.com.br/web/interna.asp?id_canais=4&id_subcanais=17&id_n
oticia=24444
Junior, Sebastio; 2005; Controles Internos como um Instrumento de Governana
Corporativa; Revista BNDES; Dezembro; Rio de Janeiro; Consultado em 29 Dezembro
de 2009 em :
http://www.bndes.gov.br/SiteBNDES/export/sites/default/bndes_pt/Galerias/Arquivos/c
onhecimento/revista/rev2406.pdf
KPMG Auditores Consultores, Ltda; 2006; Entendiendo la Administracin del Riesgo
Empresarial - Um Modelo Emergente para Generar Valor al Accionista; consultado a
08 Dezembro de 2009 em: http://www.kpmg.cl/aci/pdf/ERM.pdf.
Knight, Kevin; 2009; ISO International Organization for Standardization; Novo padro
ISO para a gesto eficaz dos riscos;
http://www.standards.org.au/downloads/091120_New_Risk_Management_Standard.pd
f
Lorenzo, Mariano; 2001; La Audtora Interna orientada a los Processos; Revista Partida
Doble n 124 (Julio /Agosto:78-85).
Martin, Javier; Morales, Federico; 2001; La Audtora de resgos: Un caso prctco;
Revista Partida Doble n 124 (Julio /Agosto:86-91).
McNamee, David; 2000; Tarteting Business Risk; The Internal Auditors (Oct. 46-51).
McNamee, David; 1997a; Auditoria Baseada em Riscos: mudando o paradigma das
auditorias internas, adaptado e actualizado por Cicco, Francesco; 2006; consultado
em 25 de Setembro de 2009 em: http://www.qsp.org.br/auditoria_risco.shtml
McNamee, David; 1997b; A Auditoria Baseada no Risco; traduo de Rocha,
J.D.Almeida; Cadernos de Auditoria Interna Ano 2, N1, Maio, 1999; Banco de
Portugal.
Morais, Accio; 2000; Sistemas de Controlo Interno. Gesto e Finalidades; Cadernos de
Auditoria Interna; Ano 3, N1 (Outubro); Banco de Portugal.
Morais, Georgina; 2008; A Importncia da Auditoria Interna para a Gesto: O Caso das
Empresas Portuguesas; trabalho apresentado no 18 Congresso Brasileiro de
Contabilidade, consultado em 26 de Novembro de 2009 em:
http://www.ccontabeis.com.br/_htm/cbc18.htm
Morais, Georgina; Martins, Isabel; 2007; Auditoria Interna Funo e Processo; reas
Editora; 3 edio.
Moro, A.E.F.; 1999, El Mapa de Resgos de Negcio: bases para su elaboracin; Partida
Doble, Octubre: 72-85.
Pereira, Eduardo ; Bracalente, Fernando; Dinofre, Marcelo; Bernardinelli, Mario; 2008;
COSO The Committee of Sponsoring Organizations of the Treadway Commission,
consultado em http:// infosegura.eti.br em 22 de Novembro de 2009.
Pinheiro, Joaquim Leite; 2008; Auditoria Interna Auditoria Operacional - Manual
Prtico para Auditores Internos; Editora Rei dos Livros.
92
PricewaterhouseCoopers; 2002; Business Risk Model;
http://globalbestpractices.pwc.com
Protiviti, Independent Risk Consulting; Guide to Enterprise Risk Management; 2006;
www.protiviti.com.
QSP Centro da Qualidade, Segurana e Produtividade; 2010; ISO 31000 Gesto de

Riscos; 28 Janeiro; Consultado em: http://www.iso31000qsp.org/
Sandonato, Franco; 2007; A Importncia dos Frameworks de Controlo de Processos
para a Gesto efectiva da Tecnologia da Informao; XXVII Encontro Nacional de
Engenharia de Produo; Brasil
Srie Risk Management; 2007; Auditoria Baseada em Riscos Como Implementar a
ABR nas organizaes: uma abordagem inovadora; Reviso Tcnica de Francesco De
Cicco. Risk Tecnologia Editora Ltda.
Srie Risk Management; 2005; Directrizes para a Implementao da AS/NZS
4360:2004; Reviso Tcnica Francesco De Cicco Agosto; Risk Tecnologia Editora
Ltda.
Srie Risk Management; 2004; Gesto de riscos: A norma AS/NZS 4360:2004; Reviso
Tcnica Francesco De Cicco; Risk Tecnologia Editora Ltda; 2 Edio; Dezembro
Silva, Antnio; 2006; Contextualizao da Gesto e Auditoria do Risco; Revista do IPAI,
n25: 10 a 12.
Simes, Reinaldo; 2009; Gesto de Riscos segundo as Normas AS/NZS 4360:2004 e
ISO 31000:2009; QSP- Centro da Qualidade, Segurana e Produtividade - consultado
em 22 Nov.2009: http://www.abrapp.org.br/ppub/portal/adm/editor/UploadArquivos
/30congresso/tecnicas/tec9/reinaldo_simoes.pdf.
Sousa, Orlando; 2007; Auditoria Interna Evoluo para alm da Sabarnes-Oxley;
Revista n 26 do IPAI (Janeiro/Maro).
Standards Australia; Standards New Zealand; AS/NZS 4360:2004; Risk Management;
Standards New Zealand; AS / NZS ISO 31000:2009; 2009 - Nova Norma Internacional
sobre Gesto de Riscos; Edio 10 de 9 de Outubro; consultado em 22 de Nov.2009:
http://www.standards.co.nz/touchstone/Issue+10/Business/AS+NZS+ISO+31000+2009
+new+in
Sumners, Glenn; 1999; El Futuro de la Auditoria Interna; Revista Partida Doble, n 103,
Setembro: 92.
Veja, Luis; 2003; La Gestin de Resgos en Empresas no Financieras; Revista Partida
Doble, n 150, Deciembre.
Willsher, Richard; 2007, Um negcio arriscado; Revista Exame World Business;
Agosto/Setembro/Outubro: 42 a 47.
Zrate, Fernando; 2001; La Gestin de Resgos: un enfoque prtico; Revista Partida
Doble, n 124, Jul./Ago.
93
Manual
de
Riscos de Negcio
Fonte: Adaptado Business Risk Model
Global Best Practice PricewaterhouseCoopers
(Anexo 1)
95
RISCOS DO MEIO ENVOLVENTE 4
1. Disponibilidade de Capital 4
2. Perda Castatrfica 4
3. Concorrncia 4
4 Mercados Financeiros 4
5. Industria 4
6. Legal 4
7. Normativo 4
8. Sensibilidade 5
9. Relaces com Accionista 5
10 Poltico 5
RISCOS DO PROCESSO 6
RISCOS OPERACIONAIS 6
11. Interrupo do Negcio 6
12. Capacidade 6
13. Cumprimento normas e regulamentos 6
14. Satisfao dos Consumidores 6
15. Tempo do Processo 6
16. Eficincia 6
17. Ambiental 6
18. Sade s Segurana 7
19. Obsolescncia 7
20. Recursos Humanos 7
21. Expectativas de Performance 7
22. Desenvolvimento de Produto 7
23. Falha de Produto/Servio 7
24. Fornecimento 7
25. Perda de Valor das Marcas 7
RISCO DE AUTORIDADE 7
26. Autorizao 8
27. Facilidade de Mudana 8
28. Comunicao 8
29. Liderana 8
30. Subcontratao 8
31. Incentivos performance 8
RISCO TCNOLGICO / PROCESSAMENTO DA INFORMAO 9
32. Acessos 9
33. Disponibilidade 9
34. Integridade 9
35. Infraestruturas 9
36. Relevncia da Informao 9
RISCO DE INTEGRIDADE 10
37. Fraude do Colaborador 10
38. Actos Ilegais 10
39. Fraude da Gesto 10
40. Reputao 10
41. Uso No autorizado 10
15-07-10 96
RISCO FINANCEIRO 11
42. Crdito Colateral 11
43. Crdito - Concentrao 11
44. Crdito - Escassez 11
45. Liquididez - Cash-Flow 11
46. Liquididez -Concentrao 11
47. Preo - Cmbio 11
48. Preo - Capitais Prprios 11
49. Preo - Instrimentos Financeiros 11
50. Preo - Taxa de Juro 11
RISCOS DA INFORMAO PARA A TOMADA DE DECISO 12
RISCO OPERACIONAL 12
51. Alinhamento 12
52. Contratos/Compromissos 106
53. Avaliao Performance 12
54. Preo 12
55. Reporte Normativo (Operacional) 12
RISCO FINANCEIRO 12
56. Informao Contabilstica 12
57. Oramento 13
58. Avaliao da Informao de Gesto 13
59. Avaliao de Investimentos 13
60. Fundo de Penses 13
61. Reporte Normativo (Financeiro) 13
62. Impostos 13
RISCO ESTRATGICO 14
63. Porteflio do Negcio 14
64. Avaliao do Ambiente do Negcio 14
65. Ciclo de Vida 14
66. Organizao da Empresa 14
67. Avaliao Performance (Estratgica) 14
68. Planeamento 14
69. Alocao de Recursos 14
70. Valorizao 14
15-07-10 97
RISCOS DO MEIO ENVOLVENTE
1. Disponibilidade Capital Trata-se do risco de a organizao no dispor de eficientes meios
de acesso ao capital que necessita para o seu crescimento, para execuo das suas estratgias e
gerar retorno financeiro.
2. Perda Catastrfica - Risco de incapacidade em manter a operacionalidade ou de recuperar

custos operacionais como resultado de uma catstrofe.
3. Concorrncia - Risco de os principais concorrentes ou novos concorrentes actuarem de

forma a obter vantagem competitiva (ex: qualidade superior, menor custo, etc.) sobre a Empresa
podendo afectar a sua sobrevivncia.
Estas aces incluem o desenvolvimento de novas propriedades do produto/servio, Marketing e
Vendas agressivo e efectivo, melhoria da qualidade, aumento da produtividade e reduo de
custos.
4. Mercados Financeiros- Risco de mudanas na capacidade de retorno ou no valor econmico

da Empresa como resultado de variaes no mercado financeiro (ex: taxa de juro) que afectam os
proveitos, custos ou rubricas de balano.
5. Industria - Risco de a indstria perder a atractividade devido a mudanas, nos factores

