PULSO GLOBAL DA AUDITORIA INTERNA 2015 · de 14.500 respostas utilizáveis, de 166 países, para...

PULSO GLOBAL DA AUDITORIA INTERNA 2015

Aproveitando Oportunidades em um Ambiente Dinâmico

JULHO DE 2015

Este relatório é promovido pelo The IIA Research Foundation™

Common Body of Knowledge® (CBOK®)


DISCLAIMER

Copyright © 2015 The Institute of Internal

Auditors (IIA), localizado em Maitland Ave.,

247, Altamonte Springs, FL, 32701, E.U.A.

Todos os direitos reservados. Publicado nos

Estados Unidos da América. A não ser para os

propósitos desta publicação, os leitores deste

documento não podem reproduzir, redistribuir,

exibir, alugar, emprestar, revender, explorar

comercialmente ou adaptar os dados estatísticos

e demais dados aqui contidos sem permissão do

The IIA.

SOBRE ESTE DOCUMENTO

As informações incluídas neste relatório são

gerais em natureza e não têm o objetivo de

abordar qualquer indivíduo, função de auditoria

interna ou organização em particular. O objetivo

deste documento é compartilhar informações e

outras práticas, tendências e questões de

auditoria interna.

No entanto, nenhum indivíduo, função de

auditoria interna ou organização deve atuar com

base nas informações deste documento sem

consulta ou avaliação apropriada. Para baixar

uma versão digital deste relatório, visite

www.theiia.org/goto/globalpulse.

SOBRE O CBOK

O Global Internal Audit Common Body

of Knowledge (CBOK) é o maior estudo

contínuo, no mundo todo, sobre a profissão da

auditoria interna. Apoiado por institutos do IIA

em todo o mundo, o CBOK inclui estudos

abrangentes dos praticantes de auditoria

interna e suas partes interessadas. Para mais

informações sobre o CBOK, visite

www.theiia.org/goto/CBOK.

SOBRE O THE AUDIT

EXECUTIVE CENTER

O The IIA’s Audit Executive Center® é o

recurso essencial para empoderar CAEs para

se tornarem mais bem sucedidos. A suite de

informações, produtos e serviços do Center

permite que CAEs reajam aos desafios

únicos e riscos emergentes da profissão. Para

mais informações sobre o Center, visite

www.theiia.org/cae.

ÍNDICE

Introdução.............................................................................................4

Metodologia e Dados Demográficos......................................................5

Reagindo a Riscos Emergentes..............................................................6

Alcançando uma Visão Corporativa de Riscos.......................................9

Reporte Holístico Expande as Oportunidades da Auditoria Interna. ....13

Gerenciando a Pressão ........................................................................16

Conclusão............................................................................................21

Anexo.................................................................................................. 22

3

http://www.theiia.org/goto/CBOK

http://www.theiia.org/cae

4 THE INSTITUTE OF INTERNAL AUDITORS

INTRODUÇÃO

Hoje, mais do que nunca, o desafio de definir o papel da auditoria é complicado por

um ambiente de negócio dinâmico. Riscos emergentes nunca parecem diminuir,

partes interessadas querem e precisam de uma visão de riscos abrangente, novos

modelos de reporte estão surgindo e executivos chefes de auditoria (chief audit

executives - CAEs) são frequentemente incomodados por pressões políticas.

Para lidar com essas preocupações neste ano, o The IIA’s Audit Executive Center

colaborou com a The IIA Research Foundation (IIARF) para incluir as perguntas da

pesquisa Pulso da Auditoria Interna na Pesquisa do Praticante do Common Body of

Knowledge (CBOK) Global de Auditoria Interna de 2015. Ao fazer isso,

alcançamos um número recorde de CAEs para informar o relatório de 2015 do

Pulso Global da Auditoria Interna.

Quatro grandes temas foram explorados neste relatório:

• Os riscos continuam emergindo rapidamente para as organizações. Uma

avaliação de riscos anual já não é suficiente. Os CAEs precisam entender os

riscos emergentes rapidamente, revisar frequentemente seus planos de auditoria

em resposta a essas novas informações e comunicar essas mudanças às suas

partes interessadas com eficácia.

