Auditoria baseada em riscos, segundo o IIA

A introdução do gerenciamento de riscos na administração federal em 2016 ergueu um novo desafio às auditorias internas: como impulsionar o gerenciamento de riscos dos institutos federais?

Em 2015, o portal do IIA (Institute of Internal Auditors) reuniu uma série de postagens na forma de um boletim sobre auditoria baseada em riscos.

Muitas das propostas do boletim iluminam um caminho para as Uadins (Unidades de Auditoria Interna) contribuírem com clareza e valor ao gerenciamento de riscos dos institutos federais.

Você pode consultar o boletim de auditoria baseada em riscos do IIA e seus apêndices em inglês: clique aqui.

Mas, para poupar o seu tempo e contribuir para o debate do tema, fiz nesta postagem o trabalho de adaptar as propostas do IIA aos institutos federais em geral.

Para saber mais sobre a introdução do gerenciamento de riscos nos institutos federais, clique aqui.

O que é auditoria baseada em riscos?

Antes de tudo, é indispensável deixar claro que auditoria baseada em riscos não é uma forma de selecionar auditorias a realizar; auditoria baseada em riscos é uma forma de execução de auditorais.

(Se quiser conhecer um jeito simples de selecionar auditorias com base nos riscos dos processos organizacionais, clique aqui.)

O IIA fez este esclarecimento em diversos trechos de seu boletim:

“A auditoria baseada em riscos permite que a Unidade de Auditoria Interna assegure ao conselho administrativo que os procedimentos de gerenciamento de riscos estão gerindo os riscos efetivamente com relação ao apetite de riscos.”

“Auditoria baseada de riscos não é sobre auditar os riscos, mas sobre auditar a gestão dos riscos.”

“RBIA is not about auditing risks but about auditing the management of risk.” “RBIA allows internal audit to provide assurance to the board that risk management processes are managing risks effectively, in relation to the risk appetite.”

(Observação: Logo após as traduções, você encontrará os trechos originais em inglês, marcados com itálico. RBIA é a sigla de Risk Based Internal Audit. Internal audit refere-se ao departamento de auditoria interna. Para facilitar a leitura, traduzo RBIA como auditoria baseada em riscos e “internal audit” como Unidade de Auditoria Interna.)

O IIA, de forma coerente com estas definições, listou os resultados esperados da execução de uma auditoria baseada em riscos:

“Por meio da execução de uma auditoria baseada em riscos, a Unidade de Auditoria Interna deve ser capaz de concluir que:

1. Os gerentes identificaram, avaliaram e responderam aos riscos tanto superiores quanto inferiores ao apetite de riscos

2. As respostas aos riscos foram efetivas mas não excessivas na forma de administrar riscos inerentes que estavam dentro do apetite de riscos

3. Riscos residuais desalinhados com o apetite de riscos foram adequadamente tratados

4. Os processos de gerenciamento de riscos, assim como a efetividade das respostas e a completude das ações, são monitoradas pelos gerentes de modo a garantir um funcionamento efetivo

4. Riscos, respostas e ações são adequadamente classificados e relatados”

“By following RBIA internal audit should be able to conclude that: 1. Management has identified, assessed and responded to risks above and below the risk appetite 2. The responses to risks are effective but not excessive in managing inherent risks within the risk appetite 3. Where residual risks are not in line with the risk appetite, action is being taken to remedy that 4. Risk management processes, including the effectiveness of responses and the completion of actions, are being monitored by management to ensure they continue to operate effectively 5. Risks, responses and actions are being properly classified and reported”

Mantendo a coerência, o IIA conclui:

“A auditoria baseada em riscos oferece uma contribuição clara e valiosa ao aperfeiçoamento da estrutura de gerenciamento de riscos quando fornece uma avaliação dela e quando facilita os esforços dos gerentes para aperfeiçoar a estrutura.”

“The RBIA methodology makes a clear and valuable contribution to the risk management framework by providing objective assurance and by facilitating management’s efforts to improve the framework.”

Assim, a proposta de auditoria baseada em riscos do IIA não serve para hierarquizar os macroprocessos do instituto federal segundo a gravidade decrescente de seus riscos e assim fundamentar a conversão de alguns dos macroprocessos em temas de auditoria.

