avaliando a adequaÇÃo do gerenciamento … · “atividades coordenadas para dirigir e controlar...

AVALIANDO A ADEQUAÇÃODO GERENCIAMENTO DE

RISCOS USANDO A ISO 31000

IPPF – Guia Prático

Avaliando a Adequação do Gerenciamento de Riscos Usando a ISO 31000

www. iiabrasil.org.br / B

Índice

Sumário Executivo..........................................................................................3

Introdução .......................................................................................................3

Gerenciamento de Riscos na Organização......................................................5

A Auditoria Interna e o Gerenciamento de Riscos..........................................7

Revisão do Gerenciamento de Riscos por Parte da Auditoria Interna ............8

Obtendo Evidências de Auditoria .................................................................11

Avaliação do Processo de Gerenciamento de Riscos....................................13

Avaliando a Qualidade da Documentação do Gerenciamento de Riscos .....16

Autores..........................................................................................................18

Revisores e Colaboradores............................................................................18

Este Guia Prático foi traduzido com o apoio de:



www. iiabrasil.org.br / 3

Sumário ExecutivoMuitas organizações estão engajadas na adoção deabordagens consistentes e holísticas para ogerenciamento de riscos e reconhecem que ogerenciamento de riscos é um processo de gestão quedeve ser totalmente integrado à gestão daorganização. Isso se aplica em todos os níveis daorganização – nível da entidade, nível da função enível da unidade de negócio.

A estrutura de gerenciamento de riscos deve serdesenvolvida sob medida para a organização: paraseu ambiente interno e externo. Para que ogerenciamento de riscos seja eficaz, a estrutura emqualquer organização, independentemente detamanho ou propósito, deve ter certos elementosessenciais. Este guia detalha três abordagens para aavaliação do processo de gerenciamento de riscos:uma abordagem de Elementos do Processo; umaabordagem baseada nos Princípios do Gerenciamentode Riscos; e uma abordagem de Modelo deMaturidade. O processo de avaliação usado deve serpersonalizado, para atender as necessidadesespecíficas da organização.

Os auditores internos devem ter meios para medir aeficácia do gerenciamento de riscos em suaorganização. Isso pode ser obtido através do examedos critérios que refletem aspectos do processo degerenciamento de riscos. Os critérios usados devemser relevantes, confiáveis, compreensíveis ecompletos. O conjunto das observações deve permitirque o auditor forme uma opinião acerca do nível dematuridade de gerenciamento de riscos daorganização.

A qualidade do processo de gerenciamento de riscosda organização deve melhorar com o tempo.Implementar um gerenciamento de riscos eficaz – overdadeiro ERM – demora, frequentemente, muitosanos. Um dos critérios chave que os auditores

internos devem considerar é se há uma estruturaadequada implementada para promover umaabordagem corporativa e sistemática para ogerenciamento de riscos.

Este guia prático usa a ISO 31000 como base para aestrutura de gerenciamento de riscos. Outrasestruturas podem ser usadas para conduzir aavaliação de riscos. Esta orientação não implica ouexplicita apoio a esta ou qualquer outra estrutura.

IntroduçãoDurante os últimos anos, a importância de gerirriscos como parte de uma governança corporativaforte tem sido crescentemente reconhecida. Asorganizações estão sofrendo pressões para identificaros riscos significativos de negócios que elas encaram– sociais, éticos e ambientais, assim comoestratégicos, financeiros e operacionais – e paraexplicar como eles são gerenciados por elas. O uso deestruturas de gerenciamento de riscos dentro daorganização se expandiu conforme as empresaspassaram a reconhecer as vantagens de abordagenscoordenadas para o gerenciamento de riscos.

O gerenciamento de riscos é definido no Glossáriodas Normas Internacionais para Prática Profissionalde Auditoria Interna (Normas) como “um processopara identificar, avaliar, gerenciar e controlar eventosou situações em potencial para fornecer umaavaliação razoável do alcance dos objetivos daorganização”.1 Uma estrutura abrangente degerenciamento de riscos fornece uma ligação deponta a ponta entre os objetivos, estratégia, execuçãoda estratégia, riscos, controles e avaliação em todosos níveis da organização.

O gerenciamento de riscos corporativos (EnterpriseRisk Management – ERM) – ou melhor, ogerenciamento de riscos dentro da organização – éum termo de uso comum. O Comitê dasOrganizações Patrocinadoras da Comissão Treadway

1 Isso é consistente com a definição da International Organization for Standardization (ISO) de gerenciamento de riscos:“atividades coordenadas para dirigir e controlar uma organização com relação ao risco”. (Guia ISO 73:2009, Definição 2.1)

































(COSO) define como “um processo, efetuado peloconselho de administração, administração ou outropessoal de uma entidade, aplicado na determinaçãode estratégias e em toda a organização, desenvolvidopara identificar eventos potenciais que possam afetara entidade e gerenciar riscos para que se limitem aseu apetite, para fornecer uma avaliação razoável doalcance dos objetivos da entidade”.

A ISO 31000 (Seção 4.1) declara que o sucesso dogerenciamento de riscos “irá depender da eficácia daestrutura de gestão que fornece os fundamentos earranjos que irão incorporá-la através de toda aorganização, em todos os níveis”.2 Uma estrutura degerenciamento de riscos se refere aos componentes eà organização do gerenciamento de riscos dentro deuma entidade.

A Norma 2120 declara que “a atividade de auditoriainterna deve avaliar a eficácia e contribuir para amelhoria dos processos de gerenciamento de riscos”.Ela prossegue, com a seguinte interpretação:

“Interpretação: Determinar se os processos degerenciamento de riscos são eficazes é umjulgamento que resulta da avaliação do auditorinterno quanto a se:

Os objetivos da organização dão suporte eestão alinhados com a missão daorganização;

Os riscos significativos são identificados eavaliados;

Respostas apropriadas aos riscos sãoselecionadas de forma a alinhar os riscoscom o apetite de risco da organização; e

Informações de riscos relevantes sãocapturadas e comunicadas de forma

oportuna por toda a organização, permitindoque colaboradores, administração e conselhocumpram com suas responsabilidades.

