Escolar Documentos
Profissional Documentos
Cultura Documentos
2010 Industrial
Quero tambm agradecer aos meus colegas e amigos, Dr. Joo Machado, Dr.
Armando Lopes, Dr. Paulo Rodrigues e D. Candida Castro, pelo apoio
prestado.
palavras-chave Gesto de Risco, Risco, Medidas, Auditoria Interna, Processo de Compras.
abstract Nowadays there are several issues affecting organizations, the globalization of
the economy, the increase of competitiveness among companies, and the
world crisis that we are now dealing with. Those facts are exposing companies
to higher risks which may compromise the objectives set by Management.
Therefore companies should know the risks they are facing so they can
implement the necessary measures to mitigate those risks and accomplish their
objectives.
This new paradigm of the Internal Audit function adds up value for the
organization, since it concentrates not in the past but in the future, including in
their work the identification, analysis and evaluation of risks relating them with
the main objectives set by the company.
The work performed followed the phases defined in the risk management
model AS/NZS 4360:2004, starting by establishing the context, followed by the
identification, analysis and evaluation of absolute risks, controls in place and
the residual risks.
Finally, findings were identified and Internal Audit issued their
recommendations that in their perspective would help the company to reduce
company risk exposures.
Communication and consultation were contemplated in each phase of risk
management process.
Monitoring and Reviewing were not included in the scope of this work.
All work is supported in worksheets, for example, the absolute and residual
risks matrix, the risk analysis matrix and the risk treatment matrix.
NDICE GERAL
1.Introduo....................................................................................................................... 1
2. Abordagens da Auditoria Interna.................................................................................... 3
2.1. Perspectiva evolutiva da Noo de AI .................................................................... 3
2.2. Controlo Interno ..................................................................................................... 7
2.3. Principais diferenas entre Controlo Interno e Auditoria Interna ............................11
2.4. As Normas Internacionais para a Prtica Profissional de Auditoria Interna ...........12
3. Gesto de Risco Empresarial ...................................................................................... 14
3.1. Evoluo e Conceito .............................................................................................14
3.2. Risco .....................................................................................................................16
3.3. Utilizadores da Gesto de Risco ...........................................................................18
3.4. Modelos de Gesto de Risco Empresarial.............................................................19
3.4.1. O COSO ERM ................................................................................................ 19
3.4.2. Norma Australiana / Neozelandesa AS/ NZS 4360:2004 ................................ 23
3.4.3. Norma de Gesto de Riscos - FERMA ........................................................... 27
3.4.4. O COBIT ........................................................................................................ 28
3.4.5. ISO 31000:2009 ............................................................................................. 30
3.5. Limitaes da Gesto de Risco Empresarial .........................................................32
4. Metodologia da Auditoria Focalizada na Gesto de Riscos.......................................... 33
4.1. Processo de Auditoria Interna baseado nos Riscos do Negcio............................33
4.2. Principais Objectivos de uma AIBR .......................................................................34
4.3 Razes para a implementao de uma AIBR .........................................................35
4.4. O Papel do Auditor Interno na Gesto de Riscos ..................................................36
4.5.Tcnicas utilizadas para medir o risco....................................................................39
5. Aplicao prtica: a avaliao do risco num processo de compras .............................. 43
5.1. Metodologia ..........................................................................................................43
5.1.1. Objectivos ...................................................................................................... 43
5.1.2. Modelo e fases de aplicao .......................................................................... 43
5.1.3. Universo utilizado para aplicao do modelo.................................................. 52
5.1.4. Pressupostos ................................................................................................. 52
5.2. Aplicao da avaliao de risco num processo de compras ..................................53
5.2.1. Estabelecimento do Contexto ......................................................................... 53
5.2.1.1. Compreender o contexto estratgico ........................................................... 54
5.2.1.1.1. Caracterizao do Departamento de Compras ......................................... 54
5.2.1.1.2. Polticas e Procedimentos internos aplicveis .......................................... 56
i
5.2.1.2. Compreender os processos de negcio ...................................................... 56
5.2.1.2.1. Processos principais e de suporte s Compras ........................................ 56
5.2.1.2.1.1. Processos principais.............................................................................. 58
5.2.1.2.1.2. Processos de suporte s Compras ........................................................ 62
5.2.1.2.2. Enquadramento dos processos na Estrutura Organizativa ....................... 63
5.2.1.3. Estabelecer uma linguagem comum............................................................ 65
5.2.2. Processo de Avaliao dos Riscos................................................................. 68
5.2.2.1. Identificao dos riscos - Risco Absoluto .................................................... 68
5.2.2.2. Anlise dos riscos ....................................................................................... 72
5.2.2.3. Avaliar os riscos .......................................................................................... 76
5.2.3. Tratar os riscos .............................................................................................. 80
5.2.4. Ficha de anlise de riscos e controlos ............................................................ 82
5.3. Limitaes da aplicao prtica ............................................................................84
5.4. Anlise crtica ........................................................................................................85
6. CONCLUSO .............................................................................................................. 88
BIBLIOGRAFIA ................................................................................................................ 90
ANEXOS.......................................................................................................................... 95
ii
ndice de Quadros
ndice de Figuras
iii
GLOSSRIO DE SIGLAS
AI Auditoria Interna
AIBR Auditoria Interna Baseada no Risco
CI Controlo Interno
TI - Tecnologia de Informao
iv
1. Introduo
A viso moderna diz-nos que as empresas que melhor respondero s mutaes que
rapidamente esto a acontecer no mercado global, so aquelas que compreendem
desde j, de uma forma mais esclarecida, os seus riscos e que alinham essa
assumpo de riscos com aquilo que melhor sabem fazer.
1
A nossa dissertao encontra-se dividida em cinco captulos que passamos a
apresentar de forma resumida.
2
2. Abordagens da Auditoria Interna
Durante muitas dcadas a Auditoria Interna foi entendida como uma actividade que
visava essencialmente a avaliao da fiabilidade dos controlos internos,
frequentemente, designada de o controlo dos controlos, ou seja, tinha como principal
funo salvaguardar os activos da empresa, verificar se os procedimentos institudos
na organizao estavam a ser cumpridos e ainda verificar a veracidade da informao
financeira.
Conforme referido por Costa (2007), a aprovao dos Standards for the Professional
Practice of Internal Auditing em 1978, pelo IIA, tambm teve um contributo muito
positivo na evoluo da Auditoria Interna, dado que na introduo se define a Auditoria
Interna como uma funo de apreciao independente, estabelecida dentro de uma
organizao, como um servio para a mesma, para avaliar e examinar as suas
actividades. O objectivo da Auditoria Interna o de auxiliar os membros da
organizao no desempenho eficaz das suas responsabilidades. Com esta finalidade,
a Auditoria Interna fornece-lhes anlises, apreciaes, conselhos e recomendaes
respeitantes s actividades analisadas (Costa, 2007:88).
Em Junho de 1999, a noo de Auditoria Interna foi redefinida pelo IIA, passando a
incorporar as mudanas ocorridas na profisso e a orientar os auditores internos para
uma actividade mais abrangente, em que se d maior relevo questo do valor
acrescentado que dado pela Auditoria Interna organizao. A Auditoria Interna
passou a ser definida como uma actividade independente de garantia e de
consultoria, destinada a acrescentar valor e a melhorar as operaes de uma
organizao. Assiste a organizao na consecuo dos seus objectivos, atravs de
3
uma abordagem sistemtica e disciplinada, para a avaliao e melhoria da eficcia
dos processos de gesto de risco, controlo e governao (IIA,1999).
Esta alterao mostra a mudana que tem vindo a acontecer ao longo dos anos na
actividade de Auditoria Interna, em que estamos a passar de um trabalho
essencialmente focado em factos passados, para um trabalho que se foca no presente
e no futuro, acrescentando deste modo maior valor organizao. Esta nova
focalizao da Auditoria Interna veio dar lugar ao que se designa, frequentemente,
Auditoria Interna Base Risco (AIBR).
De acordo com Sousa (2007), a Auditoria Interna dever deixar de estar focalizada na
garantia da correcta escriturao do passado, para estar mais comprometida com a
Gesto, de modo a que os objectivos e metas da empresa sejam alcanados.
Deste modo, a AIBR passou a utilizar todas as tcnicas de gesto de riscos, incluindo
outras tcnicas de gesto alm de actividades de controlo.
A este propsito Pinheiro (2008), refere que a Auditoria Interna dever evoluir para a
Auditoria de Gesto (Value For Money Audit), com o objectivo de acompanhar o
desenvolvimento e a utilizao de mtodos de gesto de riscos negativos das
empresas e, assim, aumentar o sucesso da funo numa ptica de acrescentar valor
quer aos processos quer empresa.
4
rea de Auditoria Velho Paradigma Novo Paradigma
Segundo Lorenzo (2001), hoje em dia o Auditor Interno fixa-se no presente e no futuro,
nos riscos actuais e nos que ho-de vir, a sua atitude torna-se pr-activa
acrescentando maior valor empresa.
5
controlos com maior detalhe, bem como, ajuda a definir as reas auditveis mais
crticas, sobre as quais a auditoria se ir debruar em primeiro lugar.
No seguimento do Enterprise Risk Management (ERM) emitido pelo COSO, o IIA veio
esclarecer a posio da Auditoria Interna, considerando que:
Neste sentido, espera-se que a Auditoria Interna seja, principalmente, uma ferramenta
de apoio Gesto e que ajude a organizao a alcanar os seus objectivos.
Conforme referido por Morais (2008), a Auditoria Interna vive um momento nico na
sua histria tornando-se um dos principais alicerces da estrutura de governo das
organizaes. O papel da Auditoria Interna mais abrangente, incorpora os processos
6
de gesto de riscos, auxiliando na preveno de perdas e na identificao de
oportunidades de melhoria dos instrumentos de gesto e controlo das operaes.
Para Almeida (2006), a Auditoria Interna contribui para um maior conforto e garantia
no controlo dos riscos de negcio; fomenta o alinhamento de objectivos nos vrios
nveis da organizao e um agente de mudana, j que permite assumir mais risco e
aproveitar oportunidades.
De referir que inicialmente a Auditoria Interna era baseada nos controlos, o que estava
em causa era essencialmente garantir o cumprimento da legislao e regulamentos
aplicveis: normativos contabilsticos, fiscais e sectoriais.
Conforme referido por Gonalves (2008), foi publicado em 1987 o primeiro documento
que trata da temtica do Controlo Interno, o denominado Treadway Report1. Neste
relatrio foram, efectuadas uma srie de recomendaes, nomeadamente para a
existncia de um Comit de Auditoria composto por profissionais independentes,
1
Report of the National Commission on Fraudulent Financial Reporting (National Commission on the Fraudulent Financial Reporting, 1987),
7
competentes e que possussem um adequado conhecimento da actividade
desenvolvida, bem como, a emisso de relatrios de auditoria que descrevessem a
eficcia das medidas de controlo interno.
Este documento foi desenvolvido por um grupo de trabalho que Treadway Commission
formou com o objectivo de uniformizar o conceito de Controlo Interno, uma vez que
existiam vrias opinies sobre este tema, dependendo da pessoa e da funo que a
mesma desempenhava. Digamos que no havia um entendimento comum, sobre o
que o Controlo Interno e qual a sua misso.
Este modelo considerado uma das referncias a nvel mundial para a auditoria aos
controlos internos.
Esta definio de Controlo Interno continua a ser aceite em todo o mundo e o objectivo
principal, conforme definio acima de auxiliar a empresa a atingir os seus
objectivos.
Pereira et al. (2008) considera que os objectivos referidos nesta definio podem
apresentar-se de uma forma mais detalhada, como:
8
Exactido, integridade e fiabilidade da informao financeira e contabilstica;
Segundo Gonalves (2008), o Guia elaborado pelo IFAC para as PME's (Guide to
Using International Standards on Auditing in the Audits of Small-and Medium sized
Entities") defende que existe uma relao directa entre os objectivos de uma entidade
e o sistema de Controlo Interno implementado de modo a garantir a sua realizao.
De acordo com Beja (2004a), o Controlo Interno um dos componentes que integra os
procedimentos especficos da gesto de risco de negcio. Tem como principal funo
salvaguardar o valor, os interesses e as responsabilidades de uma empresa.
9
Este conceito tem evoludo de tal modo que hoje em dia, j se relaciona o Controlo
Interno com o Risco Empresarial, conforme poderemos verificar no ponto seguinte, em
que o COSO passou a integrar componentes de gesto de risco.
Beja (2004a:90) chama a ateno para o facto de se confundir Controlo Interno com
Gesto de Risco referindo que O Controlo Interno um dos controlos intrnsecos aos
procedimentos especficos de gesto de riscos de negcio que, como processo
visando salvaguardar o valor, os interesses e as responsabilidades da empresa e
minimizar os riscos decorrentes da sua actividade operacional, por vezes confundido
com o Risk Management.
Temos assistido nos ltimos anos a uma evoluo bastante acentuada dos sistemas
de governo das sociedades, sobretudo na resposta dada a falhas e fraudes que
surgiram em grandes empresas como a Enron e a WorldCom, nos anos 2001/2002.
Estas falhas de controlo ajudaram a perceber como que possvel acontecerem
situaes deste tipo, resultando em melhorias no sistema de governo das sociedades,
nomeadamente na implementao de novos controlos. Em resposta a estes
escndalos corporativos a SEC (Securities and Exchange Commission) implementou
novas condies para a gesto e administrao das empresas atravs da Lei
Sarbanes-Oxley de 2002 dos Estados Unidos da Amrica, em que obriga as empresas
cotadas a apresentarem um relatrio anual sobre os seus controlos, o qual, segundo a
Seco 404 Lei Sarbanes-Oxley, 2002: (1) indicar a responsabilidade da gesto
em estabelecer e manter uma estrutura adequada de controlos internos e
procedimentos com vista emisso das demonstraes financeiras; e (2) conter uma
avaliao, data do termo do mais recente ano fiscal, da Emissora, da eficcia da
estrutura dos controlos internos e procedimentos da Emissora para a emisso dos
relatrios financeiros (IPAI, 2002).
