1. gerenciamento de riscos e auditoria
A importância da Gestão de Riscos
nos processos de auditoria
Paulo M. Vanca1
Antonio Cocurullo2
Introdução
A gestão de riscos é tema que suscita crescente atenção no mundo empresarial e diversas novas funções
relacionadas a gestão de riscos vem surgindo, como “Assessor de Gestão de Riscos”, Risk Officer e Coordenador de
Gestão de Riscos. Em geral, entretanto, os Auditores Internos vem, cada vez mais planejando e executando seu
trabalho tendo como referencial o mapeamento de riscos. Nesta mesma linha, os Auditores Externos tem
desenvolvido metodologias que contemplam, entre outros assuntos, o mapeamento de riscos que estão
relacionados com as demonstrações financeiras.
Destaca-se assim que o auditor (externo ou interno) é o profissional que em princípio é dotado de mais
competências e conhecimentos relacionados à avaliação de riscos.
Sendo assim, o que se pretende neste trabalho é destacar a relação existente entre a gestão de riscos no ambiente
empresarial e a função dos auditores. Entendendo-se como risco, no ambiente empresarial, situações que possam
impedir o alcance dos objetivos corporativos e/ou operacionais.
1
Sócio da PricewaterhouseCoopers, Bacharel em Ciências Contábeis e Economia, responsável no Brasil e América do Sul por serviços de
gerenciamento de riscos através de processos de auditoria interna e operacional. Palestrante em diversos seminários e cursos organizados,
entre outros, pelo IIR, IBC, IBE. IIA e diversas universidades e câmaras de comércio. Entrevistado nos Estados Unidos pela Bloomberg
Television e pela CNN sobre gestão de riscos na América Latina.
2
Gerente Executivo da PricewaterhouseCoopers, Bacharel em Ciências Contábeis e Mestre em Administração. Professor em cursos de
graduação em Administração e Ciências Contábeis, Professor das disciplinas de Gestão de Riscos, Auditoria e Contabilidade Gerencial em
Pós-Graduação e MBA. Palestrante em diversos seminários e cursos organizados, entre outros, pelo IIR, IBC, IBE., Audibra e pela .GV.
1 PricewaterhouseCoopers
2. gerenciamento de riscos e auditoria
1. Riscos
1.1 Os riscos no âmbito empresarial
No ambiente empresarial há riscos relacionados com novas oportunidades de negócios, como o lançamento de novo
produto, com geração de custos sem certeza de retorno adequado, ou a entrada em novos mercados sem familiaridade
com as estruturas política, econômica e empresarial que lhes são inerentes.
Há, também, riscos relacionados a questões operacionais, de conformidade e de outra natureza, com implicações
diferenciadas, como veremos adiante. É fundamental ter em mente a relevância dos riscos de natureza estratégica na
alocação de recursos para seu gerenciamento (em geral escassos). Mas não esquecer que problemas de conformidade
(p.ex. com a legislação) ou operacionais (p.ex. falha no processo produtivo por problemas de sistemas ou de logística)
podem colocar em risco o sucesso de uma área estratégica e, consequentemente, o sucesso de uma corporação.
Mas quando identificados e gerenciados adequadamente, através de pesquisas e suporte especializado, os riscos de o
empreendimento não ser bem-sucedido podem ser significativamente menores e o sucesso não-somente ocorrer, mas
gerar, ainda, substancial vantagem competitiva. Da mesma forma, é importante considerar que existem riscos que
simplesmente não devem ser assumidos quando não totalmente gerenciáveis ou não havendo recursos para tanto.
Construir ou operar uma planta industrial com risco de 50%, ou mesmo de 5%, ou até menos, de explosão, é
simplesmente inadmissível. O fato gera, automaticamente, por sua eventual divulgação, imagem negativa, risco de perda
de funcionários e interdição legal, com conseqüentes efeitos adversos na reputação e nos negócios.
O Instituto Americano de Contadores Públicos Certificados – Auditores Independentes (American Institute of Certified
Public Accountants - AICPA), em estudo relacionado com avaliação de riscos, classificou os riscos empresariais em três
grupos:
• Riscos relacionados ao ambiente empresarial – Ameaças no ambiente empresarial em que a companhia opera,
como os riscos decorrentes da atuação da concorrência, riscos políticos, riscos legais ou decorrentes de situação
regulatória, riscos financeiros e riscos de mudanças na demanda.
• Riscos relacionados a processos de negócios e seus ativos – Ameaças a processos de negócios-chaves e perdas de
ativos físicos, financeiros e outros.