chave de sucesso competitivo dentro da indstria, incluindo oportunidades e ameaas
significativas, na capacidade de manuteno no mercado e dos potenciais concorrentes, nos
pontos fortes e fracos da Empresa em relao aos actuais e futuros concorrentes
6. Legal - Risco de as transaces, acordos estabelecidos contratualmente, estratgias

especficas e actividades desenvolvidas pela Empresa no estarem conforme o estipulado na lei
em vigor.
7. Normativo - Risco de alteraes nas regulamentao e aces de entidades

regulamentadoras, nacionais ou locais, que pode resultar no aumento de presses competitivas e
afectar significativamente a capacidade de a Empresa conduzir o negcio de forma eficiente.
15-07-10 98
8. Sensibilidade - Este risco resulta do comprometimento que a gesto faz dos recursos e
cash flow esperados da Empresa at uma extenso tal que reduz a capacidade da Empresa para
acompanhar as mudanas no ambiente em que se insere, que esto para alm do seu controlo.
9. Relaes com accionistas - Risco de falta de confiana por parte dos investidores (actuais e
potenciais) por no entenderem as mensagens e estratgias da Empresa. Como resultado os
investidores no tero a confiana necessria no potencial da Empresa para a obteno do retorno
do seu investimento.
10 Poltico - Risco de alteraes polticas num pas porem em causa os activos da Empresa ou
a sua performance.
15-07-10 99
RISCOS DO PROCESSO
Risco Operacional
11. Interrupo do Negcio - O risco de incapacidade de manter em funcionamento operaes

ou processos crticos devido elevada dependncia de matrias-primas, tecnologias de
informao, mo-de-obra especializada, etc.
Uma interrupo derivada da perda de Sistemas de Informao crticos, est descrita em mais
pormenor na seco Risco de Processamento da Informao /Tecnologia - Disponibilidade.
12. Capacidade - Risco de a capacidade produtiva dos recursos humanos, no ser utilizada
eficientemente e no ser adequada s necessidades e procura dos clientes
13. Cumprimento normas e regulamentos - Risco de falha no cumprimento de leis e

regulamentos internacionais, nacionais e locais que se apliquem ao processo do negcio.
14. Satisfao dos consumidores- Risco de os processos de negcio no atingirem ou

excederem, as expectativas dos clientes.
15. Tempo do processo - Risco de o tempo despendido desde o incio at ao termo de um

processo de negcio ser demasiado longo devido a passos irrelevantes, desnecessrios e
redundantes podendo resultar em perda de competitividade e oportunidade face aos concorrentes.
16. Eficincia - Riscos de os processos serem ineficientes na satisfao de pedidos vlidos dos
clientes, resultando em custos acrescidos face concorrncia.
17. Ambiental - Os riscos ambientais expem a Empresa a potenciais responsabilidades

avultadas, nomeadamente responsabilidades para com terceiros por prejuzos humanos ou
materiais causados pela poluio e responsabilidades para com os governos ou terceiros por
custos com a remoo de poluentes e por penalizaes severas.
18. Sade e Segurana - O risco de um inadequado controlo com a segurana e sade dos
trabalhadores resultar em responsabilidades com compensaes a trabalhadores e causar uma
reputao negativa.
15-07-10 100
19. Obsolescncia - Risco de o produto da Empresa estar obsoleto/ultrapassado resultando em
significativas perdas para a Empresa.
20. Recursos Humanos - Risco de os recursos humanos responsveis pela gesto e controlo da
organizao ou do processo de um negcio no possurem o conhecimento, capacidade e
experincia necessria que assegure que os objectivos crticos so atingidos e que os riscos de
negcio sejam reduzidos a um nvel aceitvel.
21. Expextativas Performance - Risco de a performance da Empresa ser desfavorvel face dos
concorrentes devido a qualidade inferior, maiores custos e ou ciclos de tempo mais demorados.
22. Desenvolvimento do produto- Risco de o processo de desenvolvimento resultar num produto

que o consumidor no quer ou no necessita, tem um custo que os consumidores no esto
dispostos a pagar e por outro lado corresponde a uma necessidade mas colocado no mercado
tarde demais
23. Falha do Produto/Fornecimento - O risco de as operaes existentes resultar em produtos

defeituosos ou com desempenhos insuficientes.
24. Fornecimento - Risco de rupturas ou custos elevados devido a insuficincias no fornecimento

de meios de produo, matrias-primas e outros recursos chave para as operaes da Empresa.
Este risco pode levar incapacidade da Empresa satisfazer as necessidades dos clientes a preos
competitivos, nas datas necessrias com a qualidade esperada.
25. Perda de Valor das Marcas - Risco de uma marca perder o seu valor durante o perodo de
lanamento e de vida de um negcio.
Risco de Autoridade
26. Autorizaes - O risco de as aces serem executadas por quem no tem autoridade e de
descurar as aces que lhe so atribudas.
15-07-10 101
Este risco ocorre quando colaboradores da empresa excedem as fronteiras de delegao ou
autoridade, ocasionando situaes de actos no autorizados, ilegais, no ticos ou assumem
riscos de negcio no autorizados e inaceitveis.
27. Facilidade de mudana - Risco de as pessoas na organizao no estarem preparadas para

implementar processos de melhoria suficientemente rpidos para fazer face s mudanas de
mercado.
28. Comunicao - Risco de as comunicaes, verticais e horizontais, dentro da organizao

serem ineficazes e resultarem em mensagens inconsistentes com as responsabilidades autorizadas
ou medidas estabelecidas.
29. Liderana - Risco de as pessoas responsveis pelos processos importantes do negcio no

serem eficazes na execuo de aces correctas.
30. Subcontratao - Existem dois tipos de risco com subcontratao:

Risco de fornecedores externos de servios no agirem dentro dos seus limites de autoridade
definidos e no actuarem de forma consistente com os valores, estratgias e objectivos da
Empresa.
Risco de os processos estratgicos de negcio em regime de subcontratao poderem no
final tornar a organizao de subcontratao num concorrente da Empresa.
31. Incentivos Performance - Risco de gestores e empregados no acreditarem nas medidas

de performance da Empresa por no serem realistas, compreensveis, objectivamente
determinveis ou executveis de acordo com a estratgia e polticas da Empresa.
Risco Tcnolgico / Processamento de Informao
32. Accessos Risco que o acesso informao (dados ou programas) seja inadequadamente
concedido ou recusado, o que significa a concesso de acessos a informao confidencial a
pessoas no autorizadas ou incorrectamente autorizadas.
15-07-10 102
33. Disponibilidade - O risco da informao no estar disponvel quando necessria. Os riscos
includos incluem perda de comunicaes (ex. corte de cabos, perda de centrais telefnicas),
perda da capacidade bsica de processamento (ex. causada por fogo, inundao, perda de
energia) e dificuldades operacionais (ex. perda de discos, erros de operao). A indisponibilidade
pode tambm ser causada por causas naturais, vandalismo, sabotagem e acidentes.
34. Integridade dos Sistemas de Informao - Este risco inclui todos os riscos associados com
a autorizao, totalidade e exactido das transaces na sua introduo, processamento,
sumarizao e reporte nos diferentes sistemas aplicacionais da empresa.
Este risco aplica-se a todo e qualquer sistema da empresa, e a todos os aspectos de um sistema
aplicacional, encontrando-se presente em diferentes locais e momentos.
A integridade pode ser perdida por erros de programas (ex. dados correctos processados por
programas incorrectos), erros de processamento (ex. transaces so incorrectamente
processadas mais do que uma vez sobre os mesmos ficheiros) ou erros de gesto (ex. gesto
deficiente do processo de manuteno de sistemas).
35. Infraestruturas - risco de que a empresa no possua uma infra-estrutura tecnolgica (ex.
hardware, rede, software, pessoas e processos) que suporte de forma efectiva as necessidades
actuais e futuras do negcio, de forma economicamente justificvel e adequadamente controlada.
Estes riscos esto relacionados com os processos na rea da tecnologia utilizados para definir,
desenvolver, manter e operar o ambiente de processamento (ex. hardware e redes) e os sistemas
aplicacionais associados (ex. suporte a clientes, facturao, stocks).
36. Relevncia da Informao - Risco de a informao no ser relevante para atingir os

objectivos para que foi recolhida, mantida ou distribuda.
Risco de Integridade
37. Fraude do colaborador - O risco de empregados, clientes ou fornecedores individualmente

ou em conluio praticarem fraudes contra a empresa, resultando em perdas financeiras ou uso no
autorizado de activos fsicos, financeiros ou de informao.
15-07-10 103
Este risco pode levar a exposio legal, publicidade negativa ou adversa e impacto nas
operaes (perda de confiana dos clientes, fornecedores ou financiadores).
38. Actos Ilegais - Risco de colaboradores da empresa, individualmente ou em conluio,

cometerem actos ilegais, colocando a empresa e os seus gestores em risco como consequncia
daqueles actos (ex. priso, multas, sanes, suspenso de actividade, perda de receita, perda de
clientes e perda de reputao).
39. Fraude da Gesto - Risco de a gesto emitir informao com inteno de enganar
investigaes pblicas, auditores externos, ou envolver subornos, pagamento de influncias e
outros esquemas para benefcio da Empresa.
40 Reputao - Risco de a Empresa perder clientes, empregados chave ou a sua capacidade

para competir devido percepo de que ela no age convenientemente com clientes,
fornecedores e accionistas ou no sabe gerir o negcio.
41. Uso no autorizado - Risco dos activos fsicos e financeiros serem utilizados para fins no
autorizados ou no ticos por colaboradores ou outros e a informao e outros activos (Ex.
desenhos de produtos, processos internos, listas de clientes, "know-how", e outros segredos)
serem comprometidos por espionagem industrial, resultando numa perda de vantagens
competitivas.
Risco Financeiro
42. Crdito - Colateral - Risco de o valor de um activo cedido como colateral para um
emprstimo, recebimento ou obrigao poder perder parcial ou totalmente o seu valor.
43. Crdito - Concentrao - Risco de perda excessiva como resultado de inapropriado nfase
do volume de vendas ou de receitas num nico projecto, rea geogrfica, nveis de preo ou outro
segmento econmico.
15-07-10 104
44. Crdito - Escassez - O risco de crdito descreve a exposio a perdas reais ou custo de
oportunidade, resultantes do incumprimento (ou outro tipo de falha) por uma entidade legal ou
econmica (o devedor) com o qual a Empresa possui relaes de negcio.
Para empresas no financeiras, a gesto do risco de crdito tipicamente induzida pela definio
de requisitos de controlo sobre a base de clientes. O risco est relacionado com a entrega de
bens ou prestao de servios antes do recebimento do pagamento dos mesmos.
45. Liquidiez Cash-Flow - Risco de perdas incorridas como resultado de incapacidade de

