IPPF - Aval Gerenc Riscos ISO 31000

AVALIANDO A ADEQUAÇÃO
DO GERENCIAMENTO DE
RISCOS USANDO A ISO 31000
IPPF – Guia Prático
Avaliando a Adequação do Gerenciamento de Riscos Usando a ISO 31000
Índice
Sumário Executivo..........................................................................................3
Introdução .......................................................................................................3
Gerenciamento de Riscos na Organização......................................................5
A Auditoria Interna e o Gerenciamento de Riscos..........................................7
Revisão do Gerenciamento de Riscos por Parte da Auditoria Interna ............8
Obtendo Evidências de Auditoria .................................................................11
Avaliação do Processo de Gerenciamento de Riscos....................................13
Avaliando a Qualidade da Documentação do Gerenciamento de Riscos .....16
Autores..........................................................................................................18
Revisores e Colaboradores............................................................................18
www. iiabrasil.org.br / B
internos devem considerar é se há uma estrutura

Sumário Executivo adequada implementada para promover uma
abordagem corporativa e sistemática para o
Muitas organizações estão engajadas na adoção de gerenciamento de riscos.
abordagens consistentes e holísticas para o
gerenciamento de riscos e reconhecem que o Este guia prático usa a ISO 31000 como base para a
gerenciamento de riscos é um processo de gestão que estrutura de gerenciamento de riscos. Outras
deve ser totalmente integrado à gestão da estruturas podem ser usadas para conduzir a
organização. Isso se aplica em todos os níveis da avaliação de riscos. Esta orientação não implica ou
organização – nível da entidade, nível da função e explicita apoio a esta ou qualquer outra estrutura.
nível da unidade de negócio.
A estrutura de gerenciamento de riscos deve ser Introdução

desenvolvida sob medida para a organização: para
seu ambiente interno e externo. Para que o Durante os últimos anos, a importância de gerir
gerenciamento de riscos seja eficaz, a estrutura em riscos como parte de uma governança corporativa
qualquer organização, independentemente de forte tem sido crescentemente reconhecida. As
tamanho ou propósito, deve ter certos elementos organizações estão sofrendo pressões para identificar
essenciais. Este guia detalha três abordagens para a os riscos significativos de negócios que elas encaram
avaliação do processo de gerenciamento de riscos: – sociais, éticos e ambientais, assim como
uma abordagem de Elementos do Processo; uma estratégicos, financeiros e operacionais – e para
abordagem baseada nos Princípios do Gerenciamento explicar como eles são gerenciados por elas. O uso de
de Riscos; e uma abordagem de Modelo de estruturas de gerenciamento de riscos dentro da
Maturidade. O processo de avaliação usado deve ser organização se expandiu conforme as empresas
personalizado, para atender as necessidades passaram a reconhecer as vantagens de abordagens
específicas da organização. coordenadas para o gerenciamento de riscos.
Os auditores internos devem ter meios para medir a O gerenciamento de riscos é definido no Glossário
eficácia do gerenciamento de riscos em sua das Normas Internacionais para Prática Profissional
organização. Isso pode ser obtido através do exame de Auditoria Interna (Normas) como “um processo
dos critérios que refletem aspectos do processo de para identificar, avaliar, gerenciar e controlar eventos
gerenciamento de riscos. Os critérios usados devem ou situações em potencial para fornecer uma
ser relevantes, confiáveis, compreensíveis e avaliação razoável do alcance dos objetivos da
completos. O conjunto das observações deve permitir organização”.1 Uma estrutura abrangente de
que o auditor forme uma opinião acerca do nível de gerenciamento de riscos fornece uma ligação de
maturidade de gerenciamento de riscos da ponta a ponta entre os objetivos, estratégia, execução
organização. da estratégia, riscos, controles e avaliação em todos
os níveis da organização.
A qualidade do processo de gerenciamento de riscos
da organização deve melhorar com o tempo. O gerenciamento de riscos corporativos (Enterprise
Implementar um gerenciamento de riscos eficaz – o Risk Management – ERM) – ou melhor, o
verdadeiro ERM – demora, frequentemente, muitos gerenciamento de riscos dentro da organização – é
anos. Um dos critérios chave que os auditores um termo de uso comum. O Comitê das
Organizações Patrocinadoras da Comissão Treadway
1
Isso é consistente com a definição da International Organization for Standardization (ISO) de gerenciamento de riscos:
“atividades coordenadas para dirigir e controlar uma organização com relação ao risco”. (Guia ISO 73:2009, Definição 2.1)
Este Guia Prático foi traduzido com o apoio de: www. iiabrasil.org.br / 3
(COSO) define como “um processo, efetuado pelo oportuna por toda a organização, permitindo
conselho de administração, administração ou outro que colaboradores, administração e conselho
pessoal de uma entidade, aplicado na determinação cumpram com suas responsabilidades.
de estratégias e em toda a organização, desenvolvido
para identificar eventos potenciais que possam afetar A atividade de auditoria interna pode coletar
a entidade e gerenciar riscos para que se limitem a informações para dar suporte a essa avaliação
seu apetite, para fornecer uma avaliação razoável do durante múltiplos trabalhos. Os resultados desses
alcance dos objetivos da entidade”. trabalhos, quando examinados em conjunto,
apresentam um entendimento dos processos de
A ISO 31000 (Seção 4.1) declara que o sucesso do gerenciamento de riscos da organização e de sua
gerenciamento de riscos “irá depender da eficácia da eficácia.
estrutura de gestão que fornece os fundamentos e
arranjos que irão incorporá-la através de toda a Os processos de gerenciamento de riscos são
organização, em todos os níveis”.2 Uma estrutura de monitorados através de atividades contínuas de
gerenciamento de riscos se refere aos componentes e gerenciamento, avaliações separadas ou ambos.”
à organização do gerenciamento de riscos dentro de
uma entidade. O ponto inicial para melhorar a abordagem de uma
organização em relação ao gerenciamento de riscos
A Norma 2120 declara que “a atividade de auditoria deveria ser uma análise dos gaps que faça um balanço
interna deve avaliar a eficácia e contribuir para a da situação e avalie quais processos e sistemas estão
melhoria dos processos de gerenciamento de riscos”. presentes no momento. Se qualquer parte essencial
Ela prossegue, com a seguinte interpretação: estiver faltando, é altamente improvável que o
gerenciamento de riscos seja eficaz. Os auditores
“Interpretação: Determinar se os processos de internos têm um papel importante a desempenhar na
gerenciamento de riscos são eficazes é um avaliação e melhoria do gerenciamento de riscos em
julgamento que resulta da avaliação do auditor suas organizações e avaliar as atividades de
interno quanto a se: gerenciamento de riscos da organização é um
componente crítico desse esforço.
 Os objetivos da organização dão suporte e
estão alinhados com a missão da Esse guia prático usa a estrutura e parte da
organização; terminologia da ISO 31000. Embora a ISO 31000
não tenha sido desenvolvida como base para
 Os riscos significativos são identificados e certificação, seus conceitos e estruturas formam uma
avaliados; base para avaliar qualquer processo de gerenciamento
de riscos. A estrutura ISO 31000 não é a única
 Respostas apropriadas aos riscos são estrutura de gerenciamento de riscos de uso comum e
selecionadas de forma a alinhar os riscos essa orientação não significa qualquer apoio a essa
com o apetite de risco da organização; e estrutura em particular.
 Informações de riscos relevantes são

