Introdução

A importância da governança corporativa forte de gestão de risco tem sido cada vez
reconheceu. As organizações estão sob pressão para identificar todos os riscos que o
negócio rosto, sociais, éticos e ambientais, bem como financeiras e operacionais, e
explicar como gerenciá-los a um nível aceitável. Enquanto isso, o uso de quadros de
gestão de risco em toda a empresa expandiu-se, como organizações reconhecer as
suas vantagens em relação a abordagens menos coordenada para a gestão de risco.

A auditoria interna, tanto em sua garantia e suas funções de consultoria, contribui para
a gestão de risco em uma variedade de maneiras.

O que é toda a empresa de Gestão de Risco?

As pessoas comprometem-se actividades de gestão de risco para identificar, avaliar,

gerenciar e controlar todos os tipos de eventos ou situações. Estes podem variar de
projectos individuais ou estreitamente tipos definidos de risco, por exemplo, risco de
mercado, as ameaças e oportunidades que enfrentam as organização como um todo.

Os princípios apresentados neste documento podem ser utilizados para orientar o

envolvimento da auditoria interna em todas as formas de gestão de risco, mas
estamos particularmente interessados em gestão de risco em toda a empresa, porque
esta é susceptível de melhorar um governança da organização de processos.

Gestão de riscos empresariais (ERM) é um questionário estruturado, coerente e

contínua processo em toda a organização para identificar, avaliar, decidir sobre as
respostas para e elaboração de relatórios sobre as oportunidades e ameaças que
afetam a realização dos seus objectivos.

A responsabilidade pela MTC

O conselho tem a responsabilidade de garantir que os riscos são geridos. Na prática,

o conselho vai delegar a operação da estrutura de gerenciamento de risco para o
equipe de gestão, que será responsável pelo cumprimento das atividades abaixo.

Não pode ser uma função separada que coordena e gerencia projetos essas
atividades e traz para suportar as habilidades e conhecimentos especializados.

Todos na organização desempenha um papel na garantia de risco em toda a empresa

bem-sucedida gestão, mas a responsabilidade pela identificação dos riscos e
gerenciá-las mentiras com a gerência.
Benefícios da MTC

ERM pode dar um contributo importante para ajudar uma organização a gerenciar os
riscos. Para atingir os seus objectivos. Os benefícios incluem:

 Maior probabilidade de atingir esses objectivos;

 Relatório consolidado dos riscos diferentes a nível da administração;

 Melhor compreensão dos principais riscos e suas implicações mais amplas;

 Identificação e partilha de riscos do negócio cruz;

 Maior foco de gestão sobre as questões que realmente importam;

 Poucas surpresas e crises;

 Mais internamente foco em fazer as coisas certas do jeito certo;

Emitido em: PP MTC janeiro 2009

Revisado: Página 3 de 8 aumento da probabilidade de iniciativas de mudança a ser

alcançada;

 Capacidade para assumir maior risco de maior recompensa e

 Mais informou a assunção de riscos e tomada de decisão.

 As actividades incluídas no MTC

 Articular e comunicar os objectivos da organização;

 Determinando o apetite de risco da organização;

 Estabelecer um ambiente interno apropriado, incluindo uma gestão de risco

enquadramento;

 Identificação de potenciais ameaças para a realização dos objectivos;

 Avaliar o risco (ou seja, o impacto e probabilidade de ocorrência de ameaça);

 Seleção e implementação de respostas aos riscos;

 Empresa de controle e outras atividades de resposta;

 Comunicar informações sobre os riscos de uma forma consistente em todos os

níveis na organização;

 Monitorar e coordenar os processos de gestão de risco e os resultados, e

  Prestação de garantias sobre a eficácia com que os riscos são geridos.

Prestação de garantias sobre o MTC

Um dos requisitos fundamentais do conselho ou o seu equivalente é o de obter a

certeza de que o risco processos de gestão estão a funcionar eficazmente e que os
principais riscos estão sendo gerenciados para um nível aceitável.