A atividade de auditoria interna pode coletarinformações para dar suporte a essa avaliaçãodurante múltiplos trabalhos. Os resultados dessestrabalhos, quando examinados em conjunto,apresentam um entendimento dos processos degerenciamento de riscos da organização e de suaeficácia.

Os processos de gerenciamento de riscos sãomonitorados através de atividades contínuas degerenciamento, avaliações separadas ou ambos.”

O ponto inicial para melhorar a abordagem de umaorganização em relação ao gerenciamento de riscosdeveria ser uma análise dos gaps que faça um balançoda situação e avalie quais processos e sistemas estãopresentes no momento. Se qualquer parte essencialestiver faltando, é altamente improvável que ogerenciamento de riscos seja eficaz. Os auditoresinternos têm um papel importante a desempenhar naavaliação e melhoria do gerenciamento de riscos emsuas organizações e avaliar as atividades degerenciamento de riscos da organização é umcomponente crítico desse esforço.

Esse guia prático usa a estrutura e parte daterminologia da ISO 31000. Embora a ISO 31000não tenha sido desenvolvida como base paracertificação, seus conceitos e estruturas formam umabase para avaliar qualquer processo de gerenciamentode riscos. A estrutura ISO 31000 não é a únicaestrutura de gerenciamento de riscos de uso comum eessa orientação não significa qualquer apoio a essaestrutura em particular.

2 © ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do American National Standards Institute(ANSI) em nome da International Organization for Standardization (ISO). Nenhuma parte deste material da ISO pode ser copiado oureproduzido de qualquer forma, por sistema de restauração eletrônica ou disponibilizado de qualquer outra forma na Internet, em redepública, por satélite ou outro meio sem a permissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25West 43rd 10036, (212) 642-4900, http://webstore.ansi.org.









































Gerenciamento de Riscosna OrganizaçãoGovernança

A Norma de Gestão de Riscos ISO 31000 forneceorientações para a estrutura de gerenciamento deriscos aplicável a organizações de qualquer tamanho.A ISO 31000 define uma estrutura de gerenciamentode riscos como um “conjunto de componentes quefornecem os fundamentos e os arranjos

organizacionais para a concepção, implementação,monitoramento, análise crítica e melhoria contínua dagestão de riscos através de toda a organização”.3 Aestrutura de gerenciamento de riscos,independentemente do nível de formalidade, estáinerentemente incorporada na estratégia geral daorganização e em sua política e práticas operacionais.Arranjos organizacionais incluem planos,relacionamentos, prestações de contas, recursos,processos e atividades. O diagrama desta página(Figura 1) mostra um modelo conceitual que pode serusado para análise desses arranjos.

Figura 1 – Estrutura para Gerenciamento de Riscos (ISO 31000)

Responsabilidades pelo Gerenciamento de Riscos

A International Organization for Standardization(ISO) define atitude perante o risco como uma“abordagem da organização para avaliar eeventualmente buscar, reter, assumir ou afastar-se do

risco”.4 A administração é responsável pordeterminar a atitude da organização perante o risco eo conselho é responsável por determinar se a atitudeperante o risco está alinhada com os interesses dosacionistas.

3 © ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do American National Standards Institute(ANSI) em nome da International Organization for Standardization (ISO). Nenhuma parte deste material da ISO pode ser copiado oureproduzido de qualquer forma, por sistema de restauração eletrônica ou disponibilizado de qualquer outra forma na Internet, em redepública, por satélite ou outro meio sem a permissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25West 43rd 10036, (212) 642-4900, http://webstore.ansi.org.4 Ibid.





























O conselho realiza a supervisão da governança doERM e deve entender os elementos chave de ERM,perguntar à gerência acerca dos riscos e concordarcom certas decisões da gestão. As partes interessadasdevem receber informações suficientes para entendera atitude da administração e do conselho perante orisco, de forma a investir de acordo com suastolerâncias pela variação potencial do desempenho.As organizações comunicam os níveis de riscos emrelatórios bimestrais e anuais, comunicados àimprensa, conferências com investidores, etc.

O conselho tem a responsabilidade geral de garantirque os riscos sejam gerenciados e que haja umsistema eficaz de gerenciamento de riscos aplicado.Na prática, o conselho delegará a operação daestrutura de gerenciamento de riscos para a equipe degerenciamento. É possível que haja uma funçãoseparada com habilidades e conhecimentoespecializados que coordene e gerencie essasatividades, mas todos na organização têm um papel adesempenhar na garantia do gerenciamento eficazdos riscos corporativos e a responsabilidade primáriapor identificar e gerenciar os riscos é daadministração.

Monitoramento e Avaliação

A aplicação do ERM muda com o tempo. A atitudeperante o risco pode mudar por conta de fatoresinternos ou externos, respostas ao risco que erameficazes antes podem se tornar irrelevantes eatividades de controle podem ser tornar menoseficazes ou não mais realizadas. As mudanças podemocorrer por conta da chegada de novos funcionários,modificações na estrutura da entidade ou pelaapresentação de novos processos. Além disso, osobjetivos da entidade, assim como a natureza deeventos ou condições em potencial que podem afetaro alcance desses objetivos, mudarão. Da mesmaforma, a administração precisa determinar se oscomponentes de ERM continuam relevantes ecapazes de lidar com novos riscos.

Um elemento crítico de um sistema sensato degerenciamento de riscos é o monitoramento, para

garantir que o desempenho seja o desejado. Omonitoramento pode ser feito de duas formas: pormeio de atividades contínuas ou avaliaçõesseparadas. Essa combinação de monitoramentocontínuo com avaliações separadas garantirá que oERM mantenha sua eficácia com o passar do tempo.