• Riscos relacionados com informações – Ameaças decorrentes da má qualidade das informações para o processo de
tomada de decisões e para o fornecimento de informações a terceiros.
Destaca o AICPA que novos riscos surgem com novos tipos de estruturas corporativas e mudanças na tecnologia da
informação. Muitos controles sobre informações e ativos têm sido comprometidos ou até eliminados como resultado de
processos de reengenharia, terceirização, “downsizing” e redução de níveis organizacionais.
Há diferentes tipos de riscos com características diferentes em função do ambiente empresarial em que a companhia
atua e das suas próprias características operacionais. Portanto, cada tipo de companhia tem um universo de riscos
diferente.
Em novo contexto empresarial que vem emergindo, as organizações “virtuais”, com seus processos de produção e
distribuição terceirizados, apresentam riscos específicos, mas administráveis, relacionados à satisfação dos clientes, à
evolução tecnológica e ao controle de custos.
2 PricewaterhouseCoopers
3. gerenciamento de riscos e auditoria
1.2 A classificação e avaliação dos Riscos
Para analisar, mapear e principalmente tomar decisões em termos de priorização e alocação de recursos para
monitoramento de riscos, é sempre recomendável uma categorização dos riscos por natureza e conseqüente relevância.
Assim, recomenda-se entre outras a seguinte classificação:
• Riscos relacionados à estratégia - Riscos associados ao modo como uma organização é gerenciada. A gestão de
riscos, também chamada de “riscos estratégicos”, é focada nas questões corporativas amplas, como fatores
competitivos, estrutura organizacional, desenvolvimento de novos produtos, estratégia de formação de preços, etc.
• Riscos .inanceiros - Riscos associados à posição financeira de uma organização. A gestão de riscos financeiros
está associada tanto a instrumentos relacionados à Tesouraria e fluxos financeiros quanto a riscos relacionados a
relatórios financeiros (internos e externos).
• Riscos relacionados à tecnologia da informação - Riscos decorrentes de tecnologias de informação utilizadas no
negócio, não efetivas no suporte de necessidades atuais e futuras da companhia, não operando como planejado,
comprometendo a integridade e a confiabilidade de dados e informações, expondo recursos significativos a perdas
potenciais ou mau uso, ou ameaçando a habilidade da companhia na sustentação da operação de processos
críticos.
• Riscos Operacionais - Riscos associados com a habilidade de uma organização operar e controlar seus processos
principais de maneira previsível e pontual. A gestão de riscos operacionais é focada na integridade e consistência
dos processos diários que suportam o negócio.
• Riscos de Conformidade - Riscos associados com a habilidade da organização de cumprir com normas
reguladoras, legais e exigências fiduciárias. A não-conformidade com normas, tanto legais como relacionadas
apenas às melhores práticas, pode gerar riscos, tanto financeiros como de perda de imagem (marcas e produtos) e
portanto impactar negativamente o resultado das companhias. Áreas de potencial não-conformidade, que geram
riscos, podem estar, p.ex., relacionadas a normas legais e tributárias, normas e práticas ambientais, exigências de
consumidores ou do mercado, expectativas da Sociedade e expectativas dos funcionários ou vizinhos.
• Riscos relacionados ao meio ambiente - Riscos relacionados à gestão inadequada de questões ambientais, com
efeitos tipo contaminação decorrente da disposição inadequada de resíduos sólidos. As contingências relacionados
a este tipo de risco são: necessidades de remediação de áreas degradadas, elevação dos valores pagos a título de
prêmio de seguro, indenizações, multas, perda de imagem de produtos ou da marca da companhia, com
conseqüente redução do valor das ações da companhia.
Após a classificação dos riscos é necessário avaliar cada risco em termos da sua ocorrência potencial e dos possíveis
impactos estratégicos, operacionais, de conformidade e, obviamente, econômico-financeiros, pois todo ato ou fato
relacionado com a companhia tem algum efeito imediato ou futuro na posição econômico-financeira e portanto nos
resultados. Assim, cada risco deve ser avaliado em função do potencial impacto (único ou por repetitividade) e
probabilidade de materialização como:
• Impacto – Alto, Médio ou Baixo.
• Probabilidade – Alta, Média ou Baixa.
3 PricewaterhouseCoopers
4. gerenciamento de riscos e auditoria
Em continuidade à avaliação mencionada acima, deve-se identificar a tendência de cada risco, conforme a seguir:
• Estável (nada sendo mudado);
• Crescente (devido a fatos como aumento de atividade); ou
• Decrescente (por previsão de implantação de novo sistema).
O gerenciamento de riscos deve incluir a identificação do risco potencial, sua prevenção e ainda a administração do
fato ocorrido, visando minimizar impactos negativos e prever sua eventual repetição.
