A importância da Gestão de Riscos nos processos de auditoria

A importância da Gestão de Riscos nos processos de auditoria

(Parte 1 de 4)

1 PricewaterhouseCoopers

A importância da gestªo de riscos nos processos de auditoria

A importância da gestªo de riscos nos processos de auditoria

Paulo M. Vanca1 Antonio Cocurullo2

Introduçªo

A gestªo de riscos Ø tema que suscita crescente atençªo no mundo empresarial e diversas novas funçıes relacionadas a gestªo de riscos vŒm surgindo, como assessor de gestªo de riscos, risk officer e coordenador de gestªo de riscos. Entretanto, hÆ muitos anos os auditores internos vŒm, cada vez mais, planejando e executando seu trabalho tendo como referencial o mapeamento de riscos. Nessa mesma linha, os auditores externos tŒm desenvolvido metodologias que contemplam, entre outros assuntos, o mapeamento de riscos relacionados com as demonstraçıes financeiras.

Inclusive, na atual revisªo do modelo de auditoria, em processo de âmbito do IAASB - International Auditing and Assurance Standard Board (sucessor do anterior International Auditing Practices Committee), considera-se que o auditor externo deve atentar aos processos de gestªo de risco como forma de entender com a administraçªo de uma entidade gerencia seu negócio. Sócio da PricewaterhouseCoopers, bacharel em CiŒncias ContÆbeis e Economia, responsÆvel no Brasil e na AmØrica do Sul por serviços de gerenciamento de riscos por intermØdio de processos de auditoria interna e operacional. Palestrante em diversos seminÆrios e cursos organizados, entre outros, pelo CRC, AUDIBRA, IIR, IBC, IBEF IIA e diversas universidades e câmaras de comØrcio no Brasil e no exterior.

Entrevistado nos Estados Unidos pela Bloomberg Television e pela CNN sobre gestªo de riscos na AmØrica Latina. Gerente executivo da PricewaterhouseCoopers, bacharel em CiŒncias ContÆbeis e mestre em Administraçªo. Professor em cursos de graduaçªo em Administraçªo e CiŒncias ContÆbeis, professor das disciplinas de Gestªo de Riscos, Auditoria e Contabilidade Gerencial em cursos de pós-graduaçªo e MBA. Palestrante em diversos seminÆrios e cursos organizados, entre outros, pelo IIR, IBC, IBEF, AUDIBRA e pela FGV.

2 PricewaterhouseCoopers

A importância da gestªo de riscos nos processos de auditoria

Destaca-se assim que o auditor (externo ou interno) Ø o profissional que em princípio Ø dotado de mais experiŒncia, competŒncias e conhecimentos relacionados à avaliaçªo de riscos relacionadas às atividades empresariais.

Sendo assim, o que se pretende neste trabalho Ø destacar a relaçªo existente entre a gestªo de riscos no ambiente empresarial e a funçªo dos auditores, entendendo-se como risco, no ambiente empresarial, situaçıes que possam impedir o alcance dos objetivos corporativos e/ou operacionais.

No ambiente empresarial hÆ riscos relacionados com os negócios atuais e com as novas oportunidades de negócios, como o lançamento de produto, com geraçªo de custos sem certeza de retorno adequado, ou a entrada em novos mercados sem familiaridade com as estruturas política, econômica e empresarial que lhes sªo inerentes.

HÆ, tambØm, riscos relacionados a questıes operacionais, de conformidade e de outra natureza, com implicaçıes diferenciadas, como veremos adiante. É fundamental ter em mente a relevância dos riscos de natureza estratØgica na alocaçªo de recursos para seu gerenciamento (em geral, escassos). Mas nªo se pode esquecer que problemas de conformidade (por exemplo, com a legislaçªo) ou operacionais (como falha no processo produtivo por problemas de sistemas ou de logística) podem colocar em risco o sucesso de uma Ærea estratØgica e, conseqüentemente, o sucesso de uma corporaçªo.