financiamento das obrigaes operacionais ou financeiras do negcio.
46. Liquidez - Concentrao - Risco de perdas devido a incapacidade para liquidao de

obrigaes financeiras por concentrao num reduzido nmero de fontes de financiamento que
pode levar a dificuldade na obteno de fundos quando necessrios ou a um preo demasiado
elevado.
47. Preo Cmbio - Risco de exposio a flutuaes cambiais.
48. Preo - Capitais Prprios - Risco de flutuao do valor de participaes em organizaes

detidas pela Empresa.
49. Preo Instrumentos financeiros - Este risco varia em funo do segmento de mercado em
que o detentor do instrumento de financiamento est exposto, ou da forma como a exposio est
estruturada.
50. Preo-Taxa de Juro - Risco associado variao da taxa da juro.
15-07-10 105
RISCO DA INFORMAO PARA A TOMADA DE DECISO
Risco Operacional
51. Alinhamento - Risco de os objectivos e medidas de actuao dos processos de negcio no

estarem alinhados com os objectivos e estratgias gerais da Empresa.
52. Contratos/Compromissos - Risco de a Empresa no ter acesso de forma eficiente e efectiva

a informao sobre as responsabilidades contratuais vigentes em qualquer momento no tempo,
por forma a que as decises de comprometimento em responsabilidades acrescidas possam ser
consideradas apropriadamente pelos decisores.
53. Avaliaao da Performance (operacional) - Risco de a informao no constituir um

retrato fiel da performance do negcio e no reflectir correctamente a realidade, no podendo
assim servir de base para a deciso.
54. Preo - Risco na informao utilizada para a definio do preo. Este risco pode revelar-se
de vrias formas, isto , o preo ser superior ao que os consumidores esto dispostos a pagar
porque a poltica de preos da Empresa no se baseou em pesquisa de mercado nem na obteno
de outras informaes sobre o consumidor ou ento o preo no cobre os custos de
desenvolvimento e produo.
55. Reporte normativo operacional - O risco que relatrios e informao operacional requerida
pelas entidades reguladoras sejam incompletos, inexactos, fora de prazo, expondo a empresa a
multas, penalidades ou sanes.
Risco Financeiro
56. Informao Contabilstica - Risco de a informao financeira no ser suficiente e/ou ser
manipulada, no servindo assim para a tomada de decises.
15-07-10 106
57. Oramento - Risco de o oramento e planos no serem realista, no serem baseados em
pressupostos correctos, no baseados nas performances do negcio, no aceites pelos Key
managers, no teis ou utilizados como ferramenta de monitorizao.
58. Avaliao da Informao de Gesto - O risco que as demonstraes financeiras emitidas e

utilizadas por investidores actuais ou futuros incluam erros materialmente relevantes ou omitem
factos materialmente relevantes, tornando-as enganadoras.
Este risco resulta usualmente da incapacidade de obter informao de negcio relevante (de
fontes internas ou externas) e de avaliar os ajustamentos necessrios para representar fielmente
a situao financeira da Empresa.
59. Avaliao de Investimentos - Risco de a gesto no ter informao financeira suficiente

para tomar decises sobre investimentos, ligando os riscos assumidos ao capital em risco.
60. Fundo de Penses - Este risco inclui riscos associados reputao, moralidade, litgios e
necessidades de fundos adicionais.
61. Reporte Normativo (Financeiro) - Risco de os relatrios com informao financeira

solicitados por agentes reguladores serem incompletos, imprecisos, inoportunos, sujeitando a
Empresa a multas, penalidades e sanes.
62 Impostos - Este risco possui duas componentes chave que so o cumprimento de todas as
leis/normas fiscais e transaces de valor materialmente relevante possuem impactos fiscais
negativos que poderiam ser evitados se tivessem sido estruturadas de forma diferente.
Risco Estratgico
63. Porteflio do Negcio - Risco de a Empresa no possuir informao que lhe permita fazer
uma gesto do seu mix de negcios de forma adequada.
15-07-10 107
64. Avaliao do Ambiente de Negcio - Este risco surge quando a Empresa no possui um
processo efectivo de obteno de informao relevante sobre o ambiente externo ou os
pressupostos chave acerca do ambiente externo so inconsistentes com a realidade ou no so
monitorizados pela Empresa.
65. Ciclo de Vida - Risco de uma Empresa no possuir informao para gesto do ciclo de vida de
uma linha de produtos. Este risco tem impacto nas estratgias de negcio.
66. Organizao da Empresa - Risco de a estrutura organizacional da Empresa no suportar

uma mudana na estratgia de negcio da Empresa. Os valores e cultura de uma organizao, as
suas infraestruturas e a forma como esto definidas as responsabilidades, autoridades e margens
e limites de actuao tem um impacto significativo na sua capacidade de gesto e alcance dos
objectivos.
67. Avaliao da Performance (Estratgica) - Risco de as medidas de performance no serem

suficientemente equilibradas, por exemplo: focam demasiado os resultados financeiros ou no
serem consistentes, com as estratgias do negcio.
68. Planeamento - Risco de a estratgia de negcio da Empresa no ser dirigida por inputs
criativos e intuitivos ou no ser baseada em pressupostos actuais sobre o ambiente externo da
organizao, resultando em estratgias desactualizadas e desfocadas.
69. Alocao de Recursos - Risco de o processo de afectao dos recursos da Empresa no

estabelece nem sustenta uma vantagem competitiva nem maximizar o retorno para os accionistas.
70. Valorizao - Risco de a gesto e os decisores no terem capacidade para medir de forma
real o valor de um negcio ou um segmento especfico no seu contexto estratgico.
15-07-10 108
ANEXO 2 - Matriz de Riscos Inerentes
Fase 2 do Modelo de GR - Identificar os Riscos
MATRIZ DE RISCOS (inerentes)PROCESSO: 1.1.2. Processo Geral - Compras Oramento - Seleco do fornecedor e validao das
condies

A.I A.I A.I
I P I P I P
1.Disponibilidade Capital 5. Industria 9. Relaes com accionistas
2. Perda Castatrfica 6. Legal 2 1 10. Poltico
3. Concorrncia 7. Normativo 1 1
4. Mercados Financeiros 8. Sensibilidade
RISCOS DO PROCESSO
A.I A.I A.I

RISCO OPERACIONAL I P RISCO DE AUTORIDADE I P RISCO FINANCEIRO I P
11. Interrupo do negcio 3 2 26. Autoridade /Limite Risco 3 3 42. Crdito - Colateral
12. Capacidade 27. Facilidade de Mudana 43. Crdito - Concentrao
13. Comprimento normas e regulamentos 2 2 28. Comunicao 3 2 44. Crdito- Escassez
14. Satisfao dos consumidores 2 2 29. Liderana 3 2 45. Liquididez - Cash Flow 2 1
15. Tempo do Processo 3 2 30. Subcontratao 3 2 46.Liquididez - Concentrao
16. Eficincia 3 3 31. Incentivos Performance 47. Preo - Cmbio
17. Ambiental 48. Preo Capitais Prprios
18. Sade e Segurana 49. Preo - Instrumentos Financeiros
19. Recursos Humanos 3 2 PROCESSAMENTO A.I 50. Preo - Taxa de Juro
20. Obsolescencia INFORMAO / I P
21. Expectativas de Performance RISCO TECNOLGICO
22. Desenvolvimento de Produto 32. Acessos 3 2
23. Falha do Produto/Servio 3 2 33. Disponibilidade 2 1
24. Fornecimento 3 3 34. Integridade Sistemas de Informao
25. Perda de Valor das Macas 35. Infrastructuras
36. Relevancia da Iinformao
A.I
RISCO DE INTEGRIDADE I P
37. Fraude do Colaborador 2 2
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao 2 1
Legenda 41. Utilizao no autorizada 2 1
I - Impacto (1 - Gervel; 2 - Importante 3 - Critico)
P - Probabilidade (1 - Remota; 2 - Possvel; 3 - Provvel)
RISCOS DE INFORMAO PARA A TOMADA DE DECISO
A.I A.I A.I

RISCO OPERACIONAL I L RISCO FINANCEIRO I L RISCO ESTRATGICO I L
51. Alinhamento 2 2 56. Informao Contabilistica 63. Portflio do Negcio
52. Contratos/ Compromissos 3 2 57. Oramento 2 2 64. Avaliao do Ambiente do Negcio
53. Avaliao da Performance (Operacional) 58. Avaliao Informao de gesto 65. Ciclo de Vida
54. Preo 59. Avaliao de investimentos 1 2 66. Organizao da Empresa
55. Reporte normativo (Operacional) 60. Fundo de penses 67. Avaliao da Performance (Estratgica)
61. Reporte normativo (Financeiro) 68. Planeamento
62. Impostos 69. Alocao de recursos
70. Valorizao
Fonte: Adaptada da Business Risk Model - Global Best Practices -PricewaterhouseCoopers
109
Fase 2 do Modelo de GR - Identificar os Riscos
MATRIZ DE RISCOS (inerentes)PROCESSO: 1.1.4. Processo Geral - Compras Oramento - Criao do Acordo de Fornecimento

A.I A.I A.I
I P I P I P
2. Perda Castatrfica 6. Legal 1 1 10. Poltico
3. Concorrncia 7. Normativo 1 1
RISCOS DO PROCESSO
A.I A.I A.I
I P I P I P
RISCO OPERACIONAL RISCO DE AUTORIDADE RISCO FINANCEIRO
12. Capacidade 1 1 27. Facilidade de Mudana 43. Crdito - Concentrao
14. Satisfao dos consumidores 29. Liderana 1 1 45. Liquididez - Cash Flow 1 1
15. Tempo do Processo 3 2 30. Subcontratao 3 2 46.Liquididez - Concentrao
16. Eficincia 2 2 31. Incentivos Performance 47. Preo - Cmbio 1 1
20. Obsolescencia 1 2 PROCESSAMENTO A.I 50. Preo - Taxa de Juro
19. Recursos Humanos INFORMAO / I P
23. Falha do Produto/Servio 3 2 33. Disponibilidade 1 1
25. Perda de Valor das Macas 35. Infrastructuras 1 1
A.I
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao
Legenda 41. Utilizao no autorizada
INFORMAO PARA A TOMADA DE DECISO
A.I A.I A.I