1.3 A amplitude e volatilidade dos Riscos
Na busca da maior rentabilidade, e até da sobrevivência, através de melhoria da qualidade, inovação tecnológica, maior
agilidade e melhor serviço ao cliente, e menor custo, as companhias são permanentemente obrigadas a rever seu modelo
de gestão e adotar novos conceitos (alguns não tão novos, porém com nova nomenclatura e principalmente novos
impactos, como:
• Multifuncionalidade dos empregados.
• Implantação de células operacionais.
• Global “sourcing”.
• Terceirização.
Tudo isso, associado à globalização dos mercados compradores e fornecedores, tanto de produtos como de capital, gera
novos desafios e portanto novos riscos que devem ser avaliados e administrados.
Riscos estratégicos e financeiros são muitas vezes decorrentes da volatilidade do ambiente econômico no qual a
companhia opera e da própria natureza das suas operações, que podem variar em função da maturidade da companhia e
seus produtos.
Riscos operacionais e de conformidade, e relacionados à tecnologia da informação e ao meio ambiente, são mais
relacionados ao ambiente de controle interno, à saúde financeira da companhia, à qualidade de suas políticas e
procedimentos e, principalmente, à qualidade e postura da sua alta administração.
Atualmente, os riscos relacionados com a tecnologia da informação, para alguns setores específicos da economia (e-
business), como também os relacionados ao meio ambiente (protocolo de Kioto), podem se tornar totalmente vinculados
à estratégia do negócio.
Novos mercados ou mercados emergentes, como o da China, por exemplo, representam risco estratégico
principalmente pela falta de familiaridade com as práticas empresariais locais. No entanto, a China representa
oportunidade que não pode ser ignorada por corporações multinacionais que aspirem presença global no mercado. O
sucesso desse empreendimento dependerá da sua habilidade de adaptação e entendimento da linguagem, cultura e
práticas do mercado chinês. Companhias que de forma inteligente conseguem equilíbrio entre esses requisitos e os riscos
inerentes, gerenciados a partir de adequado ambiente de controle, terão melhor retorno de seus investimentos. Outras,
menos sensíveis às características desse mercado peculiar - um dos maiores do mundo - correm grande risco de
insucesso.
4 PricewaterhouseCoopers
5. gerenciamento de riscos e auditoria
A globalização, as fusões e aquisições e as pressões competitivas criaram a imperiosa necessidade de as companhias
melhorarem o volume das receitas e reduzir o valor dos seus custos, implicando na geração de novos riscos,
potencializados pela rapidez das mudanças, da amplitude dos seus impactos e ainda, em muitos casos, menor nível de
previsibilidade, pela incorporação de fatos novos, não-habituais e portanto não-familiares.
Determinados riscos, principalmente os relacionados a questões de conformidade com normas éticas e gestão ambiental
podem representar também um risco relevante para a reputação da organização extrapolando a cidade ou o país em que
ocorre. Num mundo globalizado, com sistemas de comunicação ao vivo, a partir de praticamente qualquer lugar, algo
como um acidente ou uma agressão ao meio ambiente ou mesmo um deslize ético de um funcionário, mesmo
relacionado a valor de pequena monta (mas envolvendo grande e conhecida corporação multinacional), pode de
imediato transformar-se em notícia, com reflexos adversos em todos os países onde a companhia opere apenas ou
promova vendas.
1.4 Riscos relacionados às Demonstrações .inanceiras
As novas metodologias relacionadas às práticas de auditoria das demonstrações financeiras, levam em consideração, entre
outros assuntos, o entendimento do ambiente de negócios que a companhia está inserida, as práticas contábeis
relacionadas aos seus negócios, e os riscos a que aquela atividade esta sujeita. Este último apresenta uma relação direta
com a capacidade que os administradores tem de gerenciar os negócios das companhias. Por este prisma, o principal
objetivo perseguido pelos administradores poderia ser vinculado com a maior rentabilidade e a menor exposição aos
riscos.
Se tomarmos como ponto de referência ou análise as demonstrações financeiras, podemos identificar, para cada conta
específica, certos riscos, que devem ser considerados quando da elaboração de programas de auditoria. A seguir citamos,
para determinadas contas, exemplos de riscos inerentes.
Exemplo de riscos inerentes às demonstrações financeiras
Componente do Balanço Riscos Potenciais
Ativo
Caixa Podem ocorrer desvios ou uso indevido.
Bancos Recursos podem ser desviados ou até ficar indisponíveis.