10
Estas disposies, assim como outras semelhantes que tm vindo a ser
implementadas neste mbito, nos diversos pases, muito tm contribudo para o
desenvolvimento e reforo da importncia do controlo interno.
Por fora dos seus objectivos o Controlo Interno e a Auditoria Interna andam sempre
ligados, no entanto, so conceitos que existem individualmente, isto , podemos ter
Controlo Interno dentro de uma empresa sem que exista Auditoria Interna e a Auditoria
Interna no se resume ao acompanhamento do Controlo Interno.
11
Actualmente, de acordo com Martin e Morales (2001), a Auditoria Interna pode e deve
contribuir para o cumprimento dos objectivos fixados pela Gesto e, a um nvel inferior,
aos de cada rea ou unidade de negcio da empresa mediante a avaliao dos
controlos que contribuem para alcanar esses mesmos objectivos.
As normas internacionais para o exerccio de Auditoria Interna emitidas pelo IIA (2009)
referem-se tambm ao papel da Auditoria Interna no processo de gesto de risco.
Assim, no Quadro 3, apresentamos as normas que consideramos mais relevantes no
contexto do nosso trabalho.
12
Norma de Desempenho Objectivo da norma
(continuao) (continuao)
A actividade de Auditoria Interna tem que avaliar e
2100 Natureza do contribuir para a melhoria dos processos de
Trabalho governao, de gesto do risco e de controlo,
utilizando uma abordagem sistemtica e disciplinada.
A actividade de Auditoria Interna tem que avaliar a
2120 Gesto de riscos eficcia e contribuir para a melhoria da gesto do
risco.
Quando o responsvel pela auditoria for da opinio de
que os Gestores de Topo optaram por um nvel de
risco residual que possa ser inaceitvel para a
2600 Resoluo da
organizao, o responsvel pela auditoria tem que
Aceitao dos Riscos pelos
discutir o assunto com os Gestores de Topo. Caso a
Gestores de Topo
deciso sobre o risco residual no tenha sido resolvida,
o responsvel pela auditoria tem que reportar o
assunto Administrao para deciso superior.
Quadro 3: Normas de Desempenho IIA, relevantes na GR (Fonte: Produo prpria)
Esta nova viso da Auditoria Interna focada no risco, levou a uma redefinio do papel
do Auditor e do trabalho que o mesmo deve desenvolver. Mesmo no que se refere ao
papel e abordagem da Auditoria Externa denota-se que a actual redaco das Normas
Internacionais de Auditoria emanadas pelo IAASB (International Auditing and
Assurance Standards Board) da IFAC, nomeadamente, a ISA 300 (Planear uma
Auditoria de Demonstraes Financeiras) e 315 (Identificar e Avaliar os Riscos de
Distoro Material por Meio da Compreenso da Entidade e do seu Ambiente), foi
claramente influenciada por estes desenvolvimentos.
De acordo com Barros (2006), a actual redaco das normas da IFAC est em linha
com a uma nova abordagem do risco de auditoria, que passa, pela considerao do
risco de negcio nas avaliaes do risco de auditoria. Estando esta viso patente,
quanto a ns, nas vrias vertentes da auditoria.
13
3. Gesto de Risco Empresarial
De acordo com Azevedo (2005:14) criar valor implica assumir riscos, conhec-los e
geri-los d-nos uma fora necessria para a fabulosa aventura que de criar riqueza
e emprego.
14
Este processo tem como objectivo a identificao dos eventos que podem afectar a
organizao e a gesto dos riscos, alinhados com o perfil de exposio definido, com
vista a providenciar uma segurana aceitvel com vista ao cumprimento dos objectivos
definidos pela organizao COSO (2004a:16)2.
2
Traduo prpria
15
A principal diferena entre o processo de ERM e as outras formas tradicionais de
gesto de risco que o processo de ERM adopta uma perspectiva que coordena a
gesto de risco ao longo de toda a organizao, em vez de cada rea da organizao
gerir os seus prprios riscos (Banham, 2004) citado por Castanheira e Rodrigues
(2006b:58).
3.2. Risco
A noo de risco nem sempre pacfica, no entanto, est sempre relacionada com os
efeitos possveis da ocorrncia de um evento. Em regra, est associado ao efeito
negativo dessa ocorrncia.
No mesmo sentido temos Borge (2001), citado por Beja (2004a:81) que considera que
Risco significa estar exposto possibilidade de um resultado negativo.
Cicco e Fantazzini (2003) consideram ainda que risco, pode significar por um lado a
incerteza quanto ocorrncia de um determinado evento (acidente) e por outro a
probabilidade de perda ou perdas que uma empresa pode sofrer em consequncia de
um ou de vrios acidentes.
16
Na sequncia do impacto poder ser negativo ou positivo encontramos o ideograma
chins que apresenta Risco/Crise atravs de dois smbolos, conforme figura1.
17
Riscos relacionados com as informaes ocorrncia de ameaas
decorrentes de m qualidade das informaes para o processo de tomada
de deciso e, fornecimento de informaes a terceiros.
De acordo com FERMA (2003:3) o risco pode ser definido como a combinao da
probabilidade de um acontecimento e das suas consequncias (ISO/IEC Guide 73).
De acordo com Beja (2004b) o risco constitui uma componente intrnseca do negcio e
a informao sobre os riscos do negcio assume-se como um dos principais temas do
moderno governo empresarial.
A nova norma internacional sobre Gesto de Risco, ISO 31000:2009, segundo Simes
(2009), define que o Risco o efeito da incerteza nos objectivos.
18
Figura 2: Principais interessados (Fonte: Produo prpria)
19
reforo de competncias ao nvel da governao corporativa e da gesto de risco,
atravs de novas leis e regulamentaes.
20
Existe uma relao directa entre objectivos e componentes, uma vez que os objectivos
so metas que a entidade pretende alcanar e os componentes so os meios
necessrios para atingir esses objectivos.
21
infra-estruturas, aos activos humanos, aos processos de trabalho e tecnologia
aplicada.
Controlo das actividades, este controlo deve ser efectuado atravs do vector risco.
Como tal deve ser enquadrado/identificado com as polticas (o que deve ser feito) e os
procedimentos (a forma como se deve fazer) que garantem a resposta aos riscos.
22
3.4.2. Norma Australiana / Neozelandesa AS/ NZS 4360:2004
Esta norma fornece orientaes genricas para a aplicao de uma gesto de riscos,
podendo ser aplicada em diferentes organizaes, quer sejam privadas, pblicas ou
comunitrias.
3
Figura 4: Processo de Gesto de Risco (Fonte: AS/NZS 4360:2004:9)
3
Traduo prpria
23
Apresentamos de seguida uma breve descrio de cada uma das fases deste
modelo, tendo por base o esquema acima apresentado, onde se evidenciam os
principais elementos do processo de gesto de risco, a prpria norma (Srie Risk
Management; 2004) e as Directrizes para a implementao desta norma (Srie Risk
Management; 2005).
No que diz respeito ao Estabelecimento dos Contextos, a norma refere que nesta
fase se definem os parmetros bsicos nos quais os riscos devem ser geridos, e
define o enquadramento do restante processo de gesto de risco. De salientar a
importncia do ambiente organizacional e do ambiente externo, no estabelecimento
dos objectivos definidos no processo de gesto de risco.
24
Tambm podem ser definidas as reas da organizao e responsabilidades das
pessoas intervenientes no processo de gesto de risco a implementar.
Por ltimo, temos a definio da estrutura para o restante processo e que consiste
em subdividir a actividade ou, processo em conjuntos de etapas, de modo a garantir
que todos os riscos importantes so identificados. A estrutura escolhida depende da
natureza dos riscos e da estrutura do processo ou actividade.
Nesta fase, vamos procurar dar resposta a quatro perguntas: o que pode acontecer,
onde, quando e como? Vamos tentar identificar todos os eventos possveis que
possam de algum modo afectar positiva ou negativamente a concretizao de
objectivos do processo em anlise. Cada evento pode ocorrer de vrias maneiras
pelo que importante que no nos esqueamos de nenhuma causa possvel.
25
considerao a relao custo/benefcio da opo tomada. Os nveis dos riscos so
determinados atravs da combinao de dois factores, a Probabilidade e o Impacto.
As escalas e tcnicas utilizadas para esta combinao dependem dos critrios
previamente definidos na fase dos contextos, uma vez que depende muito da
situao em anlise, dos objectivos e dos recursos disponveis. A anlise pode ser
qualitativa, semi-quantitativa, quantitativa e de sensibilidade. Uma anlise diz-se
qualitativa quando utiliza a descrio em vez de meios numricos para definir o nvel
de risco. No mtodo semi-quantitativo, os resultados no podem ser interpretados,
uma vez que, no so precisos, contrariamente ao mtodo quantitativo, em que os
resultados determinam o nvel de risco, uma vez que, foi possvel quantificar com
algum rigor a probabilidade de ocorrncia de um determinado risco e o impacto desse
mesmo risco caso venha a acontecer. De referir que nesta fase so identificados os
controlos existentes.
26
enumerar possveis solues, nomeadamente alterar a probabilidade da oportunidade
ocorrer, aumentando a probabilidade dos ganhos que podem resultar deste risco.
Tambm se pode partilhar o risco com uma entidade terceira, como por exemplo
atravs do fornecimento de recursos adicionais que aumentem a probabilidade da
oportunidade ocorrer e consequentemente um aumento de resultados positivos.
A ltima fase deste processo de gesto de risco Monitorizar e Rever, que tem
como principal objectivo verificar a evoluo real da situao face s recomendaes
e planos de aco propostos com vista mitigao e ou reduo do nvel de risco.
Por outro lado, tambm tem como finalidade analisar e avaliar possveis alteraes
no processo que tenham implicao directa ou indirecta na probabilidade ou impacto
de um determinado risco acontecer, quer seja um risco j identificado anteriormente,
quer seja um risco novo que seja identificado nesta fase.
27
objectivos tcticos e operacionais. Toda a organizao tem responsabilidades na
gesto de riscos.
3.4.4. O COBIT
Existem dois modelos de referncia a nvel mundial, o modelo publicado pelo COSO
para a gesto de riscos dos negcios que analismos no ponto 3.4.1 e o COBIT
28
(Control Objectives for Information and related Technology) para a gesto de riscos
dos sistemas de informao.
Segundo BLOEM et al. (2005), citado por Sandonato (2007), a prevalncia destes
modelos decorre da indicao da SEC (Securities and Exchange Commission),
responsvel pela implantao da SOX, pelo uso de um Framework reconhecido,
recomendando a implementao de um processo de gesto de riscos, com mtodos
estruturados de controlos internos que permita alcanar os objectivos de negcio, e
refere o modelo COSO como a estrutura de controlos mais recomendada para a
conformidade com a SOX.
O COBIT considerado uma das estruturas mais adequadas para a gesto de TI, e
aquela que melhor articula o modelo COSO com a gesto de TI e com o governo das
sociedades. O Cobit (2007), refere que existem vrias vantagens para implementar
este modelo como referncia de gesto de TI, nomeadamente, o entendimento entre
todos os interessados, atravs da utilizao de uma linguagem comum e o
cumprimento dos requisitos definidos pelo COSO, no que diz respeito ao ambiente de
controlo de TI.
Assim, como o COSO o mais indicado e uma referncia mundial no que diz
respeito aos controlos internos dos processos de negcios, o COBIT o mais utilizado
para implementar uma estrutura de controlos internos sobre a gesto dos recursos de
tecnologias da informao.
O COBIT surgiu a partir de estudos da ISACA Information Systems Audit and Control
Association, que foi criada em 1967, com o objectivo de estabelecer, de modo
centralizado, uma fonte de divulgao de informaes e orientaes para os
profissionais envolvidos em auditoria de sistemas de informao. O Cobit recebe
vrias contribuies de empresas e organismos internacionais, nomeadamente
Cdigos de conduta emitidos pelo ISACA, padres profissionais para controlo interno e
auditoria como por exemplo do COSO, IFAC, AICPA entre outros.
29
Em 1998, a ISACA criou o ITGI, com o objectivo de alargar os benefcios da aplicao
de modelos de governao corporativa na gesto dos recursos de TI.
O COBIT ajuda a gesto a alcanar os seus objectivos quer nos requisitos de eficcia,
eficincia e economia, quer no que diz respeito confidencialidade dos dados,
integridade, disponibilidade, conformidade e fiabilidade da informao necessria para
controlo e tomada de deciso pela organizao.
A ISO 31000:2009, a mais recente norma mundial lanada sobre gesto de riscos,
que fornece princpios e directrizes para a implementao eficaz da gesto de riscos
nas organizaes, encontrando-se alinhada com a viso integrada da gesto de risco
empresarial (ERM).
De acordo com Bastos (2009), o processo de criao da ISO 31000 iniciou-se com a
primeira reunio que foi efectuada em Tquio no Japo em 2005.
Conforme referido por Jnior (2009), a ideia partiu de uma norma australiana que
abordava o que deveria ser feito para melhorar a gesto de risco nas empresas.
De acordo com Bastos (2009), o trabalho demorou a ser concludo por se tratar de
uma abordagem que abrange diferentes reas. Basto (2009) refere ainda que o mais
difcil foi conseguir conciliar diferentes reas e termos utilizados na gesto de risco.
Alis uma das grandes dificuldades foi definir risco. Foram apresentadas vrias
definies de risco. Contudo, conseguiram chegar a uma definio comum de risco
amplamente aceite em todas as reas.