• O risco não pode ser visto em silos, mas deve ser considerado amplamente. A

auditoria interna precisa ter a mesma visão de amplitude. Isso significa que a

auditoria interna deve trabalhar de perto com outras funções de risco na

definição, estudo e prestação de avaliação sobre os riscos.

• O reporte externo para organizações inclui mais do que o reporte financeiro. O

uso do reporte de sustentabilidade e do reporte integrado aumentou. Ambos os

tipos de relatórios seriam beneficiados pela expertise e pelo insight da auditoria

interna. Os CAEs podem aproveitar essa oportunidade para agregar maior valor às

suas organizações.

• As pressões políticas podem ser gerenciadas com sucesso. Para fazê-lo, os CAEs

precisam otimizar suas linhas de reporte, considerar o impacto de suas escolhas

sobre a objetividade na condução das atividades de auditoria interna, insistir em

obter acesso a todas as informações de que precisam e garantir que seu trabalho

seja de alta qualidade para superar desafios.

Por meio do relatório Pulso Global da Auditoria Interna, esperamos apoiar seus

esforços de melhorar suas organizações e a profissão.

Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA

Presidente e CEO

The Institute of Internal Auditors


5

METODOLOGIA E DADOS DEMOGRÁFICOS

Em esforços coordenados com a The IIARF, o Audit Executive Center do The IIA incorporou as perguntas da pesquisa do

Pulso da Auditoria Interna na Pesquisa do Praticante do CBOK Global de Auditoria Interna de 2015. Isso resultou em mais

de 14.500 respostas utilizáveis, de 166 países, para inclusão nos relatórios CBOK. Todas as respostas foram anônimas. A

pesquisa ficou disponível entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído às

listas de e-mail do instituto, aos sites do IIA, newsletters e mídias sociais. Pesquisas parcialmente respondidas foram

consideradas utilizáveis, desde que as perguntas demográficas tivessem sido respondidas completamente.

As respostas de 3.344 CAEs ou equivalentes e 1.630 diretores ou alta administração à pesquisa foram analisadas para o

relatório do Pulso Global da Auditoria Interna de 2015. Neste relatório, esses dois grupos são chamados de CAEs e

diretores. A não ser quando indicado, os dados fornecidos neste relatório vêm da análise das respostas de CAEs e diretores.

Em alguns casos, participantes CAEs foram analizados rigorosamente. Por favor, note que os dados relatados aqui

representam médias entre os que responderam a Pesquisa e não podem ser generalizados para a população geral de

auditores interno de qualquer região em particular.

CAEs e diretores responderam a Pesquisa de organizações que variam amplamente em localização, tipo, porte e setor da

indústria. A maioria desses participantes (28 porcento) relatou que trabalha principalmente na Europa e Ásia Central –

seguida pelo Leste Asiático e Pacífico, e América do Norte, com 20 porcento cada. Adicionalmente, 14 porcento

responderam da América Latina e Caribe, 8 porcento do Oriente Médio e África do Norte, 6 porcento da África Subsaariana

e 3 porcento do Sul da Ásia. Veja o Anexo para detalhes sobre o número de participantes CAEs e diretores por país ou

território.

CAEs e diretores que responderam a Pesquisa vieram de diferentes tipos de organizações: 35 porcento identificaram sua

organização como privada; 33 identificaram como de capital aberto; e 23 porcento como do setor público.

Apesar de muitos CAEs e diretores (34 porcento) reportarem uma receita anual de mais de US$1 bilhão para suas

organizações individuais, a maioria dos participantes estimou a receita total como substancialmente menor. Na verdade, 34

porcento reportaram uma receita anual de US$100 milhões ou menos. Similarmente, os portes da equipe de auditoria

também variaram muito entre CAEs e diretores, com a maioria (61 porcento) reportando equipes de um a nove funcionários

– apesar de significantes 12 porcento reportarem equipes de 50 ou mais.

Selecionando a partir de 20 respostas possíveis, 29 porcento dos CAEs e diretores identificaram sua indústria como

finanças e seguros. Outras indústrias representadas em altos números foram manufatura (13 porcento) e administração

pública (8 porcento).