Os processos de ERM incorporam avaliaçõesperiódicas de riscos e classificações de riscos. Quantomaior o grau e a eficácia do monitoramento contínuo,menor a necessidade que pode existir de realizaravaliações separadas. A frequência das avaliaçõesseparadas necessárias para que a administração tenhauma avaliação razoável acerca da eficácia do ERM éuma questão de julgamento da própria administração.Ao fazer essa determinação, são considerados anatureza e o grau das mudanças, a competência e aexperiência das pessoas que estão implementando asrespostas ao risco e controles relacionados, a naturezae importância para o negócio dos riscos sendogerenciados e os resultados do monitoramentocontínuo.

O monitoramento contínuo é incorporado àsatividades operacionais normais e recorrentes de umaempresa. Ele pode ser mais eficaz do que avaliaçõesseparadas, porque é conduzido em tempo real,reagindo dinamicamente a condições em constantemudança e está enraizado na organização. Osproblemas serão frequentemente identificados maisrapidamente pelos processos de monitoramentocontínuo, já que avaliações separadas ocorrem após aocorrência do fato. Algumas entidades comatividades sensatas de monitoramento contínuo irão,contudo, conduzir uma avaliação separada de ERMou de porções do mesmo. O nível percebido deobjetividade é maior para avaliações separadas doque para automonitoramento.

Uma entidade que percebe uma necessidade deavaliações separadas frequentes deve focar emformas de melhorar suas atividades demonitoramento contínuo e, dessa forma, enfatizaratividades de monitoramento “incorporadas”, em vezde “acrescentadas”.































A necessidade de uma avaliação surge dos processosde governança de uma organização. Sua origem é arelação de administração entre o conselho de umaorganização e suas partes interessadas. Essa relaçãoposiciona o conselho para estabelecer processos paradelegar e limitar o poder de perseguir a estratégia e adireção da organização, de forma a melhorar asperspectivas para o sucesso a longo prazo daorganização. Os processos de avaliação permitem queo conselho monitore o exercício desse poder.

A atividade de auditoria interna irá, normalmente,fornecer uma avaliação de todo o processo degerenciamento de riscos, incluindo as atividades degerenciamento de riscos (a eficácia de seudesenvolvimento e operação), o gerenciamento dosriscos classificados como “chave” (incluindo aeficácia dos controles e outras respostas a eles), averificação do rigor e confiabilidade das avaliaçõesde riscos e o reporte dos riscos e status de controle.

Com a responsabilidade pelo monitoramento e asatividades de avaliação tradicionalmentecompartilhadas entre várias partes, incluindo a gestãode linha, auditoria interna, especialistas emgerenciamento de riscos e a função de conformidade,é importante que as atividades de avaliação sejamcoordenadas para garantir que os recursos sejamusados da forma mais eficiente e eficaz. É comumque organizações tenham um certo número de gruposseparados conduzindo funções de aconselhamentopara gerenciamento de riscos, conformidade eavaliação diferentes independentemente umas dasoutras. Sem a coordenação e reporte eficazes, otrabalho pode ser duplicado ou os riscos chavepodem passar despercebidos ou podem ser julgadosmal.

O diretor executivo de auditoria (DEA) é orientadopela Norma 2050 a coordenar sua atividade comoutros prestadores de avaliação. O uso de um mapade avaliação pode ajudar a atingir essa meta,oferecendo uma ferramenta eficaz para gerenciar ecomunicar essa coordenação. A PráticaRecomendada 2050-2 dá mais informações acercados Mapas de Avaliação.

A Auditoria Interna e oGerenciamento de RiscosA Norma 2100 declara que “a atividade de auditoriainterna deve avaliar e contribuir para a melhoria dosprocessos de governança, gerenciamento de riscos econtroles, utilizando uma abordagem sistemática edisciplinada”. A atividade de auditoria internafrequentemente tem o papel de fornecer avaliaçõesindependentes e objetivas para o conselho daorganização acerca da eficácia das atividades deERM da organização. Isso ajuda a garantir que osriscos chave do negócio estão sendo gerenciadosapropriadamente e que o sistema de controlesinternos da organização esteja funcionando comeficácia e eficiência.

O gerenciamento de riscos é um processo degerenciamento que promove a conquista rentável dosobjetivos organizacionais, a avaliação forneceinformações confiáveis sobre as conquistas daatividade de gerenciamento de riscos. O processo deavaliação e de gerenciamento de riscos são processoscomplementares.

Em apoio ao processo de gerenciamento de riscos, aauditoria interna e outros prestadores independentesde avaliação avaliariam se:

O processo de gerenciamento de riscos foiaplicado apropriadamente e se todos oselementos do processo são adequados esuficientes.

O processo de gerenciamento de riscos estáde acordo com as necessidades estratégicas ede acordo com o objetivo da organização.

Todos os riscos significativos foramidentificados e estão sendo tratados.

Os controles estão sendo desenvolvidoscorretamente, de acordo com os objetivos doprocesso de gerenciamento de riscos.



































Os controles críticos são adequados eeficazes.

A revisão pela gerência de linha e outrasatividades de avaliação que não sejam deauditoria são eficazes na manutenção emelhoria dos controles.

Os planos de tratamento de riscos estãosendo executados.

Há um progresso apropriado e compatívelcom o reportado no plano de gerenciamentode riscos.

Em apoio ao processo de avaliação, o processo degerenciamento de riscos irá:

Estabelecer uma estrutura de gerenciamentode riscos documentada e específica para aorganização.

Fornecer uma análise estruturada dos riscosda organização, registrando:

o Objetivo(s) da organização e seusriscos associados.

o Exposições e avaliações potenciaisde riscos atuais.

o A posição organizacionalresponsável por gerenciar cada risco.

o Os sistemas chave de controleestabelecidos para gerenciar cadarisco.