capturadas e comunicadas de forma
2
© ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do American National Standards Institute
(ANSI) em nome da International Organization for Standardization (ISO). Nenhuma parte deste material da ISO pode ser copiado ou
reproduzido de qualquer forma, por sistema de restauração eletrônica ou disponibilizado de qualquer outra forma na Internet, em rede
pública, por satélite ou outro meio sem a permissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25
West 43rd 10036, (212) 642-4900, http://webstore.ansi.org.
organizacionais para a concepção, implementação,

Gerenciamento de Riscos monitoramento, análise crítica e melhoria contínua da
gestão de riscos através de toda a organização”.3 A
na Organização estrutura de gerenciamento de riscos,
independentemente do nível de formalidade, está
Governança inerentemente incorporada na estratégia geral da
A Norma de Gestão de Riscos ISO 31000 fornece organização e em sua política e práticas operacionais.
orientações para a estrutura de gerenciamento de Arranjos organizacionais incluem planos,
riscos aplicável a organizações de qualquer tamanho. relacionamentos, prestações de contas, recursos,
A ISO 31000 define uma estrutura de gerenciamento processos e atividades. O diagrama desta página
de riscos como um “conjunto de componentes que (Figura 1) mostra um modelo conceitual que pode ser
fornecem os fundamentos e os arranjos usado para análise desses arranjos.
Figura 1 – Estrutura para Gerenciamento de Riscos (ISO 31000)
Responsabilidades pelo Gerenciamento de Riscos risco”.4 A administração é responsável por

determinar a atitude da organização perante o risco e
A International Organization for Standardization o conselho é responsável por determinar se a atitude
(ISO) define atitude perante o risco como uma perante o risco está alinhada com os interesses dos
“abordagem da organização para avaliar e acionistas.
eventualmente buscar, reter, assumir ou afastar-se do
3
© ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do American National Standards Institute
(ANSI) em nome da International Organization for Standardization (ISO). Nenhuma parte deste material da ISO pode ser copiado ou
reproduzido de qualquer forma, por sistema de restauração eletrônica ou disponibilizado de qualquer outra forma na Internet, em rede
pública, por satélite ou outro meio sem a permissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25
West 43rd 10036, (212) 642-4900, http://webstore.ansi.org.4 Ibid.
O conselho realiza a supervisão da governança do garantir que o desempenho seja o desejado. O

ERM e deve entender os elementos chave de ERM, monitoramento pode ser feito de duas formas: por
perguntar à gerência acerca dos riscos e concordar meio de atividades contínuas ou avaliações
com certas decisões da gestão. As partes interessadas separadas. Essa combinação de monitoramento
devem receber informações suficientes para entender contínuo com avaliações separadas garantirá que o
a atitude da administração e do conselho perante o ERM mantenha sua eficácia com o passar do tempo.
risco, de forma a investir de acordo com suas
tolerâncias pela variação potencial do desempenho. Os processos de ERM incorporam avaliações
As organizações comunicam os níveis de riscos em periódicas de riscos e classificações de riscos. Quanto
relatórios bimestrais e anuais, comunicados à maior o grau e a eficácia do monitoramento contínuo,
imprensa, conferências com investidores, etc. menor a necessidade que pode existir de realizar
avaliações separadas. A frequência das avaliações
O conselho tem a responsabilidade geral de garantir separadas necessárias para que a administração tenha
que os riscos sejam gerenciados e que haja um uma avaliação razoável acerca da eficácia do ERM é
sistema eficaz de gerenciamento de riscos aplicado. uma questão de julgamento da própria administração.
Na prática, o conselho delegará a operação da Ao fazer essa determinação, são considerados a
estrutura de gerenciamento de riscos para a equipe de natureza e o grau das mudanças, a competência e a
gerenciamento. É possível que haja uma função experiência das pessoas que estão implementando as
separada com habilidades e conhecimento respostas ao risco e controles relacionados, a natureza
especializados que coordene e gerencie essas e importância para o negócio dos riscos sendo
atividades, mas todos na organização têm um papel a gerenciados e os resultados do monitoramento
desempenhar na garantia do gerenciamento eficaz contínuo.
dos riscos corporativos e a responsabilidade primária
por identificar e gerenciar os riscos é da O monitoramento contínuo é incorporado às
administração. atividades operacionais normais e recorrentes de uma
empresa. Ele pode ser mais eficaz do que avaliações
Monitoramento e Avaliação separadas, porque é conduzido em tempo real,
reagindo dinamicamente a condições em constante
A aplicação do ERM muda com o tempo. A atitude
mudança e está enraizado na organização. Os
perante o risco pode mudar por conta de fatores
problemas serão frequentemente identificados mais
internos ou externos, respostas ao risco que eram
rapidamente pelos processos de monitoramento
eficazes antes podem se tornar irrelevantes e
contínuo, já que avaliações separadas ocorrem após a
atividades de controle podem ser tornar menos
ocorrência do fato. Algumas entidades com
eficazes ou não mais realizadas. As mudanças podem
atividades sensatas de monitoramento contínuo irão,
ocorrer por conta da chegada de novos funcionários,
contudo, conduzir uma avaliação separada de ERM
modificações na estrutura da entidade ou pela
ou de porções do mesmo. O nível percebido de
apresentação de novos processos. Além disso, os
objetividade é maior para avaliações separadas do
objetivos da entidade, assim como a natureza de
que para automonitoramento.
eventos ou condições em potencial que podem afetar
o alcance desses objetivos, mudarão. Da mesma Uma entidade que percebe uma necessidade de
forma, a administração precisa determinar se os avaliações separadas frequentes deve focar em
componentes de ERM continuam relevantes e formas de melhorar suas atividades de
capazes de lidar com novos riscos. monitoramento contínuo e, dessa forma, enfatizar
atividades de monitoramento “incorporadas”, em vez
Um elemento crítico de um sistema sensato de
de “acrescentadas”.
gerenciamento de riscos é o monitoramento, para
A necessidade de uma avaliação surge dos processos

