FACULDADE DE ECONOMIA E GESTÃO

Curso de Contabilidade e Auditoria

Avaliação III - Auditoria Interna

Implantação da Auditoria Baseada em Riscos

Estudante: Jamal Amade

Código: 91210263

Pemba, Novembro de 2023

 UNIVERSIDADE ABERTA ISCED
FACULDADE DE ECONOMIA E GESTÃO
Curso de Contabilidade e Auditoria
Avaliação III - Auditoria Interna

Implantação da Auditoria Baseada em Riscos

Trabalho de campo, de character avaliativo, a

ser submetido na cadeira de Auditoria Interna.
- 3° ano – Curso de licenciatura em
Contabilidade e Auditoria - 2023

Estudante: Jamal Amade

Código: 91210263

Orientado por:
Mestre, Esmeraldo José Inácio
Mestre Rosário Gonçalves Mutombene

Pemba, Novembro de 2023

Índice
Introdução ........................................................................................................................................ 1

1. Abordagens da Auditoria Interna ............................................................................................. 2

1.1. Auditoria Tradicional x Auditoria Baseada em Riscos..................................................... 2

1.2. Auditoria Baseada em Riscos (ABR) ............................................................................... 3

2. Modelos de Gestão de Risco Empresarial (COSO ERM) ........................................................ 4

3. Metodologia da Auditoria Focalizada na Gestão de Riscos ..................................................... 6

3.1. A Necessidade de uma Abordagem Centrada em Riscos ................................................. 6

3.2. O Papel da Auditoria na Identificação de Riscos.............................................................. 6

3.3. Avaliação e Mitigação de Riscos ...................................................................................... 7

Conclusão ........................................................................................................................................ 8

Bibliografia ...................................................................................................................................... 9
Introdução

A implantação da Auditoria Baseada em Riscos (ABR) representa uma mudança substancial nas
práticas de auditoria interna e nos processos de gestão de riscos das organizações. Essa abordagem
coloca a identificação, avaliação e mitigação de riscos no centro das atividades de auditoria,
permitindo uma análise mais focada e eficaz. Nos últimos anos, a Auditoria Baseada em Riscos
tem ganhado destaque, pois auxilia as organizações a otimizarem seus processos de auditoria,
direcionando recursos para áreas de maior relevância e risco.
Ao adotar a Auditoria Baseada em Riscos, as organizações fortalecem sua capacidade de
identificar, mitigar e aproveitar oportunidades, contribuindo para uma governança sólida e
resultados mais eficazes. A Auditoria Interna desempenha um papel fundamental nessas ações,
atuando como uma linha de defesa que fornece informações críticas para a tomada de decisões
estratégicas e avalia a eficácia dos processos e da gestão de riscos.
Neste contexto, este trabalho explorará as abordagens da Auditoria Interna, comparando a
Auditoria Convencional com a Auditoria Baseada em Riscos, destacando a importância desta
última na governança corporativa e na gestão de riscos das organizações.

1
 1. Abordagens da Auditoria Interna

A Auditoria Interna desempenha um papel crucial na identificação, avaliação e mitigação dos riscos
nas organizações. A abordagem tradicional de auditoria era centrada na revisão de processos e
conformidade com regulamentações, enquanto a Auditoria Baseada em Risco enfatiza a
importância de priorizar os riscos significativos. A auditoria interna agora colabora com as partes
interessadas para entender os riscos, o que envolve a realização de avaliações de risco e
planejamento de auditoria que consideram esses riscos prioritários.

A auditoria interna é fundamental para o sucesso e a sustentabilidade das organizações. Como

destacado por Graham e Smart (2011), "A auditoria interna atua como uma linha de defesa,
fornecendo insights valiosos sobre a eficácia dos processos e a gestão de riscos, o que é vital para
a tomada de decisões estratégicas". A auditoria interna fornece informações críticas que ajudam a
alta administração a compreender o ambiente de controle interno, identificar deficiências e tomar
medidas corretivas

Existem duas abordagens distintas na área de Auditoria Interna, como delineado por Castro (2009),
que são a Auditoria Convencional e a Auditoria Baseada em Riscos. A organização tem a
prerrogativa de optar por uma delas, dependendo de seus objetivos. No entanto, a Auditoria
Baseada em Riscos (ABR), devido à sua abordagem sistemática em relação à gestão de riscos, é
considerada mais eficaz no auxílio à governança corporativa.

