Universidade Eduardo Mondlane

Escola Superior de Negócios e Empreendedorismo de Chibuto (ESNEC)

AUDITORIA INTERNA

Aula 05 Risco de Auditoria

O RISCO NO PROCESSO DE AUDITORIA

A avaliação do risco é realizada na perspectiva de limitar o risco de auditoria. Tem como objectivo
adoptar e executar procedimentos que permitam reduzir o risco de a auditoria poder emitir opiniões
inapropriadas e não devidamente fundamentadas.

O risco é a probabilidade que um acontecimento ou acção possa adversamente afectar a entidade. Está
sujeito a Auditoria qualquer Activo, assim como qualquer actividade, processo ou operações sujeitos a
riscos.

Podemos assim, definir o risco de auditoria como a susceptibilidade do auditor emitir uma opinião
inapropriada ou baseada em asserções objecto de auditoria que estejam distorcidas de forma
materialmente relevante.

É da responsabilidade dos órgãos de gestão a gestão riscos, incluindo a concepção e manutenção do

processo de gestão de risco. É da responsabilidade da actividade de auditoria interna avaliar adequação do
processo de gestão de risco. Em entidades que ainda não tenham este processo implementado, actividade
de auditoria interna pode assumir um papel de consultoria, proactivamente.

Os auditores internos no papel de consultores podem ajudar as entidades a identificar, avaliar e

implementar metodologias de gestão de risco e implementação dos controlos orientados para aqueles
riscos.

Apesar dos auditores internos poderem assumir um papel relevante na implementação dos processos de
gestão de risco, normalmente a base da actividade de auditoria interna, já mais poderão ser os
responsáveis pela sua gestão.

Tipos de Riscos de Auditoria

Existem três tipos de risco de auditoria: risco inerente, risco de controlo e risco de detecção:

Risco Inerente

O risco inerente é a susceptibilidade de uma asserção ou classe de transacções conter uma distorção que
possa ser materialmente relevante, considerada individualmente ou quando agregada com distorções em
outras asserções, assumindo que não existem os respectivos controlos internos.

Aula Teorica de Auditoria 2020 1

Risco de Auditoria Docente: Eugenio Nhavotso
A elaboração do plano anual de auditoria exige a realização da avaliação do risco inerente. Ao fazer essa
avaliação, o auditor usa o juízo profissional para avaliar diversos factores:

 A experiência e conhecimento dos recursos humanos afectos à contabilidade;

 As circunstâncias que possam influenciar negativamente a actividade regular dos serviços de
contabilidade;
 A probabilidade de distorção das demonstrações financeiras;
 A natureza da actividade das entidades beneficiárias dos apoios, a sua dispersão geográfica e a
idoneidade da respectiva gestão;
 As alterações que possam afectar a área de actividade do Instituto;
 A complexidade das transacções e de outros acontecimentos que requeiram o trabalho de um
perito;
 As transacções complexas, efetuadas particularmente no final do ano económico;
 As transacções não sujeitas a processamento normal;
 Os activos sujeitos a perdas ou apropriações indevidas.

Risco de Controlo

O risco de controlo é a susceptibilidade do sistema de controlo interno da organização não prevenir,

detectar ou corrigir atempadamente qualquer distorção materialmente relevante que possa vir a ocorrer
em qualquer tipo de asserção ou classe de transacções.

 Esta avaliação consiste no processo de avaliar a eficácia do sistema de controlo interno da

organização em prevenir, detectar e corrigir distorções materialmente relevantes.
 O objectivo dos procedimentos executados para obter uma compreensão do controlo interno é
proporcionar ao auditor o conhecimento necessário para a elaboração do plano anual de auditoria.
 O auditor pode concluir que os procedimentos levados a efeito para obter a compreensão do
sistema de controlo interno constituem prova de auditoria. Essa prova de auditoria, desde que
suficiente, pode ser usada para suportar uma avaliação do risco de controlo.
 A gestão reage muitas vezes a situações de risco inerente, concebendo um sistema de controlo
interno para prevenir, detectar e corrigir distorções. Assim, em muitos casos, o risco inerente e o
risco de controlo estão profundamente inter-relacionados. Nestas situações, o auditor não deve
avaliar separadamente o risco inerente e o risco de controlo, sendo mais apropriado fazer uma
avaliação combinada.