de governança de uma organização. Sua origem é a A Auditoria Interna e o
relação de administração entre o conselho de uma
organização e suas partes interessadas. Essa relação Gerenciamento de Riscos
posiciona o conselho para estabelecer processos para
delegar e limitar o poder de perseguir a estratégia e a A Norma 2100 declara que “a atividade de auditoria
direção da organização, de forma a melhorar as interna deve avaliar e contribuir para a melhoria dos
perspectivas para o sucesso a longo prazo da processos de governança, gerenciamento de riscos e
organização. Os processos de avaliação permitem que controles, utilizando uma abordagem sistemática e
o conselho monitore o exercício desse poder. disciplinada”. A atividade de auditoria interna
frequentemente tem o papel de fornecer avaliações
A atividade de auditoria interna irá, normalmente, independentes e objetivas para o conselho da
fornecer uma avaliação de todo o processo de organização acerca da eficácia das atividades de
gerenciamento de riscos, incluindo as atividades de ERM da organização. Isso ajuda a garantir que os
gerenciamento de riscos (a eficácia de seu riscos chave do negócio estão sendo gerenciados
desenvolvimento e operação), o gerenciamento dos apropriadamente e que o sistema de controles
riscos classificados como “chave” (incluindo a internos da organização esteja funcionando com
eficácia dos controles e outras respostas a eles), a eficácia e eficiência.
verificação do rigor e confiabilidade das avaliações
de riscos e o reporte dos riscos e status de controle. O gerenciamento de riscos é um processo de
gerenciamento que promove a conquista rentável dos
Com a responsabilidade pelo monitoramento e as objetivos organizacionais, a avaliação fornece
atividades de avaliação tradicionalmente informações confiáveis sobre as conquistas da
compartilhadas entre várias partes, incluindo a gestão atividade de gerenciamento de riscos. O processo de
de linha, auditoria interna, especialistas em avaliação e de gerenciamento de riscos são processos
gerenciamento de riscos e a função de conformidade, complementares.
é importante que as atividades de avaliação sejam
coordenadas para garantir que os recursos sejam Em apoio ao processo de gerenciamento de riscos, a
usados da forma mais eficiente e eficaz. É comum auditoria interna e outros prestadores independentes
que organizações tenham um certo número de grupos de avaliação avaliariam se:
separados conduzindo funções de aconselhamento
 O processo de gerenciamento de riscos foi
para gerenciamento de riscos, conformidade e
aplicado apropriadamente e se todos os
avaliação diferentes independentemente umas das
elementos do processo são adequados e
outras. Sem a coordenação e reporte eficazes, o
suficientes.
trabalho pode ser duplicado ou os riscos chave
podem passar despercebidos ou podem ser julgados  O processo de gerenciamento de riscos está
mal. de acordo com as necessidades estratégicas e
de acordo com o objetivo da organização.
O diretor executivo de auditoria (DEA) é orientado
pela Norma 2050 a coordenar sua atividade com  Todos os riscos significativos foram
outros prestadores de avaliação. O uso de um mapa identificados e estão sendo tratados.
de avaliação pode ajudar a atingir essa meta,  Os controles estão sendo desenvolvidos
oferecendo uma ferramenta eficaz para gerenciar e corretamente, de acordo com os objetivos do
comunicar essa coordenação. A Prática processo de gerenciamento de riscos.
Recomendada 2050-2 dá mais informações acerca
dos Mapas de Avaliação.
 Os controles críticos são adequados e riscos. Quando a auditoria interna prestar

eficazes. consultoria à equipe de gerenciamento para
estabelecer ou melhorar processos de
 A revisão pela gerência de linha e outras
gerenciamento de riscos, seu plano de
atividades de avaliação que não sejam de
trabalho deve incluir uma estratégia clara e
auditoria são eficazes na manutenção e
um cronograma para migrar a
melhoria dos controles.
responsabilidade por essas atividades para os
 Os planos de tratamento de riscos estão membros da administração.
sendo executados.
 A auditoria interna não pode dar avaliações
 Há um progresso apropriado e compatível objetivas acerca de nenhuma parte da
com o reportado no plano de gerenciamento estrutura de gerenciamento de riscos pela
de riscos. qual ela é responsável. Tal avaliação deve ser
fornecida por outras partes qualificadas
Em apoio ao processo de avaliação, o processo de
adequadas.
gerenciamento de riscos irá:
 A natureza de tais serviços prestados à
 Estabelecer uma estrutura de gerenciamento organização deve ser documentada no
de riscos documentada e específica para a estatuto de auditoria interna e deve ser
organização. consistente com outras responsabilidades de
 Fornecer uma análise estruturada dos riscos auditoria interna.
da organização, registrando:  Qualquer orientação de consultoria ou
o Objetivo(s) da organização e seus desafios (ou apoio) à tomada de decisões da
riscos associados. gerência não coloca a auditoria interna em
uma posição de tomar decisões de
o Exposições e avaliações potenciais gerenciamento de riscos por si própria.
de riscos atuais.
A Declaração de Posicionamento “O Papel da
o A posição organizacional Auditoria Interna no Gerenciamento dos Riscos
responsável por gerenciar cada risco. Corporativos” inclui o seguinte diagrama que ilustra
o Os sistemas chave de controle uma variedade de atividades de ERM e indica quais
estabelecidos para gerenciar cada papéis uma função profissional de auditoria interna
risco. eficaz deve e não deve desempenhar.
Não é incomum para a atividade de auditoria interna
de uma organização trabalhar em cooperação com a Revisão do
função de gerenciamento de riscos. Algumas
organizações não têm uma função formal de Gerenciamento de Riscos
gerenciamento de riscos e, nesses casos, a auditoria
interna frequentemente fornece à organização por Parte da Auditoria
serviços mais extensos de consultoria em
gerenciamento de riscos. A auditoria interna pode Interna
prestar consultoria em gerenciamento de riscos,
considerando certas condições: Para as áreas de maior risco, nas quais a gerência
reconheceu a necessidade de melhorar os controles,
 Deve ficar claro que a administração pode haver uma oportunidade para a auditoria interna
continua responsável pelo gerenciamento de agregar valor à organização através das atividades de
consultoria. O segmento de atividades de auditoria no entidade ou da unidade de negócio/departamento, de