1.1. Auditoria Tradicional x Auditoria Baseada em Riscos

Conforme indicado por Bergamini Junior (2005), a mudança do paradigma tradicional para a ênfase
nos riscos está provocando mudanças substanciais no escopo das atividades da Auditoria Interna.
A Auditoria Convencional costumava se concentrar na avaliação dos controles internos da
organização, realizando extensos testes em todos os aspectos. Seu propósito era identificar
possíveis problemas na rotina empresarial. Em contrapartida, a Auditoria Interna com foco em
riscos utiliza testes baseados nas informações coletadas, priorizando os controles que minimizam
os riscos relevantes, visando à prevenção e à antecipação de problemas.

2
De acordo com De Cicco (2006), a elaboração de relatórios de auditoria baseada em riscos é mais
simples e favorece a comunicação da perspectiva do auditor, evitando conflitos desnecessários.
Isso ocorre porque a ABR adota uma visão abrangente da organização, enfocando os aspectos
genuinamente cruciais, em vez de examinar processos e apontar erros diretamente.

1.2. Auditoria Baseada em Riscos (ABR)

O Instituto dos Auditores Internos (IIA), por meio de um comunicado sobre auditoria baseada em
riscos, define a ABR como "uma metodologia que integra a função de auditoria interna no
panorama global de gestão de riscos de uma organização" (AUDIBRA, 2019). O IIA também
sustenta que a auditoria baseada em riscos permite à equipe de Auditoria Interna garantir ao
conselho administrativo que os procedimentos de gerenciamento de riscos estão eficazmente
controlando os riscos em relação à tolerância de riscos da organização. A ABR não visa auditar os
próprios riscos, mas sim o modo como os riscos são administrados.

Dessa forma, compreende-se que a aplicação da ABR é viável somente se a organização tiver em
vigor um processo adequado de gerenciamento de riscos. A auditoria do processo de gerenciamento
de riscos torna-se uma etapa crucial para garantir uma base sólida para o planejamento. Essa ligação
entre o planejamento e a Auditoria Baseada em Riscos é uma das principais discrepâncias em
relação à Auditoria Interna Convencional, que buscava se alinhar com a gestão do negócio, mas
não estava verdadeiramente conectada ao planejamento organizacional (PINHO; BEZERRA,
2015).
Seguindo essa perspectiva, Griffiths (2005) argumenta que a Auditoria Baseada em Riscos
é caracterizada por ser um conjunto de processos, abordagens e metodologias que se concentram
no que é verdadeiramente relevante para a organização. Ela parte de um ponto de partida distinto
em relação à Auditoria Interna Tradicional, uma vez que a ABR foca nas áreas mais críticas da
entidade, visando à avaliação dos riscos que podem impactar o alcance dos objetivos.

Conclui-se que a ABR transcende a mera função de verificação ou avaliação das atividades. Ela
desempenha um papel essencial no planejamento e na formulação de estratégias empresariais,

3
concentrando-se na mitigação dos riscos que podem ameaçar a realização dos objetivos da
organização.

2. Modelos de Gestão de Risco Empresarial (COSO ERM)

O COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission - Enterprise

Risk Management) é um modelo de gestão de risco empresarial amplamente reconhecido e adotado
em organizações em todo o mundo. O COSO ERM é uma estrutura que ajuda as empresas a
identificar, avaliar, gerenciar e monitorar os riscos que podem afetar seus objetivos e metas
estratégicas.
Seu objectivo segundo CAPO (s.d), é “prover um “conforto” com relação a conquista dos
objetivos de um negócio, identificando eventos que possam afetar a entidade e direcionando a sua
gestão para que estes permaneçam dentro do “apetite” a riscos de seus acionistas”..
Ou seja, Sua missão principal é fornecer suporte para a tomada de decisões, desenvolvendo
frameworks e diretrizes relacionadas ao gerenciamento de riscos corporativos, controles internos e
detecção de fraudes. Essas diretrizes são projetadas para aprimorar o desempenho das
organizações, fortalecer sua governança e, ao mesmo tempo, reduzir a incidência de fraudes dentro
delas