RISCO OPERACIONAL I P RISCO FINANCEIRO I P RISCO ESTRATGICO I P
52. Contratos/ Compromissos 2 2 57. Oramento 64. Avaliao do Ambiente do Negcio
54. Preo 59. Avaliao de investimentos 66. Organizao da Empresa
55. Reporte normativo (Operacional) 3 1 60. Fundo de penses 67. Avaliao da Performance (Estratgica)
70. Valorizao
110
Fase 3 do Modelo de GR - Analisar os Riscos
13.
52. 55. Reporte
11. Interrupo Cumprimento 14. Satisfao 15. Tempo do 19. Recursos 23. Falha de 24. 26. Risco de 30. 33. 37. Fraude do 41. Utilizao no 45. Liquididez - 59. Avaliao de Soma dos % Risco do N Ocorrncias
Processos / Riscos 6. Legal 7. Normativo
do negcio normas e do Consumidor Processo
16. Eficincia
Humanos Produto/Servio Fornecimento Autoridade
28. Comunicao 29. Liderana
Subcontratao
32. Acessos
Disponibilidade colaborador
40. Reputao
autorizada Cash Flow
51. Alignhamento Contrato/Compro normativo 57. Oramento
Investimentos riscos Processo Risco Abs. >3
misso (Operaconal)
regulamentos
1.1.2. Seleco do fornecedor e validao das

1.1. condies
Compras
2 1 6 4 4 6 9 6 6 9 9 6 6 6 6 2 4 2 2 2 4 6 4 4 112 58% 18
Oramento 1.1.4. Criao do Acordo de Fornecimento
1 1 6 1 6 4 2 6 6 6 4 1 6 6 1 3 1 9 4 6 80 42% 12
N Ocorrncias 2 2 2 2 1 2 2 2 2 2 2 2 2 2 2 2 2 1 1 2 2 2 1 1 1
N Ocorrncias [Risco Abs. >3] 0 0 2 1 1 2 2 1 2 2 2 2 1 2 2 0 1 0 0 0 2 2 1 1 1
MATRIZ DE RISCOS ABSOLUTOS DOS PROCESSOS

DE APROVISIONAMENTO
19 28 24 26
29 16
30
Crtico
15
23
52
11 32 51
55
Importante
Impacto
14 13
37
57
59
40
Gervel
6 7
33 41 45
Remota Possvel Provvel
Probabilidade
111
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 3 - Analisar o Risco
Fase 3 - Analisar os Riscos
Identificao de Identificao e
Grupo de Compras - Materiais de Embalagem Risco possveis caracterizao
ocorrncias dos controlos
Processo: 1.1. Processo Geral - Compras Oramento
Risco Descrio do Controlo Controlos
Sub-processos Possvel ocorrncia

Regulamentao Responsvel pelo Classificao do Controlo
Factor de Risco Imp. Prob. Outros Controlos Objectivo do Controlo
Interna/Externa Aplicvel controlo
I II IV
1.1.1. Elaborao dos oramentos anuais de

compras
Manual Procedimentos Controlo Interno:

Apenas devem ser consideradas na lista de fornecedores empresas
que estejam em condies de fornecer o bem encomendado ou - resposta do fornecedor ao inqurito enviado pelo Departamento de
- Elevada dependncia de um fornecedor, nomeadamente quando
prestar o servio requerido, que disponham de situao econmica e Compras e anlise da mesma pela rea de Qualidade
s exista um nico fornecedor para determinado material crtico para Gestores de Compras,
financeira que garanta a continuidade do fornecimento.
a cadeia de abastecimento. Caso este fornecedor falhe, o negcio Dir. Industrial, MKT e Primary Operational Manual Preventive
pode sofrer paragens se no for possvel encontrar um fornecedor Qualidade
Fornecedores que forneam materiais relevantes para a Qualidade,
alternativo em tempo til.
devem ser, sempre que possvel, certificados por esta rea antes de
serem carregados nos dados-mestre.
Testes industriais, laboratoriais e conformidade efectuados aos Dir. Industrial e Operational /

Primary Manual Preventive
materiais (amostras solicitadas ao fornecedor para o efeito) Qualidade Compliance
Primeiros fornecimentos de pequenos montantes Gestores Compras Secondary Operational Manual Preventive
Recolha de informao atravs da Internet Gestores Compras Secondary Operational Manual Preventive
- Material comprado no cumpre com as caractersticas tcnicas

exigidas/necessrias. Comprometimento do fornecedor em fornecer os matrias de acordo Minimizar o risco do fornecedor Gestores Compras Primary Operational Manual Preventive
Sistema de Garantia da qualidade - normas internas/externas com o estabelecido no caderno de encargos no ser capaz de cumprir os
11. Interrupo do Negcio - Morosidade no processo de aprovao de um fornecedor pela rea prazos de fornecimento e as
3 2 quantidades necessrias ou os
Risco de interrupo do negcio da qualidade
requisitos de qualidade do
- Visitas a feiras da especialidade em busca de novos fornecedores servio/material estabelecidos
Gestores Compras Secondary Operational Manual Preventive

Para os materiais estratgicos devero existir fornecedores
alternativos aprovados, de modo a reduzir-se o risco de eventuais
rupturas de stock e garantir as melhores condies de fornecimento.
- Elevada dependncia de um fornecedor - nico fornecedor para Operational /
Dir. de Compras Primary Manual Preventive
determinado material Compliance
No caso de fornecedor nico devero ser estabelecidas clusulas
contratuais que minimizem o risco de incumprimento de
fornecimento e penalizaes pelos danos resultantes do
incumprimento dos prazos.
tambm efectuada uma Avaliao pela Qualidade aquando da System Based

Dir. qualidade Primary operacional Detective
recepo dos materiais em sistema informtico. (SAP)
- Incumprimento normas de Qualidade (referidas no caderno de

13. Cumprimento, Normas e Regulamentos Normas SGQ - Qualidade (internas/externas)
Verificar se o fornecedor cumpre
encargos)
Risco de incumprimento de regulamentos e normas 2 2 com o normativo legal exigido para
externas e internas o efeito
No efectuado qualquer controlo na rea de compras. Estas

Operational/ preventive /
verificaes so efectuadas pela rea da Dir. Qualidade e podem Dir. qualidade Primary Manual
Compliance detective
traduzir-se em auditorias efectuadas s instalaes do fornecedor.
Comprometimento efectuado por escrito pelo fornecedor de que ir Operational/

Dir. Compras Primary Manual Preventive
cumprir com o estabelecido no caderno de encargos. Compliance

Para alm da avaliao inicial que conduza seleco de uma
entidade como possvel fornecedor, os fornecedores devem ser
periodicamente avaliados quanto a: capacidade comercial; potencial Verificar se as respectivas reas
Atraso na recepo dos oramentos
tcnico, nvel de servio quanto ao cumprimento das obrigaes cumprem os prazos de entrega da
contratuais; nvel de reclamaes. informao descritos no calendrio
Vrias verses de oramento (por vezes com alteraes
de oramento
significativas) O Departamento de Compras , no incio de cada ano, retira as listagens
Esta avaliao deve ser anual para os fornecedores de materiais
de avaliao dos fornecedores (Sistema informtico).
relevantes para a Qualidade. Avaliar a razoabilidade dos timings
14. Satisfao do Consumidor morosidade no processo de aprovao de um novo fornecedor Os fornecedores so avaliados em 3 parmetros
Devero ser efectuadas reclamaes quando qualquer elemento utilizados pela rea da Qualidade
Risco da rea de Compras no conseguir satisfazer 2 2 (qualidade/quantidades/prazos), o primeiro da responsabilidade da Respectivas reas Primary Operational Manual preventive
especificado na encomenda ou contrato no foi cumprido por parte para a aprovao e seleco de
as necessidades da rea requisitante rea requisitante no est satisfeita com a qualidade do material ou Qualidade, o segundo e terceiro so da responsabilidade dos gestores
do fornecedor ou quando este entrega o material com defeito. fornecedores.
com o modo como o Departamento de Compras desenvolveu o de Stocks.
As reclamaes devero ser efectuadas em documento prprio,
processo de aquisio do material
devidamente fundamentadas e acompanhadas de todos os Ter em considerao a avaliao
documentos necessrios reclamao. anual feita aos fornecedores pela
Cliente no ficar satisfeito com a qualidade do produto (Ex.Materiais
rea da Qualidade e Gesto de
defeituosas que afectam a qualidade do produto)
Fornecedores que forneam materiais relevantes para a Qualidade, Stocks.
devem ser, sempre que possvel, certificados por esta rea antes de
serem carregados nos dados-mestre.
112

I II IV
15. Tempo do Processo

Risco de actividades irrelevantes e redundantes
atrasarem os processos de negcio do Grupo
As situaes apontadas para a ocorrncia deste risco,

3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
enquadram-se, na nossa perspectiva no risco de
eficincia, pelo que consideramos que o risco Cycle
Time ter impacto reduzido nestes processos.
Este risco est relacionado em parte, com o risco de Satisfao do

consumidor, ou seja, o atraso na negociao das compras poder
por em causa a recepo dos materiais e por conseguinte a
satisfao das necessidades dos clientes. Por outro lado, tambm
Garantir que os gestores de
de referir que a morosidade do processo de aprovao de
compras, no efectuem as
fornecedores poder por em causa o processo de negociao com o
16. Eficincia fornecedor. SGQ - Aprovao de fornecedores / seleco de fornecedores -
compras, aproveitando as
Risco de ineficincia na satisfao das necessidades 3 3 N/A melhores condies/oportunidades Gestores de compra Secondary Operational Manual Preventive
Cadernos de encargos (Normas internas externas)
dos clientes por falta de informao da Dir.
Actividades que no acrescentam valor ao processo e/ou que
Qualidade (aprovao de
motivam atrasos no processo de seleco
fornecedor)
No existe uma filosofia de melhoria contnua dos processos
- Experincia dos compradores e gestores de compras. N/A N/A N/A N/A
- Aces de formao. Primary Operational Manual Preventive
- Compradores contactam a rea requisitante com o intuito de se

inteirarem das especificidades dos materiais para o qual esto a
Primary Operational Manual Preventive
desenvolver o processo de compra de forma a poderem desenvolver o
A falta de experincia ou capacidade necessria para o desempenho processo de negociao com os potenciais fornecedores
19. Recursos Humanos da funo, poder por em causa o poder negocial da empresa e a
Garantir que os compradores/
Os colaboradores no possuem a experincia ou a gestores de compras possuem a
3 2 realizao de compras pouco competitivas, no aproveitamento das N/A Director de Compras
capacidade necessria para o desempenho da funo que qualificao necessria ao
melhores oportunidades, seleco de fornecedores que no
lhe foi atribuda desempenho das suas funes
satisfaam os requisitos da empresa.
1.1.2. Seleco do fornecedor e validao das - Nvel de cumprimento do Contrato de Gesto da rea das Compras e
Secondary Operational Manual Detective
condies resultados das avaliaes globais de desempenho.
- 1.1.2.1. Actualizao lista fornecedores
- 1.1.2.2. Escolha do fornecedor a contactar
- 1.1.2.3. Solicitao de cotao
- 1.1.2.4. Anlise comparativa propostas
- 1.1.2.5. Seleco da proposta
Certificado de garantia enviado pelo fornecedor juntamente com os

