Nesse momento que deve haver o comprometimento da alta administração corporativa em criar uma sinergia entre a gestão de riscos e auditoria interna para assegurar à correta avaliação e monitoramento dos riscos de forma eficiente para se atingir os objetivos estratégicos.

A auditoria interna mantém o foco na avaliação da efetividade dos controles estabelecidos, na conformidade dos objetivos estratégicos e atua fortemente no monitoramento dos riscos associados. A avaliação de riscos é uma atividade continua, ou seja, todos os gestores, colaboradores, incluindo as áreas operacionais, devem estar preocupados com a gestão de riscos nos negócios. Para isso, deve existir uma estrutura organizacional responsável em avaliar e assessorar a alta administração nessa gestão.

Essa estrutura deve estar voltada para o exame e avaliação de adequação, eficiência e eficácia dos sistemas de controles, bem como da qualidade do desempenho das áreas em relação às atribuições, os planos, as metas, os objetivos e as políticas definidas.

É fundamental que a empresa busque a estruturação de uma política de risk assessment de acordo com seu porte econômico, financeiro e estratégico.

Na prática, encontramos estruturas que se utilizam de uma área de auditoria interna como embrião de desenvolvimento dessa estrutura, uma vez que a auditoria interna tem como responsabilidade à revisão da metodologia e do processo de monitoração utilizado pela empresa para quantificar o grau de exposição a riscos e definir requerimentos mínimos, internos ou regulamentares, de alocação de capital.

Diferentemente da área de gestão de riscos que geralmente representam um enfoque estruturado e disciplinado que alinha estratégia, processos, pessoal, tecnologia e conhecimentos, objetivando avaliar e gerenciar as incertezas naturais enfrentadas pelas organizações como forma de criação de valor.

O modelo ideal de estruturação é aquele que identificamos à integração das estruturas e através de documentos normativos a finalidade de cada uma delas, considerando seus conceitos, limites de responsabilidades e formas de atuação. Destacamos ainda, que apesar da segregação dos limites operacionais entre as áreas ser fundamental para a sinergia adequada na construção da estrutura de risk assessment, é fundamental que toda avaliação de riscos passe primeiramente pelo mapeamento dos processos de negócios.

Essa é a primeira etapa da estruturação de uma política de trabalho e é importante para formação de opinião sobre a abrangência do processo. Deve-se ter a preocupação com todos os detalhes operacionais e de sistemas que possam contribuir. Nesta fase é realizado um levantamento detalhado dos procedimentos manuais e mecanizados, atentando para os principais procedimentos, os principais documentos gerados, os documentos de entrada no sistema (input), os relatórios de saída (output) e os arquivos (manuais e mecanizados).

Conforme o nível de conhecimento do auditor sobre a empresa, suas áreas, atividades e sistemas, bem como o tamanho do escopo, terá ele necessidade de proceder a um, dois ou mais levantamentos de dados. O importante e saber qual a finalidade de cada um e a correta documentação do trabalho. Destaca-se que este levantamento deve ocorrer por meio de entrevistas, junto aos analistas/usuários, pesquisa a documentação dos sistemas, instrumentos normativos e mapeamento (se houver) de forma a permitir um prévio conhecimento do processo.

Este passo ira auxiliar na identificação e conhecimento das rotinas, levando-o a perceber se algum procedimento foi esquecido, pois é necessário que o processo esteja bem representado e compreendido para que se possa identificar os objetivos de controle e determinar se os controles são adequados.

Outro fator necessário na avaliação do risco é o estabelecimento de critérios para confecção de documentação suporte dos testes de avaliação dos controles dos processos.

Autor: Douglas B Rodrigues
Contato: dbrodrigue@ig.com.br