Risco de Detecção

O risco de detecção é a susceptibilidade de os procedimentos substantivos executados pelo auditor não

virem a detectar uma distorção que exista numa asserção ou classe de transacções que possa ser
materialmente relevante. Neste sentido, o nível do risco de detecção relaciona-se directamente com os
procedimentos substantivos executados pelo auditor.

O risco de detecção pode aumentar na sequência do auditor seleccionar procedimentos inapropriados,

executá-los de forma errada ou interpretar incorrectamente as conclusões de auditoria. Este risco pode ser
Aula Teorica de Auditoria 2020 2
Risco de Auditoria Docente: Eugenio Nhavotso
reduzido a um nível negligenciável através de um planeamento e supervisão adequados e de uma conduta
que respeite as normas de controlo de qualidade.

O risco inerente e o risco de controlo diferem do risco de detecção pelo facto de aqueles existirem
independentemente da auditoria das demonstrações financeiras ou de outras asserções, enquanto o risco
de detecção está relacionado com os procedimentos do auditor e pode ser alterado ao seu arbítrio,
conforme o seu juízo profissional. Por exemplo, quando o risco inerente e o risco de controlo forem altos,
o risco de detecção aceitável tem de ser baixo para reduzir o risco de auditoria a um nível aceitavelmente
baixo. Por outro lado, quando o risco inerente e o risco de controlo forem baixos, o auditor pode aceitar
um risco de detecção mais alto e ainda reduzir o risco de auditoria a um nível aceitavelmente baixo. Estes
componentes do risco de auditoria podem ser avaliados em termos quantitativos, tais como, em
percentagens ou em intervalos de termos não quantitativos, por exemplo, de um mínimo a um máximo. O
quadro 3 mostra como pode variar o nível aceitável de risco de detecção com base em avaliações do risco
inerente e do risco de controlo.

Quadro 3 - Ilustração do Inter-relacionamento dos Componentes do Risco de Auditoria: Riscos

Inerente, de Controlo e de Detecção
Avaliação do Risco de Controlo pelo Auditor Interno
Alto Médio Baixo
Avaliação do Risco Alto O Mais Baixo Mais Baixo Médio
Inerente pelo Auditor Médio Mais Baixo Médio Mais Alto
Interno Baixo Médio Mais Alto O Mais Alto

Embora os testes de controlo e os procedimentos substantivos sejam distintos quanto aos seus propósitos,
os resultados de cada um dos tipos de procedimentos podem contribuir para os propósitos do outro. As
distorções descobertas ao conduzir procedimentos substantivos podem dar origem a que o auditor
modifique a anterior estimativa do risco de controlo.

Não é apropriado, contudo, que o auditor confie completamente na sua avaliação do risco inerente e do
risco de controlo para a exclusão de executar procedimentos substantivos, por exemplo de saldos de
contas e classes de transacções, onde podem existir distorções que podem ser materiais quando agregadas
com distorções em outros saldos de conta ou classes de transacções. Os níveis avaliados do risco inerente
e do risco de controlo podem não ser suficientemente baixos para eliminar a necessidade de o auditor
levar a efeito quaisquer procedimentos substantivos. Não obstante os níveis avaliados do risco inerente e
do risco de controlo, o auditor deve executar alguns procedimentos substantivos relativos a saldos de
contas e classes de transacções materialmente relevantes.

A avaliação pelo auditor dos componentes do risco de auditoria pode modificar-se no decurso de uma
revisão. Por exemplo, pode a informação chegar ao conhecimento do auditor, ao executar procedimentos
substantivos que difiram significativamente da informação sobre a qual o auditor originalmente avaliou o
risco inerente e o risco de controlo. Em tais casos, o auditor deve alterar os procedimentos substantivos
planeados, com base numa revisão dos níveis avaliados do risco inerente e do risco de controlo.

Aula Teorica de Auditoria 2020 3

Risco de Auditoria Docente: Eugenio Nhavotso
Quanto maior for a avaliação do risco inerente e do risco de controlo mais prova de auditoria deve o
auditor obter a partir da execução de procedimentos substantivos. Quando o risco inerente e o risco de
controlo forem ambos avaliados como altos, o auditor necessita de considerar se os procedimentos
substantivos podem ou não proporcionar prova de auditoria para reduzir o risco de detecção e, por
conseguinte, o risco de auditoria a um nível aceitavelmente baixo. Quando o auditor determina que o risco
de detecção respeitante a uma asserção, contida nas asserções ou classe de asserções ou demonstrações
financeiras, em relação a um determinado agregado ou saldo de conta ou classe de transacções
materialmente relevante, não pode ser reduzido a um nível aceitavelmente baixo, o auditor deve expressar
uma opinião com reservas ou uma escusa de opinião.