Em outras palavras: é inapropriado usar a auditoria baseada em riscos do IIA para cumprir o art. 4º da Instrução Normativa CGU nº 24/2015, que orienta a elaboração do plano anual de auditoria interna e que você pode conhecer melhor se clicar aqui.

A auditoria baseada em riscos do IIA não tem nada a ver com isto.

A auditoria baseada em riscos é aquela que toma por parâmetro de auditoria as regras de gerenciamento de riscos do instituto federal. Consequentemente, não há como executar uma auditoria baseada em riscos em um instituto federal que não tenha instituído uma estrutura de gerenciamento de risco.

Em uma situação caracterizada por este déficit (aliás, provavelmente generalizado entre os institutos federais), a Uadin conseguirá realizar somente um diagnóstico da maturidade e prestar alguma assessoria para que a alta administração decida-se a projetar e implementar uma estrutura de gestão de riscos.

Este posicionamento reflete, para os institutos federais, o seguinte posicionamento do IIA:

“Se a estrutura de gerenciamento de riscos for muito fraca ou sequer existir, a organização não estará pronta para a auditoria baseada em riscos. Mais importante: esta situação indica que os controles internos da organização são de baixa qualidade. A Unidade de Auditoria Interna, em uma organização nesta situação, deveria promover as boas práticas de gestão de riscos como uma maneira de aperfeiçoar o sistema de controles internos.”

“If the risk management framework is not very strong or does not exist, the organisation is not ready for RBIA. More importantly, it means that the organisation’s system of internal control is poor. Internal auditors in such an organisation should promote good risk management practice to improve the system of internal control.”

Uma avaliação do gerenciamento de riscos

O IIA acredita que a execução de auditorias baseadas em riscos pode trazer vantagens às organizações, embora lhes traga também desafios.

Pensando nos institutos federais, as vantagens e os desafios apontados pelo IIA para organizações privadas internacionais continuam válidos.

Uma Uadin pode empregar auditorias baseadas em risco com o propósito de apresentar ao Conselho Superior uma avaliação da estrutura de gerenciamento de riscos instituída pelo instituto federal assim como da execução do gerenciamento de riscos em geral.

Qual parâmetro de auditoria usar em uma auditoria baseada em riscos?

A Uadin deve auditar a estrutura de gerenciamento de riscos do instituto federal contra os parâmetros que informarem esta estrutura.

Atualmente, a Instrução Normativa CGU/MPOG nº 01/2016 tem precedência sobre os parâmetros da estrutura de gerenciamento de riscos instituídos pelo próprio instituto federal.

Para conhecer melhor a Instrução Normativa CGU/MPOG nº 01/2016, clique aqui.

Assim, as possibilidades de parâmetros de auditoria são duas:

  • Auditar a estrutura de gerenciamento de riscos do instituto federal contra a IN CGU/MPOG nº 01/2016
  • Auditar a execução do gerenciamento de riscos contra a estrutura de gerenciamento de riscos do instituto federal

O problema do COSO

O COSO (Committee of Sponsoring Organizations of the Treadway Commission) atualiza frequentemente seu famoso referencial para estruturas de controles internos que consideram o gerenciamento dos riscos.

Uma Uadin não deveria usar o COSO como parâmetro de auditoria, exceto se o instituto federal houvesse formalmente aprovado a aderência a este parâmetro por parte de sua estrutura de gerenciamento de riscos.

Uma auditoria não deve ser realizada com lastro em critérios sobre os quais não houve um acordo prévio. (Veja, por exemplo, o décimo princípio da auditoria interna, segundo a ASQ: clique aqui.)

Não obstante, fico com a impressão de que nem o TCU (Tribunal de Contas da União), nem a CGU (Controladoria-Geral da União) nem todas as Uadins observam coerentemente a lógica deste princípio:

Ninguém pode ser cobrado por um compromisso que não assumiu.

O auditor faz exatamente isto quando realiza uma auditoria que avalia a adesão do instituto federal a um parâmetro (o COSO) com o qual este último não se comprometeu a aderir.