Não é incomum para a atividade de auditoria internade uma organização trabalhar em cooperação com afunção de gerenciamento de riscos. Algumasorganizações não têm uma função formal degerenciamento de riscos e, nesses casos, a auditoriainterna frequentemente fornece à organizaçãoserviços mais extensos de consultoria emgerenciamento de riscos. A auditoria interna podeprestar consultoria em gerenciamento de riscos,considerando certas condições:

Deve ficar claro que a administraçãocontinua responsável pelo gerenciamento de

riscos. Quando a auditoria interna prestarconsultoria à equipe de gerenciamento paraestabelecer ou melhorar processos degerenciamento de riscos, seu plano detrabalho deve incluir uma estratégia clara eum cronograma para migrar aresponsabilidade por essas atividades para osmembros da administração.

A auditoria interna não pode dar avaliaçõesobjetivas acerca de nenhuma parte daestrutura de gerenciamento de riscos pelaqual ela é responsável. Tal avaliação deve serfornecida por outras partes qualificadasadequadas.

A natureza de tais serviços prestados àorganização deve ser documentada noestatuto de auditoria interna e deve serconsistente com outras responsabilidades deauditoria interna.

Qualquer orientação de consultoria oudesafios (ou apoio) à tomada de decisões dagerência não coloca a auditoria interna emuma posição de tomar decisões degerenciamento de riscos por si própria.

A Declaração de Posicionamento “O Papel daAuditoria Interna no Gerenciamento dos RiscosCorporativos” inclui o seguinte diagrama que ilustrauma variedade de atividades de ERM e indica quaispapéis uma função profissional de auditoria internaeficaz deve e não deve desempenhar.

Revisão doGerenciamento de Riscospor Parte da AuditoriaInternaPara as áreas de maior risco, nas quais a gerênciareconheceu a necessidade de melhorar os controles,pode haver uma oportunidade para a auditoria internaagregar valor à organização através das atividades de



















































consultoria. O segmento de atividades de auditoria nomeio da Figura 2 a seguir representa atividades deaconselhamento e consultoria, realizadas no nível da

entidade ou da unidade de negócio/departamento, deuma maneira que deve manter a independência e aobjetividade da auditoria interna.

Figura 2 – O Papel da Auditoria Interna no ERM

Embora tais atividades de aconselhamento e deconsultoria possam ser uma parte valiosa de umplano de auditoria, o escopo deste Guia Prático temcomo foco as atividades de avaliação descritas aolado esquerdo do leque. Tais atividades podem sercategorizadas em três tipos principais:

Avaliação do processo de gerenciamento deriscos em si.

Avaliação dos riscos significativos e dasdeclarações da gerência.

Acompanhamento do status do plano detratamento de riscos.

Avaliação do Processo de Gerenciamento de Riscos

As avaliações do processo de gerenciamento deriscos em si podem ser realizadas para fornecer umaavaliação razoável para a alta administração e para oconselho de que um programa de gerenciamento deriscos de uma organização é desenvolvido,

documentado e operacionalizado com eficácia, paraatingir seus objetivos. A avaliação deve ser projetadapara responder questões potenciais, as quais podemincluir:

O programa de gerenciamento de riscos temo comprometimento adequado da gerência daorganização, incluindo status e recursosadequados em relação aos riscos e é umaparte apropriada dos processos e da tomadade decisões da organização?

O desenvolvimento da estrutura degerenciamento de riscos e os critérios deavaliação de riscos são apropriados para ocontexto interno e externo (ambiente) daorganização?

Existe uma definição adequada e umacomunicação de requisitos, critérios deavaliação de riscos e prestação de contasacerca do desenvolvimento, implementação emanutenção da estrutura de gerenciamento de







































riscos e avaliações de áreas específicas derisco?

A atitude perante o risco foi estabelecida nonível adequado da estrutura de governança daorganização?

A comunicação interna e os mecanismos dereporte são adequados para garantir que osresultados essenciais das atividades degerenciamento de riscos sejam comunicadosde forma adequada dentro da organização(combinando transparência e sensibilidade)?

Os relatórios às partes interessadas refletemadequadamente a atitude e o tratamento deriscos da organização?

A comunicação externa e os mecanismos dereporte são adequados para cumprir comrequisitos relevantes jurídicos, regulatórios,de governança corporativa e divulgação?

A mensuração de desempenho e o reporteadequados existem para monitorar odesenvolvimento e a eficácia da estrutura degerenciamento de riscos?

Os critérios de avaliação de riscos, apetites,respostas e requisitos de escalação/relatóriossão colocados em prática de formaconsistente em toda a organização? Aspessoas com o conhecimento adequado sãoas responsáveis pela identificação de riscos?O estado atual da identificação de riscos estáadequado?

A estrutura de riscos e os processos econtroles relacionados são modificadosconforme as condições do negócio e daorganização precisam de mudanças?

As pessoas com o conhecimento adequadosão responsáveis pela análise, avaliação etratamento/resposta ao risco? Essas

atividades são revisadas e aprovadasadequadamente?

Os planos e status do tratamento de riscossão monitorados e comunicados de formaadequada a todos os níveis apropriados dagerência e do conselho?

Avaliação sobre Riscos Significativos e Declarações

da Administração

Durante todos os outros trabalhos de avaliação emque o escopo se relaciona a exposições potenciaismaiores identificadas em um processo degerenciamento de riscos de uma organização, osprocedimentos e comunicações de auditoria devemser desenvolvidos para avaliar as declarações daadministração sobre a eficácia dos controles emtrazer os riscos para dentro do limite de tolerância derisco da organização.

Os relatórios para a administração (e para o conselho)podem descrever a exposição potencial e a avaliaçãoda administração acerca dos riscos atuais (com ovalor implícito dos controles em prática), juntamentecom a avaliação de auditoria das classificações deriscos. Quaisquer diferenças devem ser incluídas noprocesso de gerenciamento de riscos daadministração para consideração.