De acordo com Ferreira (2013), o modelo COSO se constitui em um modelo de avaliação dos
controles internos que deve ser adaptado às particularidades de cada organização. Essa metodologia
fornece o critério de avaliação dos componentes de controle com a finalidade de obter um elevado
grau de transparência das demonstrações contábeis. Sua característica principal é oferecer uma
visão de integração dos controles internos contábeis.
Ainda para Ferreira (2013, p.32), refere que;
“Para o COSO, o controle interno consiste em cinco componentes, a saber: (1) Control
Environment (Ambiente de Controle); Risk Assessment (Avaliação de Risco); Control
Activities (Atividades de Controle); Information and Communication (Informação e
Comunicação) e Monitoring (Monitoramento).”
 Ambiente de Controle: O ambiente de controle, segundo o COSO, define a filosofia da
organização e influencia a conscientização dos funcionários sobre o controle. É a base para
todos os outros componentes, estabelecendo a disciplina e a estrutura organizacional.
4
  Avaliação de Risco: Para atingir seus objetivos, todas as entidades enfrentam riscos de
fontes internas e externas que precisam ser avaliados. Identificar e avaliar esses riscos é
crucial.
 Atividades de Controle: Essas atividades referem-se a políticas e procedimentos que
garantem o cumprimento dos objetivos da organização e identificam riscos associados a
esses objetivos.
 Informação e Comunicação: O quarto componente aborda a importância de identificar e
comunicar informações de forma eficaz para que as pessoas possam cumprir suas
responsabilidades de maneira oportuna.
 Monitoramento: Neste componente, os sistemas de controles internos são avaliados
quanto à qualidade do desempenho, políticas e a necessidade de fazer alterações nos
procedimentos.

Silva (2005 apud Ferreira 2013) menciona que, o ambiente de controle é onde os gestores
estabelecem os objetivos da organização, estratégias de gestão de riscos e uma estrutura formal
com definição de papéis e responsabilidades. Ele enfatiza a importância de uma política de controle
interno, estratégias e gestão de recursos humanos alinhados com valores éticos e excelência na
organização.
No que se refere à avaliação de risco, o COSO (1992) destaca a importância de características como
a abordagem de riscos evidenciados, probabilidade e impacto estimados, comparação com
benchmarks de mercado e o uso de modelos probabilísticos
O ambiente de informação e comunicação, de acordo com o COSO, envolve a geração,
análise e delegação de informações, definição de responsabilidades para o gerenciamento de
informações, acompanhamento, aprovação e divulgação de informações. O ambiente de
monitoramento envolve atividades de monitoramento contínuo, avaliações independentes e a
identificação de situações de risco
No entanto, é importante destacar que a avaliação e implementação efetiva do modelo COSO
exigem um compromisso contínuo por parte da alta administração e dos profissionais de gestão de
riscos e controles internos. Além disso, a transparência nas demonstrações contábeis é fundamental
para a confiança dos investidores, acionistas e partes interessadas, tornando o COSO uma
ferramenta valiosa para melhorar a governança corporativa e reduzir riscos financeiros
5
 3. Metodologia da Auditoria Focalizada na Gestão de Riscos

A Metodologia da Auditoria Focalizada na Gestão de Riscos é o cerne da Auditoria Baseada em

Risco. Essa abordagem implica a integração de avaliações de risco em todas as etapas do processo
de auditoria. Durante a execução da auditoria, o foco é dado às áreas de maior risco, permitindo
uma análise mais aprofundada e uma resposta mais eficaz.

A gestão de riscos é uma parte intrínseca da administração de qualquer organização,

independentemente do seu tamanho ou setor. A abordagem tradicional de auditoria se concentra na
revisão de controles internos e na conformidade com regulamentos, o que, embora seja importante,
não é suficiente para garantir a sustentabilidade empresarial em um ambiente de negócios em
constante evolução. A metodologia da Auditoria Focalizada na Gestão de Riscos surge como uma
abordagem essencial para ajudar as empresas a identificar, avaliar e mitigar riscos de forma
proativa. Neste contexto, vamos discutir a importância dessa metodologia na gestão de riscos,
destacando sua relevância no cenário empresarial contemporâneo.

3.1. A Necessidade de uma Abordagem Centrada em Riscos

Parafraseando Kaplan e Mikes (2012), "A incerteza é inerente aos negócios, e a gestão de riscos é
fundamental para a tomada de decisões sólidas". A metodologia da Auditoria Focalizada na Gestão
de Riscos baseia-se nessa premissa fundamental. Em um ambiente de negócios cada vez mais
complexo e volátil, as empresas não podem mais depender exclusivamente de práticas de auditoria
convencionais para identificar riscos. Em vez disso, é imperativo que as organizações adotem uma
abordagem centrada em riscos, onde a auditoria se concentre na avaliação das ameaças potenciais
que podem afetar seus objetivos estratégicos.

3.2. O Papel da Auditoria na Identificação de Riscos

Conforme destacado por Bishop e Hyatt (2016), a Auditoria Focalizada na Gestão de Riscos
desempenha um papel crucial na identificação de riscos, fornecendo uma perspectiva independente
e imparcial. Essa metodologia permite que os auditores avaliem não apenas a conformidade com
políticas e regulamentos, mas também a eficácia dos processos de gestão de riscos em vigor. Isso

6
é fundamental, uma vez que os riscos podem surgir em qualquer nível da organização e em diversas
formas, incluindo riscos operacionais, financeiros, estratégicos e de conformidade.