Mas, quando identificados e gerenciados adequadamente, mediante pesquisas e suporte especializado, os riscos de o empreendimento nªo ser bem-sucedido podem ser significativamente reduzidos, e o sucesso nªo somente ocorrer, mas gerar, ainda, substancial vantagem competitiva. Da mesma forma, Ø importante considerar que existem riscos que simplesmente nªo devem ser assumidos quando nªo totalmente gerenciÆveis ou se nªo houver recursos para tanto. Construir ou operar uma planta industrial com risco de explosªo de 50%, ou mesmo de 5%, ou atØ menos, Ø simplesmente inadmissível. O fato gera, automaticamente, por sua eventual divulgaçªo, imagem negativa, risco de perda de funcionÆrios e interdiçªo legal, com conseqüentes efeitos adversos na reputaçªo e nos negócios.

O Instituto Americano de Contadores Pœblicos Certificados Auditores Independentes (American Institute of Certified Public Accountants - AICPA), em estudo relacionado com avaliaçªo de riscos, classificou os riscos empresariais em trŒs grupos:

•Riscos relacionados ao ambiente empresarial ameaças no ambiente empresarial em que a companhia opera, como os riscos decorrentes da atuaçªo da concorrŒncia, políticos, legais ou decorrentes de situaçªo regulatória, financeiros e de mudanças na demanda.

•Riscos relacionados a processos de negócios e seus ativos ameaças a processos de negócios-chave e perdas de ativos físicos, financeiros e outros.

•Riscos relacionados com informaçıes ameaças decorrentes da mÆ qualidade das informaçıes para o processo de tomada de decisıes e para o fornecimento de informaçıes a terceiros.

Destaca o AICPA que novos riscos surgem com novos tipos de estruturas corporativas e mudanças na tecnologia da informaçªo. Muitos controles sobre informaçıes e ativos tŒm sido comprometidos ou atØ eliminados como resultado de processos de reengenharia, terceirizaçªo, downsizing e reduçªo de níveis organizacionais.

3 PricewaterhouseCoopers

A importância da gestªo de riscos nos processos de auditoria

HÆ diferentes tipos de riscos, com características diferentes em funçªo do ambiente empresarial em que a companhia atua e das próprias características operacionais. Portanto, cada tipo de companhia tem um universo de riscos diferente.

No novo contexto empresarial que vem emergindo, as organizaçıes virtuais , com seus processos de produçªo e distribuiçªo terceirizados, apresentam riscos específicos, mas administrÆveis, relacionados à satisfaçªo dos clientes, à evoluçªo tecnológica e ao controle de custos.

Para analisar, mapear e, principalmente, tomar decisıes em termos de priorizaçªo e alocaçªo de recursos para monitoramento de riscos, Ø sempre recomendÆvel uma categorizaçªo destes por natureza e conseqüente relevância. Assim, recomenda-se, entre outras, a seguinte classificaçªo:

•Riscos relacionados à estratØgia - associados ao modo como uma organizaçªo Ø gerenciada. A gestªo desses riscos, tambØm chamados de riscos estratØgicos , Ø focada nas questıes corporativas amplas, como fatores competitivos, estrutura organizacional, desenvolvimento de produtos, estratØgia de formaçªo de preços etc.

•Riscos financeiros - associados à posiçªo financeira de uma organizaçªo. A gestªo de riscos financeiros estÆ associada tanto a instrumentos relacionados à tesouraria e fluxos financeiros quanto a riscos relacionados a relatórios financeiros (internos e externos).

•Riscos relacionados à tecnologia da informaçªo - decorrentes de tecnologias de informaçªo utilizadas no negócio, eventualmente nªo efetivas no suporte de necessidades atuais e futuras da companhia, nªo operando como planejado, o que compromete a integridade e a confiabilidade de dados e informaçıes, expıe o recursos significativos a perdas potenciais ou mau uso, ou ameaça a habilidade da companhia na sustentaçªo da operaçªo de processos críticos.

•Riscos operacionais - associados com a habilidade de uma organizaçªo operar e controlar seus processos principais de maneira previsível e pontual. A gestªo de riscos operacionais Ø focada na integridade e consistŒncia dos processos diÆrios que dªo suporte ao negócio.