meio da Figura 2 a seguir representa atividades de uma maneira que deve manter a independência e a
aconselhamento e consultoria, realizadas no nível da objetividade da auditoria interna.
Figura 2 – O Papel da Auditoria Interna no ERM
Embora tais atividades de aconselhamento e de documentado e operacionalizado com eficácia, para

consultoria possam ser uma parte valiosa de um atingir seus objetivos. A avaliação deve ser projetada
plano de auditoria, o escopo deste Guia Prático tem para responder questões potenciais, as quais podem
como foco as atividades de avaliação descritas ao incluir:
lado esquerdo do leque. Tais atividades podem ser
categorizadas em três tipos principais:  O programa de gerenciamento de riscos tem
o comprometimento adequado da gerência da
 Avaliação do processo de gerenciamento de organização, incluindo status e recursos
riscos em si. adequados em relação aos riscos e é uma
parte apropriada dos processos e da tomada
 Avaliação dos riscos significativos e das de decisões da organização?
declarações da gerência.
 O desenvolvimento da estrutura de
 Acompanhamento do status do plano de gerenciamento de riscos e os critérios de
tratamento de riscos. avaliação de riscos são apropriados para o
contexto interno e externo (ambiente) da
Avaliação do Processo de Gerenciamento de Riscos organização?
As avaliações do processo de gerenciamento de
riscos em si podem ser realizadas para fornecer uma  Existe uma definição adequada e uma
avaliação razoável para a alta administração e para o comunicação de requisitos, critérios de
conselho de que um programa de gerenciamento de avaliação de riscos e prestação de contas
riscos de uma organização é desenvolvido, acerca do desenvolvimento, implementação e
manutenção da estrutura de gerenciamento de
riscos e avaliações de áreas específicas de atividades são revisadas e aprovadas

risco? adequadamente?
 A atitude perante o risco foi estabelecida no  Os planos e status do tratamento de riscos

nível adequado da estrutura de governança da são monitorados e comunicados de forma
organização? adequada a todos os níveis apropriados da
gerência e do conselho?
 A comunicação interna e os mecanismos de
reporte são adequados para garantir que os Avaliação sobre Riscos Significativos e Declarações
resultados essenciais das atividades de da Administração
gerenciamento de riscos sejam comunicados
Durante todos os outros trabalhos de avaliação em
de forma adequada dentro da organização
que o escopo se relaciona a exposições potenciais
(combinando transparência e sensibilidade)?
maiores identificadas em um processo de
 Os relatórios às partes interessadas refletem gerenciamento de riscos de uma organização, os
adequadamente a atitude e o tratamento de procedimentos e comunicações de auditoria devem
riscos da organização? ser desenvolvidos para avaliar as declarações da
administração sobre a eficácia dos controles em
 A comunicação externa e os mecanismos de trazer os riscos para dentro do limite de tolerância de
reporte são adequados para cumprir com risco da organização.
requisitos relevantes jurídicos, regulatórios,
Os relatórios para a administração (e para o conselho)
de governança corporativa e divulgação?
podem descrever a exposição potencial e a avaliação
 A mensuração de desempenho e o reporte da administração acerca dos riscos atuais (com o
adequados existem para monitorar o valor implícito dos controles em prática), juntamente
desenvolvimento e a eficácia da estrutura de com a avaliação de auditoria das classificações de
gerenciamento de riscos? riscos. Quaisquer diferenças devem ser incluídas no
processo de gerenciamento de riscos da
 Os critérios de avaliação de riscos, apetites, administração para consideração.
respostas e requisitos de escalação/relatórios
O efeito cumulativo de tais atividades de avaliação,
são colocados em prática de forma
ao longo do tempo, sobre áreas específicas de riscos
consistente em toda a organização? As
em um plano de auditoria com base em riscos
pessoas com o conhecimento adequado são
fornecerá uma avaliação não apenas acerca das áreas
as responsáveis pela identificação de riscos?
específicas de riscos, mas servirá como uma
O estado atual da identificação de riscos está
avaliação da eficácia do processo geral de
adequado?
gerenciamento de riscos.
 A estrutura de riscos e os processos e Acompanhamento do Status do Plano de Tratamento
controles relacionados são modificados
de Riscos
conforme as condições do negócio e da
organização precisam de mudanças? Para planos de tratamento de riscos ou de remediação
de controles com relação a maiores exposições
 As pessoas com o conhecimento adequado potenciais, especialmente nos casos em que os planos
são responsáveis pela análise, avaliação e têm duração relativamente maior, pode ser
tratamento/resposta ao risco? Essas apropriado monitorar o desempenho em comparação
com o plano. No mínimo, tal monitoramento deve ser
desenvolvido para fornecer à administração uma auditores internos, auditores externos e