Gestores de compra primary Operational Manual Preventive
matrias.
Relativamente a esta questo, o problema coloca-se essencialmente
pela no deteco atempada de anomalias nos materiais
recepcionados. Esta situao poder ocorrer quando o
Garantir que todos os materiais
Departamento de Qualidade verifica que a recepo de materiais
23. Falha de Produto/Servio utilizados no processo produtivo,
est conforme o certificado de garantia enviado pelo fornecedor, Cumprimentos dos cadernos de encargos (normas
Risco dos clientes receberem produtos defeituosos ou 3 2 satisfaam todos os requisitos
dando o OK. e posteriormente se verifica que os materiais no esto internas/externas)
ocorrerem falhas nos servios contratados exigidos, evitando a produo e
de facto todos em conformidade, tendo dado origem a produtos
venda de produtos irregulares.
acabados e colocados no mercado com defeito.
Fornecedor seleccionado no capaz de fornecer produto com as
especificaes acordadas com a Empresa
Gestores de compra,
Avaliao anual de fornecedores Qualidade, Gestores de Primary Operational Manual Detective
Stocks

No caso de fornecedor nico devero ser estabelecidas clusulas Garantir que so tomadas todas
contratuais que minimizem o risco de incumprimento de as medidas para evitar elevada Dir. Compras Primary Operational Manual Preventive
fornecimento e penalizaes pelos danos resultantes do dependncia num fornecedor
incumprimento dos prazos.
No existir no mercado o material desejado pela rea requisitante no

que respeita aos nveis de qualidade necessrios ou se existe o
24. Fornecimento fornecedor no tem capacidade para responder s necessidades da De acordo com o descrito no caderno de encargos :
Risco de no existir no mercado o material/servio com o 3 3 empresa. 3.4 Controlo a Efectuar pela Empresa
preo/qualidade desejado pela Unidade de Negcio 3.4.1 Na recepo
Elevada dependncia da empresa quando exista apenas um SGQ- Sistema de garantia da qualidade - No caderno de Inspeco visual ao lote aquando da descarga. Garantir que os matrias
Operational / preventive /
fornecedor para o material desejado. encargos esto referidos os normativos legais e as especificidades a Controlo laboratorial conforme o Plano de Inspeco e Ensaio (P.I.E.) cumprem os requisitos exigidos e Dir. Qualidade Primary Manual
Compliance detective
que o fornecedor se obriga a cumprir. da Empresa. descritos no caderno de encargos
A amostragem deve ser aleatria e ter como suporte as regras de
amostragem de controlo por atributos, nomeadamente a Norma
aplicvel.
Manual de Controlo Interno

obrigatrio submeter aprovao do requisitante os pedidos de
Realizao de negociaes e comprometimento com fornecedores Dir. Compras Primary Compliance Manual Corrective
compra que no forem executados no prazo requerido ou que
para as quais no tem poderes para exercer.
exceda 10% do valor estimado-
Processo de seleco no teve o envolvimento do Gestor Compra
ou Director de Compras apesar dos valores negociados no acordo
assim obrigarem, considerando os nveis de autorizao definidos
26. Autorizao internamente. Assegurar que toda a actividade
Risco dos colaboradores executarem tarefas que no era
3 3 de compra vlida e est
suposto ou no executarem as tarefas que lhes estavam
Risco de no estarem definidas as regras de aprovao necessrias devidamente autorizada
atribudas
para validao das condies negociadas/acordadas levando a que
os colaboradores desconheam at que nveis tm autonomia para Anlise por parte do Director de Compras dos processos de compra
negociar e formalizar acordos com os fornecedores. para um perodo (geralmente feito mensalmente), verificando entre
Instruo operacional - nveis de delegao Director de Compras Primary Compliance Manual Detective
outros o cumprimento dos nveis de autorizao, nomeadamente para
os pedidos de montantes mais significativos
113

I II IV
Falha de comunicao vertical nos objectivos e polticas que devam

N/A N/A N/A N/A N/A
ser considerados no processo negocial
28. Comunicao Manual de Procedimentos de Controlo Interno Garantir uma comunicao eficaz
Risco da comunicao horizontal e vertical no ser A consulta ao fornecedor dever ser efectuado mediante envio de
3 2 entre os vrios intervenientes no
eficiente resultando em mensagens inconsistentes com os caderno de encargos ou fichas tcnicas dos bens ou servios processo de compra
objectivos propostos e a estratgia do grupo sempre que a denominao do bem no for o bastante para
especificar o material ao fornecedor Fornecedor deve sempre confirmar por escrito o resultado final das
Gestores de Compras,
Falha na comunicao entre compradores e fornecedores negociaes, se no o fizer o comprador envia para o fornecedor um Primary Operational Manual Preventive
Compradores
resumo com o que ficou acordado na reunio.
Manual de Procedimentos de Controlo Interno

Solicitaes aos fornecedores devero ser efectuadas por escrito.
29.Liderana
Garantir que os lderes de equipa
Risco dos responsveis pelos processos crticos da Chefia no transmite s suas equipas as orientaes recebidas por
coordenam e supervisionam
empresa e liderana de equipas no terem o perfil 3 2 parte da Gesto N/A N/A N/A N/A N/A
eficazmente o trabalho dos seus
adequado ao desempenho das funes que lhe foram
subordinados
cometidas
A seleco e a negociao do fornecimento de determinados

30. Subcontratao
materiais de mebalagem, efectuado por uma empresa do grupo, Garantir que os materias
Risco dos fornecedores de servios em outsorcing
para todo grupo.
no actuarem de acordo com os limites e cumprem os requisitos
3 2 Dir. Qualidade N/A N/A N/A N/A
competncias que lhes foram atribuidos e no agirem exigidos e descritos no
de acordo com os valores, estratgia e objectivos da caderno de encargos
Risco de no existir qualquer nvel de controlo e de interveno da
organizao.
Empresa no processo.
Dir. Compras
Respeito pela normas ticas Primary Operational Manual Preventive
Chefias
37. Fraude do Colaborador

Seleco do fornecedor por parte do comprador obedecer a outros
Risco de empregados, clientes ou fornecedores Salvaguarda dos interesses da
2 2 critrios que no a relao qualidade/preo do produto retirando
individualmente ou em conluio praticarem fraudes contra a
proveito prprio desse processo.
Empresa
empresa
Cdigo de tica da Empresa, caso exista.
Operational / Preventive/
Dir. Compras Primary Manual
Compliance Detective
Instruo operacional da Dir. Compras - Delegao de

Operational / Preventive/
competncias Dir. Compras Primary Manual
Compliance Detective
Riscos Considerados no aplicveis ou de

Impacto/Probabilidade de Ocorrncia reduzida
na sequncia da anlise desenvolvida pela
Auditoria Interna
32. Acessos 3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
40. Reputao 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
51. Alinhamento 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
52. Contratos/Compromissos 3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
57. Oramento 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
59. Avaliao de Investimentos 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
O Tcnico da qualidade aquando da recepo dos materiais verifica

SGQ- Sistema de garantia da qualidade - No caderno de
se o certificado que acompanha os materiais est ou no em Verificar que os materiais esto
encargos esto referidos os normativos legais e as especificidades a
conformidade com o contratualizado com o fornecedor e referenciado em conformidade com os
que o fornecedor se obriga a cumprir. Dir. qualidade Primary Operacional SAP Detective
no caderno de encargos do material. normativos externos e com as
exigncias da empresa.
13. Cumprimento, Normas e Regulamentos

Risco de incumprimento de regulamentos e normas O fornecedor comprometer-se com a empresa no cumprimento das
externas e internas normas referenciadas no caderno de encargos e na realidade no
cumprir.
1 1
Risco considerado importante na sequncia da anlise
realizada pela Auditoria Interna, apesar de ter sido Ocorrncia de penalidades por incumprimento regulamentao legal
classificado inicialmente pelo Gestor como pouco aplicvel aos materiais adquiridos
significativo.
114

I II IV

Risco de incumprimento de regulamentos e normas O fornecedor comprometer-se com a empresa no cumprimento das
externas e internas normas referenciadas no caderno de encargos e na realidade no
cumprir.
1 1
realizada pela Auditoria Interna, apesar de ter sido Ocorrncia de penalidades por incumprimento regulamentao legal
classificado inicialmente pelo Gestor como pouco aplicvel aos materiais adquiridos
significativo.
Gestor de compras valida a informao recebida do fornecedor, Garantir o cumprimento das

Condies contratualizadas Dir. Compras Primary Compliance manual Detective
relativamente base de clculo das penalidades condies acordadas no contrato
15. Cycle Time

Uma das medidas para aferir os nveis de servio da performance dos

compradores a anlise do tempo que medeia a liberao das
requisies de compra e a criao do acordo de fornecimento.
- Demora na criao do acordo de fornecimento causando atrasos
Semanalmente retirada do SAP uma listagem das requisies Gestor de Compra/ System Based
nas divises de remessa e no envio dos materiais para a rea N/A Primary Operational Detective
liberadas a mais de 15 dias. Esta informao analisada pelos Director de Compra Controls
requisitante
Gestores de Compras e Director de Compras no sentido de se resolver
as questes que se encontram pendentes e efectuar a criao do
1.1.4. Criao do Acordo de Fornecimento 16. Efficiency Garantir a eficincia do processo
acordo de fornecimento.
Risco de ineficincia na satisfao das necessidades
2 2 de compras na satisfao das
dos clientes
necessidades dos clientes
Compradores contactam a rea requisitante pedindo a criao e