REAGINDO A RISCOS EMERGENTES

Em um momento em que o mundo tem acesso instantâneo à informação, os riscos

capazes de destruir décadas de valor acumulado podem se materializar da noite para

o dia e sem qualquer aviso prévio. Surpresas geopolíticas, macroeconômicas e

ciberrelacionadas tornaram-se quase rotineiras. Raramente se passa um dia sem uma

referência a uma nova ameaça global ou ciberataque.

Seja a tensão política, terremotos ou uma pandemia crescente, todos têm um

impacto sobre o negócio. A volatilidade de tais riscos emergentes e em evolução está

colocando uma pressão enorme sobre as funções de auditoria interna, o que entra em

conflito com uma grande variedade de questões, da identificação e gerenciamento de

riscos relativos à globalização e interdepedência, até a proliferação dos canais de

comunicação global interconectados.

As Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) do

The IIA exigem que os auditores internos tenham um plano com base em riscos.

Dessa forma, nosso foco deve estar sobre as áreas de uma organização que

provavelmente serão mais afetadas por fatores que impeçam a organização de atingir

seus objetivos – as áreas de maior risco. Riscos tradicionais, de rotina, são facilmente

identificados, bem conhecidos e prontamente avaliados. Riscos emergentes, aqueles

não identificados até mês passado ou ano passado, são os riscos mais difíceis de

identificar e avaliar. Mas, justamente por esse motivo, também podem ser os mais

críticos nos quais a auditoria interna deva focar.

Descobertas Relativas aos Riscos Emergentes

PLANEJAMENTO DE AUDITORIA. Os participantes CAEs indicaram maior foco

nos riscos estratégicos do negócio (48 porcento), TI (42 porcento) e governança

corporativa (32 porcento) – áreas especialmente suscetíveis aos riscos emergentes.

Ao mesmo tempo, CAEs reportaram que atualizam suas avaliações de riscos em

intervalos que podem ser menos frequentes do que o necessário. Apenas 23 porcento

relataram que conduzem avaliações de riscos contínuas (veja o Documento 1). Esse

pode ser o motivo pelo qual a maioria dos CAEs também reportou que atualizam seu

plano de auditoria no máximo uma ou duas vezes ao ano (veja o Documento 2).

Apesar da alta velocidade na qual os riscos mudam, apenas 16 porcento dos CAEs

indicaram que seu processo de planejamento de auditoria é flexível o suficiente para

reagir aos riscos emergentes imediatamente.

Esses dados indicam que 77 porcento dos CAEs pode não identificar os riscos de

forma oportuna e 84 porcento demorariam a responder com um plano de auditoria

atualizado durante uma crise, como um problema no upgrade do sistema de

planejamento de recursos corporativos, um grande ciberataque em um concorrente

próximo ou uma tomada do governo em um país no qual a organização atue. O CAE

pode estar pensando que tais itens não têm impacto sobre a organização, mas o

histórico dos maiores eventos de riscos sugere que as organizações, frequentemente,

estão despreparadas para responder rapidamente, por conta da superconfiança em

sua habilidade de evitar tais riscos.

7


Documento 1 – Frequência das Avaliações de Riscos

Observação: Q42: Com que frequência a auditoria interna conduz uma avaliação de riscos?

CAEs apenas. 2.941 participantes. Por conta de arredondamento, os totais de algumas regiões

podem não ser iguais a 100 porcento.

Documento 2 – Frequência de Atualização do Plano de Auditoria

Observação: Q38: Como você descreveria o desenvolvimento do plano de auditoria em sua

organização? CAEs apenas. 3.014 participantes. Por conta de arredondamento, os totais de

algumas regiões podem não ser iguais a 100 porcento.


A maior atenção da auditoria interna às áreas mais suscetíveis aos riscos

emergentes sugere progresso, mas o progresso é lento. A auditoria interna precisa

auditar na velocidade do risco, não na velocidade de seu processo interno

tradicional.