avaliação do progresso em comparação com marcos e quaisquer outras fontes.
validar os relatórios de status de planos de tratamento
de riscos para o conselho. • Conduzir entrevistas com a gerência de
operações e a alta administração para
Além disso, tal acompanhamento pode avaliar a determinar os objetivos das unidades de
estrutura do plano, os recursos, a prestação de contas, negócios, riscos relacionados e a mitigação
o gerenciamento de projetos, etc., e fornecer de riscos e atividades de monitoramento de
recomendações e considerações para aumentar a controle da administração.
probabilidade de sucesso do plano.
• Assimilar informações para avaliar de forma
independente a eficácia da mitigação de
Obtendo Evidências de riscos, do monitoramento e da comunicação
de riscos e atividades de controle associadas.
Auditoria
• Avaliar a adequação das linhas de reporte
Em auditorias do processo de gerenciamento de para atividades de monitoramento de riscos.
riscos de uma organização, a Prática Recomendada
2120-1, Avaliando a Adequação dos Processos de • Revisar a adequação e a oportunidade do
Gerenciamento de Riscos, parágrafo 8, afirma: reporte dos resultados do gerenciamento de
riscos.
"Os auditores internos precisam obter evidências
suficientes e apropriadas para determinar que os • Revisar a integralidade da análise de riscos
principais objetivos dos processos de gerenciamento da administração e as ações tomadas para
de riscos estão sendo cumpridos, para formar uma remediar questões levantadas por processos
opinião sobre a adequação dos processos de de gerenciamento de riscos.
gerenciamento de riscos. Na coleta de tais evidências, • Determinar a eficácia dos processos de
o auditor interno pode considerar os seguintes autoavaliação da gerência através de
procedimentos de auditoria: observações, testes diretos dos
• Pesquisar e revisar acontecimentos atuais, procedimentos de controle e monitoramento,
tendências, informações da indústria teste da precisão das informações usadas em
relacionada ao negócio conduzido pela atividades de monitoramento e outras
organização e outras fontes apropriadas de técnicas apropriadas.
informações, para determinar os riscos e • Revisar as questões relacionadas a riscos que
exposições que podem afetar a organização e possam indicar fragilidades nas práticas de
os procedimentos de controle relacionados
gerenciamento de riscos e, conforme for
utilizados para tratar, monitorar e reavaliar
apropriado, discutir com a alta administração
esses riscos. e o conselho. Se o auditor acredita que a
• Revisar as políticas corporativas e as minutas administração aceitou um nível de riscos
do conselho para determinar as estratégias de inconsistente com a estratégia e políticas de
negócio, a filosofia e a metodologia de gerenciamento de riscos da organização, ou
gerenciamento de riscos, o apetite para o um nível considerado inaceitável para a
risco e a aceitação de riscos da organização. organização, deve usar a Norma 2600 e
orientações relacionadas para orientação
• Revisar relatórios anteriores de avaliação de adicional."
riscos emitidos pela administração, por
Técnicas diferentes podem ser usadas para a obtenção A exigência de prova varia de acordo com o tipo de
de evidências, incluindo: opinião que o auditor deseja expressar. Avaliações
positivas fornecem o mais alto nível de segurança e,
• Observações – por exemplo, ao estar presente normalmente, também exigem mais evidências para
quando o gerenciamento de riscos é realizado apoiar a opinião. Tal opinião não sugere apenas, por
nos diferentes níveis da organização, do exemplo, se os controles/processos de mitigação de
conselho até os departamentos individuais, riscos são adequados e eficazes, mas também que
programas, projetos e os funcionários. evidências suficientes foram obtidas para se estar
razoavelmente certo de que evidências do contrário,
• Entrevistas.
se é que existem, teriam sido identificadas.
• Revisões de Documentação – por exemplo,
Avaliações negativas não fornecem tanta avaliação e,
agendas, documentos de apoio e atas do
portanto, normalmente não exigem tantas evidências
comitê, do conselho executivo ou de outros
comitês da alta administração, planos de auditoria. Ao prestar uma avaliação negativa, o
estratégicos e documentos de apoio para auditor, por exemplo, afirma que, com base no
trabalho realizado, nada chamou a atenção do auditor.
decisões de alocação de recursos.
Por expressar essa opinião, o auditor não se
• Os resultados de auditorias anteriores. responsabiliza pela suficiência do escopo e dos
procedimentos da auditoria para encontrar todas as
• A confiabilidade do trabalho dos outros. preocupações ou questões significativas. Tal opinião
é geralmente considerada menos valiosa do que a
• Técnicas analíticas – por exemplo, análise da
avaliação positiva.
causa raiz de falhas detectadas.
Orientações mais detalhadas sobre opiniões podem
• Mapeamento de Processos.
ser encontradas no Guia de Práticas "Formulando e
• Análise estatística – por exemplo, a análise Expressando Opiniões de Auditoria Interna".
dos tipos de incidentes ou "quase acidentes".
Conclusões da auditoria devem ser factuais e
• Revisão e avaliação do modelo de riscos. objetivas e apoiadas por evidências suficientes de
auditoria. A suficiência sugere que a evidência de
• Pesquisas. auditoria é factual, adequada e convincente, de forma
que uma pessoa prudente e informada chegaria às
• Análise da autoavaliação de controle.
mesmas conclusões do auditor. A evidência de
Frequentemente, uma combinação de técnicas auditoria deve ser devidamente documentada e
diferentes de auditoria é usada para reunir organizada.
informações e evidências suficientes para se chegar a
A atividade de auditoria não deve fornecer
uma conclusão. O auditor escolhe o procedimento
inadvertidamente qualquer nível de avaliação falsa
mais adequado para o objetivo de auditoria da área. O
(use como referência a PA 2120-2: Gerenciando o
auditor também avalia se os recursos e habilidades
Risco da Atividade de Auditoria Interna, parágrafo
suficientes estão disponíveis para realizar todo o
8). "Avaliação falsa" é um nível de confiança ou de
trabalho necessário para servir de suporte suficiente
avaliação com base em percepções ou suposições, em
para uma opinião. O auditor considera se seria
vez de fatos. Em muitos casos, o simples fato de que
prudente se recusar a expressar a opinião ou
a atividade de auditoria interna está envolvida em um
qualificar a opinião, excluindo determinadas áreas ou
assunto já pode criar algum nível de falsa avaliação.
riscos do escopo da opinião, caso os recursos ou
O escopo do envolvimento da atividade de auditoria
habilidades suficientes não estejam disponíveis.
interna pode ser mal interpretado e, de riscos. Portanto, o processo de avaliação também
consequentemente, pode resultar em falsa avaliação. precisa ser adaptado as necessidades da organização.
Os resultados de qualquer revisão com base em