É provável que a garantia virá de fontes diferentes. Destes, a garantia de gestão é

fundamental. Isto deve ser complementado pela oferta de garantia objetiva, para os
quais a atividade de auditoria interna é uma das principais fontes. Outras fontes incluir
auditores externos e revisões especialista independente. Os auditores internos serão
normalmente fornecem garantias em três áreas:

Processos de gestão de risco, tanto a sua concepção e como eles estão trabalhando;
Gestão dos riscos classificados como "essenciais", incluindo a eficácia da controles e
outras respostas para eles, e Avaliação confiável e adequada dos riscos e
comunicação de riscos e controlo status.

O papel da auditoria interna no MTC

A auditoria interna é uma garantia independente, objetivo e de atividade de

consultoria. Seu núcleo papel no que diz respeito a MTC é fornecer garantia objetiva
para o conselho sobre a eficácia da gestão de riscos. De fato, a pesquisa mostrou que
os conselhos de administração auditores internos e concordam que as duas formas
mais importantes que a auditoria interna fornece valor para a organização estão na
prestação de garantias objectivas de que o principal riscos do negócio são geridos de
forma adequada e garantia de fornecimento de que o risco gestão e estrutura de
controle interno está funcionando effectively1.

1 Agenda O Valor, do Instituto de Auditores Internos - Reino Unido e Irlanda e Deloitte

& Touche, 2003

Emitido em: PP MTC janeiro 2009

Revisado: Página 4 de 8

A Figura 1 apresenta uma série de atividades MTC e indica quais funções um efetivo
atividade profissional de auditoria interna deve e, igualmente importante, não deveriam
realizar.
Os principais factores a ter em conta ao determinar o papel da auditoria interna são
se a atividade gera quaisquer ameaças à independência da atividade de auditoria
interna e objetividade e se é provável a melhorar a gestão de riscos da organização,
processos de controle e governança.

Figura 1 - O papel da auditoria interna na MTC

As atividades do lado esquerdo da Figura 1 são todas as atividades de seguros. Eles

fazem parte da maior objetivo de dar garantia sobre gestão de riscos. Uma atividade
de auditoria interna conformidade com as Normas Internacionais para a Prática
Profissional da Administração Interna

A auditoria pode e deve realizar pelo menos algumas dessas atividades.

Emitido em: PP MTC janeiro 2009

Revisado: Página 5 de 8

A auditoria interna pode fornecer serviços de consultoria que melhorar uma rganização
processos de governança, gestão de riscos e de controlo. A extensão do auditor
interno consultoria em ERM dependerá dos outros recursos, internos e externos,
disponíveis para o conselho e sobre o risco maturity2 da organização e é susceptível
de variar ao longo do tempo.

Experiência em auditoria interna, considerando os riscos, compreender as conexões

entre riscos e governança e na facilitação significa que a atividade de auditoria interna
é bem qualificado para atuar como campeão e até gerente de projetos da ERM,
especialmente no estágios iniciais de sua introdução. À medida que aumenta o risco
de maturidade da organização e do risco gestão torna-se mais integrado nas perações
da empresa, interna papel da auditoria em defender ERM pode reduzir. Da mesma
forma, se uma organização emprega os serviços de um especialista em gestão do
risco ou da função de auditoria interna é mais provável para dar valor, concentrando-
se em seu papel de garantia, do que pela empresa mais atividades de consultoria. No
entanto, se a auditoria interna ainda não aprovou o risco baseados abordagem
representada pelas atividades de seguros no lado esquerdo da Figura 1, é improvável
estar equipado para realizar as atividades de consultoria no centro.

Papéis de Consultoria

O centro da Figura 1 mostra as funções de consultoria que a auditoria interna pode

proceder em relação ao MRE. Em geral, o mais à direita do mostrador que a auditoria
interna empresas, maiores são as garantias que são necessárias para garantir que o
seu independência e objetividade são mantidos.

Algumas das funções de consultoria que a atividade de auditoria interna pode realizar
são:

 Disponibilização de ferramentas de gestão e técnicas utilizadas pela auditoria

interna para analisar os riscos e controles;

 Ser um campeão para a introdução de MTC na organização, alavancando sua

expertise na gestão de riscos e controle e seu conhecimento global da
organização;

 Prestar consultoria, facilitando workshops, coaching a organização em risco e

controlar e promover o desenvolvimento de uma linguagem comum quadro, e
compreensão;

Atuando como o ponto central de coordenação, monitoramento e relatórios sobre os

riscos e apoiar a gestão como eles trabalham para identificar a melhor forma de
mitigar o risco.