A influência do Risco na orientação de auditoria

Uma das preocupações da gestão está relacionada com os potenciais benefícios para a entidade, isto é,
com o retorno das operações. Associada a esta preocupação está o risco, que inclui todos os riscos, desde
o financeiro ao de negócio. O risco também é importante para os auditores internos devido a sua relação
com o sistema de controlo. Quanto maior é o risco maior é a necessidade de um controlo.

No processo de negócio a incerteza está associada a concretização dos objectivos organizacionais. As

consequências podem ser positivas (oportunidades) ou negativas (apenas riscos).

O risco deve ser alinhado com os objectivos de controlo interno e de acordo com a Norma 2120 do IIA,
deve ser avaliada a eficiência e eficácia desses controlos, como resposta ao risco. De acordo com aquela
Norma, os objectivos são:

1. Confiança e integridade da informação financeira e operacional;

2. Eficiência e eficácia das operações;
3. Salvaguarda dos activos;
4. Cumprimento das leis, regulamentos e contractos.
Alguns riscos são extremamente e até impossível de controlar, mas a gestão pode recorrer a técnicas de
gestão de risco, como por exemplo, recorrer a seguros para minimizar as perdas potenciais.

Outras formas de gerir o risco é a gestão estabelecer um retorno económico maior, em compensação de
riscos crescentes, não seguráveis.

Em geral, a gestão procura então minimizar os riscos, reconhecendo a sua existência sob apertada
vigilância, da seguinte forma:

 Reforçando os sistemas de controlo interno;

 Transferindo o risco através de seguro de possíveis perdas;
 Aceitando o risco procurando maiores retornos, quando se prevê maior risco.
Ao planear uma auditoria, os auditores internos avaliam não só o tipo de risco, mas acima de tudo, quanto
representa o risco presente, protegendo toda a entidade, avaliando riscos relativos associados com as
várias actividades, processos e operações, e classificando-as por ordem dos seus níveis relativos de risco,
auditando prioritariamente as de maior risco.

O auditor deve questionar se sobre os dois factores chave que entram na classificação do risco:
Aula Teorica de Auditoria 2020 4
Risco de Auditoria Docente: Eugenio Nhavotso
  Quanto representa a potencial perda?
 Qual é a probabilidade da perda ocorrer?
O nível de risco é uma combinação destes dois factores. O risco também pode ser considerado do lado
positivo, pois os auditores internos, para além das potenciais perdas consideram também os potenciais
ganhos com as suas probabilidades associadas. Uma perda no lucro potencial é semelhante é natureza, a
uma pedra actualmente incorrida e o risco relativo de tal perda deve ser tida em consideração.

Cada entidade deve adoptar uma metodologia específica para implantar seu processo de gestão de risco,
adaptando à sua cultura, filosofia de gestão e objectivos de negócio. Deve ser concebido segundo a
natureza das actividades e, dependendo do seu tamanho e complexidade, o processo pode ser formal ou
informal, quantitativo ou subjectivo, descentralizado às unidades de negócio ou centralizado à unidade.

AVALIAÇÃO DE RISCO

A avaliação do risco consiste na identificação e análise dos factores que possam afectar adversamente a
consecução dos objectivos, quantificando-os e gerindo-os através de um processo sistemático e dinâmico.

Previamente os objectivos devem ser bem definidos, detalhados, classificados e hierarquizados, a fim de
identificar mais eficazmente os riscos associados.

A classificação do risco é efectuada, geralmente, com base na experiência do auditor em entidades

específicas, socorrendo-se quando necessário, em informação adicional recolhida pela gestão e, ou, outras
fontes. Na conclusão da classificação deverá ser efectuada uma revisão de modo a permitir aos auditores
verificar qualquer inconsistência que possa ter ocorrido no processo.

Os auditores, e por vezes com a Direcção, reúnem-se para definir as áreas passíveis de Auditoria e os
riscos comparativos, numa base informal. As políticas internas poderão influenciar a forma como as áreas
sujeitas a Auditoria são seleccionadas, no entanto, não deverão influenciar em demasia o processo de
gestão de selecção.

