Home / Technology / A auditoria baseada em risco está impedindo você?

A auditoria baseada em risco está impedindo você?

apontar o dedo para uma rota em um mapa

FOTO: José Martín Ramírez Carrasco | espalhar

Quando me tornei Diretor de Auditoria (DEA) pela primeira vez em 1990, concluí que uma abordagem baseada em risco era inadequada.

Uma abordagem baseada em risco se concentra em quão bem o gerenciamento pode lidar com um evento ou situação potencialmente ruim. Avalia o projeto e a operação de controles internos confiáveis ​​para evitar perdas ou outros efeitos negativos, como erros nas demonstrações financeiras, fraude ou danos à reputação.

A abordagem baseada em risco é sugerida pelos Padrões do IIA, conforme descrito em Avaliação de Risco no Planejamento de Auditoria (pdf) do IIA Bélgica (obrigado Marinus de Pooter por compartilhar comigo). Cite os padrões relevantes do IIA:

  • O padrão IIA de 2010 exige: “O executivo chefe de auditoria deve estabelecer planos baseados em riscos para determinar as prioridades de auditoria interna.”
  • La Norma IIA 2010.A1 requiere, “El plan de compromisos de la actividad de auditoría interna debe basarse en una evaluación de riesgos documentada, realizada al menos una vez al año. En este proceso se deben considerar las aportaciones de la alta dirección y la reunião”.

Afirma:

  • Esses padrões exigem que o Chefe de Auditoria Interna (EIS) 2 desenvolva um plano baseado em risco. A AIS deve levar em consideração a estrutura de gerenciamento de risco da organização, incluindo os níveis de apetite de risco definidos pela administração para diferentes atividades ou partes da organização. Se não houver uma estrutura de gerenciamento de risco, o EIS usa seu próprio julgamento de riscos após considerar as contribuições da alta administração e do conselho. O EIS deve revisar e ajustar o plano, conforme necessário, em resposta às mudanças nos negócios, riscos, operações, programas, sistemas e controles da organização.
  • O principal desafio que a maioria dos auditores internos enfrenta é como alocar recursos limitados de auditoria interna de forma mais eficaz – como escolher os assuntos de auditoria a serem examinados. Isso requer uma avaliação de risco em todas as áreas auditáveis ​​que um auditor poderia examinar.

Não recomendo o guia IIA Bélgica por uma série de razões, incluindo o fato de que ele fala detalhadamente sobre a identificação e avaliação de riscos para os objetivos de entidades auditáveis ​​(o universo de auditoria, um conceito que deve ser retirado) em vez de riscos. objetivos da empresa (capturados em um universo de risco).

Quando me tornei CAE, a ideia predominante era priorizar o risco de entidades auditáveis. Comecei a falar em vez de o negócio-Auditoria baseada em riscos.

Alto valor de auditoria com baixo risco vs.

Há momentos em que devemos nos concentrar mais em onde podemos agregar valor do que onde estão as maiores fontes de risco para o negócio. Embora na maioria das vezes sejam iguais, nem sempre é esse o caso.

Em primeiro lugar, existem situações em que o nível de risco é e deve ser considerado baixo, mas a auditoria interna pode extrair e entregar grande valor.

A primeira vez que experimentei isso como CAE, foi destacado pelo presidente do comitê de auditoria, Clarence Frame. Na época, a Tosco era uma empresa de refino e comercialização de petróleo com receita de US $ 2 bilhões. No entanto, suas raízes estavam em seu nome.

Em uma época anterior, o nome da empresa era The Oil Shale Company, abreviado TOSCO e depois alterado para Tosco quando descobriu que não havia dinheiro a ser feito extrando o xisto betuminoso. Adquiriu várias refinarias de petróleo e se concentrou naquele espaço. No entanto, continuou a possuir terras com depósitos de xisto betuminoso e os direitos de água cruciais para quaisquer atividades de mineração futuras.

Frame queria que a empresa cumprisse as regras que exigiam certas atividades contínuas se quisesse manter esses direitos de água. Não havia receita associada, apenas custos, e a administração não queria perder tempo com os sonhos anteriores de seus fundadores. O risco era que perderíamos os direitos, que todos sabíamos que não teriam efeito nas operações ou resultados da empresa no futuro previsível.

Mas Frame e o comitê de auditoria, com algum apoio do CEO, viram o valor em saber que as medidas certas estavam sendo tomadas para preservar as receitas potenciais de longo prazo do xisto betuminoso. Se o preço do petróleo bruto aumentasse significativamente (visto então como altamente improvável), os direitos da água e do xisto betuminoso seriam de alto valor.

Agora sabemos que Frame estava certo e os direitos deveriam ser preservados. Na época em que o xisto betuminoso se tornou viável, a Tosco havia sido vendida para a Phillips Petroleum (agora parte da Conoco) e eu havia mudado.