Olhando à Frente

Considerando a ameaça, escopo e importância dos riscos emergentes e em

evolução, é imperativo que as funções de auditoria interna e organizações que

elas atendem avaliem os riscos de forma capaz e contínua e respondam

rapidamente a esses riscos. Auditar na velocidade do risco significa que os CAEs

precisam desenvolver a capacidade, em sua equipe, de alinhar ou realinhar

continuamente sua cobertura de auditoria, para abordar os principais riscos e

evitar surpresas prejudiciais. Empresas globais, especificamente, precisam

recalibrar seus planos de auditoria constantemente, com base no que está

acontecendo em suas organizações, em suas indústrias e no mundo.

Os Imperativos para o CAE

O mandato de abordar riscos emergentes e em evolução é claro. Riscos estão

surgindo em um ritmo sem precedentes e a impaciência das partes interessadas

perante surpresas é evidente. As ações sugeridas a seguir foram adaptadas da

publicação Imperatives for Change: The IIA’s Global Internal Audit Survey in Action1:

• DESENVOLVA processos dentro da auditoria interna, para identificar e

reportar a respeito dos riscos emergentes:

■ Torne a identificação e avaliação de questões emergentes uma competência

chave da auditoria interna.

■ Coordene com o negócio e as funções da organização, para compartilhar

informações e visões sobre as questões emergentes.

■ Use fontes externas de dados, conhecimentos e questões de negócios para

auxiliar na identificação de questões emergentes externas.

• AVALIE o processo existente de revisão do plano de auditoria interna; desenvolva

uma abordagem para agir mais rapidamente e fazer mudanças mais frequentes no

plano de auditoria, conforme os riscos da organização mudam.

• COMUNIQUE-SE com as principais partes interessadas (gerência executiva e o

conselho) sobre riscos em mudança e a necessidade de revisar o plano de auditoria

oportunamente.

■ Busque concordância quanto a um equilíbrio adequado entre a necessidade da

auditoria de “completar o plano de auditoria” e a necessidade da auditoria

interna de reagir a riscos emergentes e em mudança.

• REPORTE às partes interessadas quanto aos riscos em mudança e relacione essas

mudanças diretamente às mudanças no plano de auditoria.

1. Richard J. Anderson e J. Christopher Svare, “Imperatives for Change: The IIA’s Global Internal Audit Survey in

Action,” (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2011).

9


ALCANÇANDO UMA VISÃO CORPORATIVA DE RISCOS

Quando se trata da mitigação de riscos, uma das principais metas do conselho é

atingir uma visão corporativa da grande variedade de riscos que a organização

enfrenta. Apesar de as funções de auditoria interna serem bem posicionadas para

auxiliar os conselhos com sua supervisão do gerenciamento de riscos e

governança, isso vai variar de acordo com a natureza, porte e tipo de organização,

assim como os mercados que ela atende. Em organizações menores, por exemplo,

auditores internos podem fornecer ao conselho insights independentes, objetivos

e informados, necessários para ter um entendimento abrangente dos riscos

organizacionais. Em comparação, uma organização de grande porte pode ter um

diretor de riscos encarregado de auxiliar o conselho em suas responsabilidades de

supervisão regularmente. Em tais casos, o papel da auditoria interna é claramente

mais auxiliar e colaborativo, em apoio às atividades de identificação de riscos da

administração.

Atividades regulatórias relativas à legislação do mercado de capitais também

guiam as responsabilidades de supervisão do conselho e contribuem com a

maturidade relativa das atividades de gerenciamento de riscos de uma empresa.

Por exemplo, de acordo com o U.K. Corporate Governance Code2 (U.K. Code),

que governa as empresas listadas na London Stock Exchange, o conselho de

administração tem a responsabilidade de “determinar a natureza e extensão dos

principais riscos que está disposto a aceitar na busca por atingir seus objetivos

estratégicos” e manter “sistemas razoáveis de gerenciamento de riscos e controle

interno.” O U.K. Code também dá ao conselho a responsabilidade de estabelecer

acordos relativos à aplicação dos princípios de reporte corporativo, gerenciamento

de riscos e controle interno.

Técnicas usadas pela auditoria interna para prestar assistência aos conselhos em

suas responsabilidades de riscos vão de simples planilhas de trabalho a sistemas

elaborados. O objetivo dessas técnicas é dar uma visão do gerenciamento de riscos

corporativos (enterprise risk management – ERM) e avaliação combinada.

