A gestão de riscos e a auditoria são componentes essenciais de qualquer
negócio. O processo de gerenciamento de riscos envolve identificar, analisar e avaliar riscos, selecionar e implementar respostas a esses riscos e monitorar e revisar os processos de gerenciamento de riscos. A avaliação de riscos é a identificação e análise dos riscos associados à não conformidade com os regulamentos operacionais, de informação e financeiros. Identificar e avaliar os riscos é o primeiro passo no processo de gerenciamento de riscos, e é importante estabelecer um contexto para o processo de gerenciamento de riscos antes de prosseguir. A NBC TA 315 enfatiza a importância das indagações da administração e do pessoal de auditoria interna na identificação e avaliação de riscos.
A implementação de estratégias de mitigação de riscos é a próxima etapa
no processo de gerenciamento de riscos. Isso envolve a adoção de atividades de uma função de auditoria e avaliação do ambiente de controle. A mitigação de riscos refere-se às estratégias adotadas por uma empresa para reduzir a probabilidade ou o impacto de um risco. Profissionais de linha de negócios, risco e conformidade e auditores desempenham um papel nas responsabilidades de gerenciamento integrado de riscos. O papel da auditoria interna na implementação da gestão de riscos é auxiliar o poder executivo na identificação e avaliação dos riscos.
Monitorar e revisar os processos de gerenciamento de riscos é a etapa
final do processo de gerenciamento de riscos. Esta etapa envolve monitoramento periódico, comunicação e revisão do processo de gerenciamento de riscos. O risco de liquidez é um exemplo de risco que exige permanente revisão e atualização do processo de gestão de riscos. As cinco principais estratégias usadas pelos gerentes de risco para tomar decisões incluem prevenção de riscos, redução de riscos, compartilhamento de riscos, transferência de riscos e aceitação de riscos.
O papel da Auditoria Interna na Gestão de Riscos
Não basta a Auditoria Interna revisar se os controles internos listados em
uma matriz mitigam os riscos ali identificados. A Auditoria Interna também tem a responsabilidade de revisar a adequação e eficácia do modelo de gestão de riscos em si, como parte do controle da organização.
O objetivo é avaliar a maturidade da gestão de riscos das organizações e
identificar os aspectos que necessitam ser aperfeiçoados para melhorar governança e a entrega de produtos e serviços.
De forma geral, a auditoria de gestão de riscos tem os seguintes objetivos:
a) determinar o nível de maturidade da gestão de riscos da organização;
b) identificar os aspectos que necessitam ser aperfeiçoados; e
c) emitir um relatório detalhado sobre os aspectos e uma conclusão geral sobre
a maturidade.
Ao avaliar o ambiente da organização, são consideradas as capacidades
existentes na organização em termos de liderança, políticas, estratégias e de preparo das pessoas, incluindo aspectos relacionados com cultura, a governança de riscos e a consideração do risco na definição da estratégia e dos objetivos em todos os níveis, para que a gestão de riscos tenha as condições necessárias para prosperar e fornecer segurança razoável do cumprimento da missão institucional na geração de valor para as partes interessadas.
A auditoria verifica se os processos de gestão de riscos adotados pela
gestão constituem um processo formal, com padrões e critérios definidos para a identificação, análise e avaliação de riscos, seleção e implementação de respostas aos riscos avaliados, monitoramento de riscos e controles e comunicação sobre riscos com stakeholders.
Também se examinam os resultados das práticas de gestão de riscos,
procurando avaliar em que medida a gestão de riscos tem sido eficaz para a melhoria dos processos de governança e gestão e como os resultados da gestão de riscos têm contribuído para o alcance dos objetivos da organização com eficiência, qualidade de bens e serviços, transparência, prestação de contas e cumprimento de leis e regulamentos.
Neste contexto, o papel do auditor interno deve ser o de prover avaliação
à administração e ao conselho quanto à eficácia do gerenciamento de riscos. Quando a auditoria interna estende suas atividades além deste papel fundamental, deve aplicar determinadas salvaguardas, incluindo considerar os trabalhos como serviços de consultoria. Desta forma, a auditoria interna irá proteger a sua independência e objetividade dos seus serviços de avaliação.
Em conclusão, a gestão de riscos e a auditoria são componentes críticos
de qualquer negócio, e é importante seguir o processo de gestão de riscos estabelecido para identificar, avaliar e mitigar riscos, e monitorar e revisar os processos de gestão de riscos para garantir sua eficácia.