Pesquisar
Em um cenário corporativo cada vez mais complexo, a integração entre auditoria interna e gestão de riscos se mostra essencial para a resiliência e o sucesso organizacional. Este artigo explora conceitos, normas, papéis, metodologias e resultados práticos dessa parceria.
A definição de auditoria interna vai além da simples verificação de conformidade. Trata-se de uma atividade independente e objetiva de avaliação e consultoria, que utiliza abordagem sistemática e disciplinada para mensurar a eficácia dos processos.
Na prática, a auditoria interna funciona como uma ferramenta de melhoria contínua, inspecionando procedimentos, apontando falhas e sugerindo soluções que agregam valor ao negócio.
Por sua vez, a gestão de riscos é entendida como um processo estratégico integrado à governança, que identifica, avalia, trata e monitora eventos que possam afetar objetivos organizacionais.
O elo entre essas áreas se dá pelas normas profissionais, que determinam missão de avaliar e melhorar a eficácia da gestão de riscos, controles e governança. A auditoria baseada em riscos (ABR) direciona esforços para as áreas de maior exposição, otimizando recursos.
Para garantir consistência e credibilidade, a auditoria interna apoia-se em frameworks reconhecidos globalmente, liderados pelo IIA e pelo COSO.
O IPPF, do Institute of Internal Auditors, define missão, código de ética e normas que estabelecem a obrigação de avaliar a eficácia dos processos de governança, gerenciamento de riscos e controles internos e de elaborar um Plano Anual de Auditoria baseado em riscos.
Já o COSO ICIF 2013 (Internal Control – Integrated Framework) oferece um referencial de cinco componentes e dezessete princípios para estruturar e avaliar sistemas de controle interno:
Além desses, referências de gestão de riscos no setor público e metodologias de ABR complementam o arcabouço teórico-prático.
A auditoria interna desempenha dois papéis principais: assurance e consultoria. No papel de assurance, ela examina e reporta sobre a eficácia dos processos de gerenciamento de riscos implementados, avaliando identificação, tratamento e monitoramento.
Já na consultoria, presta orientação e facilitação na gestão de riscos, capacitando equipes e apoiando na implantação de práticas formais. É crucial, contudo, que a independência não seja comprometida: a auditoria deve facilitar, mas não assumir a propriedade da gestão de riscos.
O foco estratégico reside na agregação de valor à organização. Ao antecipar potenciais ameaças e promover controles eficazes, a auditoria contribui para a otimização de processos, redução de fraudes e maior segurança na tomada de decisão.
O ciclo de gestão de riscos envolve várias etapas, e a auditoria interna pode intervir em cada uma delas:
Em cada fase, o auditor interno contribui com análises críticas, testes de eficácia e recomendações fundamentadas.
Para tornar o processo mais dinâmico e eficaz, destacam-se algumas práticas:
No setor público de Minas Gerais, por exemplo, a auditoria em gestão de riscos implementou um programa de capacitação que resultou em identificação precoce de fraudes em licitações. A iniciativa gerou uma economia de recursos estimada em 12% do orçamento anual.
Em uma multinacional de manufatura, o uso de ABR elevou em 30% o índice de detecção de não conformidades críticas antes de chegarem ao cliente. As recomendações da auditoria interna foram decisivas para aprimorar os controles de qualidade e reduzir retrabalhos.
Outra experiência de sucesso ocorreu em uma instituição financeira, onde a integração com o COSO permitiu avaliar a maturidade dos controles em âmbito internacional. O mapeamento dos dezessete princípios revelou lacunas em comunicação interna, corrigidas com planos de ação que aumentaram a confiança de investidores.
Esses cases evidenciam o impacto mensurável da auditoria interna quando orientada a riscos: redução de desperdícios, aumento da transparência, promoção de cultura ética e fortalecimento da governança.
Em suma, a colaboração entre auditoria interna e gestão de riscos transcende a conformidade burocrática. Trata-se de construir uma jornada contínua de aprimoramento, onde o conhecimento técnico se alia à visão estratégica para proteger e potencializar o valor organizacional.
Referências