Descobertas Relativas a uma Visão Corporativa de Riscos Considerando que o ERM é um método comum usado para traçar o perfil de

riscos em uma organização, a Pesquisa buscou um cenário preciso das

responsabilidades atuais da auditoria interna no ERM. Conforme reportado na

Pesquisa, 47 porcento dos participantes CAEs e diretores prestam avaliação

quanto a riscos individuais, 46 porcento prestam avaliação quanto ao

gerenciamento de riscos como um todo e 56 porcento prestam aconselhamento e

consultoria quanto às atividades de gerenciamento de riscos. Quando solicitados a

descrever a maturidade relativa dos processos de gerenciamento de riscos de sua

2. The U.K. Corporate Governance Code, (Londres: Financial Reporting Council, 2014), 17.


Documento 3 – Maturidade dos Processos de Gerenciamento de Riscos

Observação: Q58: Qual é o nível de desenvolvimento dos processos de gerenciamento de riscos de sua organização?

CAEs apenas. 2.675 participantes. Por conta de arredondamento, os totais de algumas regiões podem não ser iguais a

100 porcento.

organização, 37 porcento dos participantes CAEs descreveram seus processos de

gerenciamento de riscos como informais ou apenas em desenvolvimento, 29 porcento

relataram que têm processos e procedimentos de gerenciamento de riscos em prática

e 24 porcento disseram que sua organização tem um processo formal de ERM, com

um diretor de riscos ou equivalente (veja o Documento 3).

AUDITORIA INTERNA E ERM. Os participantes da pesquisa também reportaram

sobre o relacionamento entre a auditoria interna e o ERM em sua organização. Doze

porcento dos participantes CAEs e diretores relataram que a auditoria interna e o

ERM são funções separadas, sem interação. Outros 66 porcento reportaram que,

apesar de serem funções separadas, a auditoria interna e o ERM são mais

colaborativas, com as duas equipes coordenando e compartilhando conhecimento.

Uma porcentagem significantemente maior (72 porcento), na Europa e Ásia Central,

afirmou que esse acordo colaborativo descreve a relação entre as duas funções em

suas organizações. Por outro lado, 15 porcento dos participantes CAEs e diretores

indicaram que a auditoria interna é responsável pela função de ERM da organização e

outros 7 porcento declararam que a auditoria interna é atualmente responsável pelo

ERM, mas que a organização planeja transferir a responsabilidade do ERM para

outra área. Independência e objetividade são considerações fundamentais para os 22

porcento que estão atualmente responsáveis pelo ERM. A auditoria interna não pode

auditar processos pelos quais seja responsável.

11


Documento 4 – Planejamento para Implementar Avaliação Combinada

Observação: Q61: Sua organização implementou um modelo formal de avaliação combinada? Apenas respostas de CAEs e diretores estão reportadas.

“Sim ou planeja implementar avaliação combinada no futuro” inclui aqueles que responderam “sim, já está implementada”; “sim, mas ainda não foi

aprovada pelo conselho ou comitê de auditoria”; e “não, mas planeja adotar um nos próximos 2 a 3 anos”. 3.795 participantes. Por conta de

arredondamento, os totais de algumas regiões podem não ser iguais a 100 porcento.

AUDITORIA INTERNA E AVALIAÇÃO COMBINADA. A Pesquisa também

mensurou as atividades dos participantes na área da avaliação combinada, que,

conforme King III3 observa, “busca otimizar a cobertura de avaliação obtida pela

gerência, prestadores de avaliação interna e prestadores de avaliação externa quanto

às áreas de risco que afetam a empresa.” Especificamente, os CAEs e diretores

responderam se suas organizações implementaram um modelo formal de avaliação

combinada: 49 porcento reportaram que já têm um modelo ou plano de

implementação para o futuro; 26 porcento reportaram que não têm planos de

adotar tal modelo; e outros 25 porcento indicaram que não estão familiarizados com

o modelo (veja o Documento 4). Vale notar que 57 porcento dos CAEs e diretores

também relataram que suas funções de auditoria interna emitem uma avaliação

escrita de avaliação combinada.