3.3. Avaliação e Mitigação de Riscos

Uma das principais vantagens da Auditoria Focalizada na Gestão de Riscos é sua capacidade de
avaliar e mitigar riscos de forma proativa. Conforme sugerido por Simkins e Norman (2015), essa
metodologia permite que as empresas identifiquem áreas de vulnerabilidade e tomem medidas
corretivas antes que os riscos se materializem. Isso é especialmente relevante em um mundo em
constante mudança, onde ameaças emergentes podem impactar significativamente a saúde
financeira e a reputação de uma organização.

Assim pode se dizer que, Em um ambiente de negócios caracterizado por incertezas e desafios
constantes, essa abordagem fornece uma visão valiosa e imparcial sobre os riscos potenciais que
podem prejudicar o desempenho e a reputação de uma empresa. Assim, as empresas que adotam
essa metodologia estão mais bem preparadas para enfrentar os desafios e prosperar em um mundo
em constante evolução.

7
Conclusão

No ambiente empresarial em constante evolução, a Auditoria Baseada em Risco é fundamental

para as organizações enfrentarem incertezas e tomarem decisões informadas. A ênfase na gestão
de riscos é essencial para identificar e mitigar ameaças que podem prejudicar o alcance dos
objetivos estratégicos. Essa abordagem permite que a Auditoria Interna desempenhe um papel pró-
ativo na avaliação de riscos, priorizando áreas críticas e antecipando problemas.
A Auditoria Baseada em Risco fornece insights valiosos que auxiliam na governança
corporativa e na manutenção da sustentabilidade das organizações. Portanto, as empresas que
adotam essa metodologia estão melhor preparadas para prosperar e se adaptar a um ambiente de
negócios dinâmico e desafiador. Além disso, a integração de uma metodologia robusta, como o
COSO ERM, complementa a abordagem de Auditoria Baseada em Risco, fornecendo diretrizes
claras para o gerenciamento de riscos e controles internos. Essa combinação fortalece a capacidade
das organizações de atingirem seus objetivos com confiança e eficiência.

8
Bibliografia

AUDIBRA. Instituto dos Auditores Internos. (2019) Gerenciamento de risco corporativo

– estrutura integrada.. Disponível em: . Acesso em: 02 de Nov. 2023
BERGAMINI JUNIOR, S. (2005) Controles internos como instrumento de governança
corporativa, Revista do BNDES, Rio de Janeiro, v. 12, n. 24, p. 149-188.
BISHOP, P., & Hyatt, T. A. (2016). O papel da auditoria interna na gestão de riscos.
Revista Brasileira de Contabilidade, 198(1), 58-61.
CAPO, Software- Consultoria e siatemas. COSO – ENTERPRISE RISK
MANAGEMENT FRAMEWORK. Metodologia de Gestãop de Riscos. 2021. Disponivel em:
https://www.caposoftware.com/sgir-gestao-de-riscos-corporativos/coso-erm-enterprise-risk
management-framework/#:~:text=Projetado%20para%20. Acesso em: 11.03.2023.
DE CICCO, F. (2007) Auditoria baseada em riscos – como implementar a ABR nas
organizações: uma abordagem inovadora. São Paulo: Risk Tecnologia,
GRIFFITHS, P. Risk-based auditing. London: Gower Publishing Limited, 2005
GRAHAM, L., & Smart, A. (2011). Internal Audit: Efficiency Through Automation. John
Wiley & Sons.
INSTITUTO DE AUDITORES INTERNOS (IIA). (2017). International Professional
Practices Framework (IPPF). Recuperado de https://na.theiia.org/standards-
guidance/Pages/Standards-and-Guidance-2017.aspx
KAPLAN, R. S., & Mikes, A. (2012). Gestão de riscos e o sistema de execução estratégica.
Harvard Business Review Brasil, 90(10), 61-68.
PINHO, R. C. S.; BEZERRA, L. B. (2015). Implantação da auditoria baseada em risco
em uma entidade do “Sistema S”: O caso do SEBRE/CE. Revista Ambiente Contábil. v. 7, n. 2,
p. 32 – 52,
SIMKINS, B. J., & Norman, C. S. (2015). Gerenciando riscos em um mundo incerto:
Estratégias para aprimorar a gestão de riscos. Editora Atlas.