O fator-chave para decidir se os serviços de consultoria são compatíveis com o

papel de garantia é determinar se o auditor interno está assumindo qualquer gestão da
responsabilidade. No caso da auditoria interna ERM pode prestar consultoria serviços,
desde que ele não tem nenhum papel na gestão dos riscos, na verdade - que é a
gestão de responsabilidade - e, enquanto a alta administração aprova e apóia
activamente MTC. Recomendamos que, sempre que a atividade de auditoria interna
actua para ajudar o equipa de gestão para criar ou melhorar os processos de gestão
de risco, o seu plano de trabalho deve incluir uma estratégia clara e cronograma para
a migração da responsabilidade por essas serviços aos membros da equipa de
gestão.

2 O AI no Reino Unido e Irlanda Declaração de Posição de Auditoria interna baseada

no risco 2003

Emitido em: PP MTC janeiro 2009

Revisado: Página 6 de 8

Salvaguardas
A auditoria interna pode alargar a sua participação no MTC, como mostrado na Figura
1, desde determinadas condições se aplicam. As condições são:

Deve ficar claro que a gestão é responsável pela gestão de riscos.

A natureza das responsabilidades do auditor interno deve ser documentada no

mercado interno Carta de Auditoria e aprovado pelo comitê de auditoria.

A auditoria interna não deve gerenciar qualquer um dos riscos em nome da

administração.

A auditoria interna deve fornecer desafio, aconselhamento e apoio à gestão de

tomada de decisões, em vez de tomar decisões de gestão de riscos próprios.

A auditoria interna também não pode dar garantias objectivas em qualquer parte do
MRE quadro para o qual é responsável. garantia deverão ser prestados por outras
devidamente qualificado partes.

Qualquer trabalho para além das actividades de seguro deve ser reconhecida como
uma empresa de consultoria normas de contratação e execução relacionadas com tais
compromissos devem ser seguido.

Competências e corpo de conhecimento

Os auditores internos e gestores de riscos compartilhar alguns conhecimentos,

habilidades e valores. Ambos, por exemplo, compreender as exigências de
governança corporativa; têm gerenciamento de projeto, habilidades analíticas e de
facilitação e de valor tendo um equilíbrio saudável de risco ao invés de extremas de
risco ou comportamentos de evitação.

No entanto, os gerentes de risco, como tal, serve apenas a gestão da organização e

não tem que prestar independente e garantia objetiva à comissão de auditoria. Nem
deve auditores internos que procuram alargar o seu papel no MTC subestimar áreas
os gerentes de risco "especialista em conhecimento (como transferência de risco e
quantificação do risco e técnicas de modelagem), que estão fora do corpo de
conhecimento para a maioria dos auditores internos.

Qualquer auditor interno que não pode demonstrar as habilidades e os conhecimentos

adequados não devem realizar trabalhos em a área de gestão de riscos. Além disso, o
chefe da auditoria interna não deve fornecer serviços de consultoria nessa área se as
competências e conhecimentos adequados não estão disponíveis no a atividade de
auditoria interna e não pode ser obtido a partir de outro lugar.

Conclusão

A gestão de riscos é um elemento fundamental da governança corporativa. Gestão é

responsável pela criação e funcionamento da estrutura de gerenciamento de risco em
nome da da placa. gestão de risco em toda a empresa traz muitos benefícios, como
resultado da sua abordagem estruturada e consistente e coordenada. função de
auditor interno do núcleo em relação com o ERM deve dar garantias à administração e
ao conselho sobre a eficácia da gestão de riscos. Quando a auditoria interna estende
suas atividades para além este papel central, deverá aplicar-se determinadas
garantias, incluindo o tratamento de compromissos como serviços de consultoria e,
portanto, a aplicação de todas as normas pertinentes. Desta forma, interna auditoria
irá proteger a sua independência e objetividade dos seus serviços de segurança.

Dentro dessas limitações, o MTC pode ajudar a aumentar a visibilidade e aumentar a

eficácia de auditoria interna.