Apesar de a avaliação combinada prestada pela auditoria interna oferecer uma

variedade de benefícios óbvios, Ernesto Martínez Gómez, vice-diretor corporativo

de auditoria interna no Banco Santander e global director at large do IIA, observou

que “poderia prejudicar a independência de uma atividade de auditoria interna e

3. King Code of Governance Principles, (Parklands, África do Sul: Institute of Directors in Southern

Africa, 2009).


afetar seu posicionamento como verdadeiro prestador de avaliações global. A

avaliação prestada pela administração não é idêntica à avaliação prestada pelos

auditores internos ou externos, que têm níveis diferentes de independência e

objetividade em relação aos da administração.”

Os Imperativos para o CAE Aumentar a colaboração entre funções e promover um foco coordenado sobre o risco

com funções adjacentes são formas principais pelas quais a auditoria interna pode

servir sua organização. Para otimizar oportunidades na arena do gerenciamento de

riscos:

• COLABORE com funções adjacentes, para atingir uma abordagem corporativa

eficaz ao gerenciamento de riscos. Na prática, a auditoria interna pode focar nos

riscos mitigados por meio de controles internos, enquanto outras funções podem

olhar além desses riscos para dar uma perspectiva adicional. Unir todas as funções

engajadas em identificar, gerenciar e reportar riscos resulta em um cenário mais

abrangente do gerenciamento de riscos para a organização como um todo.

• DETERMINE como a auditoria interna e suas funções adjacentes podem

apoiar melhor a supervisão das atividades de gerenciamento de riscos e

governança. Leve em conta a maturidade das operações de gerenciamento de

riscos e a habilidade da auditoria interna, e das funções relacionadas a riscos, de

trabalhar em coordenação ao abordar o ERM.

• ESFORÇOS DE AVALIAÇÃO DE LIGAÇÕES. Para uma função de auditoria

interna, a maior meta é prestar avaliações independentes e objetivas quanto ao

gerenciamento de riscos, incluindo as atividades da primeira e segunda linhas de

defesa do Modelo de Três Linhas de Defesa4. Se uma organização tem uma

variedade de funções separadas na segunda linha de defesa, conduzindo

avaliações de riscos e prestando avaliações de algum tipo – tais como de TI e

gerenciamento de riscos, além de auditoria interna –, a organização deve

desenvolver uma visão abrangente de todas as atividades para o conselho.

• DESAFIE o processo de gerenciamento de riscos, para garantir que todos os

riscos significantes sejam identificados e avaliados apropriadamente para o

conselho. Considere os métodos usados para identificar e mensurar os riscos.

• SEJA CRIATIVO. Nenhum único modelo de abordagem ao ERM funciona para

todas as organizações. Identifique, explore e critique diferentes abordagens ao

ERM para determinar a melhor para sua organização.

4. The IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, (Altamonte

Springs, FL: The Institute of Internal Auditors, 2013).

13


O REPORTE HOLÍSTICO EXPANDE AS

OPORTUNIDADES DA AUDITORIA INTERNA

A indústria bancária e outras crises fizeram com que as partes interessadas

questionassem as decisões estratégicas e o verdadeiro valor de uma organização. O

valor de uma organização vai além da análise e reporte financeiro quanto à alocação

de recursos e tomada de decisões. A habilidade das organizações de comunicar uma

visão abrangente e holística da geração de valor se tornou mais importante.

Historicamente, algumas empresas publicam relatórios financeiros, de

sustentabilidade e outros relatórios internos e externos. O movimento atual é em

direção a um reporte que incorpore resultados de diversos relatórios, para criar uma

história holística sobre o valor de uma organização. Esse método é conhecimento

como reporte integrado, que é simplesmente um documento conciso que descreve

como uma organização planeja gerar valor a curto, médio e longo prazo, focando em

seis capitais organizacionais5.

Apesar de relativamente novo, é esperado que o uso do reporte integrado cresça

significantemente. Ao mesmo tempo, o uso do reporte de sustentabilidade, que

vem sendo usado há anos para melhorar estratégias de marketing e tomada de

decisões, também está crescendo. Para os dois tipos de relatório, há uma forte

demanda por expertise e insight por parte da auditoria interna.