Avaliação do Processo de documentos devem ser validados, examinando se a
estrutura de gerenciamento de riscos está operando
Gerenciamento de Riscos com eficácia na prática. Isto significa que este tipo de
atividade de avaliação não deverá ser realizado de
Um órgão de governança deve ser capaz de forma isolada e deve sempre acompanhar ou envolver
determinar até que ponto o processo de uma avaliação normal, com base em controles, que
gerenciamento de riscos em sua organização atende determine se:
as necessidades da organização e adotou boas
práticas, geralmente aceitas. O gerenciamento de • Os riscos estão sendo identificados com
riscos é um componente crítico do sistema de eficácia e sendo analisados apropriadamente.
controle interno, de forma que os processos • Há tratamento e controle de riscos adequados
deficientes de gerenciamento de riscos são um e apropriados.
indicador de que o sistema de controle interno da
• Há monitoramento e revisão eficazes,
organização pode ser deficiente.
conduzidos pela administração, para detectar
É importante que uma organização obtenha uma mudanças nos riscos e controles.
avaliação de seu processo de gerenciamento de
riscos. Esta avaliação deve cogitar a possibilidade de Abordagem dos elementos do processo
que o auditor interno pode não ser funcionalmente
Esta abordagem verifica se cada elemento do
independente da função de gerenciamento de riscos.
processo de gerenciamento de riscos está no lugar. É
Neste caso, a avaliação pode ser solicitada a uma
essencial validar as declarações de intenção da
parte externa.
administração por meio de evidências de auditoria
Três formas de processos de avaliação que podem ser suficientes para comprovar que o elemento está sendo
utilizados na avaliação de um processo de satisfeito na prática. A representação da
gerenciamento de riscos são descritas abaixo:5 administração, apenas, raramente seria suficiente. A
• Abordagem dos elementos do processo ISO 31000 identifica sete componentes do processo
de gerenciamento de riscos:
• Abordagem dos princípios chave
• Elemento 1 – Comunicação: o gerenciamento
• Abordagem do modelo de maturidade razoável dos riscos requer uma comunicação
estruturada e contínua e consulta com os afetados
Embora cada formulário seja autossuficiente, cada pelas operações da organização ou atividade.
um deles oferece uma perspectiva diferente sobre a
eficácia de um processo de gerenciamento de riscos • Elemento 2 – Estabelecer o Contexto: O ambiente
em uma organização. Muitas vezes, a adoção de mais externo (político, social, etc) e interno (objetivos,
de uma abordagem pode produzir resultados mais estratégias, estruturas, ética, disciplina, etc) da
informativos e úteis. O processo de gerenciamento de organização ou atividade devem ser entendidos antes
riscos deve ser adaptado adequadamente à que toda a gama de riscos possa ser identificada.
organização, seu tamanho, objetivos, cultura e perfil
5
Essas abordagens são citadas a partir de HB158:2010 Delivering assurance based on ISO 31000:2009 Risk
management — Principles and guidelines, uma publicação conjunta da Standards Australia, IIA-Australia e da
Fundação de Pesquisa do IIA. A HB158 apresenta uma discussão mais extensa sobre essas e outras questões.
• Elemento 3 – Identificação de Riscos: Identificar Uma auditoria com base nesses princípios avalia até
riscos deve ser um processo formal e estruturado que que ponto eles são verdadeiros para o processo de
considere fontes de risco, áreas de impacto e eventos gerenciamento de riscos em uma organização:
potenciais, além de suas causas e consequências.
• O gerenciamento de riscos cria e protege o
• Elemento 4 – Análise de Riscos: A organização valor.6 Isto sugere a aplicação do
deve utilizar uma técnica formal para considerar a gerenciamento de riscos mais rigoroso
consequência e a probabilidade de cada risco. quando o valor em jogo é o mais alto.
Também sugere que uma série de técnicas
• Elemento 5 – Avaliação de Riscos: A organização aplicáveis a diversos níveis de exposição
deve ter um mecanismo para classificar a importância deve estar disponível na organização.
relativa de cada risco, de modo que uma prioridade
de tratamento possa ser estabelecida. • O gerenciamento de riscos é uma parte
integrante dos processos organizacionais.7
• Elemento 6 – Tratamento de Riscos: o O gerenciamento de riscos não deve ser visto
gerenciamento razoável dos riscos exige decisões como uma tarefa complementar.
racionais acerca do tratamento dos riscos. Este
tratamento consiste, classicamente, em evitar a • O gerenciamento de riscos faz parte da
atividade a partir da qual o risco surge, compartilhar tomada de decisões.8 Quanto mais
o risco, gerenciar o risco através da aplicação de importante a decisão, mais explícita deve ser
controles ou aceitar o risco e não realizar nenhuma essa associação.
outra ação. • O gerenciamento de riscos aborda a
incerteza de forma explícita.9 As avaliações
• Elemento 7 – Monitorar e Revisar: Monitorar inclui
de riscos seriam encarregadas de documentar
verificar o andamento dos planos de tratamento,
áreas de incerteza e considerar qual a melhor
monitorar controles e sua eficácia, garantir que
forma de resolver a incerteza identificada.
atividades proscritas sejam evitadas e verificar que o
meio ambiente não mudou de uma forma que afetaria • O gerenciamento de riscos é sistemático,
os riscos. estruturado e oportuno.10
Abordagem dos princípios chave • O gerenciamento de riscos é baseado nas