Emitido em: PP MTC janeiro 2009

Revisado: Página 7 de 8

Definição dos termos

Garantia de Serviços: Uma análise objetiva da prova com a finalidade de fornecer uma
avaliação independente sobre a governança, gestão de riscos e controle processos
para a organização.

Os exemplos podem incluir o desempenho, financeiros, conformidade, segurança do

sistema, e compromissos de due diligence.

Conselho:

Um conselho é o órgão dirigente de uma organização, tal como um conselho de

administração, conselho fiscal, chefe de uma agência ou órgão legislativo, do conselho
de governadores ou curadores de uma organização sem fins lucrativos, ou qualquer
outro organismo designado da organização, incluindo a comissão de auditoria a quem
o diretor executivo de auditoria pode funcionalmente relatório.

Campeão:
Alguém que apóia e defende que uma pessoa ou causa. Portanto, um
campeão de gestão de risco irá promover os seus benefícios, educar uma organização
gestão e de pessoal nas ações que precisam tomar para implementá-lo e incentivá-los
e apoiá-los na tomada de tais ações.

Serviços de Consultoria: Assessoria e actividades dos serviços relacionados ao

cliente, a natureza ea âmbito do qual são acordadas com o cliente, destinam-se a
agregar valor e melhorar um governança da organização, gestão de riscos e
processos de controle interno, sem a auditor assumir a responsabilidade de gestão.
Exemplos incluem o conselho, conselho, facilitação e treinamento.

Controle:

As medidas tomadas pela administração, do conselho, e outras partes para gerenciar

riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos serão
alcançados.

Os planos de gestão, organiza e dirige o desempenho de ações suficientes para

fornecer uma garantia razoável de que os objetivos e as metas serão alcançadas.

Empresa:

Qualquer organização criada para realizar um conjunto de objectivos.

gestão de riscos empresariais (ERM): Um estruturada, coerente e contínua processo
em toda a organização para identificar, avaliar, decidir sobre as respostas para e
elaboração de relatórios sobre as oportunidades e ameaças que afetam a realização
dos seus objectivos.

Facilitar:

Trabalhando com um grupo (ou individual) para tornar mais fácil para esse grupo (ou
individual) para atingir os objectivos que o grupo tenha acordado para o encontro ou
actividade. Trata-se de ouvir, desafiadora, observando, questionando e apoiando o
grupo e seus membros. Isso não implica fazer o trabalho ou tomar decisões.

Risco:

A possibilidade de uma ocorrência que terá um impacto sobre a realização

dos objectivos. O risco é medido em termos de impacto e probabilidade.

Apetite ao Risco: O nível de risco que uma organização está disposta a aceitar.
Emitido em: PP MTC janeiro 2009

Revisado: Página 8 de 8

Risk Management Framework:

A totalidade das estruturas, metodologia, procedimentos e definições que a

organização optou por usar para implementar o seu risco processos de gestão.

Processos de Gestão de Riscos:

Processos para identificar, avaliar, gerenciar e controlar possíveis eventos ou

situações, para fornecer segurança razoável quanto à
realização dos objectivos da organização.

Risco de Vencimento:

Até que ponto uma abordagem de gestão de risco tem sido robusto adoptadas e
aplicadas, como previsto, pela gestão de toda a organização para identificar, avaliar,
decidir sobre as respostas a e informar sobre as oportunidades e ameaças que afetam
o realização dos objectivos da organização.

Respostas aos Riscos:

O meio pelo qual uma organização escolhe para administrar cada riscos.

As categorias principais são a tolerar o risco, para tratá-la, reduzindo o seu impacto ou
probabilidade, para transferi-lo para outra entidade ou para encerrar a atividade de
criá-la. Os controles internos são uma maneira de tratar um risco.

***

Copyright

O autor deste artigo é realizada conjuntamente. Para obter permissão para reproduzir
no Reino Unido ou A Irlanda, por favor contacte II do Reino Unido e da Irlanda em
technical@iia.org.uk.

Para obter permissão para reproduzir em outros lugares, entre em contato com o
Instituto de Auditores Internos em guidance@theiia.org.