Esta observação não se aplica à Instrução Normativa CGU/MPOG nº 01/2016 devido à sua obrigatoriedade para a administração federal. Todavia, pode ser imprudente tomar a Instrução Normativa CGU/MPOG nº 01/2016 como parâmetro de auditoria da execução do gerenciamento de riscos porque a generalidade desta norma não viabiliza uma avaliação coerente.

Acredito que a Instrução Normativa CGU/MPOG nº 01/2016 possa ser usada em paralelo com o COSO, se o instituto federal tiver assumido o compromisso de usar este último. Em grande medida, a Instrução Normativa CGU/MPOG nº 01/2016 imita o COSO, o que previne incompatibilidades.

Implementação da auditoria baseada em riscos

A auditoria baseada em riscos tem quatro estágios de implementação:

  1. Diagnóstico da maturidade de riscos do instituto federal
  2. Previsão das auditorias baseadas em risco
  3. Execução das auditorias baseadas em risco
  4. Revisão

Diagnóstico da maturidade de riscos do instituto federal

A maturidade de riscos do instituto federal influencia amplamente o planejamento e o projeto das auditorias baseadas em riscos.

O diagnóstico tem como objetivo classificar a maturidade de riscos em uma das categorias abaixo:

  • ingênua
  • consciente
  • definida
  • gerenciada
  • habilitada

A maturidade de riscos determina largamento a viabilidade dos demais estágios de implementação.

Não há como executar os estágios dois e três (“Previsão das auditorias baseadas em risco” e “Execução das auditorias baseadas em risco”) diante de uma maturidade de riscos ingênua ou consciente.

Em um instituto federal, estas duas maturidades importam na Uadin produzir um relatório que informe ao Conselho Superior a respeito da ausência de uma estrutura de gerenciamento de riscos instituída, além de oferecer alguma consultoria para que a alta administração compreenda a amplitude de uma tal desconformidade.

Os demais níveis de maturidade permitem que a Uadin execute auditorias baseadas em risco.

Quanto mais maduro o nível de gerenciamento de riscos no instituto federal, mais segurança o Uadin terá para usar as políticas e as normas internas como parâmetros de auditoria baseada em riscos focadas na execução ou para avaliar estas políticas e normas com relação a parâmetros mais abrangentes, como a IN CGU/MPOG nº 01/2016.

Lembre-se: você pode conhecer melhor a IN CGU/MPOG nº 01/2016 se clicar aqui.

Existe a chance, ainda, da maturidade de riscos de um instituto federal apresentar-se como um mosaico das diversas categorias.

Se este for o caso, a Uadin deverá relatar a situação detalhadamente ao Conselho Superior e conceberá abordagens distintas para cada nível de maturidade verificado no instituto federal.

Previsão das auditorias baseadas em risco

Este estágio de implementação da auditoria baseada em risco não pode ser realizado se o instituto federal não tiver instituído uma estrutura de gerenciamento de riscos.

A previsão consiste em escolher quais auditorias baseadas em riscos realizar nos próximos 12 meses.

A escolha das auditorias é feita com base na maturidade de riscos, nos planos de risco vigentes no instituto federal e em seu sistema de registro de riscos.

Preste atenção: a estrutura de gerenciamento de riscos não determina quais os processos organizacionais que a Uadin deve auditar em razão de conterem mais ou menos riscos.

A estrutura de gerenciamento de riscos é um dos critérios – ao lado da maturidade de riscos, dos planos de riscos, do sistema de registro de riscos – que a Uadin pode usar para prever a auditoria baseadas em risco de alguns processos organizações ao invés de outros.

As possíveis auditorias são priorizadas, ainda, em função das unidades administrativas, dos macroprocessos e dos objetivos institucionais.

As auditorias selecionadas precisam manter conexão com os riscos e, então, o planejamento é formalizado em um plano com a previsão das auditorias baseadas em risco.

Dificilmente a Uadin realizará apenas auditorias baseadas em risco. Ela dividirá espaço com auditorias baseadas em outros parâmetros de auditoria que não a estrutura de gestão. Há também auditorias baseadas em normas e auditorias baseadas em processos.