Contas a Receber Pode não ocorrer recebimento por crédito mal-avaliado.
Estoques Podem ser desviados, mal-utilizados ou tornar-se obsoletos.
Investimentos Podem perder valor por questões de mercado ou má gestão.
Imobilizado Podem haver desvios, uso indevido, má conservação e obsolescência.
Passivo
Contas a Pagar Podem ocorrer pagamentos indevidos ou em duplicidade.
Empréstimos .alta de controle pode permitir atrasos de pagamentos, gerando encargos extras.
Impostos a recolher Erros de cálculo podem gerar contingências e custos adicionais.
Patrimônio Líquido Reservas e resultados podem estar mal calculados ou registrados indevidamente.
Resultado
Vendas Podem estar inflacionadas em função de preços, entregas indevidas ou registros
fora de período de competência.
Custos Podem estar mal-calculados por falta de consideração de alguns itens ou de erros.
Receitas Operacionais Podem não estar adequadamente controladas e reconhecidas e em não conformidade
com o regime de competência.
Despesas Operacionais Podem ser indevidas ou não estar adequadamente reconhecidas pelo regime de
competência.
5 PricewaterhouseCoopers
6. gerenciamento de riscos e auditoria
Na prática, todas as atividades de uma companhia estão sujeitas a situações adversas, mais ou menos previsíveis ou
controláveis, decorrentes de situações ou ações externas ou internas relacionadas, por exemplo, com erros decorrentes de
incompetência, falha em sistemas ou processos e mesmo furtos e fraudes. Perdas ou possibilidades de se perder algo,
mais cedo ou mais tarde serão reconhecidas nas demonstrações financeiras, quer seja pela materialização de um risco,
quer seja pela análise de uma provável estimativa de perda, ou seja uma provisão relacionada a uma contingência.
Ao fim desta explanação, pode-se inferir que a materialização das perdas nada mais é do que o reconhecimento de
despesas que, por sua vez, vão diminuir os lucros da companhia. Desta forma, é possível então afirmar que o auditor
(independente) que emite o seu parecer sobre as demonstrações financeiras (resultado da exposição ao risco inerente ao
negócio), deve conhecer os riscos intrínsecos ao negócio, qual o nível de exposição aos riscos que a companhia está
sujeita, e como ou quais são os mecanismos de controle (interno), utilizados pelos administradores para a adequada
proteção do capital investido e dos recursos aplicados.
Desta forma, o auditor além de conhecer os princípios fundamentais de contabilidade, as melhores práticas contábeis
aplicáveis ao negócio, deve identificar, classificar, avaliar e até mesmo quantificar, se possível ou aplicável for, os riscos
associados à companhia objeto de sua auditoria. A experiência comprova que há um grau elevado de subjetividade
quando se aplica os conceitos acima abordados; porém, todo o possível deve ser feito como a análise do histórico de
perdas, estimativas das probabilidades e cálculos estatísticos, para que um grau adequado de objetividade seja alcançado.
Mencionou-se a palavra controle. Tal palavra parece ser a chave para uma adequada gestão de riscos. A seguir,
apresentamos, com um pouco mais de detalhes, este assunto, sua relação com auditores, administradores e a gestão dos
riscos.
1.5 Riscos relacionados aos Controles internos - Ciclos Operacionais
De acordo com o COSO (COSO Report - Committee of Sponsoring Organizations - Report / Relatório da Comissão
Organizadora e Patrocinadora) e o CoCo (Criteria of Control Committee / Comitê para Desenvolvimento de Critérios de
Controle), Controle Interno é um conjunto de processos, incluindo políticas, procedimentos, práticas e estruturas
organizacionais.
Podemos assumir, com razoável segurança, que o controle interno talvez não seja um dos mais excitantes desafios para os
administradores. De fato, este assunto tem sido considerado em muitas reuniões executivas como uma matéria para
debate entre profissionais de sistemas (que enfatizam eficiência) e auditores (que enfatizam os controles). Porém, diversos
fatos recentes têm causado considerável interesse sobre o assunto. Entre estes fatos, destacam-se:
• Preocupações externadas pelos comitês de auditoria, que são criados pelas companhias em número cada vez mais
crescente;
• Divulgações de fraudes de grande montante; e
• Divulgações de transações ilegais ou questionáveis pelas companhias.
Não sendo repetitivo, mas abordando a questão dos objetivos dos administradores, a alta administração de uma
companhia é responsável por estabelecer e manter um adequado sistema de controle interno. Esta afirmação tem
aparecido há longa data na literatura dos auditores independentes e já a alguns anos reiterada pela SEC (Securities and
Exchange Commission).