- Atrasos na criao de acordos de fornecimento consequncia da
N/A liberao da requisio de modo a que possam criar o acordo de Dir. Compras Secondary operational Manual Corrective
no criao e liberao das requisies
fornecimento.
115
1.1.4. Criao do Acordo de Fornecimento Identificao de Identificao e


I II IV
26. Authority/ Limit Risk

Risco dos colaboradores executarem tarefas que no
era suposto ou no executarem as tarefas que lhes
- Acordo de fornecimento no estar aprovado e assinado de acordo
estavam atribudas - O acordo de fornecimento deve estar assinado pelo Comprador e/ou Garantir que os colaboradores
com os nveis de autorizao definidos pela rea de Compras. Manual de Procedimentos de Controlo Interno Gestor de Compra/
3 2 Gestor de Compra e/ou Director de Compra de acordo com o executam as tarefas que lhes Primary Compliance Manual Preventive
Secoxx - Nveis de Autorizao Director de Compras
Risco considerado importante na sequncia da documento interno que define os nveis de autorizao. esto cometidas
anlise realizada pela Auditoria Interna, apesar de ter
sido classificado inicialmente pelo Gestor como
pouco significativo.
- Criao ou alterao do acordo de fornecimento por pessoal no

32. Access autorizado Garantir que os acessos s
Risco do acesso informao /sistemas de Acessos a transaces do sistema de informao de criao e transaces de criao e alterao
3 2 N/A N/A N/A N/A N/A N/A
informao ser indevidamente concedido ou - Possibilidade de acesso a informao reservada por pessoas no alterao concedidos somente a pessoal autorizado de acordo de fornecimento esto
recusado. autorizadas devidamente controlados.

Risco de empregados, clientes ou fornecedores
individualmente ou em conluio praticarem fraudes
3 1
contra a empresa
Considerado risco reduzido neste sub-processo

Impacto/Probabilidade de Ocorrncia reduzida
na sequncia da anlise desenvolvida pela
Auditoria Interna
11. Interrupo do Negcio

23.Falha de Produto/servio
24. Fornecimento
Risco de no existir no mercado o
material/servio com o preo/qualidade
desejado pela Unidade de Negcio
28. Comunicao
30. Subcontratao
51. Alinhamento 3 3 N/A N/A N/A N/A N/A N/A N/A N/A N/A
52. Contratos/ Compromissos 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
55. Reporte normativo 3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
116
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 4 - Avaliar os Riscos
Fase 4 - Avaliar os Riscos
Identificao e Testes aos Determinar o

Grupo de Compras - Materiais de Embalagem
caracterizao Controlos Risco Residual
Processo: 1.1. Processo Geral - Compras Oramento dos controlos
Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
Factor de Risco Imp. Prob. Plano de Testes Resultados dos testes efectuados Nota Imp. Prob.
(Sim/No)
1.1.1. Elaborao dos oramentos anuais de

compras
Sim 1 - Aferir por inqurito rea das Compras de 1 -No houve interrupo da produo motivada por atraso
situaes de interrupo do negcio originadas na aprovao de um fornecedor. N/A
por falha do fornecimento de um fornecedor.
2 - verificar a existncia de resposta do 2 - Relativamente ao processo de aprovao do fornecedor

Sim fornecedor ao inqurito enviado pela rea de de materiais de embalagem, existe resposta ao inqurito por Bom
compras parte dos fornecedores.
3 - Confirmar o tipo de testes que so

N/A
efectuados ( Testes industriais, laboratoriais e
Sim No Avaliado
conformidade efectuados aos materiais
controlo realizado fora da rea das Compras
(amostras solicitadas ao fornecedor para o efeito)
4 - Verificar se existe evidncia da Recolha de

Sim informao de potenciais fornecedores atravs 4 - No existe evidncia desta recolha insuficiente
da Internet
5 - Verificar a existncia do documento de 5 -Existe documento de comprometimento por parte do Bom

Comprometimento do fornecedor em fornecer os fornecedor. (se a recepo do
Sim
matrias de acordo com o estabelecido no Este documento compromete o fornecedor a cumprir o doc.for
caderno de encargos estipulado no caderno de encargos. atempada)
3 2 2 1
Risco de interrupo do negcio
6 - Verificar se estaro definidas clusulas com 6 - Na maioria dos casos no esto definidas estas
Sim penalidades por incumprimento dos contratos clausulas, porque no existe um contrato formalizado com o Bom
celebrados com fornecedores fornecedor.
7 - O critrio utilizado na atribuio das quantidades a

fornecer a cada fornecedor o melhor preo, associado a
este factor est o factor risco da dependncia de um nico
7 - Verificar a % de compras atribudas a um
Sim fornecedor. A incluso de fornecedores novos tem com Bom
novo fornecedor.
objectivo trazer maior competitividade e um maior poder
negocial.Contudo as quantidades inicialmente compradas
so reduzidas.
No N/A N/A No Avaliado

Risco de incumprimento de regulamentos e normas 2 2 2 2
externas e internas
Bom
No N/A N/A
(se aplicado)
A resposta obtida foi de que por vezes, o oramento no

chega atempadamente, ou quando chega posteriormente
alterado, o que provoca atrasos no incio do processo de
compra.
Esta situao pode originar perda de competitividade e
oportunidade negocial.
A rea de compras elabora no final de cada ano e tendo

14. Satisfao do Consumidor
Questionrio efectuado directamente aos como base a avaliao efectuada aos fornecedores pelas
Risco da rea de Compras no conseguir satisfazer as 2 2 Sim Insuficiente 2 2
gestores de compras reas de Qualidade e Gesto de stocks, informando-o da
necessidades da rea requisitante
classificao obtida, bem como do critrio utilizado na
avaliao. Foi-nos facultada cpia duma carta enviada em
Maro de 2007, relativa avaliao de 2006 - Ex.
Fornecedor Alcoa Deutshchand GMBH.
De referir que a avaliao dos fornecedores no tida em
considerao na seleco de um fornecedor, por
considerarem que a mesma no rigorosa, no que diz
respeito avaliao feita pelo gestor de stocks.
117

Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
(Sim/No)


3 2 N/A N/A N/A N/A
A informao no chega atempadamente, ou quando chega

posteriormente alterada, o que provoca atrasos no incio
do processo de compra.
Esta situao pode originar perda de competitividade e
16. Eficincia
oportunidade negocial.
Risco de ineficincia na satisfao das necessidades 3 3 Sim Questionrio efectuado aos gestores de compras Insuficiente 2 2
dos clientes
A situao descrita anteriormente tambm se aplica, quando
um processo de aprovao de fornecedores muito moroso.
Verificamos que no existem tempos definidos por parte dos
intervenientes, para a aprovao de fornecedores.
Qustionar sobre a qualificao e experincia dos Os gestores de compras possuem formao e experincia
No Bom
seus colaboradores adequada para o desempenho sa sua funo
Bom
(Necessrio
Questionar os compradores sobre as suas
Tem frequentado aces de formao, so adequadas avaliao mais
Sim necessidades de formao e a adequao da
funo e a frequncia boa. profunda para
formao ministrada.
devida aferio
do risco)
19. Recursos Humanos

Os colaboradores no possuem a experincia ou a
3 2 2 2
capacidade necessria para o desempenho da funo que
lhe foi atribuda
Bom
No N/A N/A
(se aplicado)
1.1.2. Seleco do fornecedor e validao das

condies 23. Falha de Produto/Servio
- 1.1.2.1. Actualizao lista fornecedores Risco dos clientes receberem produtos defeituosos ou 3 2 2 2
- 1.1.2.2. Escolha do fornecedor a contactar ocorrerem falhas nos servios contratados
- 1.1.2.3. Solicitao de cotao
- 1.1.2.4. Anlise comparativa propostas
- 1.1.2.5. Seleco da proposta 1- Anlise de um processo de compra: verificar
1- De acordo com informao dos gestores de compras, no
se existe evidncia de que os compradores/
processo de seleco de fornecedores, no so tidas em
Sim gestores tiveram em considerao os resultados insuficiente
considerao as avaliaes anuais efectuadas a
da avaliao dos fornecedores no processo de
fornecedores pela rea da qualidade e gesto de stocks.
seleco do fornecedor.
A compra de determinados matetiais de embalgem

efectuada com base num contrato negociado por uma
empresa do grupo, para todo o grupo e cuja interveno da
Acordos de fornecimento demateriais de
No rea de compras meramente ao nvel da formalizao do N/A
embalagem
acordo de fornecimento, tendo por base a informao
recebida da empresa que contratualiza. Esta Empresa no
tem qualquer interveno no processo negocial.
24. Fornecimento
Risco de no existir no mercado o material/servio com o 3 3 3 3
preo/qualidade desejado pela Unidade de Negcio
No N/A Controlo efectuado fora da rea de compras No Avaliado
Bom
No N/A N/A
(se aplicado)
26. Autorizao
3 3 3 3
atribudas
118

Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
(Sim/No)
26. Autorizao
3 3 3 3
atribudas 3 - Inqurito ao Director de Compras
questionando situaes em que tenha
constatado que os Compradores/ Gestor de 3 - No foram relatadas pelo Director de Compras situaes
No Compra no o envolveram num processo de em que tenha detectado o incumprimento dos nveis de Bom
compra quando assim o deveriam de acordo autorizao.
com o documento interno de nveis de
autorizao.
N/A N/A N/A N/A
28. Comunicao
Risco da comunicao horizontal e vertical no ser eficiente
3 2 3 2
resultando em mensagens inconsistentes com os objectivos
A resposta obtida foi de que por norma no so efectuadas
propostos e a estratgia do grupo
Inqurito aos compradores sobre a realizao da actas das reunies, nem existe por parte da rea de compras
acta da reunio, ou realizao de uma um documento (modelo), onde se identificam as condies
Sim Insuficiente
informao com os principais pontos referidos negociadas e se solicita ao fornecedor para assinar, ficando
na mesma e assinada pelo fornecedor deste modo o fornecedor comprometido com as condies
negociadas.
Inqurito aos gestores de compras, procurando Bom