•Riscos de conformidade - associados com a habilidade da organizaçªo de cumprir com normas reguladoras, legais e exigŒncias fiduciÆrias. A nªo-conformidade com normas, tanto legais como relacionadas apenas às melhores prÆticas, pode gerar riscos, tanto financeiros como de perda de imagem (marcas e produtos) e, portanto, impactar negativamente o resultado das companhias. reas de potencial nªo-conformidade que geram riscos podem estar, por exemplo relacionadas a normas legais e tributÆrias, normas e prÆticas ambientais, exigŒncias de consumidores ou do mercado, expectativas da sociedade dos funcionÆrios ou vizinhos.

•Riscos relacionados ao meio ambiente - associados à gestªo inadequada de questıes ambientais, causando efeitos como contaminaçªo decorrente da disposiçªo inadequada de resíduos sólidos. As contingŒncias relacionados a esse tipo de risco sªo: necessidades de remediaçªo de Æreas degradadas, elevaçªo dos valores pagos a título de prŒmio de seguro, indenizaçıes, multas, perda de imagem de produtos ou da marca da companhia, com conseqüente reduçªo do valor de suas açıes.

4 PricewaterhouseCoopers

A importância da gestªo de riscos nos processos de auditoria

Após a classificaçªo dos riscos, Ø necessÆrio avaliar cada um quanto à sua ocorrŒncia potencial e aos possíveis impactos estratØgicos, operacionais, de conformidade e, obviamente, econômico-financeiros, pois todo ato ou fato relacionado com a companhia tem algum efeito imediato ou futuro na posiçªo econômico-financeira e, portanto, nos resultados. Assim, cada risco deve ser avaliado em funçªo do potencial impacto (œnico ou por repetitividade) e probabilidade de materializaçªo como:

•impacto alto, mØdio ou baixo;

•probabilidade alta, mØdia ou baixa.

Em continuidade à avaliaçªo mencionada anteriormente, deve-se identificar a tendŒncia de cada risco, conforme a seguir:

•EstÆvel (nada sendo mudado).

•Crescente (devido a fatos como aumento de atividade).

•Decrescente (por previsªo de implantaçªo de novo sistema).

O gerenciamento de riscos deve incluir a identificaçªo do risco potencial, sua prevençªo e ainda a administraçªo do fato ocorrido, visando minimizar impactos negativos e prever sua eventual repetiçªo.

Na busca da maior rentabilidade, e atØ da sobrevivŒncia, por meio da melhoria da qualidade, inovaçªo tecnológica, maior agilidade e melhor serviço ao cliente, e sempre menor custo, as companhias sªo permanentemente obrigadas a rever seu modelo de gestªo e adotar novos conceitos (alguns nªo tªo novos, porØm com nova nomenclatura e, principalmente, novos impactos, como:

•multifuncionalidade dos empregados;

•implantaçªo de cØlulas operacionais;

• terceirizaçªo.

Tudo isso, associado à globalizaçªo dos mercados compradores e fornecedores, tanto de produtos como de capital, gera novos desafios e, portanto, novos riscos, que devem ser avaliados e administrados.

Riscos estratØgicos e financeiros sªo, muitas vezes, decorrentes da volatilidade do ambiente econômico no qual a companhia opera e da própria natureza de suas operaçıes, que podem variar de acordo com a maturidade da companhia e de seus produtos. Riscos operacionais e de conformidade, bem como relacionados à tecnologia da informaçªo e ao meio ambiente, sªo mais associados ao ambiente de controle interno, à saœde financeira da companhia, à qualidade de suas políticas e procedimentos e, principalmente, à qualidade e postura de sua alta administraçªo.

Atualmente, os riscos relacionados com a tecnologia da informaçªo, para alguns setores específicos da economia ( ebusiness ), como tambØm os relacionados ao meio ambiente (protocolo de Kioto), podem tornar-se totalmente vinculados à estratØgia do negócio.

5 PricewaterhouseCoopers

A importância da gestªo de riscos nos processos de auditoria

(Parte 1 de 4)

Comentários