Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORIA INTERNA
A avaliação do risco é realizada na perspectiva de limitar o risco de auditoria. Tem como objectivo
adoptar e executar procedimentos que permitam reduzir o risco de a auditoria poder emitir opiniões
inapropriadas e não devidamente fundamentadas.
O risco é a probabilidade que um acontecimento ou acção possa adversamente afectar a entidade. Está
sujeito a Auditoria qualquer Activo, assim como qualquer actividade, processo ou operações sujeitos a
riscos.
Podemos assim, definir o risco de auditoria como a susceptibilidade do auditor emitir uma opinião
inapropriada ou baseada em asserções objecto de auditoria que estejam distorcidas de forma
materialmente relevante.
Apesar dos auditores internos poderem assumir um papel relevante na implementação dos processos de
gestão de risco, normalmente a base da actividade de auditoria interna, já mais poderão ser os
responsáveis pela sua gestão.
Existem três tipos de risco de auditoria: risco inerente, risco de controlo e risco de detecção:
Risco Inerente
O risco inerente é a susceptibilidade de uma asserção ou classe de transacções conter uma distorção que
possa ser materialmente relevante, considerada individualmente ou quando agregada com distorções em
outras asserções, assumindo que não existem os respectivos controlos internos.
Risco de Controlo
Risco de Detecção
O risco inerente e o risco de controlo diferem do risco de detecção pelo facto de aqueles existirem
independentemente da auditoria das demonstrações financeiras ou de outras asserções, enquanto o risco
de detecção está relacionado com os procedimentos do auditor e pode ser alterado ao seu arbítrio,
conforme o seu juízo profissional. Por exemplo, quando o risco inerente e o risco de controlo forem altos,
o risco de detecção aceitável tem de ser baixo para reduzir o risco de auditoria a um nível aceitavelmente
baixo. Por outro lado, quando o risco inerente e o risco de controlo forem baixos, o auditor pode aceitar
um risco de detecção mais alto e ainda reduzir o risco de auditoria a um nível aceitavelmente baixo. Estes
componentes do risco de auditoria podem ser avaliados em termos quantitativos, tais como, em
percentagens ou em intervalos de termos não quantitativos, por exemplo, de um mínimo a um máximo. O
quadro 3 mostra como pode variar o nível aceitável de risco de detecção com base em avaliações do risco
inerente e do risco de controlo.
Embora os testes de controlo e os procedimentos substantivos sejam distintos quanto aos seus propósitos,
os resultados de cada um dos tipos de procedimentos podem contribuir para os propósitos do outro. As
distorções descobertas ao conduzir procedimentos substantivos podem dar origem a que o auditor
modifique a anterior estimativa do risco de controlo.
Não é apropriado, contudo, que o auditor confie completamente na sua avaliação do risco inerente e do
risco de controlo para a exclusão de executar procedimentos substantivos, por exemplo de saldos de
contas e classes de transacções, onde podem existir distorções que podem ser materiais quando agregadas
com distorções em outros saldos de conta ou classes de transacções. Os níveis avaliados do risco inerente
e do risco de controlo podem não ser suficientemente baixos para eliminar a necessidade de o auditor
levar a efeito quaisquer procedimentos substantivos. Não obstante os níveis avaliados do risco inerente e
do risco de controlo, o auditor deve executar alguns procedimentos substantivos relativos a saldos de
contas e classes de transacções materialmente relevantes.
A avaliação pelo auditor dos componentes do risco de auditoria pode modificar-se no decurso de uma
revisão. Por exemplo, pode a informação chegar ao conhecimento do auditor, ao executar procedimentos
substantivos que difiram significativamente da informação sobre a qual o auditor originalmente avaliou o
risco inerente e o risco de controlo. Em tais casos, o auditor deve alterar os procedimentos substantivos
planeados, com base numa revisão dos níveis avaliados do risco inerente e do risco de controlo.