29.Liderana
ouvir relatos de insatisfao face s medidas A sua chefia directa (director de compras) transmite toda a (Necessrio
Risco dos responsveis pelos processos crticos da
tomadas pela sua chefia directa (Director de informao necessria para o bom desempenho da sua avaliao mais
empresa e liderana de equipas no terem o perfil 3 2 N/A 2 2
Compras), situaes em que se sintam pouco funo. O Responsvel pela rea de compras est disponvel profunda para
adequado ao desempenho das funes que lhe foram
apoiados pela chefia, e tarefas para as quais para quaisquer esclarecimentos adicionais. devida aferio
cometidas
consideram que lhes poderiam ser delegadas. do risco)
Verificamos que a compra de determinados materiais de

embalagem so efectuados com base em contrato
negociado por outra empresa do Grupo e cuja interveno da
30. Subcontratao Verificar como so efectuados os acordo de rea de compras meramente ao nvel da formalizao do
Risco dos fornecedores de servios em outsorcing no fornecimento dos materiais de embalagem e acordo de fornecimento.
actuarem de acordo com os limites e competncias 3 2 N/A qual a interveno no mesmo por parte da A Empresa no tem qualquer interveno no processo de No Avaliado 3 2
que lhes foram atribuidos e no agirem de acordo com Empresa. compras destes materias. No so executados testes que
os valores, estratgia e objectivos da organizao. nos permitam afirmar que estamos perante o melhor preo,
isto porque, considera o Dir. de Compras que o poder
negocial desta empresa do grupo de tal ordem, que
dificilmente se iriam conseguir melhores preos.
1 - A rea de Compras segue o cdigo de tica e inclusiv

enviou aos fornecedores que considerou como sendo os
Questionar o Responvel do departamento de
mais importantes para o grupo, uma carta onde apresenta as
compras quanto divulgao (fornecedores e
directivas para os fornecimentos Empresa aqual anexou o
Sim colaboradores da rea de compras) do cdigo de Suficiente
Cdigo de tica do grupo. No obtivmos evidncia do envio
tica do grupo e ao acompanhamento do seu
destas cartas a fornecedores estrangeiros, nem aos novos
37. Fraude do Colaborador cumprimento.
fornecedores com os quais a Empresa prev manter uma
2 2 relao de continuidade. 2 2
individualmente ou em conluio praticarem fraudes contra a
empresa
O gestor de compras tem em considerao a listagem

existente de fornecedores aprovados para cada grupo de
material, pelo que, estes fornecedores so os escolhidos
para solicitar propostas (cotaes), no entanto, nada invalida
de contactarem novos fornecedores (mesmo sem estarem a
provados).
So recolhidas as propostas pelos compradores e
Anlise dos processos seleccionados para
posteriormente feita uma anlise comparativa das mesmas
amostra e verificao da evidncia de
e apresentadas ao Director de Compras para avaliar e decidir
Sim validao/aprovao das condies negociadas insuficiente
quanto proposta a seleccionar. De referir que no existe
de acordo com as normas internas do
evidncia desta aprovao por parte do Director de
departamento de Compras
Compras.
Caso se venha a verificar que a proposta recebida de um
fornecedor novo (ainda no aprovado) interessante e
poder ser uma mais valia para a empresa porque mais
competitivo, poder ajudar a ter maior poder negocial junto
dos actuais, o Gestor de Compras contacta a Dir. Qualidade
e despoletado o processo que leva a aprovao do mesmo.

Impacto/Probabilidade de Ocorrncia reduzida na
sequncia da anlise desenvolvida pela Auditoria
Interna
32. Acessos 3 2 N/A N/A N/A N/A 1 1
40. Reputao 2 2 N/A N/A N/A N/A 1 1
51. Alinhamento 2 2 N/A N/A N/A N/A 1 1
52. Contratos/Compromissos 3 2 N/A N/A N/A N/A
57. Oramento 2 2 N/A N/A N/A N/A 1 1
59. Avaliao de Investimentos 2 2 N/A N/A N/A N/A
Existe um procedimento da qualidade nas entregas dos

materiais. Os materiais so acompanhados por um
certificado de garantia da qualidade, e que entregue na
Confirmao dos controlos efectuados pela rea
qualidade. A rea da qualidade, verifica se est tudo em Bom
N/A da qualidade na recepo dos matrias 2 2
conformidade e d o OK, no sistema informtico,. S a partir (se aplicado)
relevantes para a qualidade
desta altura que os materiais so disponibilizados para
consumo. Se existir alguma divergncia feita a
devoluo/reclamao ao fornecedor.
119

Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
(Sim/No)

Risco de incumprimento de regulamentos e normas
externas e internas
1 1
realizada pela Auditoria Interna, apesar de ter sido
classificado inicialmente pelo Gestor como pouco
Existncia de penalidades aplicadas Empresa, resultado da
significativo.
aplicao de clausulas contratuais celebrado com um
fornecedor.
Verificar a existncia de Penalidades aplicadas
Sim em 2006 Empresa resultantes de condies Suficiente 2 2
A penalidade calculada pelo fornecedor e validada pelo
contratualizadas
gestor de stocks, bem como, as ND emitidas pelo
fornecedor.
15. Cycle Time

3 2 N/A N/A N/A N/A N/A N/A
Inqurito aos gestores relativamente

Os compradores analisam (semanalmente) a existncia de
frequncia com que analisam a existncia no
requisies liberadas no sistema informtico e que esto a Bom
Sim sistema informtico de requisies liberadas
aguardar a criao de acordo de fornecimento, com o intuito (se aplicado)
aguardando a criao de acordo de fornecimento
de regularizar as situaes.
para o Grupo de Compras
1.1.4. Criao do Acordo de Fornecimento 16. Efficiency
Risco de ineficincia na satisfao das necessidades
2 2 2 1
dos clientes
Os compradores contactam a rea requisitante pedindo a

Bom
No No testado. No existe evidncia liberao da requisio de modo a que possam criar o
(se aplicado)
acordo de fornecimento.
120
1.1.4. Criao do Acordo de Fornecimento

Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
(Sim/No)
26. Authority/ Limit Risk

Risco dos colaboradores executarem tarefas que no
era suposto ou no executarem as tarefas que lhes
estavam atribudas - Analisar um acordo de fornecimento e verificar O acordo com o fornecedor XYZ, no se encontrava
3 2 Sim se est assinado de acordo com os nveis de assinado de acordo com os nveis de autorizao insuficiente 3 2
Risco considerado importante na sequncia da anlise autorizao definidos internamente. estabelecidos.
realizada pela Auditoria Interna, apesar de ter sido
classificado inicialmente pelo Gestor como pouco
significativo.
32. Access
Risco do acesso informao /sistemas de informao 3 2 No N/A N/A No Avaliado 3 2
ser indevidamente concedido ou recusado.

individualmente ou em conluio praticarem fraudes
3 1 1 1
contra a empresa
Considerado risco reduzido neste sub-processo

Impacto/Probabilidade de Ocorrncia
reduzida na sequncia da anlise
desenvolvida pela Auditoria Interna
3 2 N/A N/A N/A N/A 1 1

3 2 N/A N/A N/A N/A 1 1
23.Falha de Produto/servio
3 2 N/A N/A N/A N/A 1 1
24. Fornecimento
Risco de no existir no mercado o
3 2 N/A N/A N/A N/A 1 1
material/servio com o preo/qualidade
desejado pela Unidade de Negcio
28. Comunicao
2 2 N/A N/A N/A N/A 1 1
30. Subcontratao
3 2 N/A N/A N/A N/A 1 1
51. Alinhamento 3 3 N/A N/A N/A N/A 1 1
52. Contratos/ Compromissos 2 2 N/A N/A N/A N/A
55. Reporte normativo 3 2 N/A N/A N/A N/A
121
Anexo 5 - Matriz de riscos Residuais do Processo de compras
MATRIZ DE RISCOS (Residuais) PROCESSO: 1.1.2. Processo Geral - Compras Oramento - Seleco do fornecedor e validao das
condies

A.I. A.I. A.I.
I P I P I P
2. Perda Castatrfica 6. Legal 10. Poltico
3. Concorrncia 7. Normativo
RISCOS DO PROCESSO
A.I. A.I. A.I.
I P I P I P
14. Satisfao dos consumidores 2 2 29. Liderana 2 2 45. Liquididez - Cash Flow
15. Tempo do Processo 30. Subcontratao 1 1 46.Liquididez - Concentrao
20. Obsolescencia PROCESSAMENTO A.I. 50. Preo - Taxa de Juro
19. Recursos Humanos 2 2 INFORMAO / I P
23. Falha do Produto/Servio 2 2 33. Disponibilidade
A.I.
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao 1 1
A.I. A.I. A.I.

RISCO OPERACIONAL I L RISCO FINANCEIRO I L RISCO ESTRATGICO I L
52. Contratos/ Compromissos 57. Oramento 1 1 64. Avaliao do Ambiente do Negcio
55. Reporte normativo (Operacional) 60. Fundo de penses 67. Avaliao da Performance (Estratgica)
70. Valorizao
122
Anexo 5 - Matriz de riscos Residuais do Processo de compras
MATRIZ DE RISCOS (residuais) PROCESSO: 1.1.4. Processo Geral - Compras Oramento - Criao do Acordo de Fornecimento

A.I A.I A.I
I P I P I P
2. Perda Castatrfica 6. Legal 10. Poltico
3. Concorrncia 7. Normativo
RISCOS DO PROCESSO
A.I. A.I A.I
I P I P I P
14. Satisfao dos consumidores 29. Liderana 45. Liquididez - Cash Flow
15. Tempo do Processo 30. Subcontratao 1 1 46.Liquididez - Concentrao
20. Obsolescencia PROCESSAMENTO A.I 50. Preo - Taxa de Juro
19. Recursos Humanos INFORMAO / I P
23. Falha do Produto/Servio 1 1 33. Disponibilidade
A.I
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao
A.I. A.I. A.I

RISCO OPERACIONAL I P RISCO FINANCEIRO I P RISCO ESTRATGICO I P
52. Contratos/ Compromissos 1 1 57. Oramento 64. Avaliao do Ambiente do Negcio
55. Reporte normativo (Operacional) 1 1 60. Fundo de penses 67. Avaliao da Performance (Estratgica)
70. Valorizao
123
Anexo 5 - Matriz de Risco Residual do Processo de Compras
13.
52. 55. Reporte
11. Interrupo do Cumprimento 14. Satisfao do 19. Recursos 23. Falha de 26. Risco de 30. 37. Fraude do 40. 51. % Risco do N Ocorrncias Ranking Processos
Processos / Riscos negcio normas e Consumidor
16. Eficincia
Humanos Produto/Servio
24. Fornecimento
Autoridade
28. Comunicao 29. Liderana
Subcontratao
32. Acessos
colaborador Reputao Alignhamento
Contrato/Compro normativo 57. Oramento Soma dos riscos
Processo Risco Abs. >3 (Risco Abs. >3)
misso (Operaconal)
regulamentos
1.1. 1.1.2. Seleco do fornecedor e validao das condies 2 4 4 4 4 4 9 9 6 4 1 1 4 1 1 1 59 69% 10 1