Este modelo (COSO, 2004) é um guia de implementação prática acessível a todas as entidades, que
permite tratar eficazmente a incerteza porque ajuda a enfrentar os riscos e atingir os objectivos evitando
surpresas. É uma estrutura integrada concebida para identificar, avaliar e medir ameaças e oportunidades,
com grau de segurança razoável que impedem de alcançar os objectivos (estratégicos, operacionais,
reporting e cumprimento).

MEDIÇÃO DO RISCO

A quantificação do risco pode ser impossível de efectuar com precisão, no entanto existem métodos de
estimação razoáveis. A probabilidade exacta de que uma perda ocorrerá pode ser difícil de calcular,
mesmo recorrendo às Tecnologias de informação.

Toda a estimativa inicial de risco para uma área particular é objecto de informação limitada. A estimativa
inicial de risco é apenas uma “ primeira passagem” na classificação das possíveis áreas sujeitas a
Auditoria. Não é provável que a primeira avaliação do risco por parte dos Auditores, permaneça

Aula Teorica de Auditoria 2020 5

Risco de Auditoria Docente: Eugenio Nhavotso
inteiramente consistente com futuras avaliações. À medida que mais informação é disponibilizada, é
necessário fazer novas avaliações e comparações.

Mesmo com estas restrições, as estimativas iniciais de risco podem ser úteis.

Considera-se, por exemplo, três áreas de risco e as respectivas potenciais perdas estimadas. No primeiro
caso, assume-se que há uma estimativa de 6 milhões de Meticais em stock que pode ser desviado. No
segundo caso, assume-se que uma potencial perda das vendas, devido a uma fraca qualidade do produto
foi estimada em 10 milhões de Meticais. No terceiro caso, assume-se que uma estimativa de 25 milhões
de Meticais em perda de novos empréstimos, se existirem práticas de pagamento deficientes em
empréstimos anteriores.

Suponha-se que os auditores internos reconsideraram a probabilidade de perda para cada ano. Acreditam
que a probabilidade do stock desviado ascende a 75% (probabilidade elevada), o que significa que 3 em
cada 4 itens de do inventário são retirados ilegalmente, sem pagamento. A probabilidade de perda das
vendas devido a uma fraca qualidade do produto é moderada, 40%. Além disso, estimam que a
probabilidade de perda de novos empréstimos é muito baixa (não ultrapassa 1%) o que se ficou a dever ao
cumprimento dos prazos de pagamento de empréstimos anteriores e as sólidas demonstrações de
resultados da entidade .Vide o mapa abaixo que ilustra o efeito combinado das perdas potenciais
estimadas e as respectivas probabilidades de ocorrência de risco:

Identificação do Risco Quantificação de Risco Priorização

Áreas de Risco Tipo de risco Valor Probabilidade Risco
estimado ocorrência Estimado
(MT)
Existências Desvio de stocks 6 000 000 Alto: 75% 4 500 000 1º
Vendas Quebras nas vendas - 10 000 000 Médio: 40% 4 000 000 2º
não cumprimento
Padrões de qualidade
Financiamento 25 000 000 Muito baixo: 1% 250 000 3º

Apesar de inicialmente a perda de novos empréstimos ser potencialmente superior às perdas das outras
duas áreas, a probabilidade “ muito baixa” dessa perda, reduz significativamente o risco. Com efeito, a
ordem do risco estimado altera-se quando as probabilidades são consideradas. Assim, a primeira
preocupação do Auditor passa a ser a área de gestão de stock.

O factor que mais afecta a probabilidade é o controlo interno

Os controlos eficientes reduzem a probabilidade de perda e, por conseguinte, o risco. Os controlos

deficientes aumentam a probabilidade de perda.

FACTORES DE RISCO

A determinante mais importante na classificação das potenciais áreas sujeitas a Auditoria é seu risco
relativo. Existe uma grande variedade de modelos de riscos de risco para ajudar a actividade de auditoria
Interna a estabelecer prioridades entre as potenciais áreas a auditar. A maioria dos modelos de risco
utiliza factores de risco para estabelecer a prioridade dos trabalhos.