6 PricewaterhouseCoopers
7. gerenciamento de riscos e auditoria
Tais afirmações tem uma importante argumentação ou justificativa: a preocupação com a gestão de riscos.
Sem dúvida a administração da maioria das companhias acredita que está mantendo um adequado sistema de controle
interno. Entretanto, na conjuntura atual, os administradores poderão sentir necessidade de informações mais especificas
sobre os controles internos de suas companhias e sobre as fraquezas ou deficiências existentes; em outras palavras, sobre
os riscos a que estas companhias estão expostas. É provável que recorram aos seus auditores independentes e ou aos
seus auditores internos para obterem essas informações.
Tanto os auditores independentes quanto os auditores internos utilizam, em seus processos de auditoria, a avaliação do
ambiente de controle interno. Como já mencionado, riscos são monitorados por controles internos ou externos. Pode-se
então afirmar que há a necessidade de que os auditores levem em conta, nos seus planos de auditoria, primeiramente,
uma adequada identificação dos riscos associados ao negócio e, em seguida, a avaliações do ambiente de controle
interno.
A fim de poder apresentar uma lista de riscos associados ao ambiente de controle interno, como efetuamos com a lista de
riscos relacionadas às contas contábeis de uma demonstração financeira, propõe-se segregar o ambiente de controle
interno em alguns ciclos operacionais, como segue:
• Ciclo de Tesouraria;
• Ciclo de Compras;
• Ciclo dos Estoques;
• Ciclo de Receitas;
• Ciclo de Gestão de Informação; e
• Ciclo de .olha de Pagamento.
7 PricewaterhouseCoopers
8. gerenciamento de riscos e auditoria
A seguir exemplificamos cada um dos ciclos operacionais acima listados e apresentamos alguns riscos relacionados que
julgamos relevantes.
• Ciclo de Tesouraria – o ciclo de tesouraria de uma companhia inclui aquelas funções que dizem respeito às suas
disponibilidades. As funções deste ciclo começam com o conhecimento das necessidades de dinheiro, alocação
de recursos disponíveis às operações correntes e outros usos e se encerram com o retorno do investimento (na
forma de dividendos) para os acionistas, ou ainda, a devolução dos recursos (do principal mais juros) fornecidos
pelo credores.
• Riscos relacionados a:
Elevados encargos financeiros: Não consideração de custos financeiros na formação de preços.
Volatilidade cambial: Não consideração de possíveis impactos em compras de matérias-primas importadas e/ou
exportações.
.luxo de caixa inadequado: Dificuldade para financiar obrigações financeiras ou operacionais.
Elevado custo de oportunidade: Alocação inadequada de recursos.
8 PricewaterhouseCoopers
9. gerenciamento de riscos e auditoria
• Ciclo de Compras - o ciclo de compras tem seu início, em muitos casos, no ciclo de receitas ou no ciclo dos
estoques, ou seja, da necessidade de se comprar alguma coisa para o atendimento de outros ciclos. Numa
avaliação macro, destaca-se aqui, o processo de cotar, efetivar as compras (nacionais ou internacionais) e a
recepção dos produtos. A recepção de produtos fornece várias informações para diversas áreas como fiscal,
contábil, almoxarifado, e consequentemente, o ciclo dos estoques. O final deste processo está vinculado à área do
contas a pagar e, consequentemente, ao ciclo de tesouraria.
• Riscos relacionados a:
.alta de matérias-primas / insumos: .alta de matérias-primas, materiais / insumos necessários ao processo
produtivo.
Compras inadequadas: Compras efetuadas sem aprovação e/ou fora das especificações.
Ilicitudes: Atividades ilícitas abrangendo propinas, subornos e alteração de informações.
Descumprimento de contratos: Descumprimento, por parte de parceiros, de contratos de fornecimento de
material, mão-de-obra, etc.
9 PricewaterhouseCoopers
10. gerenciamento de riscos e auditoria
• Ciclo dos Estoques - Muitos dos recursos adquiridos por uma companhia são mantidos, transformados,
processados, montados ou utilizados de qualquer outra forma. As funções desse ciclo estão relacionadas a uma
gama enorme de recursos, como por exemplo estoques de matérias primas, produtos em processo e produtos
acabados, bem como os relacionados aos bens e equipamentos depreciáveis e recursos naturais, entre outros.
Numa indústria dedicada à manufatura, montagem ou processamento, a principal atividade desse ciclo é a
fabricação de um produto pela utilização de recursos (insumos) adquiridos pelo ciclo de compras para esse fim.
