ABR - Auditoria Baseada em Risco

01/03/2020

A avaliação de riscos em auditoria identifica, mede e prioriza os riscos para possibilitar a focalização nas áreas auditáveis mais significativas. Em cada ação de auditoria, a avaliação dos riscos é utilizada para identificar as áreas mais importantes dentro da organização. 

A avaliação de riscos permite ao auditor delinear um programa de auditoria capaz de testar os controles mais importantes, ou testar os controles com maior profundidade ou mais minuciosamente.

A Auditoria Baseada em Riscos (ABR) estende e melhora o modelo de avaliação dos riscos, alterando a perspectiva da auditoria interna. Em vez de olhar para os processos do negócio como algo que está dentro de um sistema de controle, o auditor os analisa numa envolvente de risco. É o paradigma de "olhar para a frente": uma auditoria centrada nos riscos acrescenta mais valor a uma organização do que uma auditoria centrada apenas nos controles.

UM PARADIGMA DIFERENTE

Algumas pessoas têm criticado a auditoria interna (e externa) por ser excessivamente centrada no passado. "Conduzir o carro olhando pelo espelho retrovisor", uma das metáforas mais freqüentes, caracteriza o auditor como alguém que dá recomendações com base em análises do registro histórico das operações do sistema de controles internos.

Para agregar mais valor à organização, os auditores internos devem passar da focalização no passado para a focalização no futuro. Se o auditor centrar a sua atenção sobre os riscos, a auditoria fica mais orientada para cobrir toda a amplitude dos aspectos que interessam à gestão.

Na ABR, o auditor em vez de identificar e testar os controles, revisará os riscos e testará as vias pelas quais a gestão reduz esses riscos. A maioria das técnicas para tratar os riscos continuará a envolver os controles; mas o auditor irá testar "quão corretamente os riscos estão sendo gerenciados?", preferencialmente a "os controles sobre esses riscos são adequados e eficazes?".

A ABR E O NOVO PARADIGMA

Utilizar um novo paradigma com a Auditoria Baseada em Riscos significa ampliar a perspectiva de todas as auditorias internas (financeiras, da qualidade, ambiental, da segurança da informação, da segurança e saúde no trabalho, etc.), para abarcar todas as etapas da Gestão de Riscos, incluindo as atividades de controle. Essa prática dá também ao auditor a oportunidade de verificar se os processos do negócio estão sujeitos a controles excessivos, proporcionando a ele a rara oportunidade de recomendar a existência de menos controles, se forem identificados métodos obsoletos e ineficazes.

De acordo com o Statement of Responsabilities of Internal Auditing, do IIA, o propósito da auditoria interna consiste em examinar e avaliar as atividades da organização e fornecer análises, avaliações, recomendações, conselhos e informação sobre as atividades analisadas. Em cada ação de auditoria, há um objetivo relacionado com o fornecimento dos resultados do exame e avaliação das atividades.

Cada ação de auditoria é delineada para alcançar o objetivo da auditoria, através de um ou mais testes, que proporcionam a evidência utilizada pelo auditor para formular uma conclusão e formar opinião. O conjunto das conclusões e opiniões é o resultado da ação da auditoria. Existe uma progressão lógica, desde a missão da organização até a execução da auditoria. Durante o estágio de planejamento da auditoria, o auditor deve assegurar-se de que:

  • Existe uma ligação positiva entre o objetivo da auditoria, os objetivos da unidade a ser auditada e a missão da organização.
  • O programa de auditoria, tomado como um todo, produzirá as evidências necessárias para atingir o objetivo da auditoria.
  • Cada teste proporcionará a evidência requerida no programa de auditoria.

O objetivo da auditoria deve estar relacionado com os riscos enfrentados pela unidade a ser auditada, no seu esforço para atingir os objetivos que estabeleceu. Os testes de auditoria dão apoio ao objetivo da auditoria.

Na versão ABR da auditoria, o auditor considera os mesmos riscos na consecução dos objetivos estabelecidos pela unidade a ser auditada e identifica aquilo que as pessoas estão fazendo, se alguma coisa estiverem fazendo, para reduzir os riscos. A auditoria consiste nos testes das atividades de tratamento - incluindo, mas não se limitando aos controles internos - para determinar a sua adequação e eficácia.

COMPARAÇÃO ENTRE O VELHO E O NOVO

No novo paradigma, as várias partes do processo de auditoria estão ligadas às metas e aos objetivos através dos riscos na consecução desses objetivos, e das estratégias que a gestão adotou para tratar esses riscos. O velho paradigma tenta chegar à mesma conclusão através da análise do modo como o sistema é controlado, o que constitui apenas uma das maneiras de tratar os riscos. A ABR contribui para o esforço da gestão no sentido de manter os processos do negócio leves e eficientes ao longo do tempo, evitando o efeito de acumulação da auditoria tradicional centrada nos controles. 

Em outras palavras, a ABR começa e acaba com a consideração dos riscos do negócio. Os controles internos são uma parte importante do tratamento de riscos, mas não são a solução completa. Os auditores tenderão a notar e recomendar o nível apropriado de controle e de outros meios para reduzir os riscos, mesmo que isso signifique indicar que alguns controles já não estão apropriadamente em equilíbrio com os seus riscos.