Compras
Oramento 1.1.4. Criao do Acordo de Fornecimento 1 4 2 1 1 6 1 1 6 1 1 1 1 27 31% 3 2
N Ocorrncias 2 2 1 2 1 2 2 2 2 1 2 2 2 1 2 1 1 1
N Ocorrncias [Risco Abs. >3] 0 2 1 1 1 1 1 2 1 1 0 1 1 0 0 0 0 0
MAPA DE RISCOS DOS PROCESSOS DE COMPRAS MAPA DE RISCOS DOS PROCESSOS DE APROVISIONAMENTO (FINAL)
29 28 26
16 26 24
24 28
x 19
Crtico
Crtica
15
23
32
11 52
32 51
16 16
40
x
41 19 19
Importante
Importante
29 14 13
Impacto
Impacto
55 29 14 13
37
34 x 23
37
23
57
x 59
11
Manageable
30 11 30
Gervel
55
52
6 52 55
xx x x
40
7 40 57 51
33 51
45 57
Remota Possvel Provvel Remota Possvel Provvel
Probabilidade Probabilidade
Fonte: Baseado na norma AS/NZS 4360:2004 e no COSO ERM
Legenda:
rea menos prioritria - Estes riscos so normalmente aceitveis, no seu nvel actual. As empresas de sucesso
eliminam os controlos irrelevantes e redundantes.
rea Intermdia - "Inspeccionar e corrigir" os controlos e monitorizar os processos so medidas adequadas para
mitigar os riscos.
rea a precisar de ateno imediata - Elevado Impacto e Probabilidade do risco acontecer. O Objectivo o de
evitar ou prevenir estes riscos na origem.
124
ANEXO 6 - Matriz de Tratamento de Riscos do processo de Compras
Fase 5 do Modelo de GR - Tratar os Riscos
Riscos Residuais Medidas para Definio de planos

mitigar os riscos de aco
Avaliao do Risco Residual
Estratgia Possveis medidas para procurar mitigar o risco residual Plano de Implementao
N Risco Designao Factores de Risco
Proposta
Medida Tarefa Responsvel Prazo
COLOCAR ESTE COLOCAR ESTE PARGRAFO
As reas operacionais no enviam para o Departamento de Compras a
O Departamento de Compras dever definir juntamente com as reas
informao relativa aos oramentos atempadamente, ou quando chega
Operacionais um calendrio para a recepo de toda a informao
posteriormente alterada, o que pode pr em causa a recepo de
necessria, de modo a evitar atrasos e desta forma comprometer o poder
16 materiais e por conseguinte a satisfao das necessidades dos clientes.
Eficiencia Controlar negocial, bem como, dever ser definida uma equipa de trabalho com
Por outro lado, verifica-se situaes em que o processo de aprovao de
todos os intervenientes no processo de aprovao de fornecedores com o
fornecedores moroso. Ambas as situaes atrs referenciadas podem
intuito de se definirem limites temporais razoveis de interveno de cada
provocar atrasos nas negociaes, podendo originar uma perda de
rea por tipo de material.
oportunidade negocial
Na admisso de um novo fornecedor nacional, sugerimos que se verifique
A informao solicitada a fornecedores de materiais em que o risco de se a firma em causa se encontra na Lista de Devedores ao Fisco
fornecimento elevado que permita avaliar a sua capacidade financeira e disponibilizada no site das Finanas.
situao econmica no parece ser suficiente podendo conduzir a risco No caso de fornecedores em que o montante em negociao assume
de fornecimento, falha do produto ou eficincia no caso de o fornecedor propores significativas (de acordo com limite a definir pelo
24 Fornecimento Controlar Departamento de Compras) ou para materiais crticos, e se perspectivem
enfrentar problemas financeiros/econmicos significativos.Dependncia
do know-how (nomeadamente ao nvel da manuteno) de entidades que perodos de fornecimento longos (por exemplo 1 ano), dever ser
trabalham com a Empresa em regime de Subcontratao, que caso ponderada a recolha de informao econmico-financeira do fornecedor
deixarem de trabalhar com a Empresa podero causar-lhe problemas. por recurso a entidades especializadas que fornecem este tipo de
informao (ex: Dun & Bradstreet e outras entidades).
Entendemos que deve sempre existir um documento justificativo da

escolha do fornecedor e evidncia da sua aprovao, de modo a garantir
que a escolha foi efectuada por pessoa autorizada e a quem est
atribuda essa competncia.
Processos de compra em que no existe qualquer documento que
Sugerimos que seja definido um documento modelo obrigatrio que
justifique a escolha do fornecedor, ou os critrios que estiveram na base Controlar
26 contenha os motivos que justifiquem a escolha do fornecedor, documento
Autorizaes dessa deciso, bem como, no existe evidncia da aprovao.
este que dever estar arquivado juntamente com o processo de compras.
Estes mapas devero apresentar evidncia de aprovao de acordo com
os nveis de delegao definidos no documento interno.
Solicitaes de cotao efectuadas ao mesmo fornecedor com os

Sugerimos que seja desenvolvida uma ferramenta que permita que uma
materiais repartidos por empresa do grupo. Esta situao leva a que o
28 solicitao de cotao rena todas as requisies de compra do mesmo
fornecedor no tenha uma viso consolidada dos materiais e quantidades
Comunicao Controlar material ignorando os campos Empresa permitindo assim que o
solicitados para todo o Grupo podendo levar a uma perda de vantagem
fornecedor possa ter o resumo total da quantidade encomendada pelo
negocial. Nestas situaes o comprador solicita ao fornecedor que veja
Grupo.
para as propostas de um modo global.
32 Acessos A analisar
125

A Gestão de Risco Aplicada À Auditoria

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

A Gestão de Risco Aplicada À Auditoria

Enviado por

Direitos autorais:

Formatos disponíveis

Universidade de Aveiro Departamento de Economia, Gesto e Engenharia

ALBERTINA A GESTO DE RISCO APLICADA AUDITORIA

ALBERTINA A GESTO DE RISCO APLICADA AUDITORIA

Dissertao apresentada Universidade de Aveiro para cumprimento dos

presidente Prof. Doutora Maria de Ftima Marques Teixeira Lopes Pinho

Prof. Doutor Manuel Emlio Mota de Almeida Delgado Castelo Branco

Prof. Doutora Helena Coelho Incio

resumo A globalizao da economia, o aumento da concorrncia, as expectativas cada

In this context, based on the risk management framework AS/NZS 4360:2004

Quadro 1: Comparao entre o Velho e o Novo Paradigma .................................................... 5

Figura 1: Ideograma Chins (Risco/Crise) ............................................................................. 17

AICPA American Institute of Certified Public Accountants

COBIT Control Objectives for Information and Related Technology

COSO The Committee of Sponsoring Organizations of the Treadway Commission

ERM Enterprise Risk Management

FERMA - Federation of European Risk Management Associations

IIA The Institute of Internal Auditors

IFAC International Federation of Accountants

IGIT IT Governance Institute

IPAI Instituto Portugus de Auditores Internos

IRAM Instituto Argentino de Normalizacin e Certificacin

ISA International Standards on Auditing

ISACA Information Systems Audit and Control Association

SEC Securities and Exchange Commission

SOX Lei Sarbanes-Oxley

A velocidade de mudana, a complexidade crescente da economia associada crise

Tendo em considerao o contexto actual, consideramos que a nova viso da

neste enquadramento que entendemos ser relevante conhecer a forma como a

Assim, com o objectivo de mostrar a aplicabilidade de um modelo de gesto de risco

No primeiro captulo apresentamos o enquadramento do tema, o principal objectivo,

No segundo capitulo, apresentamos a evoluo da actividade da Auditoria Interna,

No terceiro captulo, fizemos uma abordagem gesto de risco nas organizaes,

No quarto captulo, abordamos a metodologia da Auditoria Interna focalizada na

Por ltimo, no quinto captulo, apresentam-se as principais concluses obtidas no

2.1. Perspectiva evolutiva da Noo de AI

No podemos deixar de salientar a importncia que teve no desenvolvimento da

Na mesma linha de pensamento est Junior (2005) ao referir que inicialmente, a

Segundo Morais (2008), fornecer valor empresa, trata-se de um conjunto de

Os controlos so importantes mas para fornecer valor empresa a funo de Auditoria

O quadro 1 apresenta um resumo das diferenas nos focos da auditoria em termos

Focus de auditoria Sistemas de controlo interno Riscos de Negcio

Resultados de auditoria Controlo novo ou melhorado Mitigao apropriada do Risco

Quadro 1: Comparao entre o Velho e o Novo Paradigma (Fonte: Mc Namee, 1997)

A diferena entre estes dois paradigmas reside essencialmente na transferncia da

Trata-se de um paradigma diferente, do olhar para a frente, uma auditoria centrada

De acordo com Almeida (2006), o valor em auditoria traduz-se no desenvolvimento de

De acordo com McNamee (1997a), a avaliao de riscos permite ao auditor definir um

O principal papel da Auditoria Interna no processo de gesto de risco

De acordo com McNamee (1997b), a Auditoria Interna baseada em riscos, melhora o

A auditoria baseada em riscos, significa ampliar a perspectiva de todas as auditorias

De referir que a AIBR, permite ao auditor verificar no s se os controlos existentes

De acordo com Cocurullo e Vanca (2002), a avaliao do risco, em auditoria utilizada

De salientar a importncia da Auditoria Interna no Governo das Sociedades. De

Tendo em considerao as opinies apresentadas sobre a nova realidade da Auditoria

2.2. Controlo Interno

O conceito mais comum de Controlo Interno est relacionado com as normas e

No seguimento deste relatrio (Treadway Report), foi desenvolvido e publicado em

Este grupo de trabalho estava constitudo por representantes da American Accounting

De acordo com o COSO, Controlo Interno um processo, desenvolvido pelo Conselho

garantir a eficcia e eficincia das operaes

garantir a fiabilidade da informao

assegurar o cumprimento com obrigaes legais e regulamentares

Salvaguarda dos activos da empresa, preveno e deteco de fraudes e