ISCTEM / gchamba

RISCO NO PROCESSO DE AUDITORIA

Risco é a probabilidade de que um acontecimento ou acção possa afectar a entidade

adversamente. Está sujeito a auditoria qualquer activo, assim como qualquer actividade, sujeitos
a riscos.

Influência do risco na orientação da auditoria

A primeira preocupação económica da gestão está relacionada com os potenciais benefícios

para a organização, isto é, com o retorno das operações. A segunda preocupação, o risco, está
intimamente ligada à primeira e é, geralmente, tão importante quanto esta. O risco refere-se,
neste caso, ao risco financeiro e empresarial e pode ser definido como toda e qualquer ameaça
à eficiência da entidade. Esta segunda preocupação é vital para os auditores internos, devido à
sua relação com o sistema de controlo interno. Quanto maior é o risco, maior é a necessidade
de um controlo de gestão.

O risco pode ser classificado, de forma conceptual, de acordo com os objectivos do controlo
interno:

1. Informação financeira e operacional inadequadas;

2. Falhas na aplicação de políticas, normas, procedimentos, leis e regulamentos;
3. Perdas de valores activos;
4. Utilização ineficiente e contraproducente dos recursos;
5. Falhas na concretização de objectivos e metas

Alguns riscos são extremamente difíceis e até impossíveis de controlar, mas a gestão pode, por
exemplo, recorrer a seguros para minimizar as possíveis perdas. Noutros casos, a gestão pode
necessitar de um retorno económico maior, em compensação de riscos não seguráveis
crescentes.

Em geral, a gestão procura então minimizar os riscos:

1. Aumentando os sistemas de controlo;

2. Segurando possíveis perdas;
3. Procurando maiores retornos, quando se prevê haver maior risco.

Ao planear uma auditoria, os auditores internos avaliam não só o tipo de risco, mas, acima de
tudo, quanto representa o risco presente, protegendo toda a organização, avaliando os riscos
relativos associados com várias actividades e classificando-as por ordem dos seus níveis
relativos de risco. As actividades de maior risco são examinadas em primeiro lugar.
 ISCTEM / gchamba

Dois factores chave entram na classificação dos riscos do auditor:

1. quanto representa a perda potencial?

2. qual é a probabilidade de uma perda ocorrer actualmente?
O nível de risco é a combinação destes dois factores. O risco também pode ser considerado pelo
lado positivo, pois os auditores internos, para além das perdas potenciais, consideram também
os lucros potenciais com as suas probabilidades associadas. Uma perda no lucro potencial é
semelhante, em natureza, a uma perda actualmente ocorrida e o risco relativo de tal perda deve
ser considerado.

Avaliação do Risco de Auditoria

O Risco de auditoria tem três componentes:

- Risco Inerente (RI)
- Risco de Controlo (RC)
- Risco de Detecção (RD)

RA = RI x RC x RD

Risco Inerente
É a susceptibilidade de um saldo de conta ou classe de transações apresentar uma
distorção que possa ser materialmente relevante, individualmente ou quando
agregada com distorções em outros saldos ou classes, assumindo que não havia os
respectivos controlos internos para a mitigar.

Procedimentos para identificar e avaliar o risco inerente

1. Identificar os riscos inerentes
2. Avaliar o impacto desses riscos
3. Relacionar o impacto desses riscos com as contas, classes de transacções e
objectivos da empresa e da auditoria.

1. Identificação dos riscos inerentes. Deve-se ter em conta os seguintes factores

a) Compreensão do negócio da empresa
b) Revisão analítica preliminar
c) Políticas contabilísticas importantes
d) As características das contas ou transacções
e) Historial de fraude ou erros
 ISCTEM / gchamba

a) Pela compreensão do negócio da empresa:

- Factores macro-económicos (por exemplo: risco associado a flutuações
das taxas de câmbio)
- Factores da indústria ( uma empresa cuja actividade é de alta tecnologia
pode incluir obsolescência repentina dos produtos o que implica riscos nos
stocks)
- Factores internos da empresa (por exemplo: decisões erradas nos
investimentos feitos)

b) Pela revisão analítica preliminar. Por exemplo no decorrer da revisão analítica

pode se constatar que.
- Parte significativa das remunerações da gestão estão relacionados com os
lucros.
- Os clientes aumentaram desproporcionalmente as vendas
- Identificar itens invulgares ou inesperados (nom routine transactions)

c) Riscos identificados pelas políticas contabilísticas importantes

- Um maior risco de fraude ou erro será, geralmente, indicado através da
utilização de novas políticas.

d) Pelas próprias características das contas ou transacções

- Contas relacionadas com activos susceptíveis de roubo
- Riscos associados com o processo contabilístico
- Tipos de transacções:
i. contas que derivam de estimativas
ii. regularizações invulgares e complexas.

e) Historial de fraude ou erros

- Ter o histórico de fraude no passado é indicativo de possíveis fraudes no
ano corrente
- Existência de correcções frequentes

2. Avaliar o impacto desses riscos inerentes

O risco é normalmente medido em “Alto”, “Médio” e “Baixo” considerando o seguinte:
- A probabilidade do risco se concretizar antes de se ter qualquer controlo;
- a magnitude do impacto caso se concretize.

3. Relacionamento entre os riscos

- RI e RC maior, implica menor RD e vice-versa
- RA maior, implica maior RD
Exemplo:
 ISCTEM / gchamba

- RA = 5%
- RI = 50%
- RC = 50%

Risco de Controlo

É o risco de uma distorção que pudesse ocorrer num saldo de uma conta ou numa
classe de transações e que pudesse ser materialmente relevante, individualmente ou
quando agregada com distorções ou outros saldos ou classes, não vir a ser evitada
ou detectada e corrigida numa base regular pelos sistemas contabilísticos e de
controlo interno.

