LCFis & LCFin 3º Ano Auditoria Interna

INSTITUTO SUPERIOR DE CONTABILIDADE

E AUDITORIA DE MOÇAMBIQUE

AUDITORIA INTERNA BASEADA NO RISCO

O Processo de Gestão do Risco

A gestão de risco pode ser definida como o processo sistemático de identificação, análise,
avaliação e resposta aos riscos que uma organização enfrenta. Esses riscos podem surgir de
uma variedade de fontes, incluindo ambiente externo, processos internos, mudanças
regulatórias, incertezas do mercado, entre outros. O objetivo da gestão de risco é garantir
que uma organização esteja preparada para lidar com eventos adversos e que possa
aproveitar oportunidades de forma proativa, minimizando os impactos negativos e
maximizando os benefícios.

Compreensão dos Objetivos e Identificação de Riscos

O processo de identificação de riscos é fundamental para garantir que uma organização
possa antecipar e responder de forma eficaz aos eventos que possam afetar o alcance dos
seus objetivos estratégicos. Este processo envolve várias etapas interligadas, que incluem:

1. Estratégia:
Antes de iniciar a identificação de riscos, é crucial compreender a estratégia da organização.
A estratégia define a direção geral da empresa, incluindo os objetivos a longo prazo e as
iniciativas planeadas para alcançá-los. Ao compreender a estratégia, torna-se mais fácil
identificar os riscos que podem impedir ou comprometer a sua realização.

2. Objetivos:
Os objetivos são os resultados específicos que a organização pretende alcançar para
concretizar a sua estratégia. Durante esta etapa, é importante identificar e clarificar os
objetivos principais e secundários em todas as áreas da organização. A definição clara dos
objetivos permite uma identificação mais precisa dos riscos que podem afetar a sua
consecução.

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

3. Riscos:
Com base na compreensão da estratégia e dos objetivos, procede-se à identificação dos
potenciais riscos que podem surgir durante a realização das atividades da organização. Os
riscos podem ser internos ou externos e podem abranger diversas áreas, como financeira,
operacional, estratégica, conformidade, entre outras. Durante esta etapa, é importante
envolver diferentes partes interessadas e utilizar técnicas adequadas, como brainstorming,
entrevistas e análise documental, para identificar o máximo possível de riscos relevantes.

4. Controlos:
Após a identificação dos riscos, é necessário avaliar os controlos existentes para mitigar ou
gerir esses riscos. Os controlos podem incluir políticas, procedimentos, sistemas de
informação, seguros, entre outros. Durante esta etapa, é importante analisar a eficácia dos
controlos existentes e identificar eventuais lacunas ou áreas de melhoria. Também é
fundamental desenvolver novos controlos, se necessário, para lidar com riscos específicos
que não estão adequadamente geridos.

Descrição e comunicação de riscos

Os riscos devem ser agrupados em categorias adequadas à estrutura da organização. Isso
pode ser feito considerando tanto a origem dos riscos quanto os objetivos aos quais estão
relacionados. Ao categorizar os riscos, a organização pode ter uma visão mais clara das áreas
que representam maiores ameaças ou oportunidades para seus objetivos estratégicos.

Agrupamento dos Riscos:

Origem dos Riscos: Os riscos podem surgir de diversas fontes, como internamente devido
a falhas nos processos ou externamente devido a mudanças no ambiente econômico ou
regulatório. Agrupar os riscos de acordo com sua origem ajuda a identificar áreas específicas
que requerem atenção.

Objetivo dos Riscos: Os riscos também podem ser agrupados de acordo com os objetivos
organizacionais aos quais estão relacionados. Isso ajuda a direcionar esforços de gestão de
riscos para proteger ou maximizar resultados em áreas-chave da organização.

Especificação e Detalhamento dos Riscos: No nível dos processos, os riscos devem ser
especificados e detalhados para permitir uma resposta mais precisa e eficaz. Isso envolve
identificar os eventos específicos que podem representar um risco para o alcance dos
objetivos e descrever suas causas, consequências e possíveis controles ou medidas de
mitigação.

Comunicação dos Riscos: A listagem das categorias de riscos, bem como sua
decomposição e descrições correspondentes, deve ser comunicada a todos os intervenientes

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

no processo de gestão de riscos. Isso inclui não apenas os responsáveis pela gestão de
riscos, mas também os gestores de linha, funcionários e outras partes interessadas
relevantes.

