A gestão de riscos é uma atividade essencial para qualquer organização que pretenda alcançar os seus objetivos e criar valor para os seus stakeholders. Os riscos são eventos ou condições incertas que podem afetar positiva ou negativamente o desempenho da organização. A gestão de riscos consiste em identificar, analisar, avaliar, tratar, monitorizar e comunicar os riscos de forma sistemática e integrada.
A auditoria interna é uma função independente e objetiva que presta serviços de avaliação e consultoria à organização, com o propósito de melhorar a eficácia e eficiência dos processos de governança, gestão de riscos e controlo interno. A auditoria interna contribui para a criação de valor ao fornecer garantia e recomendações baseadas em evidências sobre a adequação e a efetividade dos sistemas de gestão da organização.
A ISO é a Organização Internacional de Normalização, que desenvolve e publica normas internacionais que estabelecem requisitos, diretrizes e boas práticas para diversos domínios e setores. A ISO tem como missão promover a inovação, a qualidade e a segurança, facilitando o comércio e a cooperação internacional, pretende ser um guia não um check-point.
A relação entre a gestão de riscos, a auditoria interna e a ISO é de complementaridade e alinhamento. A gestão de riscos e a auditoria interna partilham o mesmo objetivo de apoiar a organização a atingir os seus fins, através de uma abordagem baseada no risco. A ISO fornece normas e referencias que orientam e harmonizam as práticas de gestão de riscos e de auditoria interna, contribuindo para a melhoria contínua e a conformidade.
Algumas das normas ISO relevantes para a gestão de riscos e a auditoria interna são:
- ISO 31000:2018 – Gestão do risco – Princípios e diretrizes. Esta norma fornece um quadro conceptual e um processo para a gestão de riscos, aplicável a qualquer tipo de organização e de risco. A norma define os princípios, a estrutura e o processo de gestão de riscos, bem como as responsabilidades e as atividades envolvidas.
- ISO 31010:2019 – Gestão do risco – Técnicas de avaliação do risco. Esta norma apresenta uma gama de técnicas para a identificação, análise e avaliação dos riscos, de acordo com o contexto e os objetivos da organização. A norma ajuda a selecionar e aplicar as técnicas mais adequadas para cada situação de risco, considerando os critérios de aceitação e as fontes de informação disponíveis.
- ISO 19011:2018 – Diretrizes para auditoria de sistemas de gestão. Esta norma fornece orientações para a realização de auditorias internas e externas de sistemas de gestão, incluindo os sistemas de gestão de riscos. A norma aborda os princípios, o programa, o planeamento, a execução, o relatório e o seguimento das auditorias, bem como a competência e a avaliação dos auditores.
- ISO 22301:2019 – Segurança e resiliência – Sistemas de gestão da continuidade de negócio – Requisitos. Esta norma especifica os requisitos para estabelecer, implementar, manter e melhorar um sistema de gestão da continuidade de negócio, que visa proteger a organização contra as interrupções e assegurar a recuperação das suas atividades críticas. A norma aborda os aspetos de liderança, planeamento, suporte, operação, avaliação e melhoria do sistema de gestão da continuidade de negócio.
Estas normas são apenas alguns exemplos de como a ISO pode auxiliar a gestão de riscos e a auditoria interna a desempenhar as suas funções de forma eficaz e eficiente, seguindo as melhores práticas internacionais e aumentando a confiança dos stakeholders. A gestão de riscos e a auditoria interna são, assim, parceiros estratégicos da organização, que devem trabalhar em conjunto e em harmonia, tendo como referência as normas ISSO.
António Jorge Menezes
Membro da Associação Profissional de Formadores
Jurista | Director Estrutura Formativa | Formador | Auditor Interno | Colunista | Escritor