Risco de Detecção

É o risco de os procedimentos substantivos do auditor não virem a detectar uma

distorção que possa ser materialmente relevante, individualmente ou quando
agregada com distorções ou em outros saldos ou classes.

MEDIÇÃO DO RISCO

A quantificação do risco pode ser impossível de efectuar. Por exemplo, a perda com o
lançamento de um novo produto pode ser impossível de quantificar com precisão, no entanto,
existem métodos estatísticos razoáveis. Do mesmo modo, a probabilidade exacta de que uma
perda ocorrerá pode ser impossível de calcular, mas existem alguns métodos mais sofisticados
para quantificar o risco.

Toda a estimativa inicial do risco para uma área particular é objecto de informação limitada. A
estimativa inicial de risco é apenas uma “primeira passagem” na classificação das possíveis
actividades sujeitas a auditoria. Não é provável que a primeira avaliação do risco, por parte dos
auditores permaneça inteiramente consistente com futuras avaliações. À medida que mais
informação é disponibilizada, é necessário fazer novas avaliações e comparações do risco.

Mesmo com estas restrições, as estimativas iniciais do risco podem ser úteis. Determinar áreas
de risco é muito importante, já que a gestão pode não saber que tipos de risco estão presentes
nas várias actividades. A avaliação e comparação da importância relativa dos riscos da operação,
 ISCTEM / gchamba

apesar de subjectivas, podem oferecer uma orientação válida na planificação do processo de

auditoria.

FACTORES DE RISCO

A determinante mais importante na classificação das potenciais entidades sujeitas a auditoria é

o seu risco relativo. A Norma 520 do IIA evidencia sete factores que os auditores consideram
quando avaliam o risco comparativo associado às potenciais entidades sujeitas a auditoria:

1. Tempo e resultados da auditoria anterior;

1. Situação financeira;
2. Perda e risco potenciais;
3. Pedidos da gestão;
4. Mudanças significativas nas operações, programas, sistemas e controlos;
5. Oportunidades de conseguir lucros potenciais;
6. Mudanças e capacidades do pessoal de auditoria.

Os auditores utilizam mais do que estes sete factores para comparar riscos relativos, associados
às várias actividades, enumerando-se a seguir os riscos os 18 factores de risco considerados
importantes pelos profissionais de Auditoria Interna:

1. Qualidade do sistema de controlo interno da entidade sujeita a auditoria. Quanto menor

eficácia, maior o risco

2. Competência da gestão. Quanto maior a competência, menor o risco.

3. Integridade da gestão.

4. Tamanho da entidade. Quanto maior o investimento, maior o risco.

5. Mudança recente no sistema de contabilidade. Mudanças recentes no sistema

contabilístico aumentam o risco, devido a erros.

6. Complexidade das operações. Quanto maior a complexidade, maior o risco de errar.

7. Mudanças no pessoal “chave”. Mudanças de directores dentro da organização,

responsáveis por factores críticos relacionados com o sucesso das operações.
 ISCTEM / gchamba

Frequentemente, tais mudanças aumentam o risco ou pelo menos, originam incertezas

quanto ao nível de risco.

8. Liquidez dos activos. Susceptibilidade de estes serem retirados da organização e

facilmente convertidos em dinheiro. Quanto maior liquidez, maior a probabilidade de
perda.

9. Deterioração da condição económica da entidade. Desempenhos deficientes crescentes.

À medida que o desempenho se deteriora, os vários níveis da organização têm tendência
a tornarem-se negligentes e depauperarem a informação.

10. Crescimento rápido ou sob pressão. À medida que a pressão aumenta, o risco de uma
produtividade obtida à custa do relaxamento dos sistemas de controlo aumenta.

11. Extensão da informatização de uma entidade. O grau de controlo de aspectos

significativos das operações está dependente do sistema informático. O especialista do
processamento electrónico de dados está dependente de um nível hierárquico superior e
à medida que a informatização cresce, o risco de perder o controlo sobre os activos e
sobre a informação, aumenta.

12. Tempo decorrido desde a última auditoria. As auditoria frequentes diminuem o risco.

13. Pressão sobre os vários níveis da organização para satisfazer objectivos. À medida que
os responsáveis se sentem mais pressionados para a satisfação de objectivos demasiado
ambiciosos, o risco da produtividade obtida com sacrifício aumenta.

14. Extensão da regulamentação oficial. A exigência e a pormenorização de leis e

regulamentações afectam directamente as operações e o desempenho da entidade. As
consequências dessas variáveis são algo imprevisíveis. Contudo, em regra, quanto maior
o detalhe da regulamentação, maior risco potencial.

15. Grau de motivação do pessoal. Fraca motivação aumenta o risco.

16. Projectos de auditoria de auditores independentes (externos). Geralmente, auditorias

mais frequentes e com maior cobertura reduzem o risco.

17. Exposição política/publicidade adversa. Uma publicidade elevada pode diminuir o risco.
Menor publicidade pode aumentar a probabilidade de ineficácia.
 ISCTEM / gchamba

18. Distância da sede. Quanto maior a distância relativamente à observação directa do órgão
da gestão geral, maior é a tendência para falhas por parte da gestão local, que falha na
coordenação dos seus esforços com a organização em geral, negligenciando os sistemas
de controlo.
Qualidade do sistema de controlo interno da entidade sujeita a auditoria. Quanto menor
eficácia, maior o risco