30
A norma pode ser aplicada em qualquer tipo de empresa, mas no destinada para
fins de certificao. Trata-se de uma norma abrangente e que tem como principal
objectivo ajudar os responsveis pelo desenvolvimento da poltica de gesto de riscos
nas organizaes a assegurar que os riscos so eficazmente geridos.
Hoje em dia verificamos que cada rea das empresas avalia os seus riscos, utilizando
os meios que considera mais adequados, no existe uma gesto integrada do risco.
Deste modo, esta norma vem ajudar as organizaes a desenvolver, programar e
melhorar continuamente uma estrutura com a finalidade de integrar o processo de
gesto de riscos no governo, na estratgia, na gesto, nos processos e na cultura de
toda a organizao.
De acordo com Blair (2009) a nova norma internacional tem por base a norma AS /
NZS 4360-2004 e foi ajustada com a entrada de novos membros experientes e
especialistas de cerca de 28 pases, representando todos os continentes.
De salientar que a norma AS/NZS 4360:2009, foi substituda pela AS/NZS ISO
31000:2009 Gesto de riscos Princpios e directrizes.
Ao mesmo tempo, est a ser publicado a ISO Guia 73:2009, vocabulrio de gesto de
risco, que complementa a ISO 31000:2009, fornecendo um conjunto de termos e
definies relativas gesto de risco, de acordo com ISO (2009).
De acordo com Knight (2009) a ISO 31000 um documento prtico que visa auxiliar
as organizaes a desenvolver e a implementar a sua prpria metodologia de gesto
de risco. A ISO 31000, uma referncia a nvel internacional, pelo que poder ser
utilizada como referncia nas organizaes que pretendam implementar um modelo de
gesto de risco, proporcionando bons princpios de gesto.
31
De salientar que em Dezembro de 2009 foi publicada uma nova norma internacional a
ISO/IEC 31010:2009 - Gesto de riscos - Tcnicas de avaliao de riscos. A
31010:2009 uma norma de apoio ISO 31000:2009 e fornece orientao sobre a
seleco e aplicao de tcnicas sistemticas de avaliao de riscos.
A ISO 31000:2009, (QSP; 2010), utiliza o mesmo processo de Gesto de Risco da
norma Australiana/neozelandesa (AS/NZS 4360:2004), conforme apresentado na
figura 4.
A gesto de riscos feita por pessoas, logo, existe a possibilidade de ocorrer um erro
humano, como por exemplo uma informao mal entendida pode dar origem a uma
deciso ou um juzo de valor menos correcta, podendo afectar a concretizao de
determinado objectivo.
De acordo com o COSO ERM, o conceito de segurana razovel, no quer dizer que a
gesto de riscos corporativa v fracassar frequentemente. Contudo, pode ocorrer um
erro, um evento incontrolvel ou uma informao falsa. Uma segurana razovel no
constitui uma segurana absoluta.
32
4. Metodologia da Auditoria Focalizada na Gesto de
Riscos
De acordo com Cicco (2006), a auditoria, identifica, avalia e prioriza os riscos para se
focalizar nas reas mais importantes a auditar. A avaliao de riscos permite ao
auditor delinear um programa de auditoria capaz de testar os controlos mais
importantes ou com maior nvel de profundidade.
33
Possibilitar a identificao/avaliao de riscos e promover formao sobre
gesto de riscos e controlo interno aos colaboradores;
De acordo com Cicco (2006) a AIBR comea e acaba com a considerao dos riscos
do negcio. Os controlos internos so uma parte importante do tratamento de riscos,
mas no so a soluo completa.
A AIBR tem como principais objectivos fornecer uma segurana razovel no que diz
respeito a se:
Assim, a Auditoria Interna pode dar um apoio importante gesto na medida em que
garante que os processos de gesto de risco so adequados e funcionam de forma
eficaz, bem como, garantem a eficcia dos controlos ou identificam necessidades de
melhoria dos controlos existentes ou ainda implementao de novas medidas, caso se
justifiquem. A Auditoria Interna tambm garante uma correcta identificao e avaliao
dos riscos na organizao.
34
nomeadamente no que diz respeito s medidas de controlos implementadas e a
eficcia das mesmas na reduo dos riscos para nveis aceitveis, de modo a garantir
a concretizao dos seus objectivos. Estamos perante uma nova abordagem, que visa
alinhar os objectivos estratgicos, com os mecanismos de identificao dos riscos, sua
avaliao, gesto e acompanhamento efectuado pelos Auditores Internos, conforme
referido por Gonalves (2008).
De acordo com Sumners (1999), a Auditoria Interna tem que se integrar no processo
de gesto de risco. No obstante o facto da organizao poder nomear um
responsvel pela Gesto de Risco, necessrio que os Auditores Internos
desenvolvam uma metodologia de avaliao dos riscos do negcio, com a devida
independncia.
35
Cada organizao deve determinar o modo como quer implementar a gesto de
riscos. De salientar que nem todas as empresas esto no mesmo grau de maturidade
da gesto de riscos, ou seja, necessrio verificar se j existe uma cultura de gesto
de risco formalizada no seio da organizao, se existem estratgias e polticas
implementadas e comunicadas a todas as reas da empresa ou se no foi
desenvolvida qualquer abordagem sobre gesto de risco. Estes factores so
relevantes na implementao de uma AIBR e de acordo com Srie Risk Tcnologia
(2007), a primeira fase da AIBR analisar de forma critica o nvel de maturidade de
riscos. Esta obra refere ainda que a Auditoria Interna pode ajudar a melhorar os
processos de gesto de riscos e de governo, comunicando os resultados da avaliao
sobre a maturidade dos riscos da organizao ao Comit de Auditoria e, promovendo
a gesto de riscos em todos os trabalhos realizados pela Auditoria Interna.
De acordo com Srie Risk Management (2007), seguindo a AIBR, a Auditoria Interna
deve poder concluir que a Gesto identificou, avaliou e deu respostas eficazes aos
riscos, de modo a alinhar os riscos residuais dentro do apetite ao risco aceite pela
organizao. A gesto deve garantir que quer os processos de gesto de risco quer a
eficcia das respostas e concluses das aces tomadas pela organizao esto a ser
monitorizadas e consequentemente continuam a operar eficazmente.
36
sobre as quais devem recair todas as atenes, portanto, as que devem ser
analisadas primeiro.
De acordo com Cicco (2006), a identificao e avaliao dos riscos nos trabalhos
realizados pela auditoria permite identificar quais as reas mais importantes da
organizao e consequentemente elaborar um programa de auditoria que permita
testar os controlos mais importantes ou com maior detalhe.
O IIA (2004), estabelece ainda quais as actividades que a auditoria no deve realizar,
por deverem ser da responsabilidade da gesto e quando tomadas pela Auditoria
Interna vo diminuir a independncia desta nas competncias que o IIA lhe atribui.
Assim, algumas das actividades que no devem ser realizadas pelo Auditor Interno,
so as seguintes:
37
estabelecer o apetite ao risco
Neste contexto, para que o Auditor Interno possa desempenhar adequadamente o seu
papel necessrio que domine vrias matrias. Da que tenhamos autores como,
Sumners (1999:92) que referem que:
Pode ser uma opinio extrema, defendendo que ser bom auditor vem em segundo
lugar mas, exemplifica bem a necessidade do conhecimento do negcio e das
estratgias para desempenhar adequadamente o trabalho do Auditor.
Conforme referido no COSO (2004a), os auditores internos no mbito das sua funes
ajudam a Administrao de uma Empresa ou o Comit de Auditoria, analisando,
avaliando e informando sobre a adequao e eficcia da gesto de riscos corporativos
da organizao e na recomendao de melhorias do sistema de gesto de riscos.
4
Declaracin de Posicin 2004, El Rol de la Auditoria Interna en la Gestin de Riesgo empresarial; traduo prpria
38
Os Auditores Internos por vezes assumem o papel de consultores, sugerindo
melhorias no processo de gesto de riscos corporativos da organizao. Nestes
casos, os Auditores Internos, podem entre outras actividades promover o
desenvolvimento de um conhecimento comum da gesto de riscos corporativos dentro
de uma organizao, orientar grupos de trabalhos relativos a riscos, bem como,
proporcionar ferramentas e tcnicas para ajudar a Gesto a analisar os riscos e
desenhar actividades de controlo.
No existe um modelo de avaliao do risco que seja standard e como tal aplicado a
todas as empresas, pois cada uma tem as suas prprias especificidades, pelo que o
Auditor Interno deve ter em considerao as caractersticas mais representativas do
risco. O importante conhecer os mtodos e a filosofia de medio dos riscos, de
modo a poder-se adaptar de acordo com o caso em anlise. Contudo, iremos dar um
exemplo de como que se pode medir o risco, partindo do modelo apresentado pela
Protiviti, do COSO ERM e da norma AS/NZS 4360;2004.
A medio do risco pode ser feita atravs de mapeamento do risco, utilizando para o
efeito a matriz de risco, conforme exemplo apresentado na figura 5.
39
Figura 5: Matriz de Risco (Fonte: Protiviti, 2006)
Trata-se de uma matriz de dupla entrada, em que no eixo das abcissas se mede a
probabilidade de um determinado risco vir a ocorrer e que foi classificada como
remota, possvel ou provvel. Diz-se que estamos perante uma probabilidade remota,
quando no existem perspectivas de que determinado risco ocorra. Uma probabilidade
possvel, quando existe um grau de probabilidade que determinado risco venha a
acontecer e a probabilidade ser considerada provvel, quando existe uma forte
possibilidade de um risco acontecer.
40
financeiras, impactos de imagem, reputao da empresa, impacto no cumprimento dos
objectivos, entrevistas com pessoas em lugares chave da organizao, workshops,
aplicao de checklists e anlise de histrico.
Refere ainda que podem ser utilizados mtodos qualitativos, quantitativos e semi-
quantitativos na avaliao dos riscos. A escolha depende em parte do contexto, dos
objectivos e dos recursos disponveis, conforme referido no ponto 3.4.2. Norma
Australiana e Neozelandesa (AS/NSZ 4360:2004).
41
De salientar que, o conhecimento dos processos dos negcios uma mais-valia na
avaliao dos riscos.
A gesto de riscos fecha o ciclo tomando as decises de gesto que mais se adequam
ao risco identificado. Existem vrias estratgias que podem ser seguidas na gesto de
risco das quais destacamos:
42
5. Aplicao prtica: a avaliao do risco num
processo de compras
5.1. Metodologia
5.1.1. Objectivos
Desta forma, como resultado final do trabalho ser preparada uma matriz de riscos
residuais (avaliao dos riscos contemplando a eficcia dos controlos institudos),
devendo ser tambm apresentadas as principais concluses da anlise aos controlos
e respectivas recomendaes que na perspectiva da Auditoria Interna contribuem para
diminuir o nvel de exposio aos riscos analisados, fortalecendo o sistema de controlo
interno.
Este trabalho est sustentado em dois pilares fundamentais, uma das mais
conceituadas normas internacionais de gesto de risco, a norma Australiana e
Neozelandesa (AS/NZS 4360:2004) e no COSO ERM (COSO, 2004a). Foram
utilizadas como ferramenta de apoio a Norma de Gesto de Riscos, (FERMA, 2003),
o Guide to Enterprise Risk Management (Protiviti, 2006), suportado no COSO
nomeadamente, no que diz respeito s matrizes de risco e ao modelo de risco de
negcio por eles apresentado, e o Modelo de Riscos do Negcio
43
(PriceWaterHouseCoopers, 2002). O Manual de Riscos de Negcio utilizado neste
estudo foi o da PricewaterhouseCoopers, mas com a introduo de algumas
adaptaes, nomeadamente, a substituio de alguns riscos deste modelo por riscos
do modelo apresentado pela Protiviti (2006). De referir que os modelos so bastante
semelhantes. Fazem a diviso em trs grandes grupos (riscos da envolvente, riscos
do processo e riscos financeiros), diferindo apenas em alguns dos riscos especficos
apresentados em cada uma das categorias atrs referidas.
Iniciamos com a Comunicao e Consulta, uma vez que est associada a todas as
fases do processo de gesto de risco e em relao ao processo como um todo,
conforme j referido no ponto 3.4.2. Norma Australiana e Neozelandesa (AS/NSZ
4360:2004).
44
O passo nmero dois corresponde identificao dos riscos, e basicamente a
resposta a quatro questes, ou seja, o que pode acontecer, quando, onde, como e
porqu. Tal como referido abaixo, trata-se de identificar o risco inerente.
Trata-se da identificao dos riscos de negcio que podem existir em cada um dos
processos / sub-processos identificados e dentro destes nas principais actividades.
Nesta fase do trabalho deve ignorar-se se existem controlos e qual o nvel de
confiana nos mesmos. Ou seja, pretende-se identificar o risco inerente (o risco que
existe para qualquer entidade, na ausncia de quaisquer aces que a Gesto venha
a tomar, com vista a alterar, quer a probabilidade de ocorrncia do mesmo, quer o
respectivo impacto). A identificao dos riscos efectuada com recurso construo
de uma matriz de riscos por processos (Figura 6), classificados de acordo com o
impacto e probabilidade de ocorrncia dos mesmos;
Riscos Estratgicos
e de Negcio
Riscos de Processo
e de Negcio
Riscos de
Informao
45
Na aplicao prtica apresentada utilizamos este tipo de matriz para identificar e
avaliar os riscos.
46
ou esto a comprometer a disponibilidade, integridade e segurana da
informao e de outros activos.
So estas as trs categorias de riscos do negcio que, por sua vez, proporcionam uma
ampla base a partir da qual riscos mais especficos podem ser identificados e
detalhados, conforme se pode ver no manual de riscos do negcio em anexo (Anexo
1).