O efeito cumulativo de tais atividades de avaliação,ao longo do tempo, sobre áreas específicas de riscosem um plano de auditoria com base em riscosfornecerá uma avaliação não apenas acerca das áreasespecíficas de riscos, mas servirá como umaavaliação da eficácia do processo geral degerenciamento de riscos.

Acompanhamento do Status do Plano de Tratamento

de Riscos

Para planos de tratamento de riscos ou de remediaçãode controles com relação a maiores exposiçõespotenciais, especialmente nos casos em que os planostêm duração relativamente maior, pode serapropriado monitorar o desempenho em comparaçãocom o plano. No mínimo, tal monitoramento deve ser

















da Administração





de Riscos


















da Administração





de Riscos






desenvolvido para fornecer à administração umaavaliação do progresso em comparação com marcos evalidar os relatórios de status de planos de tratamentode riscos para o conselho.

Além disso, tal acompanhamento pode avaliar aestrutura do plano, os recursos, a prestação de contas,o gerenciamento de projetos, etc., e fornecerrecomendações e considerações para aumentar aprobabilidade de sucesso do plano.

Obtendo Evidências deAuditoriaEm auditorias do processo de gerenciamento deriscos de uma organização, a Prática Recomendada2120-1, Avaliando a Adequação dos Processos deGerenciamento de Riscos, parágrafo 8, afirma:

"Os auditores internos precisam obter evidênciassuficientes e apropriadas para determinar que osprincipais objetivos dos processos de gerenciamentode riscos estão sendo cumpridos, para formar umaopinião sobre a adequação dos processos degerenciamento de riscos. Na coleta de tais evidências,o auditor interno pode considerar os seguintesprocedimentos de auditoria:

• Pesquisar e revisar acontecimentos atuais,tendências, informações da indústriarelacionada ao negócio conduzido pelaorganização e outras fontes apropriadas deinformações, para determinar os riscos eexposições que podem afetar a organização eos procedimentos de controle relacionadosutilizados para tratar, monitorar e reavaliaresses riscos.

• Revisar as políticas corporativas e as minutasdo conselho para determinar as estratégias denegócio, a filosofia e a metodologia degerenciamento de riscos, o apetite para orisco e a aceitação de riscos da organização.

• Revisar relatórios anteriores de avaliação deriscos emitidos pela administração, por

auditores internos, auditores externos equaisquer outras fontes.

• Conduzir entrevistas com a gerência deoperações e a alta administração paradeterminar os objetivos das unidades denegócios, riscos relacionados e a mitigaçãode riscos e atividades de monitoramento decontrole da administração.

• Assimilar informações para avaliar de formaindependente a eficácia da mitigação deriscos, do monitoramento e da comunicaçãode riscos e atividades de controle associadas.

• Avaliar a adequação das linhas de reportepara atividades de monitoramento de riscos.

• Revisar a adequação e a oportunidade doreporte dos resultados do gerenciamento deriscos.

• Revisar a integralidade da análise de riscosda administração e as ações tomadas pararemediar questões levantadas por processosde gerenciamento de riscos.

• Determinar a eficácia dos processos deautoavaliação da gerência através deobservações, testes diretos dosprocedimentos de controle e monitoramento,teste da precisão das informações usadas ematividades de monitoramento e outrastécnicas apropriadas.

• Revisar as questões relacionadas a riscos quepossam indicar fragilidades nas práticas degerenciamento de riscos e, conforme forapropriado, discutir com a alta administraçãoe o conselho. Se o auditor acredita que aadministração aceitou um nível de riscosinconsistente com a estratégia e políticas degerenciamento de riscos da organização, ouum nível considerado inaceitável para aorganização, deve usar a Norma 2600 eorientações relacionadas para orientaçãoadicional."











































Técnicas diferentes podem ser usadas para a obtençãode evidências, incluindo:

• Observações – por exemplo, ao estar presentequando o gerenciamento de riscos é realizadonos diferentes níveis da organização, doconselho até os departamentos individuais,programas, projetos e os funcionários.

• Entrevistas.

• Revisões de Documentação – por exemplo,agendas, documentos de apoio e atas docomitê, do conselho executivo ou de outroscomitês da alta administração, planosestratégicos e documentos de apoio paradecisões de alocação de recursos.

• Os resultados de auditorias anteriores.

• A confiabilidade do trabalho dos outros.

• Técnicas analíticas – por exemplo, análise dacausa raiz de falhas detectadas.

• Mapeamento de Processos.

• Análise estatística – por exemplo, a análisedos tipos de incidentes ou "quase acidentes".

• Revisão e avaliação do modelo de riscos.

• Pesquisas.

• Análise da autoavaliação de controle.

Frequentemente, uma combinação de técnicasdiferentes de auditoria é usada para reunirinformações e evidências suficientes para se chegar auma conclusão. O auditor escolhe o procedimentomais adequado para o objetivo de auditoria da área. Oauditor também avalia se os recursos e habilidadessuficientes estão disponíveis para realizar todo otrabalho necessário para servir de suporte suficientepara uma opinião. O auditor considera se seriaprudente se recusar a expressar a opinião ouqualificar a opinião, excluindo determinadas áreas ouriscos do escopo da opinião, caso os recursos ouhabilidades suficientes não estejam disponíveis.

A exigência de prova varia de acordo com o tipo deopinião que o auditor deseja expressar. Avaliaçõespositivas fornecem o mais alto nível de segurança e,normalmente, também exigem mais evidências paraapoiar a opinião. Tal opinião não sugere apenas, porexemplo, se os controles/processos de mitigação deriscos são adequados e eficazes, mas também queevidências suficientes foram obtidas para se estarrazoavelmente certo de que evidências do contrário,se é que existem, teriam sido identificadas.