Concluímos a auditoria e descobrimos que certas ações eram necessárias para preservar direitos. A administração concordou com relutância, em benefício dos acionistas das empresas sucessoras.

Devemos sempre prestar atenção e considerar os projetos de auditoria de grande valor para o comitê de auditoria ou o CEO. Na minha opinião, eles não são incluídos automaticamente, mas devem ser levados em consideração.

Artigo relacionado: Obtendo o máximo da auditoria interna

… Alto risco com baixo valor de auditoria

Depois, há situações em que o risco é alto, mas o valor de uma auditoria é baixo.

Por exemplo, quando comecei como CAE na Solectron, a empresa ainda estava comprometida em adquirir empresas menores e suas fábricas de montagem em todo o mundo. Era um fabricante contratado para empresas de eletrônicos como IBM e Intel, e nossas 120 fábricas atendiam às suas necessidades em todo o mundo. Mas 120 era muito e a taxa média de utilização (que media quanto de nossa capacidade estávamos usando) estava bem abaixo de 50%. Os custos aumentaram ao mesmo tempo que nossos concorrentes baixaram seus preços de venda. Eles puderam usar suas fábricas de forma mais eficiente e isso transpareceu em suas licitações.

Havia uma grande chance de que o mercado continuasse a pressionar o preço de venda, talvez até mais, e se não fizéssemos algo para racionalizar nossa pegada, sairíamos do mercado.

Eu tive isso como um problema de alto risco.

Mas quando comecei a investigar o problema mais a fundo, descobri que a administração já havia estabelecido uma força-tarefa poderosa para avaliar a situação e fazer recomendações.

Ficou claro que as pessoas certas estavam fazendo o trabalho certo, com acesso e apoio da alta administração.

Qualquer projeto de auditoria tinha pouco ou nenhum valor, fosse garantia ou consultoria. Considerei uma auditoria para avaliar se a administração tinha informações confiáveis ​​o suficiente para permitir uma decisão informada, mas os líderes da força-tarefa me garantiram que sim.

Continuei monitorando o projeto por meio de reuniões regulares com os líderes dos grupos de trabalho.

Artigo relacionado: Você é excessivamente avesso ao risco?

Pare de se concentrar no dano potencial

A abordagem baseada em risco tende a se concentrar na possibilidade de danos. Mas os auditores também devem considerar se a administração possui controles e procedimentos para garantir que estão aproveitando as oportunidades.

Por exemplo, eu vi:

  • Situações em que os controles poderiam ter sido melhorados para garantir que a administração esteja ciente e coloque os melhores recursos não apenas para ganhar um contrato de venda, mas também para otimizá-lo.
  • Oportunidades que a administração não reconheceu para implementar novas tecnologias e obter grandes benefícios. Às vezes, é uma tecnologia que foi adquirida, mas foi subutilizada. Às vezes, era porque a administração não tinha disciplina para entender como as novas tecnologias poderiam ser usadas em seus negócios.

Por fim, existem situações em que realmente não existe risco como tal. Quer dizer, a preocupação não é com algo que pode acontecer em algum momento no futuro, mas com a situação atual.

Por exemplo, na Maxtor, o custo de nosso produto fabricado (discos rígidos) era maior do que nossos concorrentes. O motivo era duplo: tínhamos algumas operações de manufatura de alto custo na Califórnia, enquanto nosso principal concorrente tinha manufatura semelhante na China; e terceirizamos a fabricação de algumas das peças essenciais para uma empresa taiwanesa da qual éramos um pequeno cliente, enquanto nosso concorrente tinha tudo internamente na China. Como resultado, não fomos capazes de desenvolver um disco rígido de última geração a um custo que nos trouxesse dinheiro.

Passei uma boa quantidade de tempo em um projeto de consultoria, procurando ver se havia oportunidades de redução de custos, e então me sentei com a gerência enquanto planejávamos um novo local na Tailândia ou no Vietnã para substituir aquela operação de alto custo na Califórnia.

Um repensar da auditoria baseada em risco

Juntando tudo isso, acredito em um ajuste de abordagem de auditoria baseada em risco. Deve ser uma auditoria de risco e valor do negócio.

No que você acredita?

Norman Marks, CPA, CRMA é um evangelista de “melhor gestão de negócios” com foco em governança corporativa, gestão de risco, auditoria interna, desempenho de negócios e o valor da informação. Ele também é um mentor para indivíduos e organizações em todo o mundo, o autor de World-Class Risk Management e regularmente posta em seu próprio blog.

About admin

Check Also

O Galaxy Tab A de 8 polegadas custa US $ 99 no Prime Day e é ótimo para fazer streaming do Xbox Game Pass

Uma coisa que me incomoda nos jogos em nuvem do Xbox Game Pass nos telefones …

Leave a Reply

Your email address will not be published. Required fields are marked *