Tal como nos riscos da envolvente ao negcio, a mudana constante tem impacto em
todas as categorias do risco do processo. A reengenharia de processos, a
subcontratao, alteraes nos volumes de vendas, mudanas efectuadas na
estrutura organizacional, alteraes ao nvel de pessoal, implementao de novos
sistemas de informao, fuses, aquisies e reorganizaes empresariais so
exemplos de mudanas indicativas de potenciais riscos de processo.
A matriz de risco de processo vai permitir fazer a identificao e avaliao dos riscos
dos processos. Depois de identificados os riscos passa-se fase de anlise. Nesta
fase feito o mapeamento dos riscos absolutos, isto , representar numa Matriz os
Riscos Inerentes (Figura 7), posicionando-os de acordo com a sua gravidade, isto ,
47
de acordo com a classificao obtida em resultado da multiplicao do Impacto pela
Probabilidade e obtemos a Matriz de Risco Inerente (Figura 7 e 8).
Entende-se por Risco inerente/absoluto, o risco que existe para qualquer entidade,
na ausncia de quaisquer aces que a Gesto venha a tomar, com vista a alterar,
quer a probabilidade de ocorrncia do mesmo, quer o respectivo impacto.
48
Para a realizao deste trabalho conjunto de anlise e avaliao dos riscos,
socorremo-nos de:
Concluda a fase da anlise dos riscos e avaliao dos controlos, ou seja, depois de
identificados e avaliados os controlos existentes, passamos fase de identificao
dos riscos residuais.
A avaliao dos riscos de processo com base nos resultados dos testes efectuados e
construo de uma matriz final dos riscos de processo de acordo com os resultados
da avaliao aos controlos, ou seja, a matriz do risco residual (Figura 9), isto ,
aquele que permanece depois de implementados os controlos e medidas de reduo
do risco. O objectivo ptimo ser que o risco residual tenda para zero.
Segundo Silva (2006) o papel da Auditoria Interna vai centrar-se na diferena entre o
risco inerente e o residual:
49
na anlise da diferena entre o risco inerente e o residual que a
Auditoria Interna dever ter particular interesse pois atravs dela se
constatar se o sistema de controlo interno funciona e se a gesto
eficaz fazendo com que o sistema de acumulao da empresa continue a
funcionar de uma forma sustentada, Silva (2006:12).
Figura 9: Passagem da Matriz de Risco Inerente para a Matriz de Risco Residual (Fonte:
Adaptado de Protiviti, 2006)
Depois de identificados os riscos residuais deve ser promovida uma discusso dos
riscos, ocorrncias e controlos com o grupo de trabalho, em workshops e
apresentao das recomendaes e propostas de melhoria, de modo a que todas as
50
pessoas envolvidas no trabalho possam pronunciar-se sobre as concluses a que
chegamos e as respectivas recomendaes de melhoria. O objectivo destas reunies
de trabalho que Auditoria e rea Auditada estejam de acordo quanto avaliao
dos riscos e recomendaes propostas.
Face avaliao realizada sobre os controlos, a lista dos principais riscos inicialmente
calculada, tendo como referncia o risco absoluto, sofreu naturalmente algumas
mudanas tendo mesmo ocorrido a sada de alguns riscos dessa lista e entrado outros
que, inicialmente, no se consideravam to relevantes.
Nesta fase que se decide como que vo ser tratados os riscos, ou seja, se vo
ser transferidos ou partilhados, por exemplo atravs da contratao de seguros, se
vo ser controlados e aceites ou, ainda, se a opo passa por diversificar ou evitar.
Nesta fase deve ser efectuado um workshop, onde se faz uma apresentao rea
auditada. Este workshop tem como objectivo discutir as concluses obtidas de acordo
com a percepo e avaliao dos riscos feita pela Auditoria Interna, de modo a que
haja consenso entre as duas reas.
O processo de avaliao dos riscos engloba trs fases: i) Identificao dos Riscos, ii)
Anlise dos Riscos e iii) Avaliao dos Riscos.
As fases de Monitorar e Rever, sero aplicadas em momento posterior, uma vez que,
visam verificar se as medidas propostas para a mitigao dos riscos identificados
como passveis de serem tratados, foram ou no implementadas. Caso tenham sido
implementadas necessrio confirmar que as mesmas so eficazes na mitigao
desses mesmos riscos. O resultado deste trabalho posteriormente comunicado ao
Responsvel da rea auditada e Gesto.
51
Esta fase, no esttica, deve-se fazer uma monitorizao e um acompanhamento
peridico, de modo a verificar se os controlos foram bem implementados e so
eficazes e, por outro lado, verificar se surgiram novos eventos que necessitem de ser
analisados e acompanhados, razo pela qual importante a anlise crtica e a
repetio regular do ciclo de gesto de riscos.
Deve ser feita uma anlise crtica contnua de modo a assegurar que as medidas
correctivas propostas foram correctamente implementadas e so eficazes na
mitigao dos riscos identificados e para os quais foi aprovada a implementao das
recomendaes sugeridas pela Auditoria Interna.
Para efeito deste estudo vamos limitar o mbito do trabalho de Auditoria, focalizado
na gesto de risco, ao processo de compras. Contudo, tendo em considerao a
dimenso deste processo, restringimos o nosso trabalho ao sub-processo compras
oramento (materiais de embalagem). Optmos pelos materiais de embalagem, pelo
facto, dos mesmos representarem cerca de 50% do total das compras realizadas
neste departamento.
5.1.4. Pressupostos
52
rea de Compras, pelo que, fica fora do mbito deste trabalho o levantamento
e anlise dos processos das reas transversais ao processo em anlise;
53
Esta definio do contexto inclui a identificao das reas de negcio que se
consideram ter maior interveno nos processos de compras, a identificao dos
objectivos de negcio relacionados com esta rea (seguindo o referido no ponto 2.4.) e
a definio dos parmetros considerados na qualificao dos riscos quanto ao impacto
e probabilidade de ocorrncia (avaliao do risco). Logo, engloba trs elementos
bsicos: compreender o contexto estratgico, compreender os processos de negcio e
estabelecer uma linguagem ou modelo comum (figura 10).
Este passo constitui a base de suporte das concluses apresentadas neste trabalho e
que vo, naturalmente, influenciar todo o processo de gesto dos riscos que venha a
ser conduzido em funo dos resultados apresentados.
54
organizao, tendo sempre como principal objectivo diminuir custos e maximizar o
valor da empresa.
55
5.2.1.1.2. Polticas e Procedimentos internos aplicveis
5
Traduo prpria
56
Para compreender os processos de negcio ligados s compras procedemos
identificao e caracterizao dos processos principais que suportam o Departamento
de Compras e que se encontram esquematizados na figura 11.
Figura 11: Processos principais e processo de suporte Compras (Fonte: Produo Prpria)
57
5.2.1.2.1.1. Processos principais
58
Figura 12: Fluxograma do Processo Compras Oramento (Fonte: Produo prpria)
59
Posteriormente, a rea operacional faz a diviso de remessa, isto , encomenda de
acordo com as necessidades, uma vez que o acordo vigora para o perodo de um ano
e feito pela totalidade das quantidades oramentadas. A encomenda satisfeita pelo
fornecedor e a rea requisitante procede recepo dos materiais / servios.
60
As Compras Pontuais, por excluso de partes, esto relacionadas com a compra de
materiais/servio que no se enquadram nos restantes processos devido reduzida
significncia, urgncia da compra, ao seu carcter espordico ou ainda s
particularidades do material/servio requisitado. Neste caso, criada uma encomenda
normal, sendo que o restante processo idntico aos referidos anteriormente. A figura
14 apresenta o fluxograma correspondente a este tipo de compras.
61
de Compras no dispem dos conhecimentos necessrios para fazer estas
aquisies. A figura 15 apresenta o fluxograma relativo a este tipo de compras. So
exemplo de compras delegadas os transportes de mercadorias, materiais destinados a
aces de marketing e comunicao.
62
A manuteno de ficheiros mestres de materiais diz respeito a todas as actividades
relacionadas com a manuteno da informao dos dados mestre de materiais no
sistema de informao, nomeadamente a criao de novos materiais,
alterao/eliminao de materiais j existentes, etc.
63
Figura 16: Enquadramento dos processos de Compras na Organizao (Fonte: Produo
Prpria)
64
As reclamaes de e a fornecedores s podem ser efectuadas por duas reas, a de
compras e a da qualidade. A manuteno dos ficheiros mestres de fornecedores e de
materiais, tambm se encontra restringido a quatro reas, compras, qualidade,
produo e operaes, isto porque, so as reas que intervm no processo de
criao/alterao de dados mestre de fornecedores e materiais.
Para dar resposta ao objectivo deste trabalho a avaliao dos riscos do negcio que
afectam o processo de compras adoptmos o que se convencionou apelidar de
linguagem comum no tocante tipificao dos riscos e que detalharemos abaixo.
O COSO, tambm refere a utilizao de uma linguagem comum, no que diz respeito
classificao dos riscos. Tal como referido no ponto 5.1.2. vamos considerar as trs
categorias de riscos: de envolvente, do processo e da informao para a tomada de
deciso, e que a Figura 17 apresenta esquematicamente.
Fontes
de
Incerteza
Riscos da
Riscos da Informao p/
Riscos do
Envolvente a tomada de
Processo
deciso
65
Conforme referido no Guide to Enterprise Risk Management (Protiviti, 2006) estes trs
grupos de riscos esto inter-relacionados. Os riscos da envolvente e do processo que
uma empresa enfrenta so originados por realidades do negcio, quer internas, quer
externas. O risco relativo informao para a tomada de deciso directamente
afectado pela eficcia e segurana dos sistemas formais e informais de recolha e de
processamento da informao e so estas as trs categorias de riscos do negcio que,
por sua vez, proporcionam uma ampla base a partir da qual riscos mais especficos
podem ser identificados e detalhados.
De seguida fazemos uma breve apresentao dos riscos especficos de cada uma
destas categorias de risco de negcio e que vo fazer parte da matriz de risco que
vamos apresentar no caso prtico. Em anexo ser apresentado um manual de ricos de
negcio com todos os riscos da matriz utilizada na aplicao prtica, incluindo uma
breve descrio de cada um deles (Anexo 1).
66
Fazem parte do Risco de Integridade os seguintes riscos especficos: Fraude do
Colaborador, Actos Ilegais, Fraude da Gesto, Reputao e Uso no Autorizado.
67
Figura 18 . Matriz de Riscos de Negcio (Fonte: Adaptada da Business Risk Model
PricewaterhouseCoopers, 2002)
O processo de avaliao dos riscos envolve trs fases: i) identificao do risco, ii) a
anlise do risco e iii) a avaliao do risco, conforme referido no ponto 5.1.2. Modelo e
fases de aplicao.
68
faa uma correcta identificao dos riscos, isto porque, os riscos que no foram
identificados nesta fase dificilmente sero analisados em fases posteriores. A
identificao deve incluir todos os riscos independentemente da existncia ou no de
controlos. De acordo com Cicco e Fantazzini (2003), uma das tcnicas mais utilizadas
na identificao dos riscos so as checklists (questionrios). De salientar que por
mais extensos que sejam estes questionrios existe uma probabilidade dos mesmos
omitirem situaes de risco, pelo que, para evitar que situaes destas ocorram cada
organizao (gestor de risco), dever adaptar o questionrio s caractersticas e
especificidades da sua empresa.
Entende-se por Risco inerente/absoluto, o risco que existe para qualquer entidade, na
ausncia de quaisquer aces que a Gesto venha a tomar, com vista a alterar, quer a
probabilidade de ocorrncia do mesmo, quer o respectivo impacto.
69
ponto 5.2.1.2. desta dissertao, ou seja, antes de identificados os controlos e
realizada a anlise qualidade desses mesmos controlos.
Figura 19: Matriz de Risco Inerente dos Processos de Compras (Fonte: Adaptada de Protiviti, 2006)
Legenda:
70
Figura 20: Tabela dos riscos mais importantes (Relativas aos cinco riscos inerentes mais
significativos) (Impacto> 3) (Fonte: Produo Prpria)
71
O sub-processo Seleco do fornecedor e validao das condies aparece como
sendo aquele que apresenta maior nmero de riscos significativos.
Nas matrizes de dupla entrada dos processos disponibilizadas em anexo (Anexo 3),
pode ser feita essa leitura da relao entre os riscos identificados e o processo
analisado e a respectiva pontuao. A seguir apresentamos, a ttulo exemplificativo,
um excerto de uma dessas matrizes.
Figura 22: Excerto da Matriz de Risco Inerente dos Processos Auditados (Fonte: Produo
Prpria)
A anlise de riscos tem como finalidade perceber qual o nvel de risco e a sua
natureza. Esta anlise fornece informaes que determinam a necessidade ou no de
tratar os riscos identificados, bem como, permite identificar as estratgias de
tratamento mais adequadas e com custos mais reduzidos.
De acordo com a norma AS/NZS 4360:2004 a anlise dos riscos tem em considerao
as fontes de risco, as suas consequncias quer sejam positivas quer sejam negativas
e ainda a probabilidade de que as mesmas ocorram. A mesma norma refere que pode
ser feita uma anlise preliminar, de modo a agregar riscos semelhantes ou riscos com
baixo impacto, excluindo-os de um trabalho mais detalhado e aprofundado.
72
e propor medidas de controlo que permitam a sua reduo. De referir que o risco
residual, poder sofrer alteraes, caso se definam e implementem novas medidas
eficazes na mitigao dos riscos identificados.