Linguagem Comum de Riscos: É aconselhável estabelecer uma linguagem comum de

riscos em toda a organização. Isso pode ser feito por meio de um dicionário de riscos que
descreva as diversas categorias de riscos existentes, seus significados e exemplos
específicos. Isso promove uma compreensão consistente dos riscos em toda a organização
e facilita a comunicação e colaboração na gestão de riscos.

Modelo para Classificação dos Riscos em Linguagem Adaptada às Características do

Negócio
I. Origem dos Riscos: Os riscos podem ser agrupados de acordo com sua origem, o
que ajuda a identificar suas fontes e possíveis impactos sobre a empresa. As duas
principais categorias são:

Riscos Externos: São aqueles que provêm de fatores externos à organização, como
condições econômicas, políticas, regulatórias, tecnológicas e ambientais. Exemplos incluem
mudanças na legislação, crises econômicas, concorrência intensificada e desastres naturais.

Riscos Internos: Refletem ameaças que surgem dentro da própria empresa, relacionadas
principalmente a processos, pessoas e sistemas. Podem incluir fraudes, erros operacionais,
falhas de compliance, problemas de gestão de recursos humanos e deficiências nos sistemas
de informação.

II. Objetivo Relacionado aos Riscos:

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

Além da origem, os riscos podem ser classificados de acordo com o objetivo ao qual estão
associados dentro da organização. Esta abordagem permite uma compreensão mais precisa
dos impactos potenciais sobre diferentes aspectos do negócio. As principais categorias de
riscos relacionados aos objetivos são:

Riscos Relato: Estão relacionados à capacidade da empresa de relatar informações

financeiras de forma precisa e transparente. Podem incluir erros contabilísticos, fraudes
financeiras, falhas na divulgação de informações e inconsistências nos relatórios financeiros.

Riscos Operacionais: Refletem ameaças ao funcionamento eficiente e eficaz das operações

da empresa. Podem envolver falhas de processos, problemas de qualidade, interrupções na
cadeia de suprimentos, acidentes de trabalho e problemas de segurança da informação.

Riscos Legais/Conformidade: Relacionam-se com a conformidade da empresa às leis,

regulamentos e normas aplicáveis ao seu setor de atuação. Podem incluir multas por não
conformidade, litígios judiciais, violações de privacidade de dados e questões trabalhistas.

Riscos Estratégicos: Referem-se às ameaças que podem afetar a capacidade da empresa

de atingir seus objetivos estratégicos de longo prazo. Incluem mudanças no mercado,
evolução tecnológica, falhas na execução da estratégia, competição disruptiva e perda de
reputação.

Modelos de Gestão de Risco

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

A Gestão de Risco evoluiu ao longo do tempo, passando por diferentes abordagens que
refletem mudanças nas práticas empresariais e nas expectativas regulatórias. Podemos
distinguir entre abordagens tradicionais e modernas de gestão de risco:

Abordagens Tradicionais: As abordagens tradicionais de gestão de risco muitas vezes eram

fragmentadas e focadas em áreas específicas da organização. Elas tendiam a lidar com
riscos de forma reativa, respondendo a problemas conforme surgiam. Algumas características
das abordagens tradicionais incluem:

✓ Departamentalização: Os departamentos individuais da organização podem

gerenciar seus próprios riscos de forma isolada, sem considerar o impacto nas
operações globais da empresa.
✓ Foco na Segurança Financeira: As abordagens tradicionais frequentemente
priorizavam a segurança financeira, deixando de lado outras áreas de risco, como
operações, reputação e conformidade.
✓ Ausência de Coordenação: A falta de uma coordenação centralizada pode resultar
em redundâncias, lacunas na cobertura de riscos e dificuldades na comunicação entre
as partes interessadas.

Abordagens Modernas: As abordagens modernas de gestão de risco são mais integradas,

holísticas e proativas. Elas reconhecem a complexidade dos ambientes operacionais e
procuram antecipar e mitigar riscos antes que se tornem problemas significativos. Algumas
características das abordagens modernas incluem:

Integração Organizacional: As abordagens modernas promovem a integração de diferentes

partes da organização, garantindo uma visão unificada dos riscos e uma resposta
coordenada.

Enfoque na Prevenção: Em vez de simplesmente reagir a eventos adversos, as abordagens

modernas buscam identificar e mitigar riscos antes que eles se materializem, minimizando
assim os impactos negativos.