Estão ainda relacionados a este ciclo o controle dos materiais, da mão-de-obra direta ou indireta e os gastos gerais
de fabricação (overhead – despesas gerais indiretas). O ciclo de estoques tem uma relação direta com o ciclo de
receitas que veremos a seguir.
• Riscos relacionados a:
Elevados encargos financeiros: Não consideração de custos financeiros na formação de preços.
Volatilidade cambial: Não consideração de possíveis impactos em compras de matérias-primas importadas e/ou
exportações.
.luxo de caixa inadequado: Dificuldade para financiar obrigações financeiras ou operacionais.
Elevado custo de oportunidade: Alocação inadequada de recursos.
10 PricewaterhouseCoopers
11. gerenciamento de riscos e auditoria
• Ciclo de Compras - o ciclo de compras tem seu início, em muitos casos, no ciclo de receitas ou no ciclo dos
estoques, ou seja, da necessidade de se comprar alguma coisa para o atendimento de outros ciclos. Numa
avaliação macro, destaca-se aqui, o processo de cotar, efetivar as compras (nacionais ou internacionais) e a
recepção dos produtos. A recepção de produtos fornece várias informações para diversas áreas como fiscal,
contábil, almoxarifado, e consequentemente, o ciclo dos estoques. O final deste processo está vinculado à área do
contas a pagar e, consequentemente, ao ciclo de tesouraria.
• Riscos relacionados a:
.alta de matérias-primas / insumos: .alta de matérias-primas, materiais / insumos necessários ao processo
produtivo.
Compras inadequadas: Compras efetuadas sem aprovação e/ou fora das especificações.
Ilicitudes: Atividades ilícitas abrangendo propinas, subornos e alteração de informações.
Descumprimento de contratos: Descumprimento, por parte de parceiros, de contratos de fornecimento de
material, mão-de-obra, etc.
11 PricewaterhouseCoopers
12. gerenciamento de riscos e auditoria
• Ciclo dos Estoques - Muitos dos recursos adquiridos por uma companhia são mantidos, transformados,
processados, montados ou utilizados de qualquer outra forma. As funções desse ciclo estão relacionadas a uma
gama enorme de recursos, como por exemplo estoques de matérias primas, produtos em processo e produtos
acabados, bem como os relacionados aos bens e equipamentos depreciáveis e recursos naturais, entre outros.
Numa indústria dedicada à manufatura, montagem ou processamento, a principal atividade desse ciclo é a
fabricação de um produto pela utilização de recursos (insumos) adquiridos pelo ciclo de compras para esse fim.
Estão ainda relacionados a este ciclo o controle dos materiais, da mão-de-obra direta ou indireta e os gastos gerais
de fabricação (overhead – despesas gerais indiretas). O ciclo de estoques tem uma relação direta com o ciclo de
receitas que veremos a seguir.
• Risco relacionados a:
Obsolescência de estoque: Estoques excessivos e/ou obsoletos.
.alha de produto / serviço: .abricação de produtos defeituosos e/ou prestação de serviços incompletos devido a
falhas de operação na companhia.
Má qualidade dos produtos / serviços: Produtos e/ou serviços inadequados em termos de sua funcionalidade.
.alta de estoque de produtos: Não disponibilidade de produtos para entrega nos prazos contratados e/ou
requeridos pelo mercado.
.alta de foco operacional: Excesso de projetos e ações paralelas, sem definição de prioridades.
Inadequação da capacidade de produção: Ociosidade da capacidade produtiva, forçando a distribuição de
custos fixos para poucas unidades, aumentando o custo dos produtos e/ou capacidade produtiva, não atendendo
às necessidades e demanda dos clientes.
Ineficiência: Baixa produtividade por inexperiência dos funcionários e seus superiores.
12 PricewaterhouseCoopers
13. gerenciamento de riscos e auditoria
• Ciclo de Receitas - O ciclo de receitas da companhia inclui as funções necessárias para trocar seus produtos ou
serviços com seus clientes, por numerário. Inclui obter pedidos dos clientes, embarcar mercadorias, prestar
serviços a clientes, manter e cobrar contas a receber e receber numerário dos clientes.
• Riscos relacionados a:
Pressões de concorrentes: Ações de concorrentes para estabelecer vantagem competitiva em relação à
companhia ou até mesmo ameaçando sua sobrevivência.
Ciclos de vida inadequados: Não consideração e/ou revitalização dos ciclos de vida da companhia ou de seus
produtos (lançamento, crescimento, maturidade e declínio).
Definição inadequada de preços: .ormação de preços não baseada em pesquisas de mercado ou outras
informações que enfoquem os clientes-alvo (preços estabelecidos não cobrem os custos de produção devido a
informações erradas sobre custos).