Avaliações negativas não fornecem tanta avaliação e,portanto, normalmente não exigem tantas evidênciasde auditoria. Ao prestar uma avaliação negativa, oauditor, por exemplo, afirma que, com base notrabalho realizado, nada chamou a atenção do auditor.Por expressar essa opinião, o auditor não seresponsabiliza pela suficiência do escopo e dosprocedimentos da auditoria para encontrar todas aspreocupações ou questões significativas. Tal opiniãoé geralmente considerada menos valiosa do que aavaliação positiva.

Orientações mais detalhadas sobre opiniões podemser encontradas no Guia de Práticas "Formulando eExpressando Opiniões de Auditoria Interna".

Conclusões da auditoria devem ser factuais eobjetivas e apoiadas por evidências suficientes deauditoria. A suficiência sugere que a evidência deauditoria é factual, adequada e convincente, de formaque uma pessoa prudente e informada chegaria àsmesmas conclusões do auditor. A evidência deauditoria deve ser devidamente documentada eorganizada.

A atividade de auditoria não deve fornecerinadvertidamente qualquer nível de avaliação falsa(use como referência a PA 2120-2: Gerenciando oRisco da Atividade de Auditoria Interna, parágrafo8). "Avaliação falsa" é um nível de confiança ou deavaliação com base em percepções ou suposições, emvez de fatos. Em muitos casos, o simples fato de quea atividade de auditoria interna está envolvida em umassunto já pode criar algum nível de falsa avaliação.O escopo do envolvimento da atividade de auditoria







• Entrevistas.








• Pesquisas.














• Entrevistas.








• Pesquisas.












interna pode ser mal interpretado e,consequentemente, pode resultar em falsa avaliação.

Avaliação do Processo deGerenciamento de RiscosUm órgão de governança deve ser capaz dedeterminar até que ponto o processo degerenciamento de riscos em sua organização atendeas necessidades da organização e adotou boaspráticas, geralmente aceitas. O gerenciamento deriscos é um componente crítico do sistema decontrole interno, de forma que os processosdeficientes de gerenciamento de riscos são umindicador de que o sistema de controle interno daorganização pode ser deficiente.

É importante que uma organização obtenha umaavaliação de seu processo de gerenciamento deriscos. Esta avaliação deve cogitar a possibilidade deque o auditor interno pode não ser funcionalmenteindependente da função de gerenciamento de riscos.Neste caso, a avaliação pode ser solicitada a umaparte externa.

Três formas de processos de avaliação que podem serutilizados na avaliação de um processo degerenciamento de riscos são descritas abaixo:5

• Abordagem dos elementos do processo

• Abordagem dos princípios chave

• Abordagem do modelo de maturidade

Embora cada formulário seja autossuficiente, cadaum deles oferece uma perspectiva diferente sobre aeficácia de um processo de gerenciamento de riscosem uma organização. Muitas vezes, a adoção de maisde uma abordagem pode produzir resultados maisinformativos e úteis. O processo de gerenciamento deriscos deve ser adaptado adequadamente àorganização, seu tamanho, objetivos, cultura e perfil

de riscos. Portanto, o processo de avaliação tambémprecisa ser adaptado as necessidades da organização.

Os resultados de qualquer revisão com base emdocumentos devem ser validados, examinando se aestrutura de gerenciamento de riscos está operandocom eficácia na prática. Isto significa que este tipo deatividade de avaliação não deverá ser realizado deforma isolada e deve sempre acompanhar ou envolveruma avaliação normal, com base em controles, quedetermine se:

• Os riscos estão sendo identificados comeficácia e sendo analisados apropriadamente.

• Há tratamento e controle de riscos adequadose apropriados.

• Há monitoramento e revisão eficazes,conduzidos pela administração, para detectarmudanças nos riscos e controles.

Abordagem dos elementos do processo

Esta abordagem verifica se cada elemento doprocesso de gerenciamento de riscos está no lugar. Éessencial validar as declarações de intenção daadministração por meio de evidências de auditoriasuficientes para comprovar que o elemento está sendosatisfeito na prática. A representação daadministração, apenas, raramente seria suficiente. AISO 31000 identifica sete componentes do processode gerenciamento de riscos:

• Elemento 1 – Comunicação: o gerenciamentorazoável dos riscos requer uma comunicaçãoestruturada e contínua e consulta com os afetadospelas operações da organização ou atividade.

• Elemento 2 – Estabelecer o Contexto: O ambienteexterno (político, social, etc) e interno (objetivos,estratégias, estruturas, ética, disciplina, etc) daorganização ou atividade devem ser entendidos antesque toda a gama de riscos possa ser identificada.

5 Essas abordagens são citadas a partir de HB158:2010 Delivering assurance based on ISO 31000:2009 Riskmanagement — Principles and guidelines, uma publicação conjunta da Standards Australia, IIA-Australia e daFundação de Pesquisa do IIA. A HB158 apresenta uma discussão mais extensa sobre essas e outras questões.

















































• Elemento 3 – Identificação de Riscos: Identificarriscos deve ser um processo formal e estruturado queconsidere fontes de risco, áreas de impacto e eventospotenciais, além de suas causas e consequências.

• Elemento 4 – Análise de Riscos: A organizaçãodeve utilizar uma técnica formal para considerar aconsequência e a probabilidade de cada risco.

• Elemento 5 – Avaliação de Riscos: A organizaçãodeve ter um mecanismo para classificar a importânciarelativa de cada risco, de modo que uma prioridadede tratamento possa ser estabelecida.

• Elemento 6 – Tratamento de Riscos: ogerenciamento razoável dos riscos exige decisõesracionais acerca do tratamento dos riscos. Estetratamento consiste, classicamente, em evitar aatividade a partir da qual o risco surge, compartilharo risco, gerenciar o risco através da aplicação decontroles ou aceitar o risco e não realizar nenhumaoutra ação.