Descobertas Relativas ao Reporte Holístico REPORTE INTEGRADO. Os participantes CAEs e diretores da Pesquisa

responderam se suas organizações estavam planejando criar um relatório integrado

anual com base da International Integrated Reporting <IR> Framework, publicada

no final de 2013. Em suas respostas, 30 porcento dos CAEs e diretores declararam

que planejar emitir um relatório integrado este ano ou no futuro próximo – com 63

porcento deles participando da África Subsaariana6, indicando que estão adotando

a estrutura (veja o Documento 5).

REPORTE DE SUSTENTABILIDADE. Enquanto isso, quase metade (48

porcento) dos participantes CAEs e diretores disseram que suas organizações

planejar emitir um relatório de sustentabilidade neste ano ou no futuro (veja o

Documento 5). De acordo com essas respostas, a América do Norte fica por

último, com apenas 28 porcento planejando emitir um relatório de

sustentabilidade.

5. The International <IR> Framework, (Londres: The International Integrated Reporting Council, 2013).

6. Trinta e três porcento dos participantes da África Subsaariana indicaram que estavam localizados na

África do Sul. Em 2010, a Bolsa de Johannesburg adotou os princípios de King III, que recomendam o uso

do reporte integrado.


Documento 5 – Comparação do Reporte Integrado e de Sustentabilidade

Observação: Q69: Sua organização planeja criar um relatório integrado anual com base na International Integrated Reporting (< IR >) Framework? Q70:

Sua organização planeja publicar um relatório sobre sustentabilidade? inclui quem respondeu “sim, este ano”; “sim, em algum momento nos próximos 2

a 3 anos”; e “sim, em um momento não específico no futuro.” Apenas respostas de CAEs e diretores estão reportadas. 3.746; 3.346 participantes.

A Auditoria Interna Está Bem Posicionada para Apoiar o Reporte

Integrado e de Sustentabilidade A auditoria interna é unicamente qualificada para apoiar a implementação do reporte

integrado. Conforme observado em um estudo publicado pelos institutos europeus

de auditoria interna, CAEs interagem rotineiramente com os principais envolvidos,

centrais ao processo de reporte integrado de uma organização7. Com a

independência organizacional apropriada e um entendimento razoável do negócio, a

auditoria interna pode prestar a avaliação necessária para aumentar a credibilidade

do reporte integrado e pode ajudar a fortalecer a consistência da comunicação em

todas as unidades de negócio. O mesmo pode ser aplicado ao reporte de

sustentabilidade. Apesar de, historicamente, a auditoria interna não se envolver no

reporte de sustentabilidade, a auditoria interna pode agregar valor, comunicando o

impacto sobre os processos do negócio. “Ninguém pode fornecer um reporte

integrado significante sem um forte entendimento de seus impactos de

sustentabilidade e como os processos de negócio incorporam os dados de

sustentabilidade”, observou Eric Hespenheide, presidente do Technical Advisory

Committee da Global Reporting Initiative e ex-sócio da Deloitte.

7. “Enhancing Integrated Reporting — Internal Audit Value Proposition,” (IIA–France, IIA–Netherlands, IIA–

Norway, IIA–Spain, IIA–UK and Ireland, 2015).

15


O interesse crescente nesses relatórios cria uma oportunidade para os CAEs se

engajarem mais em sua organização, para oferecer insights com relação ao impacto

dos riscos de sustentabilidade e para prestar avaliação sobre a confiabilidade dos

dados de sustentabilidade. Além disso, a popularidade dos relatórios integrados e de

sustentabilidade dá à auditoria interna a oportunidade de “permitir uma melhor

tomada de decisões”, conforme declarado na declaração de missão de uma grande

empresa de tecnologia.

Os Imperativos para o CAE Conforme os requisitos integrados e de sustentabilidade crescem no mundo todo,

CAEs podem demonstrar liderança por meio das seguintes medidas:

• DESENVOLVER um forte entendimento do reporte integrado e de

sustentabilidade, avaliando a cultura da organização e entrando em contato

com as partes interessadas para entender o impacto da sustentabilidade sobre

o negócio.

• IDENTIFICAR dados relevantes não financeiros, processos e procedimentos para

lidar com esses dados e oportunidades para a auditoria interna prestar serviços de

aconselhamento para melhoria.