Para cada um dos sub-processos foi construda uma matriz de anlise dos riscos e
controlos. Estas matrizes sintetizam o trabalho de anlise realizado e que se pode
resumir nos seguintes pontos:
A classificao dos riscos foi revista com base nos resultados da avaliao
dos controlos, da qual resulta a matriz de risco residual que apresentaremos
mais adiante.
73
Os controlos automticos esto embebidos em programas informticos ou aplicaes
de tecnologias de informao e executam um passo ou previnem uma transaco de
ocorrer sem uma deciso manual ou iterao.
74
A Figura 23 representa, a ttulo exemplificativo, um excerto de uma dessas matrizes.
Figura 23: Exemplo de Matriz de Anlise dos Controlos ao Processo Analisado (excerto)
(Fonte: Produo prpria)
Este mapa de anlise de riscos e controlo, serve para apresentar de forma clara e
precisa toda a informao relacionada, quer com a anlise dos riscos, quer com a
identificao e avaliao dos controlos do processo.
75
Depois de identificados e avaliados os riscos absolutos dos diferentes sub-processos
em anlise, passamos s fases de anlise dos riscos, identificao e avaliao dos
controlos.
Este mapa no mais do que um documento que rene toda a informao necessria
ao desenvolvimento e suporte das fases 3 e 4 (anlise e avaliao dos riscos) do
modelo de gesto de risco adoptado na elaborao deste trabalho.
De acordo com a Norma AS/NZS 4360:2004, a avaliao dos riscos tem como
finalidade a tomada de decises, suportada nos resultados da anlise de riscos, sobre
quais precisam de ser tratados e sobre a prioridade de tratamento.
Esta fase corresponde ao quarto passo do processo de gesto de risco (anexo 4),
sendo a fase em que se chega matriz de risco que de seguida dever ser gerido
(anexo 5).
76
Se estivssemos a avaliar mais do que um processo, j teramos que fazer a
ponderao dos processos, por exemplo tendo em conta o peso de cada um no total
das compras.
Esta questo poder ser abordada e aprofundada num trabalho futuro sobre o tema
em anlise.
Face avaliao realizada sobre os controlos, a lista dos principais riscos inicialmente
calculada tendo como referncia o risco absoluto sofreu naturalmente algumas
mudanas tendo mesmo ocorrido a sada de alguns riscos dessa lista e a entrada de
outros que inicialmente no se consideravam to relevantes.
77
Figura 24: Matriz de Risco Residual dos Processos Auditados (Fonte: Adaptado de Protiviti ,
2006)
78
Apresentamos em anexo (Anexo 6) um exemplo de matriz de tratamento de risco
associado a este trabalho e que representa a 5 fase do modelo de Gesto de Risco
apresentado.
Podemos por conseguinte considerar que esta lista que a seguir apresentamos, Figura
25, representa os riscos que na nossa perspectiva merecem uma ateno prioritria
da Gesto e que devero por isso mesmo levar introduo de melhorias ao nvel dos
controlos e de mecanismos de gesto de forma que sejam tratados e reduzidos para
os nveis desejados (mitigao de riscos).
Figura 25: Tabela de frequncia das ocorrncias (Relativas aos riscos residuais mais
significativos, com impacto> 3) (Fonte: Produo prpria)
Estas matrizes devero ser entendidas como uma ferramenta de trabalho que
permitir Empresa, e neste caso aos responsveis pelo processo analisado, facilitar
a sua actividade de gesto, focalizando-se em primeiro lugar na resoluo daqueles
que so os riscos mais importantes e que mais podero condicionar os objectivos e a
estratgia da Empresa.
79
No ponto 5.2.3. Tratar os riscos, apresentamos uma proposta de recomendaes que
na nossa perspectiva podero melhorar os nveis de controlo e introduzir maior
eficincia nos processos de forma a reduzir os nveis de riscos.
Aps se conhecer quais os riscos que devem ser geridos, passamos ao passo 5 que
consiste na apresentao das recomendaes para gerir esses riscos.
80
fornecimento, falha do produto ou eficincia no caso de o fornecedor enfrentar
problemas financeiros/econmicos significativos.
Recomendao: Sugerimos que seja desenvolvida uma ferramenta que permita que
uma solicitao de cotao rena todas as requisies de compra do mesmo material
ignorando os campos Empresa permitindo assim que o fornecedor possa ter o
resumo total da quantidade encomendada pelo Grupo.
O Risco de Acessos no foi avaliado por ser um risco cujos controlos esto
suportados sobretudo na segurana do sistema de informao, pelo que optamos por
manter a pontuao atribuda ao risco absoluto.
Este risco ficou fora do mbito deste trabalho, uma vez que se trata de um trabalho
especfico de auditoria informtica, sendo necessrio recorrer a profissionais
especializados, nomeadamente, auditores informticos. A anlise do risco de
Acessos uma das limitaes deste trabalho. Contudo, poder ser desenvolvido no
mbito de trabalhos futuros.
81
Riscos: 16. Eficincia
82
De seguida apresenta-se uma concluso geral, sobre o risco residual do macro-
processo e sobre o risco no mbito do processo em anlise.
002
001
B. Criao do Acordo de Fornecimento
003 Informao enviada foi validada e aprovada
-
Robustez do Controlo
Bom Insuficiente Mau
83
5.3. Limitaes da aplicao prtica
Desta forma, para que se possa apresentar uma viso transversal na organizao sobre
o risco residual necessrio desenvolver uma anlise junto das restantes reas
operacionais onde os processos identificados ocorrem.
84
De referir que o Risco de Acessos no foi avaliado por ser um risco cujos controlos
esto suportados sobretudo na segurana do sistema de informao.
Este risco ficou fora do mbito deste trabalho, uma vez que se trata de um trabalho
especfico de auditoria informtica, sendo necessrio recorrer a profissionais
especializados, nomeadamente, auditores informticos.
Antes de emitir o relatrio final, deve ser feito um workshop com o Director da rea
auditada e com os colaboradores intervenientes no processo para apresentao das
concluses.
De referir, que dada a dimenso do trabalho, no nos foi possvel aplicar todas as fases
do modelo de gesto de risco, tendo ficado por analisar com detalhe a fase do tratamento
de riscos e a fase da monitorizao e reviso. Assim, outra das limitaes deste estudo
precisamente o facto de no ter sido executado o trabalho de monitorizao e Reviso
(follow-up) das questes reportadas, nomeadamente no que diz respeito correcta
implementao das recomendaes sugeridas pela Auditoria Interna e que corresponde a
um passo da Gesto de Risco da Norma Neozelandesa 4360:2004.
Este trabalho trata de um tema muito actual, mas sobre o qual ainda no existe muita
informao disponvel, nomeadamente ao nvel prtico. Uma das grandes dificuldades
com que nos confrontamos entender como se podem aplicar estes novos conceitos na
nossa actividade profissional, isto , como que se pode aplicar na prtica um modelo de
gesto de risco nos trabalhos executados pela Auditoria Interna.
85
Deste modo, consideramos que este trabalho poder servir de guia para a
implementao de um modelo de gesto de risco nos trabalhos elaborados pelos
Departamentos de Auditoria Interna e, assim, dar um contributo para o caminho que
ainda falta percorrer nesta matria em Portugal.
De salientar o aspecto positivo deste trabalho que foi, por um lado, a materializao na
prtica da norma neozelandesa 4360;2004 e dos conceitos do COSO ERM num
trabalho de Auditoria Interna e, por outro, a viso e o conhecimento que nos permite ter,
quer ao nvel da rea auditada, quer ao nvel da empresa como um todo, uma vez que
este trabalho visto de forma transversal, permitindo auxiliar a gesto no cumprimento
dos seus objectivos, criando deste modo mais valor para a empresa. Efectivamente,
estamos perante uma nova era da Auditoria Interna, que nos permite olhar para o
presente e futuro e no apenas para factos passados, passando a centrar a ateno nos
riscos, fornecendo informao relevante para a tomada de deciso da Gesto.
No podemos deixar de salientar que a aplicao deste modelo, tal como apresentado
um pouco complexo, nomeadamente no que diz respeito aos documentos de suporte
(matrizes de risco, avaliao dos controlos, etc.). Contudo, todos estes mapas devem ser
ajustados realidade e dimenso de cada empresa. Alis, podem ser desenvolvidos
outros tipos de mapas, de acordo com as necessidades de cada empresa, desde que se
consiga obter e documentar convenientemente a informao suporte do trabalho
realizado.
Para que a aplicao de um modelo de gesto de risco tenha sucesso fundamental que
todas as pessoas estejam devidamente informadas sobre a Gesto de Risco
Empresarial, de modo, a que haja uma consciencializao de que todos so importantes
no processo de Gesto de Risco da sua empresa. Os Auditores Internos devem avaliar
at que ponto a gesto de riscos adoptada e aplicada pela empresa eficaz na mitigao
dos riscos do negcio para um nvel aceitvel, de modo, a que sejam atingidos os
objectivos propostos. importante realar que nem todas as empresas esto no mesmo
86
nvel de implementao da gesto de riscos, o qual ter impacto no trabalho que ser
desenvolvido pela Auditoria Interna.
Cada empresa dever adoptar o seu modelo de gesto de risco e numa primeira fase, a
empresa dever promover aces de formao, nomeadamente, a todos os gestores de
topo e intermdios, com o objectivo de os consciencializar para esta temtica e incutir a
responsabilidade que cada um tem no processo de gesto de risco da empresa.
Trata-se de uma viso integrada dos riscos, isto , os riscos so analisados de forma
transversal organizao, o que proporciona uma melhor avaliao dos riscos e dos
controlos implementados na mitigao dos riscos do negcio e na concretizao dos
objectivos estratgicos e operacionais definidos.
87
6. CONCLUSO
A Auditoria Interna apresenta uma mudana de atitude e uma nova viso, uma vez que
deixou de olhar s para os factos passados para passar a olhar para o presente e
futuro, tornando-se um apoio importante da gesto e, como tal, acresce valor
organizao.
Com vista a este fim, acrescer valor, o Auditor Interno passa a ter um papel importante no
processo de gesto de risco empresarial.
No mbito da gesto de risco existem vrios modelos dos quais salientamos o COSO a
Norma AS/NZS 4360:29004, o COBIT, a norma sobre gesto de riscos FERMA e a ISO
31000. De entre estes, o COSO e a Norma Australiana/Neozelandesa (AS/NZS
4360:2004), so modelos de referncia de nvel mundial na implementao de sistemas
de gesto de risco empresarial e foram os principais pilares deste trabalho.
Deste modo, com este trabalho pretendeu-se chamar a ateno para a importncia da
Gesto de Risco atravs da aplicao de um modelo de gesto de risco num processo de
compras de uma organizao. De salientar que no existe um modelo nico, apenas
existem referncias que nos podem ajudar a adaptar a gesto de risco a determinada
organizao. Trata-se de um trabalho com alguma complexidade que exige
conhecimentos adicionais, nomeadamente tcnicas de gesto de risco e um
conhecimento efectivo do negcio e das reas a auditar.
Na aplicao prtica foi efectuada uma anlise do processo de compras de acordo com a
metodologia de Gesto de Risco adoptada, incidindo apenas nas actividades
desenvolvidas no Departamento de Compras. Desta forma, para que se possa apresentar
uma viso transversal na Organizao sobre o risco residual necessrio desenvolver
88
uma anlise junto das restantes reas operacionais onde os processos identificados
ocorrem.
Assim sendo, depois de concluda a auditoria na rea de Compras, com a emisso das
propostas de recomendao, a Auditoria Interna dever facilitar o processo de avaliao
do risco residual das compras nas restantes reas operacionais no abrangidas na
anlise agora desenvolvida mas que esto j identificadas no captulo de
estabelecimento do contexto e que esto inter-relacionadas.
Esse trabalho permite, no s, introduzir o conceito de gesto de risco nessas reas, com
a apresentao da metodologia de gesto de risco e concluses at ao momento
apresentadas, como tambm, preparar o trabalho de campo nas reas que a Auditoria
Interna vir a realizar em momento posterior.
Como foi possvel verificar ao longo da realizao deste trabalho, esta abordagem da
Auditoria Interna focada no risco do negcio proporciona um conhecimento exacto dos
processos de negcio, sub-processos e actividades permitindo uma gesto mais eficaz
dos riscos. Permite fixar o apetite ao risco e determinar o risco residual atravs da matriz
de riscos, o que facilita a elaborao do plano de auditoria, uma vez que, a Auditoria
Interna poder concentrar-se nos riscos chave do negcio.
89
BIBLIOGRAFIA
Almeida, Domingos; 2009; Auditoria Interna e Gesto do Risco; XVI Conferncia Anual
do IPAI.
Almeida, Domingos; 2006; O Valor da Auditoria Interna; Revista do IPAI n 25;
Outubro/Dezembro; pgs. 3-4.
.
Azevedo, Belmiro; 2005; Gerir o Risco atravs da Criao de Valor; Revista IPAI, n 23;
Janeiro/Maro 2006.
Barros, Carlos; 2006; Dependncia entre Risco e Inerente e Risco de Controlo; Revista
Revisores & Empresas; Abril/Junho; Pg.10 a 18.
Bastos, Alberto; 2009; Focaliza a ISO 31000 em Entrevista Brasiliano&Associados
(B&A); Revista de Gesto de Riscos n 47; Setembro.
Beja, Rui; 2004a); Risk Management Gesto, Relato e Auditoria dos Riscos do
Negcio; reas Editora.
Beja, Rui; 2004b); Relato e Auditoria dos Riscos do Negcio; Comunicao efectuada no
X Congresso de Contabilidade consultada em Novembro de 2009 em:
http://www.ordemeconomistas.pt
Beja, Rui; 2004c); Risk Management: Conceito, mbito e Procedimentos; Artigo
consultado em Novembro 2009 em: http://www.ordemeconomistas.pt
Blair, Colin; 2009; Gesto de Risco Eficaz; Artigo consultado em
http://www.standards.org.au/downloads/091120_New_Risk_Management_Standard.pdf
Cmara, Paulo; 2008; A Auditoria Interna e o Governo das Sociedades; Revista do IPAI,
n 31; Julho/Setembro; pgs.11-15.