melhores informações disponíveis.11 Obter
Esta abordagem é baseada no conceito de que, para
informações pode ser caro e o processo deve
ser totalmente eficaz, qualquer processo de
fornecer orientações sobre o que constitui
gerenciamento de riscos deve satisfazer um conjunto
informação suficiente.
mínimo de princípios ou características. A ISO 31000
inclui uma seção (Cláusula 4) sobre esses princípios.
6
© ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do American
National Standards Institute (ANSI) em nome da International Organization for Standardization (ISO). Nenhuma
parte deste material da ISO pode ser copiado ou reproduzido de qualquer forma, por sistema de restauração
eletrônica ou disponibilizado de qualquer outra forma na Internet, em rede pública, por satélite ou outro meio sem a
permissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25 West 43rd 10036,
(212) 642-4900, http://webstore.ansi.org.7 Ibid.8 Ibid.9 Ibid.10 Ibid.11 Ibid.
• O gerenciamento de riscos é feito sob a ser agregado a cada passo do processo de

medida.12 Não é um processo “fora da caixa” maturação. Esta abordagem fornece uma avaliação do
e deve ser compatível com as operações da ponto em que o processo de gerenciamento de riscos
organização. da organização está na curva de maturidade, de modo
que o conselho e a administração possam avaliar se
• O gerenciamento de riscos considera
ele atende as necessidades atuais da organização e se
fatores humanos e culturais.13 Os processos
está amadurecendo como esperado.
devem ser apropriados às competências e à
cultura dos que devem usá-los. Um aspecto fundamental da abordagem do modelo de
maturidade é a ligação do desempenho e progresso
• O gerenciamento de riscos é transparente e
do gerenciamento de riscos na execução de um plano
inclusivo.14 Deve haver um envolvimento
de gerenciamento de riscos a um sistema de
adequado e oportuno das partes interessadas.
mensuração e gestão de desempenho. Os dados que
• O gerenciamento de riscos é dinâmico, resultarem de tal sistema podem ser apresentados à
interativo e receptivo a mudanças.15 O alta administração e ao conselho como evidências de
processo deve ser revisado regularmente e melhoria do gerenciamento de riscos. Os
deve reagir a mudanças na organização e em componentes de um sistema deste tipo normalmente
seu ambiente, para que continue relevante. são:
• O gerenciamento de riscos facilita a • Um protocolo de padrões de desempenho,
melhoria contínua e o aperfeiçoamento da considerando abordagens de gerenciamento
organização.16 O gerenciamento de riscos de riscos e prevendo futuras necessidades
deve amadurecer junto com outros processos estratégicas. Os padrões de desempenho são
organizacionais. normalmente apoiados por uma lista mais
Abordagem do Modelo de Maturidade detalhada de requisitos de desempenho que
permitem a mensuração de qualquer melhoria
A abordagem do modelo de maturidade tem como no desempenho.
base a afirmação de que a qualidade do processo de
gerenciamento de riscos de uma organização deve • Um guia de como os padrões e subrequisitos
melhorar com o tempo. Sistemas imaturos de podem ser satisfeitos na prática.
gerenciamento de riscos trazem muito pouco retorno • Um meio de medir o desempenho real em
para o investimento que foi feito e, muitas vezes, comparação com cada padrão e subrequisito.
operam como uma despesa geral de conformidade ou
• Um meio de registro e de reporte do
como uma imposição, mais preocupados com o
desempenho e de melhorias no desempenho.
reporte dos riscos do que com seu tratamento eficaz.
Processos eficazes de gerenciamento de riscos se • A verificação periódica independente da
desenvolvem ao longo do tempo, com valor adicional avaliação da administração.
12
© ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do American
National Standards Institute (ANSI) em nome da International Organization for Standardization (ISO). Nenhuma
parte deste material da ISO pode ser copiado ou reproduzido de qualquer forma, por sistema de restauração
eletrônica ou disponibilizado de qualquer outra forma na Internet, em rede pública, por satélite ou outro meio sem a
permissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25 West 43rd 10036,
(212) 642-4900, http://webstore.ansi.org.13 Ibid.14 Ibid.15 Ibid.16 Ibid.
A cláusula 4 da ISO 31000 contém uma lista de O desempenho real, em comparação com o padrão de
práticas e "princípios" importantes que devem ser o desempenho, é avaliado usando algum sistema de
ponto de partida para qualquer avaliação de mensuração de maturidade que dá crédito para a
maturidade. Estes princípios não resolvem apenas se intenção, mas a nota máxima só pode ser obtida pela
"o elemento do processo ou sistema existe", mas implementação completa e aplicação prática do
também se "é eficaz e relevante para sua padrão. Um possível sistema de mensuração de
organização" e "agrega valor". Na verdade, o maturidade (com base na ideia original de Capability
primeiro princípio é que o gerenciamento de riscos Maturity Models, desenvolvidos pela Carnegie
deve agregar valor. Mellon University) é mostrado abaixo.
MUITO
MEDIDA NENHUMA ALGUMA BOA COMPLETA
POUCA
Significado Muito pouca ou Conformidade Conformidade A administração Conformidade

nenhuma apenas limitada limitada com a apoia absoluta com a
conformidade com o requisito. declaração do completamente declaração do
com o requisito A administração elemento. a intenção, mas elemento – na
de qualquer apoia a intenção, Concordam há conformidade intenção e na
forma. mas a certamente com parcial na prática – em
conformidade, na a intenção, mas prática. todos os
prática, é pouca. a conformidade momentos e
é limitada na locais.
prática.
Figura 3 – Modelo de Maturidade – fonte HB158
periodicamente e altamente eficazes. Estas atividades

