Considere que a implantação de um portal de pagamentos a fo...
Risco operacional trata-se de todas as possíveis falhas internas — de estrutura, sistemas, pessoas, produtos ou processos — que podem acontecer dentro de uma instituição e, assim, acarretar prejuízos dos mais diversos tipos, sejam financeiros, sejam reputacionais, por exemplo.
A abordagem de auditoria baseada em risco consiste na realização de uma sequência de procedimentos com vistas a permitir que o auditor tenha segurança das conclusões obtidas e, com isso, possa fornecer asseguração aos usuários do relatório de auditoria. A gênese de sua utilização é especialmente relacionada com a auditoria financeira, mas vem ganhando espaço em outros tipos de auditoria.
Nesse contexto, vários termos técnicos envolvendo riscos são importantes e costumam ser cobrados em prova. Vou resumir alguns deles aqui, de acordo com o manual do TCU¹ que consolida diversos conceitos de referenciais teóricos importantes:
“Risco – possibilidade de um evento ocorrer e afetar adversamente a realização de objetivos (COSO GRC, 2004); possibilidade de algo acontecer e ter impacto nos objetivos, sendo medido em termos de consequências e probabilidades (BRASIL, 2010c); efeito da incerteza nos objetivos (ABNT, 2009).
Risco de controle – possibilidade de que os controles adotados pela administração não sejam eficazes para tratar o risco a que se propõe.
Risco de oportunidade – risco associado a aproveitar oportunidades que podem gerar benefícios à organização.
Risco estratégico – risco de longo prazo ou risco de oportunidade relacionado aos objetivos estratégicos e às estratégias adotadas para alcançá-los.
Risco inerente – o risco intrínseco à natureza do negócio, do processo ou da atividade, independentemente dos controles adotados.
Risco operacional – risco de perdas resultantes direta ou indiretamente de falha ou inadequação de processos internos, pessoas e sistemas ou de eventos externos.
Risco residual – o risco retido de forma consciente ou não pela administração, que remanesce mesmo após o tratamento de riscos.
Riscos-chaves – riscos estratégicos e riscos operacionais relevantes para o negócio, relacionados aos objetivos-chaves da organização. "
Feita a revisão, já podemos analisar as alternativas:
A) Errado, riscos sistêmicos não são definidos pela literatura de auditoria. Em todo o caso, a implantação de um portal de pagamento aos fornecedores não tem caráter sistêmico (generalizado), é uma ação administrativa localizada que impacta apenas parte da entidade.
B) Errado, riscos de governança são relacionados ao conjunto de políticas e processos que moldam a maneira como uma organização é dirigida, administrada, controlada e presta contas do cumprimento das suas obrigações de accountability.
Não tem relação com o caso do enunciado.
C) Certo, no caso hipotético, a implantação do portal configura na melhoria de um processo interno. Nesse caso, ocorreu a diminuição, essencialmente, dos riscos operacionais.
D) Errado, riscos de mercado também não são definidos pela literatura de auditoria. Em todo o caso, a implantação de um portal de pagamento aos fornecedores é uma ação administrativa que diz respeito à organização e não ao mercado.
Gabarito do Professor: Letra C
¹Brasil. Tribunal de Contas da União. Roteiro de Auditoria de Gestão de Riscos / Tribunal de Contas da União. – Brasília: TCU, Secretaria de Métodos e Suporte ao Controle Externo, 2017.