Castanheira, Nuno; 2007; Auditoria Interna Baseada no risco: Estudo do caso Portugus;
Tese de Mestrado; Universidade do Minho; Junho.
Castanheira, Nuno; Rodrigues, Lcia; 2006a); Gesto de Risco Da Abordagem
Tradicional Gesto de Risco Empresarial (ERM); Revista Revisores & Empresas;
Julho/Setembro; pg. 58.
Castanheira, Nuno; Rodrigues, Lcia; 2006b); Mapa de Riscos - Ferramenta de
Integrao da Gesto de Riscos e da Auditoria Interna; Revista do IPAI, n 24;
Julho/Setembro; pg.11.
Cicco, Francesco; 2010; Dos Rriscos Negativos aos Riscos Positivos consultado em
20 Janeiro 2010 em http://www.iso31000qsp.org/
Cicco, Francesco; 2009; ISO 31000:2009 Gesto de Riscos; consultado em 20
Dezembro 2009 em; http://www.iso31000qsp.org/2009/08/29ago.html
Cicco, Francesco; Fantazzini, Mario; 2003; Tecnologias consagradas de gesto de
riscos; Srie Risk Management; Risk Tecnologia Editora Ltda; 2 Edio Maio.
90
COBIT 4.1 Spanish; 2007; Resumen Ejecutivo; IT Governance Institute; consultado em
09/10/2009 em: www.isaca.org.
Cocurullo, Antonio; 2008; Viso Estratgica e Gesto de risco; Ernest&Young,
consultado em Novembro 2009 em: http//www,prmia,org.
Cocurullo, Antonio; 2006; Enterprise Wide Risk Management; Gerenciamento de Riscos
Corporativos; Classificao de Riscos; Maro.
Cocurullo, Antonio e Vanca, Paulo; 2002; A importncia da Gesto de Riscos nos
processos de Auditoria; PricewaterhouseCoopers;
COSO Committee of Sponsoring Organizations of the Treadway Commission;
Entreprise Risk Management Integrate Framework; 2004a); traduzido pelo Instituto
de Auditores Internos de Espanha e PriceWaterHouseCoopers em 2009
COSO Gerenciamento de Riscos Corporativos Gesto Integrada Sumrio
Executivo; 2004b); traduo conjunta de AUDIBRA e PricewaterhouseCoopers
COSO Committee of Sponsoring Organizations of the Treadway Commission; Internal
Control Integrate Framework; 1992; traduzido pelo Instituto de Auditores Internos de
Espanha e Coopers&Lybrand, S.A. em1997.Ediciones Diaz de Santos, S.A.
Costa, Carlos; 2007; Auditoria Financeira teoria e prtica; Editora Rei dos Livros; 7
Edio.
Ferma; 2003; Federation of European Risk Management Associations; Norma de Gesto
de Riscos.
Ferreira, Luiz; 2002; Entendendo o COSO - Um Roteiro Prtico para Entender os
Princpios do COSO; consultado em 27/07/2007:
www.auditoriainterna.com.br/coso.htm.
Gonalves, Antnio; 2008; A Evoluo das Metodologias de Auditoria; Revista Revisores
& Empresas; Julho/Setembro.
Hussein, Haji; 2008; E- Commerce e Ressource Centre; Article; Risk Assessement;
Using COBIT as a Guide Risk Assessement Assurande Services, consultado em
06/06/2009: http://fata86.webs.com/riskassesment.html.
IBCG - Instituto Brasileiro de Governana Corporativa; 2007; Guia de Orientao para
Gerenciamento de Riscos Corporativos.
IIA, Normas Internacionais para o Exerccio Profissional de Auditoria Interna; 2009;
Traduo do IPAI.
IIA and Institute of Internal Auditors UK&Ireland ; 2004; Declaracin de Posicin ; El Rol
de la Auditoria Interna en la Gestin de Riesgo Empresarial. Consultado em:
http://coso.org/chapters/pubdocs/264/Rol_del_Auditor_Interno_en_el_ERM[1].pdf
IIA, Normas Internacionais para o Exerccio Profissional de Auditoria Interna; 1999;
Definio de Auditoria Interna; Traduo do IPAI.
IPAI (Instituto Portugus de Auditores Internos); 2002; A Lei de Sarbanes-Oxley de 2002;
Resumo das principais clusulas de interesse para os Auditores Internos.
IRAM, Instituto Argentino de Normalizacon y Certifivacin; 2004; Normaria - Boletn de la
Comissin de Normas e Asuntos Profesionales del Instituto de Auditores Internos de
Argentina; Gestin de Riesgos; Norma IRAM 17550 Esquema A1; n 18; Dezembro,
consultado em 04/06/2009: http://www.iaia.org.ar/Normaria/Normaria18.pdf.
91
ISO International Organization for Standardization; 2009; Novo padro ISO para a
gesto eficaz dos riscos; http://www.modulo.com.br/site?infoid=800&lng=br&sid=91
Jnior, Odete; 2009; Por uma gesto de risco eficiente; Artigo disponvel na B2B
Magazine; Outubro, consultado em 22 de Novembro 2009:
http://www.b2bmagazine.com.br/web/interna.asp?id_canais=4&id_subcanais=17&id_n
oticia=24444
Junior, Sebastio; 2005; Controles Internos como um Instrumento de Governana
Corporativa; Revista BNDES; Dezembro; Rio de Janeiro; Consultado em 29 Dezembro
de 2009 em :
http://www.bndes.gov.br/SiteBNDES/export/sites/default/bndes_pt/Galerias/Arquivos/c
onhecimento/revista/rev2406.pdf
KPMG Auditores Consultores, Ltda; 2006; Entendiendo la Administracin del Riesgo
Empresarial - Um Modelo Emergente para Generar Valor al Accionista; consultado a
08 Dezembro de 2009 em: http://www.kpmg.cl/aci/pdf/ERM.pdf.
Knight, Kevin; 2009; ISO International Organization for Standardization; Novo padro
ISO para a gesto eficaz dos riscos;
http://www.standards.org.au/downloads/091120_New_Risk_Management_Standard.pd
f
Lorenzo, Mariano; 2001; La Audtora Interna orientada a los Processos; Revista Partida
Doble n 124 (Julio /Agosto:78-85).
Martin, Javier; Morales, Federico; 2001; La Audtora de resgos: Un caso prctco;
Revista Partida Doble n 124 (Julio /Agosto:86-91).
McNamee, David; 2000; Tarteting Business Risk; The Internal Auditors (Oct. 46-51).
McNamee, David; 1997a; Auditoria Baseada em Riscos: mudando o paradigma das
auditorias internas, adaptado e actualizado por Cicco, Francesco; 2006; consultado
em 25 de Setembro de 2009 em: http://www.qsp.org.br/auditoria_risco.shtml
McNamee, David; 1997b; A Auditoria Baseada no Risco; traduo de Rocha,
J.D.Almeida; Cadernos de Auditoria Interna Ano 2, N1, Maio, 1999; Banco de
Portugal.
Morais, Accio; 2000; Sistemas de Controlo Interno. Gesto e Finalidades; Cadernos de
Auditoria Interna; Ano 3, N1 (Outubro); Banco de Portugal.
Morais, Georgina; 2008; A Importncia da Auditoria Interna para a Gesto: O Caso das
Empresas Portuguesas; trabalho apresentado no 18 Congresso Brasileiro de
Contabilidade, consultado em 26 de Novembro de 2009 em:
http://www.ccontabeis.com.br/_htm/cbc18.htm
Morais, Georgina; Martins, Isabel; 2007; Auditoria Interna Funo e Processo; reas
Editora; 3 edio.
Moro, A.E.F.; 1999, El Mapa de Resgos de Negcio: bases para su elaboracin; Partida
Doble, Octubre: 72-85.
Pereira, Eduardo ; Bracalente, Fernando; Dinofre, Marcelo; Bernardinelli, Mario; 2008;
COSO The Committee of Sponsoring Organizations of the Treadway Commission,
consultado em http:// infosegura.eti.br em 22 de Novembro de 2009.
Pinheiro, Joaquim Leite; 2008; Auditoria Interna Auditoria Operacional - Manual
Prtico para Auditores Internos; Editora Rei dos Livros.
92
PricewaterhouseCoopers; 2002; Business Risk Model;
http://globalbestpractices.pwc.com
Protiviti, Independent Risk Consulting; Guide to Enterprise Risk Management; 2006;
www.protiviti.com.
93
Manual
de
Riscos de Negcio
Fonte: Adaptado Business Risk Model
(Anexo 1)
95
RISCOS DO MEIO ENVOLVENTE 4
1. Disponibilidade de Capital 4
2. Perda Castatrfica 4
3. Concorrncia 4
4 Mercados Financeiros 4
5. Industria 4
6. Legal 4
7. Normativo 4
8. Sensibilidade 5
9. Relaces com Accionista 5
10 Poltico 5
RISCOS DO PROCESSO 6
RISCOS OPERACIONAIS 6
11. Interrupo do Negcio 6
12. Capacidade 6
13. Cumprimento normas e regulamentos 6
14. Satisfao dos Consumidores 6
15. Tempo do Processo 6
16. Eficincia 6
17. Ambiental 6
18. Sade s Segurana 7
19. Obsolescncia 7
20. Recursos Humanos 7
21. Expectativas de Performance 7
22. Desenvolvimento de Produto 7
23. Falha de Produto/Servio 7
24. Fornecimento 7
25. Perda de Valor das Marcas 7
RISCO DE AUTORIDADE 7
26. Autorizao 8
27. Facilidade de Mudana 8
28. Comunicao 8
29. Liderana 8
30. Subcontratao 8
31. Incentivos performance 8
RISCO TCNOLGICO / PROCESSAMENTO DA INFORMAO 9
32. Acessos 9
33. Disponibilidade 9
34. Integridade 9
35. Infraestruturas 9
36. Relevncia da Informao 9
RISCO DE INTEGRIDADE 10
37. Fraude do Colaborador 10
38. Actos Ilegais 10
39. Fraude da Gesto 10
40. Reputao 10
41. Uso No autorizado 10
15-07-10 96
RISCO FINANCEIRO 11
42. Crdito Colateral 11
43. Crdito - Concentrao 11
44. Crdito - Escassez 11
45. Liquididez - Cash-Flow 11
46. Liquididez -Concentrao 11
47. Preo - Cmbio 11
48. Preo - Capitais Prprios 11
49. Preo - Instrimentos Financeiros 11
50. Preo - Taxa de Juro 11
RISCO OPERACIONAL 12
51. Alinhamento 12
52. Contratos/Compromissos 106
53. Avaliao Performance 12
54. Preo 12
55. Reporte Normativo (Operacional) 12
RISCO FINANCEIRO 12
56. Informao Contabilstica 12
57. Oramento 13
58. Avaliao da Informao de Gesto 13
59. Avaliao de Investimentos 13
60. Fundo de Penses 13
61. Reporte Normativo (Financeiro) 13
62. Impostos 13
RISCO ESTRATGICO 14
63. Porteflio do Negcio 14
64. Avaliao do Ambiente do Negcio 14
65. Ciclo de Vida 14
66. Organizao da Empresa 14
67. Avaliao Performance (Estratgica) 14
68. Planeamento 14
69. Alocao de Recursos 14
70. Valorizao 14
15-07-10 97
RISCOS DO MEIO ENVOLVENTE
1. Disponibilidade Capital Trata-se do risco de a organizao no dispor de eficientes meios
de acesso ao capital que necessita para o seu crescimento, para execuo das suas estratgias e
gerar retorno financeiro.
15-07-10 98
8. Sensibilidade - Este risco resulta do comprometimento que a gesto faz dos recursos e
cash flow esperados da Empresa at uma extenso tal que reduz a capacidade da Empresa para
acompanhar as mudanas no ambiente em que se insere, que esto para alm do seu controlo.
9. Relaes com accionistas - Risco de falta de confiana por parte dos investidores (actuais e
potenciais) por no entenderem as mensagens e estratgias da Empresa. Como resultado os
investidores no tero a confiana necessria no potencial da Empresa para a obteno do retorno
do seu investimento.
10 Poltico - Risco de alteraes polticas num pas porem em causa os activos da Empresa ou
a sua performance.
15-07-10 99
RISCOS DO PROCESSO
Risco Operacional
12. Capacidade - Risco de a capacidade produtiva dos recursos humanos, no ser utilizada
eficientemente e no ser adequada s necessidades e procura dos clientes
16. Eficincia - Riscos de os processos serem ineficientes na satisfao de pedidos vlidos dos
clientes, resultando em custos acrescidos face concorrncia.
18. Sade e Segurana - O risco de um inadequado controlo com a segurana e sade dos
trabalhadores resultar em responsabilidades com compensaes a trabalhadores e causar uma
reputao negativa.
15-07-10 100
19. Obsolescncia - Risco de o produto da Empresa estar obsoleto/ultrapassado resultando em
significativas perdas para a Empresa.
20. Recursos Humanos - Risco de os recursos humanos responsveis pela gesto e controlo da
organizao ou do processo de um negcio no possurem o conhecimento, capacidade e
experincia necessria que assegure que os objectivos crticos so atingidos e que os riscos de
negcio sejam reduzidos a um nvel aceitvel.
21. Expextativas Performance - Risco de a performance da Empresa ser desfavorvel face dos
concorrentes devido a qualidade inferior, maiores custos e ou ciclos de tempo mais demorados.
25. Perda de Valor das Marcas - Risco de uma marca perder o seu valor durante o perodo de
lanamento e de vida de um negcio.