Aula Teorica de Auditoria 2020 6

Risco de Auditoria Docente: Eugenio Nhavotso
A Norma 2010-1 do IIA determina que elaboração dos planos deveria basear-se na avaliação do risco a
fim de definir as prioridades da actividade da Auditoria Interna. Os planos devem ser consistentes com as
metas da entidade. Ao estabelecer prioridades dos programas de trabalho deverá atender-se aos seguintes
factores de risco:

1. As datas e os resultados da anterior auditoria;

2. Avaliação actualizada dos riscos, eficácia da gestão do risco e processos de controlo;
3. Pretensões da gestão de topo, da comissão da auditoria e de Governance.
4. Assuntos correntes relativos ao processo de Governance;
5. As mudanças significativas verificadas nos negócios, operações, programas, sistemas e controlos;
6. Oportunidades de obtenção de benefícios operacionais;
7. As mudanças e as capacidades do pessoal de auditoria.

Os auditores utilizam mais do que estes factores para comparar os riscos relativos, associados às várias
actividades, enumerando-se a seguir 18 factores de risco considerados importantes pelos profissionais de
Auditoria interna:

1. Qualidade do sistema de controlo Interno da entidade sujeita a Auditoria. A eficácia geral do sistema
de controlo interno resulta quer da concepção, implementação e manutenção do sistema. Quanto
menor a eficácia, maior o risco.

2. Competência de gestão. É o efeito combinado da formação, experiência, compromisso e apreciação

da gestão. Quanto maior a competência, menor o risco.

3. A integridade da gestão. É vontade da gestão em comprometer-se perante um código ético e de boas-

festas, para se proteger a si e, ou, às áreas de responsabilidade. Quanto maior a integridade, menor o
risco.

4. Tamanho da entidade (por exemplo, nível de facturação, margem bruta, total do activo). Quanto
maior investimento, maior o risco.

5. Mudança recente no sistema de contabilidade. Mudanças nas políticas contabilísticas, sistemas EDB
(Electronic Data processing) – processamento electrónico de dados) ou na gestão. Mudanças recentes
no sistema contabilístico aumentam o risco, devido a possibilidade de erros.

6. Complexidade nas operações. Quer a sofisticação técnica das operações, quer o grau de pormenor
exigem uma gestão eficaz. Quanto maior a complexidade maior o risco de erro.

7. Mudanças no pessoal “chave”. Mudanças de directores dentro da organização, responsáveis dos

factores críticos relacionados com os sucessos das operações, aumentam o risco ou, pelo menos,
originam incertezas quanto ao nível de risco.

8. Liquidez dos activos. Susceptibilidade destes serem retirados da entidade e facilmente convertidos em
dinheiro conduz a uma maior probabilidade de perda.

Aula Teorica de Auditoria 2020 7

Risco de Auditoria Docente: Eugenio Nhavotso
9. Deterioração da condição económica de uma entidade. São desempenhos negativos crescentes. Há
medida que o desempenho se deteriora, os vários níveis da organização tendem a ser negligentes e a
deturparem a informação fazendo aumentar o risco.

10. Crescimento rápido ou sob pressão. À medida que a pressão aumenta, o risco de uma produtividade
obtida à custa do relaxamento dos sistemas de controlo aumenta.

11. Extensão da informatização de uma entidade. O grau de controlo de aspectos significativos das
operações está dependente do sistema informático. O especialista do processamento electrónico de
dados (EDP) pode estar dependente de um nível hierárquico superior e à medida que a informatização
cresce, o risco de perder o controlo sobre os activos e sobre a informação, aumenta.

12. Tempo decorrido desde a última auditoria. As auditorias frequentes diminuem o risco.

13. Pressão sobre os vários níveis da entidade para satisfazer objectivos. São as expectativas para
conseguir maiores níveis de desempenho da área sujeita a auditoria. À medida que os responsáveis se
sentem mais pressionados para satisfação de objectivos demasiados ambiciosos, o risco de
produtividade obtida com sacrifício aumenta.

14. Extensão da regulamentação. A exigência e a pormenorização de leis e regulamentações afectam

directamente as operações e o desempenho da entidade. As consequências dessas variáveis são algo
imprevisíveis. Quanto maior a regulamentação e o detalhe maior risco de incumprimento.

15. Grau de motivação do pessoal. Uma fraca motivação aumenta o risco.

16. Cobertura das auditorias. Quanto maior for a cooperação dos auditores externos com os internos,
maior a cobertura, menor o risco.

17. Exposição pública. Uma publicidade elevada pode diminuir o risco.

18. Distância da sede. Quanto maior é distância relativamente a gestão local, maior é a probabilidade de
falha de coordenação com a entidade em geral, negligência dos sistemas de controlo aumentam o
risco.

Aula Teorica de Auditoria 2020 8

Risco de Auditoria Docente: Eugenio Nhavotso