• Elemento 7 – Monitorar e Revisar: Monitorar incluiverificar o andamento dos planos de tratamento,monitorar controles e sua eficácia, garantir queatividades proscritas sejam evitadas e verificar que omeio ambiente não mudou de uma forma que afetariaos riscos.

Abordagem dos princípios chave

Esta abordagem é baseada no conceito de que, paraser totalmente eficaz, qualquer processo degerenciamento de riscos deve satisfazer um conjuntomínimo de princípios ou características. A ISO 31000inclui uma seção (Cláusula 4) sobre esses princípios.

Uma auditoria com base nesses princípios avalia atéque ponto eles são verdadeiros para o processo degerenciamento de riscos em uma organização:

• O gerenciamento de riscos cria e protege ovalor.6 Isto sugere a aplicação dogerenciamento de riscos mais rigorosoquando o valor em jogo é o mais alto.Também sugere que uma série de técnicasaplicáveis a diversos níveis de exposiçãodeve estar disponível na organização.

• O gerenciamento de riscos é uma parteintegrante dos processos organizacionais.7

O gerenciamento de riscos não deve ser vistocomo uma tarefa complementar.

• O gerenciamento de riscos faz parte datomada de decisões.8 Quanto maisimportante a decisão, mais explícita deve seressa associação.

• O gerenciamento de riscos aborda aincerteza de forma explícita.9 As avaliaçõesde riscos seriam encarregadas de documentaráreas de incerteza e considerar qual a melhorforma de resolver a incerteza identificada.

• O gerenciamento de riscos é sistemático,estruturado e oportuno.10

• O gerenciamento de riscos é baseado nasmelhores informações disponíveis.11 Obterinformações pode ser caro e o processo devefornecer orientações sobre o que constituiinformação suficiente.

6 © ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do AmericanNational Standards Institute (ANSI) em nome da International Organization for Standardization (ISO). Nenhumaparte deste material da ISO pode ser copiado ou reproduzido de qualquer forma, por sistema de restauraçãoeletrônica ou disponibilizado de qualquer outra forma na Internet, em rede pública, por satélite ou outro meio sem apermissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25 West 43rd 10036,(212) 642-4900, http://webstore.ansi.org.7 Ibid.8 Ibid.9 Ibid.10 Ibid.11 Ibid.













































• O gerenciamento de riscos é feito sobmedida.12 Não é um processo “fora da caixa”e deve ser compatível com as operações daorganização.

• O gerenciamento de riscos considerafatores humanos e culturais.13 Os processosdevem ser apropriados às competências e àcultura dos que devem usá-los.

• O gerenciamento de riscos é transparente einclusivo.14 Deve haver um envolvimentoadequado e oportuno das partes interessadas.

• O gerenciamento de riscos é dinâmico,interativo e receptivo a mudanças.15 Oprocesso deve ser revisado regularmente edeve reagir a mudanças na organização e emseu ambiente, para que continue relevante.

• O gerenciamento de riscos facilita amelhoria contínua e o aperfeiçoamento daorganização.16 O gerenciamento de riscosdeve amadurecer junto com outros processosorganizacionais.

Abordagem do Modelo de Maturidade

A abordagem do modelo de maturidade tem comobase a afirmação de que a qualidade do processo degerenciamento de riscos de uma organização devemelhorar com o tempo. Sistemas imaturos degerenciamento de riscos trazem muito pouco retornopara o investimento que foi feito e, muitas vezes,operam como uma despesa geral de conformidade oucomo uma imposição, mais preocupados com oreporte dos riscos do que com seu tratamento eficaz.Processos eficazes de gerenciamento de riscos sedesenvolvem ao longo do tempo, com valor adicional

a ser agregado a cada passo do processo dematuração. Esta abordagem fornece uma avaliação doponto em que o processo de gerenciamento de riscosda organização está na curva de maturidade, de modoque o conselho e a administração possam avaliar seele atende as necessidades atuais da organização e seestá amadurecendo como esperado.

Um aspecto fundamental da abordagem do modelo dematuridade é a ligação do desempenho e progressodo gerenciamento de riscos na execução de um planode gerenciamento de riscos a um sistema demensuração e gestão de desempenho. Os dados queresultarem de tal sistema podem ser apresentados àalta administração e ao conselho como evidências demelhoria do gerenciamento de riscos. Oscomponentes de um sistema deste tipo normalmentesão:

• Um protocolo de padrões de desempenho,considerando abordagens de gerenciamentode riscos e prevendo futuras necessidadesestratégicas. Os padrões de desempenho sãonormalmente apoiados por uma lista maisdetalhada de requisitos de desempenho quepermitem a mensuração de qualquer melhoriano desempenho.

• Um guia de como os padrões e subrequisitospodem ser satisfeitos na prática.

• Um meio de medir o desempenho real emcomparação com cada padrão e subrequisito.

• Um meio de registro e de reporte dodesempenho e de melhorias no desempenho.

• A verificação periódica independente daavaliação da administração.

12 © ISO. Esse material é reproduzido da ISO 31000:2009 ou do Guia ISO 73:2009, com permissão do AmericanNational Standards Institute (ANSI) em nome da International Organization for Standardization (ISO). Nenhumaparte deste material da ISO pode ser copiado ou reproduzido de qualquer forma, por sistema de restauraçãoeletrônica ou disponibilizado de qualquer outra forma na Internet, em rede pública, por satélite ou outro meio sem apermissão prévia por escrito do ANSI. Cópias desta norma podem ser adquiridas no ANSI, 25 West 43rd 10036,(212) 642-4900, http://webstore.ansi.org.13 Ibid.14 Ibid.15 Ibid.16 Ibid.











































A cláusula 4 da ISO 31000 contém uma lista depráticas e "princípios" importantes que devem ser oponto de partida para qualquer avaliação dematuridade. Estes princípios não resolvem apenas se"o elemento do processo ou sistema existe", mastambém se "é eficaz e relevante para suaorganização" e "agrega valor". Na verdade, oprimeiro princípio é que o gerenciamento de riscosdeve agregar valor.