Uma das preocupações da gestão está relacionada com os potenciais benefícios para a entidade, isto é,
com o retorno das operações. Associada a esta preocupação está o risco, que inclui todos os riscos, desde
o financeiro ao de negócio. O risco também é importante para os auditores internos devido a sua relação
com o sistema de controlo. Quanto maior é o risco maior é a necessidade de um controlo.
O risco deve ser alinhado com os objectivos de controlo interno e de acordo com a Norma 2120 do IIA,
deve ser avaliada a eficiência e eficácia desses controlos, como resposta ao risco. De acordo com aquela
Norma, os objectivos são:
Outras formas de gerir o risco é a gestão estabelecer um retorno económico maior, em compensação de
riscos crescentes, não seguráveis.
Em geral, a gestão procura então minimizar os riscos, reconhecendo a sua existência sob apertada
vigilância, da seguinte forma:
O auditor deve questionar se sobre os dois factores chave que entram na classificação do risco:
Aula Teorica de Auditoria 2020 4
Risco de Auditoria Docente: Eugenio Nhavotso
Quanto representa a potencial perda?
Qual é a probabilidade da perda ocorrer?
O nível de risco é uma combinação destes dois factores. O risco também pode ser considerado do lado
positivo, pois os auditores internos, para além das potenciais perdas consideram também os potenciais
ganhos com as suas probabilidades associadas. Uma perda no lucro potencial é semelhante é natureza, a
uma pedra actualmente incorrida e o risco relativo de tal perda deve ser tida em consideração.
Cada entidade deve adoptar uma metodologia específica para implantar seu processo de gestão de risco,
adaptando à sua cultura, filosofia de gestão e objectivos de negócio. Deve ser concebido segundo a
natureza das actividades e, dependendo do seu tamanho e complexidade, o processo pode ser formal ou
informal, quantitativo ou subjectivo, descentralizado às unidades de negócio ou centralizado à unidade.
AVALIAÇÃO DE RISCO
A avaliação do risco consiste na identificação e análise dos factores que possam afectar adversamente a
consecução dos objectivos, quantificando-os e gerindo-os através de um processo sistemático e dinâmico.
Previamente os objectivos devem ser bem definidos, detalhados, classificados e hierarquizados, a fim de
identificar mais eficazmente os riscos associados.
Os auditores, e por vezes com a Direcção, reúnem-se para definir as áreas passíveis de Auditoria e os
riscos comparativos, numa base informal. As políticas internas poderão influenciar a forma como as áreas
sujeitas a Auditoria são seleccionadas, no entanto, não deverão influenciar em demasia o processo de
gestão de selecção.
Este modelo (COSO, 2004) é um guia de implementação prática acessível a todas as entidades, que
permite tratar eficazmente a incerteza porque ajuda a enfrentar os riscos e atingir os objectivos evitando
surpresas. É uma estrutura integrada concebida para identificar, avaliar e medir ameaças e oportunidades,
com grau de segurança razoável que impedem de alcançar os objectivos (estratégicos, operacionais,
reporting e cumprimento).
MEDIÇÃO DO RISCO
A quantificação do risco pode ser impossível de efectuar com precisão, no entanto existem métodos de
estimação razoáveis. A probabilidade exacta de que uma perda ocorrerá pode ser difícil de calcular,
mesmo recorrendo às Tecnologias de informação.
Toda a estimativa inicial de risco para uma área particular é objecto de informação limitada. A estimativa
inicial de risco é apenas uma “ primeira passagem” na classificação das possíveis áreas sujeitas a
Auditoria. Não é provável que a primeira avaliação do risco por parte dos Auditores, permaneça
Mesmo com estas restrições, as estimativas iniciais de risco podem ser úteis.
Considera-se, por exemplo, três áreas de risco e as respectivas potenciais perdas estimadas. No primeiro
caso, assume-se que há uma estimativa de 6 milhões de Meticais em stock que pode ser desviado. No
segundo caso, assume-se que uma potencial perda das vendas, devido a uma fraca qualidade do produto
foi estimada em 10 milhões de Meticais. No terceiro caso, assume-se que uma estimativa de 25 milhões
de Meticais em perda de novos empréstimos, se existirem práticas de pagamento deficientes em
empréstimos anteriores.