Avaliando a Qualidade podem ser testadas da mesma maneira que as
atividades documentadas. O fato de que os elementos
da Documentação do do ERM não são documentados não significa
necessariamente que o ERM não é eficaz ou não pode
Gerenciamento de Riscos ser avaliado. Um nível apropriado de documentação,
no entanto, geralmente torna o monitoramento mais
A extensão da documentação do ERM de uma eficiente. É útil em outros aspectos também. Facilita
entidade varia de acordo com o tamanho e a o entendimento dos funcionários de como o processo
complexidade da entidade. Organizações maiores funciona e de suas respectivas funções e facilita fazer
geralmente têm manuais de políticas, organogramas modificações, quando necessário.
formais, descrições dos cargos já elaboradas,
instruções de operação, fluxogramas do sistema de Ao decidir documentar o processo de avaliação em si,
informação e assim por diante. Organizações o auditor interno normalmente vai trabalhar com a
menores e menos complexas normalmente têm documentação existente dos processos de ERM da
consideravelmente menos documentação. entidade. A documentação existente será tipicamente
complementada com outros documentos preparados
Muitos aspectos do ERM podem ser informais e não pelo auditor, incluindo as evidências dos testes e as
documentados e, ainda assim, podem ser realizados análises realizadas no processo de avaliação. A
natureza e a extensão da documentação são

normalmente mais substanciais quando declarações
sobre o ERM são feitas a outras partes.
Quando a administração pretende fazer uma

declaração a partes externas sobre a eficácia do ERM,
ela deve considerar desenvolver e reter documentos
que apoiem a declaração. O auditor interno deve
considerar se:
• Uma estratégia para gerenciar informações de

riscos vindas de todas as fontes está em
prática.
• A infraestrutura necessária para a

comunicação das informações de riscos está
em prática.
• Existem definições comuns.
• Existem diretrizes para a criação, exclusão e

o compartilhamento de informações de
riscos.
• Existem recursos adequados atribuídos.
• A tecnologia é rentável e usada onde for

apropriado.
• Uma abordagem proativa é usada no

monitoramento.
• As informações de riscos fazem parte do

processo de planejamento.
• As informações de riscos são integradas às

informações de desempenho.
Estas considerações e quaisquer decisões tomadas

documentadas. Tal documentação pode ser útil, caso
a afirmação seja contestada posteriormente.
Autores:
Andrew MacLeod, CIA
Patricia A. MacDonald
Benito Ybarra, CIA
Trygve Sorlie, CIA, CCSA
Brian Foster, CIA
Teis Stokka, CIA
Revisores e Colaboradores:
Douglas J. Anderson, CIA
Steven E. Jameson, CIA, CCSA, CFSA
James A. Rose, III, CIA
Disclaimer
O IIA publica este documento para fins informativos

e educacionais. Este material de orientação não tem
Sobre o Instituto como objetivo fornecer respostas definitivas a
Fundado em 1941, The Institute of Internal Auditors específicas circunstâncias individuais e, como tal,
(IIA) é uma associação profissional com sede global tem o único propósito de servir de guia. O IIA
em Altamonte Springs, Fla., EUA. O IIA é a voz da recomenda que você sempre busque conselhos
especializados independentes, relacionados
profissão de auditoria interna em todo o mundo,
diretamente a qualquer situação específica. O IIA não
autoridade reconhecida, líder valorizado, advogado
chefe e principal educador. assume responsabilidade pela confiança depositada
unicamente neste guia.
Sobre os Guias Práticos

Copyright
Os Guias Práticos fornecem uma orientação
detalhada para a condução de atividades de auditoria Os direitos deste guia prático são reservados ao IIA.
interna. Eles incluem processos e procedimentos Para permissão para reprodução, favor entrar em
detalhados, como ferramentas e técnicas, programas e contato com o IIA pelo e-mail: guidance@theiia.org.
abordagens passo-a-passo, assim como exemplos de
deliverables. Os Guias Práticos são parte da Estrutura
Internacional de Práticas Profissionais do IIA. Como
parte da categoria de orientação Fortemente
Recomendada, a conformidade não é obrigatória, mas
é altamente recomendada, e a orientação é endossada
pelo IIA por meio de processos formais de revisão e
aprovação.

IPPF - Aval Gerenc Riscos ISO 31000

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

IPPF - Aval Gerenc Riscos ISO 31000

Enviado por

Direitos autorais:

Formatos disponíveis

AVALIANDO A ADEQUAÇÃO

internos devem considerar é se há uma estrutura

A estrutura de gerenciamento de riscos deve ser Introdução

 Informações de riscos relevantes são

organizacionais para a concepção, implementação,

Figura 1 – Estrutura para Gerenciamento de Riscos (ISO 31000)

Responsabilidades pelo Gerenciamento de Riscos risco”.4 A administração é responsável por

O conselho realiza a supervisão da governança do garantir que o desempenho seja o desejado. O

A necessidade de uma avaliação surge dos processos

 Os controles críticos são adequados e riscos. Quando a auditoria interna prestar

consultoria. O segmento de atividades de auditoria no entidade ou da unidade de negócio/departamento, de

Figura 2 – O Papel da Auditoria Interna no ERM

Embora tais atividades de aconselhamento e de documentado e operacionalizado com eficácia, para

riscos e avaliações de áreas específicas de atividades são revisadas e aprovadas

 A atitude perante o risco foi estabelecida no  Os planos e status do tratamento de riscos

desenvolvido para fornecer à administração uma auditores internos, auditores externos e

Os resultados de qualquer revisão com base em

Abordagem dos princípios chave • O gerenciamento de riscos é baseado nas

• O gerenciamento de riscos é feito sob a ser agregado a cada passo do processo de

Significado Muito pouca ou Conformidade Conformidade A administração Conformidade

Figura 3 – Modelo de Maturidade – fonte HB158

periodicamente e altamente eficazes. Estas atividades

natureza e a extensão da documentação são

Quando a administração pretende fazer uma

• Uma estratégia para gerenciar informações de

• A infraestrutura necessária para a

• Existem definições comuns.

• Existem diretrizes para a criação, exclusão e

• Existem recursos adequados atribuídos.

• A tecnologia é rentável e usada onde for

• Uma abordagem proativa é usada no

• As informações de riscos fazem parte do

• As informações de riscos são integradas às

Estas considerações e quaisquer decisões tomadas

Benito Ybarra, CIA

Trygve Sorlie, CIA, CCSA

Brian Foster, CIA

Teis Stokka, CIA

Steven E. Jameson, CIA, CCSA, CFSA

James A. Rose, III, CIA

O IIA publica este documento para fins informativos

Sobre os Guias Práticos

Você também pode gostar