O desempenho real, em comparação com o padrão dedesempenho, é avaliado usando algum sistema demensuração de maturidade que dá crédito para aintenção, mas a nota máxima só pode ser obtida pelaimplementação completa e aplicação prática dopadrão. Um possível sistema de mensuração dematuridade (com base na ideia original de CapabilityMaturity Models, desenvolvidos pela CarnegieMellon University) é mostrado abaixo.

MEDIDA NENHUMAMUITOPOUCA

ALGUMA BOA COMPLETA

Significado Muito pouca ounenhumaconformidadecom o requisitode qualquerforma.

Conformidadeapenas limitadacom o requisito.A administraçãoapoia a intenção,mas aconformidade, naprática, é pouca.

Conformidadelimitada com adeclaração doelemento.Concordamcertamente coma intenção, masa conformidadeé limitada naprática.

A administraçãoapoiacompletamentea intenção, mashá conformidadeparcial naprática.

Conformidadeabsoluta com adeclaração doelemento – naintenção e naprática – emtodos osmomentos elocais.

Figura 3 – Modelo de Maturidade – fonte HB158

Avaliando a Qualidadeda Documentação doGerenciamento de RiscosA extensão da documentação do ERM de umaentidade varia de acordo com o tamanho e acomplexidade da entidade. Organizações maioresgeralmente têm manuais de políticas, organogramasformais, descrições dos cargos já elaboradas,instruções de operação, fluxogramas do sistema deinformação e assim por diante. Organizaçõesmenores e menos complexas normalmente têmconsideravelmente menos documentação.

Muitos aspectos do ERM podem ser informais e nãodocumentados e, ainda assim, podem ser realizados

periodicamente e altamente eficazes. Estas atividadespodem ser testadas da mesma maneira que asatividades documentadas. O fato de que os elementosdo ERM não são documentados não significanecessariamente que o ERM não é eficaz ou não podeser avaliado. Um nível apropriado de documentação,no entanto, geralmente torna o monitoramento maiseficiente. É útil em outros aspectos também. Facilitao entendimento dos funcionários de como o processofunciona e de suas respectivas funções e facilita fazermodificações, quando necessário.

Ao decidir documentar o processo de avaliação em si,o auditor interno normalmente vai trabalhar com adocumentação existente dos processos de ERM daentidade. A documentação existente será tipicamentecomplementada com outros documentos preparadospelo auditor, incluindo as evidências dos testes e asanálises realizadas no processo de avaliação. A








ALGUMA BOA COMPLETA


















ALGUMA BOA COMPLETA















natureza e a extensão da documentação sãonormalmente mais substanciais quando declaraçõessobre o ERM são feitas a outras partes.

Quando a administração pretende fazer umadeclaração a partes externas sobre a eficácia do ERM,ela deve considerar desenvolver e reter documentosque apoiem a declaração. O auditor interno deveconsiderar se:

• Uma estratégia para gerenciar informações deriscos vindas de todas as fontes está emprática.

• A infraestrutura necessária para acomunicação das informações de riscos estáem prática.

• Existem definições comuns.

• Existem diretrizes para a criação, exclusão eo compartilhamento de informações deriscos.

• Existem recursos adequados atribuídos.

• A tecnologia é rentável e usada onde forapropriado.

• Uma abordagem proativa é usada nomonitoramento.

• As informações de riscos fazem parte doprocesso de planejamento.

• As informações de riscos são integradas àsinformações de desempenho.

Estas considerações e quaisquer decisões tomadasdocumentadas. Tal documentação pode ser útil, casoa afirmação seja contestada posteriormente.





































Autores:

Andrew MacLeod, CIA

Patricia A. MacDonald

Benito Ybarra, CIA

Trygve Sorlie, CIA, CCSA

Brian Foster, CIA

Teis Stokka, CIA

Revisores e Colaboradores:

Douglas J. Anderson, CIA

Steven E. Jameson, CIA, CCSA, CFSA

James A. Rose, III, CIA





Autores:

Andrew MacLeod, CIA


Benito Ybarra, CIA


Brian Foster, CIA

Teis Stokka, CIA









Autores:

Andrew MacLeod, CIA


Benito Ybarra, CIA


Brian Foster, CIA

Teis Stokka, CIA





Sobre o Instituto

Fundado em 1941, The Institute of Internal Auditors(IIA) é uma associação profissional com sede globalem Altamonte Springs, Fla., EUA. O IIA é a voz daprofissão de auditoria interna em todo o mundo,autoridade reconhecida, líder valorizado, advogadochefe e principal educador.

Sobre os Guias Práticos

Os Guias Práticos fornecem uma orientaçãodetalhada para a condução de atividades de auditoriainterna. Eles incluem processos e procedimentosdetalhados, como ferramentas e técnicas, programas eabordagens passo-a-passo, assim como exemplos dedeliverables. Os Guias Práticos são parte da EstruturaInternacional de Práticas Profissionais do IIA. Comoparte da categoria de orientação FortementeRecomendada, a conformidade não é obrigatória, masé altamente recomendada, e a orientação é endossadapelo IIA por meio de processos formais de revisão eaprovação.

Disclaimer

O IIA publica este documento para fins informativose educacionais. Este material de orientação não temcomo objetivo fornecer respostas definitivas aespecíficas circunstâncias individuais e, como tal,tem o único propósito de servir de guia. O IIArecomenda que você sempre busque conselhosespecializados independentes, relacionadosdiretamente a qualquer situação específica. O IIA nãoassume responsabilidade pela confiança depositadaunicamente neste guia.

Copyright

Os direitos deste guia prático são reservados ao IIA.Para permissão para reprodução, favor entrar emcontato com o IIA pelo e-mail: [email protected].

avaliando a adequaÇÃo do gerenciamento … · “atividades coordenadas para dirigir e controlar...

Documents