As auditorias baseadas em normas avaliam, por exemplo, a conformidade das operações de compras públicas e pagamento de pessoal do instituto federal com relação à normatização federal – e são bem conhecidas das Uadins.

As auditorias baseadas em processos avaliariam, por exemplo, a conformidade das operações do instituto federal com relação à estrutura de gerenciamento de processo instituída – e são raramente praticadas pelas Uadins, pois os institutos federais não costumam adotar metodologias reconhecíveis de gerenciamento de processos.

Execução das auditorias baseadas em riscos

Este estágio de implementação da auditoria baseada em risco, assim como o anterior, não pode ser realizado se o instituto federal não tiver instituído uma estrutura de gerenciamento de riscos.

Toda auditoria, antes de executada, deve ser projetada. Com isto em mente, são três as fases de execução de uma auditoria baseada ou não em riscos:

  1. Projeto
  2. Performance
  3. Comunicação de resultados

Estas fases valem indistintamente para auditorias baseadas em normas, baseadas em riscos ou baseadas em processos. Porém, na auditoria baseada em riscos, o projeto deve levar em conta componentes do gerenciamento de riscos.

A proposta do IIA para a execução das auditorias pode ser apresentada em oito fases:

  1. Projeto da auditoria baseada em riscos

1.1. Definição de escopo preliminar

1.2. Diagnóstico do risco das operações abarcadas pelo escopo preliminar (este diagnóstico, realizado em nível local, pode provocar mudanças no diagnóstico da maturidade de risco do instituto federal, realizado em nível institutiocional)

1.3. Validação do escopo preliminar, que se converte em escopo de auditoria, e definição dos demais componentes do projeto de auditoria

  1. Performance da auditoria baseada em riscos

2.1. Aplicação dos procedimentos de auditoria para coleta de informações (entrevistas, observação, monitoramento, dentre outros)

2.2. Aplicação dos procedimentos de auditoria para análise das informações coletadas e categorização de evidências

2.3. Formulação de conclusões fundamentadas

2.4. Organização da documentação da performance

2.5. Diagnóstico e avaliação de riscos residuais, se houver

  1. Comunicação de resultados

3.1. Elaboração do relatório de auditoria

3.2. Comunicação do relatório de auditoria ao Conselho Superior e ao gerente das operações auditadas (se as operações auditadas tiverem mais de um gerente, todos deverão ser comunicados)

3.3. Providências para acompanhamento de recomendações

Revisão

Mudanças na maturidade de riscos, nos referenciais da estrutura de gerenciamento de riscos ou na própria estrutura de gerenciamento de riscos terminam por determinar uma atualização da previsão e dos projetos das auditorias baseadas em risco. Para esta atualização, a Uadin precisa repetir o diagnóstico de maturidade de risco e reconstruir a previsão e os projetos.

Como poderia acontecer em um instituto federal

No meu ponto de vista, o caminho normal para a Uadin implementar a auditoria baseada em riscos do IIA está em incluir, no plano de ações do PAINT (Plano Anual de Auditoria Interna), o objetivo de “Divulgar o gerenciamento de riscos à alta administração do instituto federal”, com três iniciativas:

  1. Diagnosticar a maturidade de riscos do instituto federal
  2. Organizar seminário sobre a IN CGU/MPOG nº 01/2016 e modelos de estruturas de gerenciamento de riscos (COSO e NBR, preferencialmente)
  3. Realizar auditoria de implementação de componentes básicos da IN CGU/MPOG nº 01/2016 (trata-se de uma auditoria baseada em normas, em que a Uadin verificará se o instituto federal instituiu o Comitê de Governança, Riscos e Controles e outros componentes básicos)

Em outro exercício, de posse dos resultados da execução destas iniciativas no exercício anterior, o objetivo “Divulgar o gerenciamento de riscos à alta administração do instituto federal” poderia ser reiterado, porém com iniciativas adicionais:

  1. Diagnosticar a maturidade de riscos do instituto federal
  2. Realizar auditoria de implementação de componentes básicos da IN CGU/MPOG nº 01/2016 (trata-se de uma auditoria baseada em normas, em que a Uadin verificará simplesmente se o instituto federal instituiu o Comitê de Governança, Riscos e Controles e outros componentes básicos)
  3. Realizar auditoria da Política de Gestão de Riscos (trata-se novamente de uma auditoria baseada em normas, em que a Uadin verificará simplesmente a adequação entre a Política de Gestão de Riscos instituída pelo instituto federal e a IN CGU/MPOG nº 01/2016)
  4. Selecionar dois projeto de auditoria para execução no próximo exercício, se possível
  5. Organizar seminário avançado sobre modelos de estrutura de gerenciamento de riscos (apenas o COSO, preferencialmente)

O condicionante “se possível” na quarta iniciativa tem razão de ser: se as duas primeiras iniciativas revelarem a estagnação da maturidade de riscos do instituto federal, a Uadin não terá como realizar nenhuma auditoria baseada em riscos.

A quinta iniciativa pode ser executada mesmo diante da estagnação da maturidade de riscos, mas não se houver ocorrido uma mudança significativa da alta gestão do instituto federal (em razão da troca do Reitor, por exemplo).

Em casos assim, pode valer a pena repetir a iniciativa “Organizar seminário sobre a IN CGU/MPOG nº 01/2016 e modelos de estruturas de gerencimaneto de riscos (COSO e NBR, preferencialmente)”.

Conforme o nível de maturidade de risco do instituto federal evoluir, a Uadin terá mais segurança para prever a execução de um número maior de auditorias baseadas em risco (o que alavancará o número de projetos deste tipo de auditoria) e para reduzir sua atividade como promotora da ideia de gerenciamento de riscos no instituto federal.

Acredito que estes objetivos, com suas iniciativas, sejam suficientes para ocupar qualquer Uadin durante dois ou três exercícios inteiros, ainda mais porque haverá a execução de outros projetos.

Acredito também que sejam suficientes para praticamente qualquer instituto federal, pois, em geral, eles não devem exibir alto grau de maturidades de risco.

Finalmente, bolei estes objetivos tendo em mente a seguinte consideração do IIA:

“Organizações com maturidade de riscos em níveis ‘ingênuo’ ou ‘consciente’ não comportam a execução de auditorias baseadas em risco. Mesmo assim, elas podem beneficiar-se de alguns aspectos das estratégias de auditoria descritas abaixo.

Por exemplo: a Unidade de Auditoria Interna pode ajudar a aperfeiçoar os procedimentos de governança e de gerenciamento de riscos por meio de relatórios sobre o diagnóstico da maturidade de risco entregues aos gerentes e ao comitê de auditoria [equivalente, nos institutos federais, ao Conselho Superior e ao Comitê de Governança, Riscos e Controles] e por meio da promoção da gestão de riscos no correr de seus trabalhos de auditoria.

A Unidade de Auditoria Interna também pode prestar consultoria à alta gestão a respeito da melhoria da maturidade de riscos da organisação.”

“Risk naïve or risk aware organisations will be unable to implement RBIA straight away. However, such organisations can benefit from some aspects of the audit strategies descibed below. For example, internal audit can help improve risk management and governance processes by reporting its assessment of the risk maturity of the organisation to management and to the audit committee, and by championing risk management throughout the internal audit activity’s work. It may also conduct consulting assignments supporting management in improving the organisation’s risk maturity.”

Como NÃO deveria acontecer

No meu ponto de vista, as Uadins não deveriam enxertar nos PAINTs procedimentos típicos da fase de execução das auditorias nem protagonizar a concepção e a implementação da estrutura de gerenciamento de riscos (veja mais nesta postagem).

Conclusão

O gerenciamento de riscos é uma metodologia nova e, como toda novidade, coloca ao auditor o desafio de lidar com mudanças repentinas e frequentes.

Como realizar auditorias de procedimentos em constante atualização, com parâmetros de qualidade também em constante atualização?

A abordagem do IIA tem a vantagem vantagem de prever etapas que permitirão à Uadin agir proporcionalmente à complexidade do cenário que encontrar e adaptar-se às mudanças da maturidade do gerenciamento de riscos do instituto federal.