Risco de Autoridade
26. Autorizaes - O risco de as aces serem executadas por quem no tem autoridade e de
descurar as aces que lhe so atribudas.
15-07-10 101
Este risco ocorre quando colaboradores da empresa excedem as fronteiras de delegao ou
autoridade, ocasionando situaes de actos no autorizados, ilegais, no ticos ou assumem
riscos de negcio no autorizados e inaceitveis.
32. Accessos Risco que o acesso informao (dados ou programas) seja inadequadamente
concedido ou recusado, o que significa a concesso de acessos a informao confidencial a
pessoas no autorizadas ou incorrectamente autorizadas.
15-07-10 102
33. Disponibilidade - O risco da informao no estar disponvel quando necessria. Os riscos
includos incluem perda de comunicaes (ex. corte de cabos, perda de centrais telefnicas),
perda da capacidade bsica de processamento (ex. causada por fogo, inundao, perda de
energia) e dificuldades operacionais (ex. perda de discos, erros de operao). A indisponibilidade
pode tambm ser causada por causas naturais, vandalismo, sabotagem e acidentes.
34. Integridade dos Sistemas de Informao - Este risco inclui todos os riscos associados com
a autorizao, totalidade e exactido das transaces na sua introduo, processamento,
sumarizao e reporte nos diferentes sistemas aplicacionais da empresa.
Este risco aplica-se a todo e qualquer sistema da empresa, e a todos os aspectos de um sistema
aplicacional, encontrando-se presente em diferentes locais e momentos.
A integridade pode ser perdida por erros de programas (ex. dados correctos processados por
programas incorrectos), erros de processamento (ex. transaces so incorrectamente
processadas mais do que uma vez sobre os mesmos ficheiros) ou erros de gesto (ex. gesto
deficiente do processo de manuteno de sistemas).
35. Infraestruturas - risco de que a empresa no possua uma infra-estrutura tecnolgica (ex.
hardware, rede, software, pessoas e processos) que suporte de forma efectiva as necessidades
actuais e futuras do negcio, de forma economicamente justificvel e adequadamente controlada.
Estes riscos esto relacionados com os processos na rea da tecnologia utilizados para definir,
desenvolver, manter e operar o ambiente de processamento (ex. hardware e redes) e os sistemas
aplicacionais associados (ex. suporte a clientes, facturao, stocks).
Risco de Integridade
15-07-10 103
Este risco pode levar a exposio legal, publicidade negativa ou adversa e impacto nas
operaes (perda de confiana dos clientes, fornecedores ou financiadores).
39. Fraude da Gesto - Risco de a gesto emitir informao com inteno de enganar
investigaes pblicas, auditores externos, ou envolver subornos, pagamento de influncias e
outros esquemas para benefcio da Empresa.
41. Uso no autorizado - Risco dos activos fsicos e financeiros serem utilizados para fins no
autorizados ou no ticos por colaboradores ou outros e a informao e outros activos (Ex.
desenhos de produtos, processos internos, listas de clientes, "know-how", e outros segredos)
serem comprometidos por espionagem industrial, resultando numa perda de vantagens
competitivas.
Risco Financeiro
42. Crdito - Colateral - Risco de o valor de um activo cedido como colateral para um
emprstimo, recebimento ou obrigao poder perder parcial ou totalmente o seu valor.
43. Crdito - Concentrao - Risco de perda excessiva como resultado de inapropriado nfase
do volume de vendas ou de receitas num nico projecto, rea geogrfica, nveis de preo ou outro
segmento econmico.
15-07-10 104
44. Crdito - Escassez - O risco de crdito descreve a exposio a perdas reais ou custo de
oportunidade, resultantes do incumprimento (ou outro tipo de falha) por uma entidade legal ou
econmica (o devedor) com o qual a Empresa possui relaes de negcio.
Para empresas no financeiras, a gesto do risco de crdito tipicamente induzida pela definio
de requisitos de controlo sobre a base de clientes. O risco est relacionado com a entrega de
bens ou prestao de servios antes do recebimento do pagamento dos mesmos.
49. Preo Instrumentos financeiros - Este risco varia em funo do segmento de mercado em
que o detentor do instrumento de financiamento est exposto, ou da forma como a exposio est
estruturada.
15-07-10 105
RISCO DA INFORMAO PARA A TOMADA DE DECISO
Risco Operacional
54. Preo - Risco na informao utilizada para a definio do preo. Este risco pode revelar-se
de vrias formas, isto , o preo ser superior ao que os consumidores esto dispostos a pagar
porque a poltica de preos da Empresa no se baseou em pesquisa de mercado nem na obteno
de outras informaes sobre o consumidor ou ento o preo no cobre os custos de
desenvolvimento e produo.
55. Reporte normativo operacional - O risco que relatrios e informao operacional requerida
pelas entidades reguladoras sejam incompletos, inexactos, fora de prazo, expondo a empresa a
multas, penalidades ou sanes.
Risco Financeiro
56. Informao Contabilstica - Risco de a informao financeira no ser suficiente e/ou ser
manipulada, no servindo assim para a tomada de decises.
15-07-10 106
57. Oramento - Risco de o oramento e planos no serem realista, no serem baseados em
pressupostos correctos, no baseados nas performances do negcio, no aceites pelos Key
managers, no teis ou utilizados como ferramenta de monitorizao.
Este risco resulta usualmente da incapacidade de obter informao de negcio relevante (de
fontes internas ou externas) e de avaliar os ajustamentos necessrios para representar fielmente
a situao financeira da Empresa.
60. Fundo de Penses - Este risco inclui riscos associados reputao, moralidade, litgios e
necessidades de fundos adicionais.
62 Impostos - Este risco possui duas componentes chave que so o cumprimento de todas as
leis/normas fiscais e transaces de valor materialmente relevante possuem impactos fiscais
negativos que poderiam ser evitados se tivessem sido estruturadas de forma diferente.
Risco Estratgico
63. Porteflio do Negcio - Risco de a Empresa no possuir informao que lhe permita fazer
uma gesto do seu mix de negcios de forma adequada.
15-07-10 107
64. Avaliao do Ambiente de Negcio - Este risco surge quando a Empresa no possui um
processo efectivo de obteno de informao relevante sobre o ambiente externo ou os
pressupostos chave acerca do ambiente externo so inconsistentes com a realidade ou no so
monitorizados pela Empresa.
65. Ciclo de Vida - Risco de uma Empresa no possuir informao para gesto do ciclo de vida de
uma linha de produtos. Este risco tem impacto nas estratgias de negcio.
68. Planeamento - Risco de a estratgia de negcio da Empresa no ser dirigida por inputs
criativos e intuitivos ou no ser baseada em pressupostos actuais sobre o ambiente externo da
organizao, resultando em estratgias desactualizadas e desfocadas.
70. Valorizao - Risco de a gesto e os decisores no terem capacidade para medir de forma
real o valor de um negcio ou um segmento especfico no seu contexto estratgico.
15-07-10 108
ANEXO 2 - Matriz de Riscos Inerentes
Fase 2 do Modelo de GR - Identificar os Riscos
MATRIZ DE RISCOS (inerentes)PROCESSO: 1.1.2. Processo Geral - Compras Oramento - Seleco do fornecedor e validao das
condies
3. Concorrncia 7. Normativo 1 1
RISCOS DO PROCESSO
A.I
RISCO DE INTEGRIDADE I P
37. Fraude do Colaborador 2 2
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao 2 1
Legenda 41. Utilizao no autorizada 2 1
I - Impacto (1 - Gervel; 2 - Importante 3 - Critico)
P - Probabilidade (1 - Remota; 2 - Possvel; 3 - Provvel)
109
ANEXO 2 - Matriz de Riscos Inerentes
Fase 2 do Modelo de GR - Identificar os Riscos
MATRIZ DE RISCOS (inerentes)PROCESSO: 1.1.4. Processo Geral - Compras Oramento - Criao do Acordo de Fornecimento
3. Concorrncia 7. Normativo 1 1
RISCOS DO PROCESSO
A.I A.I A.I
I P I P I P
RISCO OPERACIONAL RISCO DE AUTORIDADE RISCO FINANCEIRO
11. Interrupo do negcio 3 2 26. Autoridade /Limite Risco 3 2 42. Crdito - Colateral
12. Capacidade 1 1 27. Facilidade de Mudana 43. Crdito - Concentrao
13. Comprimento normas e regulamentos 1 1 28. Comunicao 2 2 44. Crdito- Escassez
14. Satisfao dos consumidores 29. Liderana 1 1 45. Liquididez - Cash Flow 1 1
15. Tempo do Processo 3 2 30. Subcontratao 3 2 46.Liquididez - Concentrao
16. Eficincia 2 2 31. Incentivos Performance 47. Preo - Cmbio 1 1
17. Ambiental 48. Preo Capitais Prprios
18. Sade e Segurana 49. Preo - Instrumentos Financeiros
20. Obsolescencia 1 2 PROCESSAMENTO A.I 50. Preo - Taxa de Juro
19. Recursos Humanos INFORMAO / I P
21. Expectativas de Performance RISCO TECNOLGICO
22. Desenvolvimento de Produto 32. Acessos 3 2
23. Falha do Produto/Servio 3 2 33. Disponibilidade 1 1
24. Fornecimento 3 2 34. Integridade Sistemas de Informao
25. Perda de Valor das Macas 35. Infrastructuras 1 1
36. Relevancia da Iinformao
A.I
RISCO DE INTEGRIDADE I P
37. Fraude do Colaborador 3 1
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao
Legenda 41. Utilizao no autorizada
I - Impacto (1 - Gervel; 2 - Importante 3 - Critico)
P - Probabilidade (1 - Remota; 2 - Possvel; 3 - Provvel)
110
ANEXO 3 - Matriz de Riscos Inerentes
Fase 3 do Modelo de GR - Analisar os Riscos
13.
52. 55. Reporte
11. Interrupo Cumprimento 14. Satisfao 15. Tempo do 19. Recursos 23. Falha de 24. 26. Risco de 30. 33. 37. Fraude do 41. Utilizao no 45. Liquididez - 59. Avaliao de Soma dos % Risco do N Ocorrncias
Processos / Riscos 6. Legal 7. Normativo
do negcio normas e do Consumidor Processo
16. Eficincia
Humanos Produto/Servio Fornecimento Autoridade
28. Comunicao 29. Liderana
Subcontratao
32. Acessos
Disponibilidade colaborador
40. Reputao
autorizada Cash Flow
51. Alignhamento Contrato/Compro normativo 57. Oramento
Investimentos riscos Processo Risco Abs. >3
misso (Operaconal)
regulamentos
N Ocorrncias 2 2 2 2 1 2 2 2 2 2 2 2 2 2 2 2 2 1 1 2 2 2 1 1 1
N Ocorrncias [Risco Abs. >3] 0 0 2 1 1 2 2 1 2 2 2 2 1 2 2 0 1 0 0 0 2 2 1 1 1
19 28 24 26
29 16
30
Crtico
15
23
52
11 32 51
55
Importante
Impacto
14 13
37
57
59
40
Gervel
6 7
33 41 45
Probabilidade
111
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 3 - Analisar o Risco
Fase 3 - Analisar os Riscos
Identificao de Identificao e
Grupo de Compras - Materiais de Embalagem Risco possveis caracterizao
ocorrncias dos controlos
Processo: 1.1. Processo Geral - Compras Oramento
Recolha de informao atravs da Internet Gestores Compras Secondary Operational Manual Preventive
112
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 3 - Analisar o Risco
Fase 3 - Analisar os Riscos
Identificao de Identificao e
Grupo de Compras - Materiais de Embalagem Risco possveis caracterizao
ocorrncias dos controlos
Processo: 1.1. Processo Geral - Compras Oramento
1.1.2. Seleco do fornecedor e validao das - Nvel de cumprimento do Contrato de Gesto da rea das Compras e
Secondary Operational Manual Detective
condies resultados das avaliaes globais de desempenho.
- 1.1.2.1. Actualizao lista fornecedores
- 1.1.2.2. Escolha do fornecedor a contactar
- 1.1.2.3. Solicitao de cotao
- 1.1.2.4. Anlise comparativa propostas
- 1.1.2.5. Seleco da proposta
113
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 3 - Analisar o Risco
Fase 3 - Analisar os Riscos
Identificao de Identificao e
Grupo de Compras - Materiais de Embalagem Risco possveis caracterizao
ocorrncias dos controlos
Processo: 1.1. Processo Geral - Compras Oramento
28. Comunicao Manual de Procedimentos de Controlo Interno Garantir uma comunicao eficaz
Risco da comunicao horizontal e vertical no ser A consulta ao fornecedor dever ser efectuado mediante envio de
3 2 entre os vrios intervenientes no
eficiente resultando em mensagens inconsistentes com os caderno de encargos ou fichas tcnicas dos bens ou servios processo de compra
objectivos propostos e a estratgia do grupo sempre que a denominao do bem no for o bastante para
especificar o material ao fornecedor Fornecedor deve sempre confirmar por escrito o resultado final das
Gestores de Compras,
Falha na comunicao entre compradores e fornecedores negociaes, se no o fizer o comprador envia para o fornecedor um Primary Operational Manual Preventive
Compradores
resumo com o que ficou acordado na reunio.