Desenvolvimento de produto inadequado: Oferta de novos produtos sem real foco nos clientes.
Realização difícil: Descumprimento de obrigações contratuais por parte de parceiros (clientes / investidores).
Concentração: Exposição a perdas devido à concentração de vendas a poucos clientes.
Garantias insuficientes: Perda, parcial ou total, por falta de garantias adequadas.
13 PricewaterhouseCoopers
14. gerenciamento de riscos e auditoria
• Ciclo de .olha de Pagamento - O ciclo de folha de pagamento, além de estar relacionado com os ciclos de
tesouraria, estoques e receitas, tem uma ligação contundente com a legislação trabalhista e tributária. Sua não
conformidade pode trazer contingências para a companhia. Além de não conformidade, este ciclo esta
relacionado com a manutenção da mão-de-obra, muitas vezes chamada de gestão de recursos humanos.
• Riscos relacionados a:
Regulamentação: Ações em desacordo com a regulamentação e/ou pressão competitiva via órgãos reguladores.
Não aderência a normas e procedimentos: Qualquer atividade ou ação da empresa ou de seus funcionários que
não seja permissível pelas normas e procedimentos internos.
Pressões de sindicatos: .alta de acordos com sindicatos, permitindo pressões e paralisações.
Desmotivação: Queda de produtividade, ocasionando problemas no processo produtivo, acidentes de trabalho,
etc.
Segurança e condições de trabalho inadequados: Ambiente de trabalho inseguro e de insalubridade.
Ineficiência: Baixa produtividade por inexperiência dos funcionários e seus superiores.
Remuneração inadequada: Dificuldade para atração / retenção de funcionários por remuneração fora do
mercado.
Resistência a mudanças: Atitudes que dificultam a implementação de novas práticas operacionais.
14 PricewaterhouseCoopers
15. gerenciamento de riscos e auditoria
.alta de mão-de-obra: .alta de recursos humanos capacitados, em quantidade e qualidade.
Treinamento inadequado: Desconhecimento de procedimentos e de capacitação.
Alta-rotatividade: descontinuidade gerando alto custo de recrutamento e treinamento, bem como ineficiência.
• Ciclo de Gestão de Informação - O ciclo de gestão da informação de uma companhia não processa transações
como o fazem os demais ciclos mencionados anteriormente. Este ciclo auxilia nas analises e nas avaliações,
sintetiza, reconcilia, ajusta e reclassifica as informações financeiras e operacionais, obtidas dos outros ciclos, de
maneira que se possa ajudar os administradores na tomada de decisões. Além disso, auxilia na prestação das
informações a terceiros, como bancos, fornecedores, acionistas, governo e, de uma forma geral, à sociedade.
• Riscos relacionados a:
Planejamento falho: Estratégias de negócio não baseadas em premissas corretas sobre o ambiente externo,
resultando em estratégias inadequadas.
Informações contábeis não-confiáveis: Informações contábeis não integradas com informações financeiras e
operacionais, com erros e fora dos prazos.
Relatórios financeiros ineficientes: Relatórios financeiros distorcidos ou com a omissão de fatos relevantes,
tornando-os tendenciosos e enganosos.
Investimentos não controlados: .alta de informações para suportar decisões de investimento e investimentos sem
monitoramento.
15 PricewaterhouseCoopers
16. gerenciamento de riscos e auditoria
Relatórios regulamentados inadequados: Relatórios incompletos, inexatos ou intempestivos, expondo a empresa
a penalidades e sanções.
Compromissos contratuais não cumpridos: .alta de informação e monitoramento de contratos compromissados.
Medidas de performance inadequadas: Medidas de performance não-financeiras, não informativas, não
fidedignas, não compreensíveis, não realistas, factíveis ou iniciadoras de mudanças, comprometendo a tomada de
decisões.
.alta de alinhamento: Objetivos e medidas de desempenho dos processos da empresa não alinhados com
objetivos empresariais.
Informações regulamentadas inadequadas: Relatórios de informações operacionais requeridos por órgãos
reguladores incompletos, inexatos ou intempestivos.
Vale ressaltar que os riscos aqui listados podem estar relacionados a mais de um ciclo operacional. O que propomos é
apenas a reflexão sobre o tema e o relacionamento entre riscos identificados e os controles utilizados pela administração.
A seguir apresentamos nossas considerações finais sobre a relevância do tema gestão de riscos e a necessidade de assunto
ser abordado durante a execução do planejamento das auditorias.