Suponha-se que os auditores internos reconsideraram a probabilidade de perda para cada ano. Acreditam
que a probabilidade do stock desviado ascende a 75% (probabilidade elevada), o que significa que 3 em
cada 4 itens de do inventário são retirados ilegalmente, sem pagamento. A probabilidade de perda das
vendas devido a uma fraca qualidade do produto é moderada, 40%. Além disso, estimam que a
probabilidade de perda de novos empréstimos é muito baixa (não ultrapassa 1%) o que se ficou a dever ao
cumprimento dos prazos de pagamento de empréstimos anteriores e as sólidas demonstrações de
resultados da entidade .Vide o mapa abaixo que ilustra o efeito combinado das perdas potenciais
estimadas e as respectivas probabilidades de ocorrência de risco:
Apesar de inicialmente a perda de novos empréstimos ser potencialmente superior às perdas das outras
duas áreas, a probabilidade “ muito baixa” dessa perda, reduz significativamente o risco. Com efeito, a
ordem do risco estimado altera-se quando as probabilidades são consideradas. Assim, a primeira
preocupação do Auditor passa a ser a área de gestão de stock.
FACTORES DE RISCO
A determinante mais importante na classificação das potenciais áreas sujeitas a Auditoria é seu risco
relativo. Existe uma grande variedade de modelos de riscos de risco para ajudar a actividade de auditoria
Interna a estabelecer prioridades entre as potenciais áreas a auditar. A maioria dos modelos de risco
utiliza factores de risco para estabelecer a prioridade dos trabalhos.
Os auditores utilizam mais do que estes factores para comparar os riscos relativos, associados às várias
actividades, enumerando-se a seguir 18 factores de risco considerados importantes pelos profissionais de
Auditoria interna:
1. Qualidade do sistema de controlo Interno da entidade sujeita a Auditoria. A eficácia geral do sistema
de controlo interno resulta quer da concepção, implementação e manutenção do sistema. Quanto
menor a eficácia, maior o risco.
4. Tamanho da entidade (por exemplo, nível de facturação, margem bruta, total do activo). Quanto
maior investimento, maior o risco.
5. Mudança recente no sistema de contabilidade. Mudanças nas políticas contabilísticas, sistemas EDB
(Electronic Data processing) – processamento electrónico de dados) ou na gestão. Mudanças recentes
no sistema contabilístico aumentam o risco, devido a possibilidade de erros.
6. Complexidade nas operações. Quer a sofisticação técnica das operações, quer o grau de pormenor
exigem uma gestão eficaz. Quanto maior a complexidade maior o risco de erro.
8. Liquidez dos activos. Susceptibilidade destes serem retirados da entidade e facilmente convertidos em
dinheiro conduz a uma maior probabilidade de perda.
10. Crescimento rápido ou sob pressão. À medida que a pressão aumenta, o risco de uma produtividade
obtida à custa do relaxamento dos sistemas de controlo aumenta.
11. Extensão da informatização de uma entidade. O grau de controlo de aspectos significativos das
operações está dependente do sistema informático. O especialista do processamento electrónico de
dados (EDP) pode estar dependente de um nível hierárquico superior e à medida que a informatização
cresce, o risco de perder o controlo sobre os activos e sobre a informação, aumenta.
12. Tempo decorrido desde a última auditoria. As auditorias frequentes diminuem o risco.
13. Pressão sobre os vários níveis da entidade para satisfazer objectivos. São as expectativas para
conseguir maiores níveis de desempenho da área sujeita a auditoria. À medida que os responsáveis se
sentem mais pressionados para satisfação de objectivos demasiados ambiciosos, o risco de
produtividade obtida com sacrifício aumenta.
16. Cobertura das auditorias. Quanto maior for a cooperação dos auditores externos com os internos,
maior a cobertura, menor o risco.
18. Distância da sede. Quanto maior é distância relativamente a gestão local, maior é a probabilidade de
falha de coordenação com a entidade em geral, negligência dos sistemas de controlo aumentam o
risco.