29.Liderana
Garantir que os lderes de equipa
Risco dos responsveis pelos processos crticos da Chefia no transmite s suas equipas as orientaes recebidas por
coordenam e supervisionam
empresa e liderana de equipas no terem o perfil 3 2 parte da Gesto N/A N/A N/A N/A N/A
eficazmente o trabalho dos seus
adequado ao desempenho das funes que lhe foram
subordinados
cometidas
Dir. Compras
Respeito pela normas ticas Primary Operational Manual Preventive
Chefias
40. Reputao 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
51. Alinhamento 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
52. Contratos/Compromissos 3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
57. Oramento 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
59. Avaliao de Investimentos 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
114
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 3 - Analisar o Risco
Fase 3 - Analisar os Riscos
Identificao de Identificao e
Grupo de Compras - Materiais de Embalagem Risco possveis caracterizao
ocorrncias dos controlos
Processo: 1.1. Processo Geral - Compras Oramento
115
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 3 - Analisar o Risco
Fase 3 - Analisar os Riscos
23.Falha de Produto/servio
3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
24. Fornecimento
Risco de no existir no mercado o
3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
material/servio com o preo/qualidade
desejado pela Unidade de Negcio
28. Comunicao
2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
30. Subcontratao
3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
51. Alinhamento 3 3 N/A N/A N/A N/A N/A N/A N/A N/A N/A
52. Contratos/ Compromissos 2 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
55. Reporte normativo 3 2 N/A N/A N/A N/A N/A N/A N/A N/A N/A
116
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 4 - Avaliar os Riscos
Fase 4 - Avaliar os Riscos
Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
Factor de Risco Imp. Prob. Plano de Testes Resultados dos testes efectuados Nota Imp. Prob.
(Sim/No)
Sim 1 - Aferir por inqurito rea das Compras de 1 -No houve interrupo da produo motivada por atraso
situaes de interrupo do negcio originadas na aprovao de um fornecedor. N/A
por falha do fornecimento de um fornecedor.
6 - Verificar se estaro definidas clusulas com 6 - Na maioria dos casos no esto definidas estas
Sim penalidades por incumprimento dos contratos clausulas, porque no existe um contrato formalizado com o Bom
celebrados com fornecedores fornecedor.
Bom
No N/A N/A
(se aplicado)
117
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 4 - Avaliar os Riscos
Fase 4 - Avaliar os Riscos
Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
Factor de Risco Imp. Prob. Plano de Testes Resultados dos testes efectuados Nota Imp. Prob.
(Sim/No)
Qustionar sobre a qualificao e experincia dos Os gestores de compras possuem formao e experincia
No Bom
seus colaboradores adequada para o desempenho sa sua funo
Bom
(Necessrio
Questionar os compradores sobre as suas
Tem frequentado aces de formao, so adequadas avaliao mais
Sim necessidades de formao e a adequao da
funo e a frequncia boa. profunda para
formao ministrada.
devida aferio
do risco)
Bom
No N/A N/A
(se aplicado)
24. Fornecimento
Risco de no existir no mercado o material/servio com o 3 3 3 3
preo/qualidade desejado pela Unidade de Negcio
Bom
No N/A N/A
(se aplicado)
26. Autorizao
Risco dos colaboradores executarem tarefas que no era
3 3 3 3
suposto ou no executarem as tarefas que lhes estavam
atribudas
118
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 4 - Avaliar os Riscos
Fase 4 - Avaliar os Riscos
Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
Factor de Risco Imp. Prob. Plano de Testes Resultados dos testes efectuados Nota Imp. Prob.
(Sim/No)
26. Autorizao
Risco dos colaboradores executarem tarefas que no era
3 3 3 3
suposto ou no executarem as tarefas que lhes estavam
atribudas 3 - Inqurito ao Director de Compras
questionando situaes em que tenha
constatado que os Compradores/ Gestor de 3 - No foram relatadas pelo Director de Compras situaes
No Compra no o envolveram num processo de em que tenha detectado o incumprimento dos nveis de Bom
compra quando assim o deveriam de acordo autorizao.
com o documento interno de nveis de
autorizao.
28. Comunicao
Risco da comunicao horizontal e vertical no ser eficiente
3 2 3 2
resultando em mensagens inconsistentes com os objectivos
A resposta obtida foi de que por norma no so efectuadas
propostos e a estratgia do grupo
Inqurito aos compradores sobre a realizao da actas das reunies, nem existe por parte da rea de compras
acta da reunio, ou realizao de uma um documento (modelo), onde se identificam as condies
Sim Insuficiente
informao com os principais pontos referidos negociadas e se solicita ao fornecedor para assinar, ficando
na mesma e assinada pelo fornecedor deste modo o fornecedor comprometido com as condies
negociadas.
119
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 4 - Avaliar os Riscos
Fase 4 - Avaliar os Riscos
Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
Factor de Risco Imp. Prob. Plano de Testes Resultados dos testes efectuados Nota Imp. Prob.
(Sim/No)
120
ANEXO 4 - Matriz de Anlise de Riscos e Controlos Fase 4 - Avaliar os Riscos
Fase 4 - Avaliar os Riscos
Avaliao do Risco
Risco Avaliao do
aps anlise do
controlo
controlo
Sub-processos
Testado
Factor de Risco Imp. Prob. Plano de Testes Resultados dos testes efectuados Nota Imp. Prob.
(Sim/No)
32. Access
Risco do acesso informao /sistemas de informao 3 2 No N/A N/A No Avaliado 3 2
ser indevidamente concedido ou recusado.
23.Falha de Produto/servio
3 2 N/A N/A N/A N/A 1 1
24. Fornecimento
Risco de no existir no mercado o
3 2 N/A N/A N/A N/A 1 1
material/servio com o preo/qualidade
desejado pela Unidade de Negcio
28. Comunicao
2 2 N/A N/A N/A N/A 1 1
30. Subcontratao
3 2 N/A N/A N/A N/A 1 1
121
Anexo 5 - Matriz de riscos Residuais do Processo de compras
Fase 4 - Avaliar os Riscos
MATRIZ DE RISCOS (Residuais) PROCESSO: 1.1.2. Processo Geral - Compras Oramento - Seleco do fornecedor e validao das
condies
3. Concorrncia 7. Normativo
RISCOS DO PROCESSO
A.I. A.I. A.I.
I P I P I P
RISCO OPERACIONAL RISCO DE AUTORIDADE RISCO FINANCEIRO
11. Interrupo do negcio 2 1 26. Autoridade /Limite Risco 3 3 42. Crdito - Colateral
12. Capacidade 27. Facilidade de Mudana 43. Crdito - Concentrao
13. Comprimento normas e regulamentos 2 2 28. Comunicao 3 2 44. Crdito- Escassez
14. Satisfao dos consumidores 2 2 29. Liderana 2 2 45. Liquididez - Cash Flow
15. Tempo do Processo 30. Subcontratao 1 1 46.Liquididez - Concentrao
16. Eficincia 2 2 31. Incentivos Performance 47. Preo - Cmbio
17. Ambiental 48. Preo Capitais Prprios
18. Sade e Segurana 49. Preo - Instrumentos Financeiros
20. Obsolescencia PROCESSAMENTO A.I. 50. Preo - Taxa de Juro
19. Recursos Humanos 2 2 INFORMAO / I P
21. Expectativas de Performance RISCO TECNOLGICO
22. Desenvolvimento de Produto 32. Acessos 1 1
23. Falha do Produto/Servio 2 2 33. Disponibilidade
24. Fornecimento 3 3 34. Integridade Sistemas de Informao
25. Perda de Valor das Macas 35. Infrastructuras
36. Relevancia da Iinformao
A.I.
RISCO DE INTEGRIDADE I P
37. Fraude do Colaborador 2 2
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao 1 1
Legenda 41. Utilizao no autorizada
I - Impacto (1 - Gervel; 2 - Importante 3 - Critico)
P - Probabilidade (1 - Remota; 2 - Possvel; 3 - Provvel)
122
Anexo 5 - Matriz de riscos Residuais do Processo de compras
Fase 4 - Avaliar os Riscos
MATRIZ DE RISCOS (residuais) PROCESSO: 1.1.4. Processo Geral - Compras Oramento - Criao do Acordo de Fornecimento
3. Concorrncia 7. Normativo
RISCOS DO PROCESSO
A.I. A.I A.I
I P I P I P
RISCO OPERACIONAL RISCO DE AUTORIDADE RISCO FINANCEIRO
11. Interrupo do negcio 1 1 26. Autoridade /Limite Risco 3 2 42. Crdito - Colateral
12. Capacidade 27. Facilidade de Mudana 43. Crdito - Concentrao
13. Comprimento normas e regulamentos 2 2 28. Comunicao 1 1 44. Crdito- Escassez
14. Satisfao dos consumidores 29. Liderana 45. Liquididez - Cash Flow
15. Tempo do Processo 30. Subcontratao 1 1 46.Liquididez - Concentrao
16. Eficincia 2 1 31. Incentivos Performance 47. Preo - Cmbio
17. Ambiental 48. Preo Capitais Prprios
18. Sade e Segurana 49. Preo - Instrumentos Financeiros
20. Obsolescencia PROCESSAMENTO A.I 50. Preo - Taxa de Juro
19. Recursos Humanos INFORMAO / I P
21. Expectativas de Performance RISCO TECNOLGICO
22. Desenvolvimento de Produto 32. Acessos 3 2
23. Falha do Produto/Servio 1 1 33. Disponibilidade
24. Fornecimento 1 1 34. Integridade Sistemas de Informao
25. Perda de Valor das Macas 35. Infrastructuras
36. Relevancia da Iinformao
A.I
RISCO DE INTEGRIDADE I P
37. Fraude do Colaborador 1 1
38. Actos Ilegais
39. Fraude da Gesto
40. Reputao
Legenda 41. Utilizao no autorizada
I - Impacto (1 - Gervel; 2 - Importante 3 - Critico)
P - Probabilidade (1 - Remota; 2 - Possvel; 3 - Provvel)
123
Anexo 5 - Matriz de Risco Residual do Processo de Compras
Fase 4 - Avaliar os Riscos
13.
52. 55. Reporte
11. Interrupo do Cumprimento 14. Satisfao do 19. Recursos 23. Falha de 26. Risco de 30. 37. Fraude do 40. 51. % Risco do N Ocorrncias Ranking Processos
Processos / Riscos negcio normas e Consumidor
16. Eficincia
Humanos Produto/Servio
24. Fornecimento
Autoridade
28. Comunicao 29. Liderana
Subcontratao
32. Acessos
colaborador Reputao Alignhamento
Contrato/Compro normativo 57. Oramento Soma dos riscos
Processo Risco Abs. >3 (Risco Abs. >3)
misso (Operaconal)
regulamentos
MAPA DE RISCOS DOS PROCESSOS DE COMPRAS MAPA DE RISCOS DOS PROCESSOS DE APROVISIONAMENTO (FINAL)
29 28 26
16 26 24
24 28
x 19
Crtico
Crtica
15
23
32
11 52
32 51
16 16
40
x
41 19 19
Importante
Importante
29 14 13
Impacto
Impacto
55 29 14 13
37
34 x 23
37
23
57
x 59
11
Manageable
30 11 30
Gervel
55
52
6 52 55
xx x x
40
7 40 57 51
33 51
45 57
Probabilidade Probabilidade
Legenda:
rea menos prioritria - Estes riscos so normalmente aceitveis, no seu nvel actual. As empresas de sucesso
eliminam os controlos irrelevantes e redundantes.
rea Intermdia - "Inspeccionar e corrigir" os controlos e monitorizar os processos so medidas adequadas para
mitigar os riscos.
rea a precisar de ateno imediata - Elevado Impacto e Probabilidade do risco acontecer. O Objectivo o de
evitar ou prevenir estes riscos na origem.
124
ANEXO 6 - Matriz de Tratamento de Riscos do processo de Compras
Fase 5 do Modelo de GR - Tratar os Riscos
Estratgia Possveis medidas para procurar mitigar o risco residual Plano de Implementao
N Risco Designao Factores de Risco
Proposta
Medida Tarefa Responsvel Prazo
COLOCAR ESTE COLOCAR ESTE PARGRAFO
As reas operacionais no enviam para o Departamento de Compras a
O Departamento de Compras dever definir juntamente com as reas
informao relativa aos oramentos atempadamente, ou quando chega
Operacionais um calendrio para a recepo de toda a informao
posteriormente alterada, o que pode pr em causa a recepo de
necessria, de modo a evitar atrasos e desta forma comprometer o poder
16 materiais e por conseguinte a satisfao das necessidades dos clientes.
Eficiencia Controlar negocial, bem como, dever ser definida uma equipa de trabalho com
Por outro lado, verifica-se situaes em que o processo de aprovao de
todos os intervenientes no processo de aprovao de fornecedores com o
fornecedores moroso. Ambas as situaes atrs referenciadas podem
intuito de se definirem limites temporais razoveis de interveno de cada
provocar atrasos nas negociaes, podendo originar uma perda de
rea por tipo de material.
oportunidade negocial
Na admisso de um novo fornecedor nacional, sugerimos que se verifique
A informao solicitada a fornecedores de materiais em que o risco de se a firma em causa se encontra na Lista de Devedores ao Fisco
fornecimento elevado que permita avaliar a sua capacidade financeira e disponibilizada no site das Finanas.
situao econmica no parece ser suficiente podendo conduzir a risco No caso de fornecedores em que o montante em negociao assume
de fornecimento, falha do produto ou eficincia no caso de o fornecedor propores significativas (de acordo com limite a definir pelo
24 Fornecimento Controlar Departamento de Compras) ou para materiais crticos, e se perspectivem
enfrentar problemas financeiros/econmicos significativos.Dependncia
do know-how (nomeadamente ao nvel da manuteno) de entidades que perodos de fornecimento longos (por exemplo 1 ano), dever ser
trabalham com a Empresa em regime de Subcontratao, que caso ponderada a recolha de informao econmico-financeira do fornecedor
deixarem de trabalhar com a Empresa podero causar-lhe problemas. por recurso a entidades especializadas que fornecem este tipo de
informao (ex: Dun & Bradstreet e outras entidades).
32 Acessos A analisar
125