1.6 A evolução do planejamento da auditoria – foco em riscos
O risco não deve ser temido, mas enfrentado, monitorado e controlado. A gestão de riscos é atualmente nova
modalidade de gestão. Não importa a ferramenta de gestão a ser utilizada: ela não será eficiente se não estiver alinhada
aos riscos do negócio. Então, gerenciar riscos será, em um futuro muito próximo, uma vantagem competitiva. Quem
acreditar nisto terá maiores oportunidades de vencer os seus desafios.
As normas de auditoria (Interna: Resolução 780/95 – C.C e Externa: Resolução 820/97 - C.C), definem que, entre outros
procedimentos, a preparação do Planejamento da Auditoria. No capítulo que trata especificamente do Planejamento da
Auditoria, menciona a necessidade de planejar os trabalhos de auditoria considerando os fatores relevantes e, em
especial, “os riscos de auditoria e identificação das áreas importantes da entidade, quer pelo volume de transações, quer
pela complexidade de suas atividades”.
Aqui se propõe uma amplitude um pouco maior do que as normas podem apresentar.
Pode-se notar que a avaliação do risco, em auditoria identifica, mede e prioriza os riscos para possibilitar a focalização
das áreas auditáveis mais significativas. Em cada ação de auditoria, a avaliação do risco é utilizada para identificar as áreas
mais importantes dentro do seu âmbito. A avaliação do risco permite ao auditor delinear um programa de auditoria
capaz de testar os controles mais importantes, ou testar os controles com maior profundidade ou mais minuciosamente.
A auditoria que se baseia na identificação dos riscos estende e melhora o modelo de avaliação do risco, alterando a
perspectiva da auditoria. Em vez de olhar para o processo do negócio como algo que está dentro de um sistema de
controle, o auditor deve ter a perspectiva do risco . É um paradigma do olhar para a frente: uma auditoria centrada sobre
o risco (possibilidade de evento futuro) acrescenta mais valor à organização do que uma auditoria centrada apenas sobre
os controles e/ou somente nos fatos do passado registrados pela contrabilidade.
16 PricewaterhouseCoopers
17. gerenciamento de riscos e auditoria
Os planejamentos de auditoria que levam em consideração uma avaliação de riscos são delineados para serem flexíveis.
Uma sugestão de como o processo de planejamento de auditoria pode tanto agregar valor aos administradores, como
também ser adequado direcionamento da auditoria, é a elaboração de uma Matriz de Riscos (Universo de riscos da
organização). Consideramos então, que esta Matriz de Riscos deve levar em consideração os riscos relacionados às contas
apresentadas nas Demonstrações .inanceiras, bem como os riscos relacionados aos ciclos operacionais (ambiente dos
controles internos).
Uma adequada avaliação dos riscos e uma adequada avaliação dos controles internos existentes e que minimizem a
materialização dos riscos pode, numa primeira análise, trazer maior conforto para o auditor emitir seu relatório e, por
outro lado pode auxiliar na identificação do que chamamos de risco residual (valor de potencial perda que deve ser
mitigado ou simplesmente monitorado).
A máxima que se aprendeu nestes últimos anos, utilizando metodologia de gestão de riscos em processos de auditoria,
diz que um controle não pode ter custo maior que o risco intrínseco materializado. Ou seja, um risco relacionado à
produção de algum produto, que se materializado trouxer uma perda relevante, deve ter um custo de controle que não
seja superior à estimativa de ocorrência daquele risco. Somente para refletirmos: quando se avalia risco, devemos levar
em consideração seu impacto, sua probabilidade e a tendência de ocorrência (materialização).
Baseado em trabalhos já realizadas, pode-se afirmar que mais uma variável a ser considerada na gestão de riscos é o
julgamento do ser humano. A ênfase que inicialmente se imagina relacionar riscos a controles (manuais e sistêmicos),
também se dá na atitude humana. Consideramos imprescindível que o julgamento do ser humano seja levado em
consideração quando se pensar em gestão de riscos, mesmo que isto traga elevado grau de subjetividade quando da
realização do planejamento das auditorias.
A importância do trabalho dos auditores está em oferecer relativo conforto aos administradores, aos acionistas e à
sociedade de modo geral. Para tanto, devem entender e interpretar os riscos que estão associados aos controles internos
(ciclos operacionais) e às demonstrações financeiras, seus impactos, sua probabilidade de materialização, e a tendência
da sua ocorrência.
Este trabalho não teve por intenção esgotar o tema, mas auxiliar na evolução e na discussão desse assunto que rápida e
merecidamente vai ganhando expressão e vulto no mundo dos negócios: a importância da gestão de riscos nos processos
de auditoria.
17 PricewaterhouseCoopers