Gestão de Riscos Empresariais (ERM): O ERM é uma abordagem abrangente que

considera todos os tipos de riscos que uma organização enfrenta em seus processos de
tomada de decisão.

Exemplos de Modelos de Gestão de Risco:

COSO ERM (Committee of Sponsoring Organizations of the Treadway Commission
Enterprise Risk Management): Desenvolvido pelo COSO, o ERM é um modelo amplamente
reconhecido para gerenciamento integrado de riscos em organizações. Ele enfatiza a
importância de alinhar a gestão de riscos com os objetivos estratégicos da organização,

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

avaliando riscos em toda a empresa e integrando práticas de gestão de riscos em todos os

níveis.

ISO 31000 (International Organization for Standardization - Risk Management): A ISO

31000 é uma norma internacional que fornece diretrizes e princípios para a implementação
de um sistema de gestão de riscos eficaz. Ela destaca a importância da liderança,
comprometimento organizacional e comunicação eficaz na gestão de riscos. A ISO 31000
oferece uma estrutura flexível que pode ser adaptada às necessidades específicas de
diferentes organizações.

Análise dos Riscos do Negócio

A análise dos riscos do negócio é uma etapa crucial na gestão de risco, pois permite identificar
e avaliar os potenciais eventos que podem afetar negativamente os objetivos organizacionais.
Esta análise envolve a avaliação da probabilidade de ocorrência e do impacto de cada risco
identificado.

Avaliação da Probabilidade e do Impacto dos Riscos

A probabilidade de ocorrência de um risco refere-se à chance de que o evento adverso
realmente aconteça. Esta avaliação pode ser feita utilizando diferentes abordagens, como a
análise histórica de eventos similares, o julgamento de especialistas ou o uso de modelos
estatísticos. É importante determinar se um evento é altamente provável, provável, possível,
improvável ou altamente improvável.

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

Por outro lado, o impacto de um risco refere-se à magnitude das consequências caso o evento
adverso ocorra. Os impactos podem ser financeiros, operacionais, estratégicos,
reputacionais, entre outros. A avaliação do impacto pode variar de acordo com a natureza do
risco e a capacidade da organização de lidar com suas consequências.

Priorização de Riscos: Matriz de Risco

Após avaliar a probabilidade e o impacto de cada risco, é importante priorizá-los para focar
os recursos de gestão de risco nas áreas mais críticas. Uma ferramenta comumente utilizada
para essa priorização é a matriz de risco, que geralmente tem dois eixos: probabilidade e
impacto.

Na matriz de risco, os riscos são plotados de acordo com sua probabilidade e impacto,
resultando em diferentes níveis de criticidade. Por exemplo, riscos com alta probabilidade e
alto impacto são considerados de alta prioridade e requerem a implementação de medidas
de mitigação imediatas. Por outro lado, riscos com baixa probabilidade e baixo impacto
podem ser monitorados periodicamente, mas podem não exigir ações imediatas.

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

Através da matriz de risco, a organização pode visualizar de forma clara e objetiva quais são
os riscos mais significativos e tomar decisões informadas sobre como geri-los de forma eficaz.

Balanceamento custo/benefício
✓ Aceitar = monitorizar
✓ Evitar = eliminar
✓ Partilhar = dividir com alguém
✓ Reduzir = instituir controlos

Identificação, avaliação, resposta e monitorização do risco

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

Avaliação da Qualidade da Auditoria

A avaliação da qualidade da auditoria é um processo sistemático e abrangente que visa

determinar a eficácia, eficiência e relevância dos procedimentos de auditoria em relação aos
objetivos estabelecidos. Essa avaliação não se limita apenas à conformidade com os padrões
profissionais, mas também considera a adequação das técnicas utilizadas, a precisão das
conclusões alcançadas e o valor agregado fornecido aos stakeholders da organização.

1300 – Programa de Garantia da Qualidade e Aperfeiçoamento (PGQA)

é uma estrutura organizacional e processual que visa garantir que a auditoria interna de uma
organização opere com eficácia, eficiência e em conformidade com os padrões profissionais
estabelecidos. Este programa é fundamental para assegurar a qualidade dos processos de auditoria e
promover a melhoria contínua das práticas e procedimentos adotados pela equipe de auditoria
interna.

