É muito comum essas áreas serem separadas completamente, tendo equipes distintas, com tarefas subsequentes, ou seja, quando a Auditoria é subsidiada pelas informações da Gestão de Riscos e monta o seu plano de trabalho; um pouco menos comum serem separadas e as áreas não terem nenhum tipo de interação em seus trabalhos; e uma terceira e última forma de atuação, onde as áreas são unificadas e as vezes até mesmo possuem o mesmo gestor responsável pelas atividades.

 

Talvez a melhor governança diria que o modelo mais adequado de trabalho seja com as áreas separadas e se apoiando, com a área de Riscos alimentando os trabalhos de Auditoria, entretanto, é possível afirmar um padrão de trabalho mais efetivo depende mais dos colaboradores envolvidos, do que da sistemática adotada.

 

Segundo o Tribunal de Contas da União, divulgado em maio/2017, os temas se envolvem exatamente em etapas subsequentes, pois a “Gestão de Riscos é o instrumento estratégico capaz de informar quais elementos devem ser auditados, fazendo com que o roteiro da Auditoria Pública possa ser criado” (Ministro Raimundo Carreiro – Presidente do TCU).

 

Induzir o aperfeiçoamento da gestão de riscos e controles internos, conhecer o nível de maturidade e identificar os aspectos da gestão de riscos, que necessitam ser aperfeiçoados nas organizações, constitui um subsídio relevante para aprimorar o trabalho seguinte de auditoria interna tanto nas organizações públicas ou privadas.

 

Veja alguns itens fundamentais para levantamento, avaliação e tratamento dos riscos:

 

  1. a) Evento – um incidente ou uma ocorrência de fontes internas ou externas à organização, que podem impactar a realização de objetivos de modo negativo, positivo ou ambos.
  2. b) Risco – possibilidade de ocorrência de um evento que afete adversamente a realização de objetivos.
  3. c) Oportunidade – possibilidade de ocorrência de um evento que afete positivamente a realização de objetivos.
  4. d) Risco inerente – nível de risco antes da consideração de qualquer ação de mitigação.
  5. e) Risco residual – nível de risco depois da consideração das ações adotadas pela gestão (por exemplo, controles internos) para reduzir o risco inerente.
  6. f) Apetite a risco – expressão ampla de quanto risco uma organização está disposta a enfrentar para implementar sua estratégia, atingir seus objetivos e agregar valor para as partes interessadas, no cumprimento de sua missão.
  7. g) Tolerância a risco – nível de variação aceitável no desempenho em relação à meta para o cumprimento de um objetivo específico, em nível tático ou operacional.

esse importante componente da governança na administração pública.

 

Sendo assim, o risco é inerente a todas as atividades humanas, em todos os campos, o risco está presente em praticamente todas as atividades de trabalho que envolvem recursos humanos e materiais. Uma das maiores dificuldades é definir, ou descobrir através de diferentes formas o seu nível de aceitação, ou seja, seu apetite. Essa aceitação pode mudar também de acordo com o cenário e momento vivido.

 

Seja com o subsídio das informações da Gestão de Riscos, ou não, a importância que a Auditoria Interna tem em suas atividades de trabalho serve para a administração como meio de identificação de cumprimento de todos os procedimentos internos e políticas definidas pela companhia, os sistemas contábeis e de controles internos estão sendo efetivamente seguidos, e as transações realizadas de forma correta, a fim de garantir as mitigações necessárias.

 

Falando especificamente da Auditoria Interna, podemos dizer que é um conjunto de procedimentos que tem por objetivo examinar e adequar a eficácia dos Controles, revisar as operações das empresas a fim de verificar se ela segue as normas.

 

Podemos elencar elementos importantes da Auditoria:

 

  1. a) Planejamento – Pode ser anual, bianual, semestral, ou ter qualquer outro tempo determinado. O importante é que ele sirva para fechar um ciclo de trabalhos previstos.
  2. b) Criação dos Programas de Trabalho – Normalmente é feito com base nas informações de riscos, que trazem os dados que precisam ser auditados. Com base nele, normalmente se monta o check-list da auditoria. Ele é importante para verificar a conformidade dos testes criados.
  3. c) Execução – É a aplicação dos testes em si, que pode ser feita presencialmente (em campo), ou remotamente, acessando dados via sistema. O mais importante é que esta etapa é aquela onde se colhem as evidências e se documenta toda a situação encontrada, fazendo a formalização.
  4. d) Apontamentos – Essa é a etapa onde se destaca os não atendimentos, omissões, erros e falhas, deficiências, ineficácias, vulnerabilidades e oportunidades de melhoria. Dela são demandadas as etapas seguintes de Recomendação e Plano de Ação.
  5. e) Recomendações / Planos de Ação – a Recomendação é comunicação por escrito dos apontamentos. É comum encontrar nas empresas apontamentos com dois níveis de classificação: 1) Assuntos Relevantes; 2) Recomendações de Melhoria. As notas explicativas, associado ao conjunto de evidências colhidas, normalmente fundamentam a Recomendação. Já o Plano de Ação é a medida de cunho corretivo, ou preventivo para remediação de cada caso, que será definida de forma organizada e planejada de como serão efetuadas as ações, assim como por quem, quando, onde, como e quanto irá custar, caso utilize uma estrutura de 5W2H.
  6. f) Follow-up – É o processo de acompanhamento / monitoramento das recomendações e planos de ação. Tem por objetivo garantir a execução da ação recomentada e planejada, bem como garantir o cumprimento dos prazos e colher possíveis alterações necessárias, sempre previamente aceitadas entre Auditor e Auditado.
  7. g) Relatório – Costuma-se dizer que o Relatório de Auditoria é o produto final do trabalho realizado. Normalmente, restam pontos a serem sanados, entretanto, o Relatório não é mais modificado. Ele contém a formalização de todos os pontos relevantes, descrição dos níveis de criticidade das constatações, as recomendações, planos de ação, bem como a conclusão dos trabalhos em forma de redação, escrita pelo auditor escalado para o trabalho. O relatório é importante, porque ele é a comunicação formal para a administração da empresa. Ele deve ser em linguagem precisa, concisa (breve) e cooperativa (indicando possíveis soluções), além de compreender possíveis detalhamentos que facilitem à administração a tomada de medidas necessárias à correção das irregularidades encontradas.

 

Para concluir, vale ressaltar que independente das ações serem conjuntas, ou totalmente separadas, sempre haverá uma forma das áreas de Auditoria e Gestão de Riscos poderem se apoiar durante o transcorrer dos seus processos. Tanto na Auditoria identificando situações que tenham muito mais característica de vulnerabilidade (portanto risco), para fazer o devido direcionamento de avaliação e mitigação, como a área de gestão de riscos pode alimentar a auditoria com o máximo de informações possíveis, a fim de facilitar as verificações que serão feitas pelo time de auditores.

 

É claro que o uso de uma tecnologia pode facilitar e muito este fluxo de comunicação e ajuda, com workflows e outros elementos de aprovação que podem ser usados e mesclados entre as áreas, mas mesmo a ausência de uma tecnologia, não é motivo para criar uma barreira ou distância entre esses dois elementos tão importantes para a Governança, que são Gestão de Riscos e Auditoria.