O responsável pela auditoria tem que desenvolver e manter um programa de garantia de qualidade e
aperfeiçoamento que cubra todos os aspetos da atividade de AI. Visa avaliar a qualidade dos seus
procedimentos de acordo com os standards da profissão.

Objetivo Interpretação
Este objetivo visa garantir que a atividade de Auditoria
Interna (AI) esteja alinhada com a Definição de
Auditoria Interna e as Normas profissionais
Permitir uma avaliação da conformidade da atividade
estabelecidas pela profissão. Isso inclui assegurar que
de AI com a Definição de Auditoria Interna e as
os procedimentos adotados pela equipe de auditoria
Normas e uma avaliação do cumprimento do Código
estejam em conformidade com os padrões e diretrizes
de Ética por parte dos auditores internos.
definidos, bem como verificar se os auditores internos
cumprem o Código de Ética ao conduzir suas
atividades.
Este objetivo tem como propósito avaliar se a atividade
de Auditoria Interna está sendo realizada de maneira
eficiente e eficaz, ou seja, se está alcançando os
resultados desejados de forma oportuna e com os
Avaliar a eficiência e a eficácia da atividade de AI e
recursos disponíveis. Além disso, busca-se identificar
identificar as oportunidades de melhoria.
oportunidades de melhoria nos processos,
procedimentos e práticas da AI, visando aprimorar seu
desempenho e contribuir para a maximização de valor
para a organização.

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

1310 – Requisitos do Programa de Avaliação da Garantia de Qualidade e Aperfeiçoamento

O programa de avaliação da qualidade e aperfeiçoamento tem que incluir avaliações internas e

externas.

Avaliações Internas: As avaliações internas são aquelas conduzidas dentro da própria organização,
geralmente pela equipe de auditoria interna ou por outras partes designadas pela alta administração.
Essas avaliações têm como objetivo principal analisar e avaliar os processos, procedimentos e práticas
da auditoria interna em relação aos padrões estabelecidos, normas profissionais e melhores práticas

REQUISITO 1310 REFERE-SE À NECESSIDADE DE UM PROGRAMA DE AVALIAÇÃO DA GARANTIA DE

QUALIDADE E APERFEIÇOAMENTO (PGAQA) INCLUIR AVALIAÇÕES INTERNAS E EXTERNAS, TANTO
CONTÍNUAS QUANTO PERIÓDICAS.

Avaliações Contínuas: Essas avaliações são realizadas de forma regular e contínua ao longo do tempo,
como parte integrante das atividades rotineiras da Auditoria Interna (AI). Elas envolvem a revisão e
monitoramento constante dos processos, procedimentos e práticas da AI para identificar áreas de
melhoria e garantir a conformidade com os padrões profissionais e as melhores práticas da área.

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

Avaliações Periódicas: Além das avaliações contínuas, é importante realizar avaliações periódicas mais
abrangentes em intervalos regulares de tempo. Essas avaliações podem ser realizadas anualmente ou
em outros intervalos definidos, e têm como objetivo fornecer uma visão mais ampla e aprofundada
da eficácia e eficiência das atividades de AI, bem como identificar tendências e áreas de melhoria a
longo prazo.

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

Avaliações Externas: As avaliações externas são conduzidas por partes externas à organização, como
auditores independentes ou entidades de certificação de qualidade. Essas avaliações visam fornecer
uma perspectiva independente e imparcial sobre a eficácia e qualidade das atividades de auditoria
interna. As avaliações externas têm que ser feitas pelo menos uma vez em cada cinco anos por um
revisor qualificado e independente, ou equipa de revisores, do exterior da organização.

Ísvera Pereira Luís, Msc.

LCFis & LCFin 3º Ano Auditoria Interna

Ações a desenvolver na implementação do QAIP

Atribuições da função de Auditoria Interna
O Conselho de Administração estabelece a Missão, Autoridade e
Responsabilidades da Auditoria Interna
Estrutura Documental
Carta de Auditoria Formaliza o mandato conferido pelo Conselho de
Administração à função de Auditoria Interna, incluindo a sua missão,
autoridade e a responsabilidade.
Código de Ética Adoção / transposição do Código de Ética do IIA - Fixa os
princípios e as normas de conduta a que os auditores internos estão sujeitos
no exercício da sua atividade
Manual de Auditoria Interna Enuncia as políticas, procedimentos e
metodologias a adotar no desenvolvimento das atividades de Auditoria interna

Ísvera Pereira Luís, Msc.