• COLABORAR com as principais partes interessadas para determinar onde a

auditoria interna pode prestar avaliação com relação à qualidade dos sistemas de

dados e gerenciamento existentes, ex., auditorias da cadeia de fornecimento.

• CRIAR uma estratégia abrangente de auditoria para serviços de

aconselhamento a processos e sistemas que apoiem o reporte integrado e de

sustentabilidade. Inclua um mecanismo de feedback para ajudar a garantir o

alinhamento das partes interessadas.


GERENCIANDO A PRESSÃO

Para serem bem sucedidos, CAEs precisam da coragem de lidar com as pressões

políticas com eficácia, para que possam abordar uma grande variedade de questões

delicadas que suas organizações enfrentam. Conforme aponta um relatório recente

da The IIA Research Foundation8, alguns CAEs demonstram a coragem e

diplomacia necessárias para transitar pelos campos minados políticos com eficácia.

Notícias evidenciam outros líderes de auditoria interna que parecem ter falhado

neste quesito. Múltiplos fatores contribuem para o sucesso nesta área: linhas de

reporte, metas pessoais e organizacionais e o apoio do conselho – assim como a

conformidade com as Normas.

As respostas à Pesquisa enfatizam certas áreas às quais CAEs devem dar sua

atenção, para lidar, com eficácia, com a pressão política.

Descobertas Relativas a Pressões sobre o CAE LINHAS DE REPORTE. O posicionamento de uma função de auditoria interna

dentro de sua organização mãe tem muito a ver com sua habilidade de cumprir com

sua missão eficazmente. Quando respoderam sobre a principal linha de reporte

funcional para o CAE ou equivalente em sua organização, 72 porcento dos

participantes CAEs disseram que reportam ao comitê de auditoria (ou equivalente)

ou ao conselho de administração (veja o Documento 6). Essa estrutura de reporte é

ideal, porque permite ao CAE buscar conselhos, orientações e apoio de partes

interessadas chave que, provavelmente, não serão fontes de pressão indevida sobre o

processo de auditoria. Ao mesmo tempo, no entanto, 19 porcento dos participantes

disse que reporta funcionalmente ao CEO, presidente ou chefe de agência

governamental e outros 4 porcento disseram reportar ao CFO.

Para auditar com sucesso, CAEs devem ser livres do controle daqueles que eles

precisam auditar. Por esse motivo, linhas de reporte são críticas, mas são

insuficientes para garantir liberdade do controle. Para os 72 porcento de CAEs que

reportam a um grupo de supervisão, o reporte precisa ser robusto, aberto,

colaborativo e honesto – todos os fatores servem para reforçar uma abordagem

corajosa à auditoria. Atingir tais caracterizações positivas exige construir e manter

relacionamentos profissionais próximos com os principais supervisores. Além disso,

29 porcento indicaram que reportam tanto funcional quanto administrativamente à

gerência. Estes CAEs podem achar muito mais difícil lidar com a pressão política.

PLANEJAMENTO DE CARREIRA. De acordo com os resultados da pesquisa, 29

porcento dos CAEs reportam estar sujeitos à pressão política para mudar uma

8. Dr. Larry Rittenberg e Patricia K. Miller, The Politics of Internal Auditing, (Altamonte Springs, FL: The Institute

of Internal Auditors Research Foundation, 2015).

17


Documento 6 – Linha de Reporte Funcional para o CAE

Observação: Q74: Qual é a principal linha de reporte funcional para o executivo chefe de auditoria (CAE) ou equivalente em sua organização? Apenas

CAEs. A pesquisa declarava que “o reporte funcional refere-se à supervisão das responsabilidades da função de auditoria interna, incluindo a aprovação

do estatuto de auditoria interna, o plano de auditoria, a avaliação do CAE, a compensação do CAE.” 2.599 participantes. Por conta de arredondamento,

os totais de algumas regiões podem não ser iguais a 100 porcento.

descoberta ou relatório de auditoria. Obviamente, tais pressões podem ter

consequências significantes, desde a perda do favor até à demissão ou demoção.

Sobre o planejamento de carreira, 72 porcento dos CAEs disseram que planejam

continuar na profissão da auditoria interna pelos próximos 5 anos, 9 porcento

disseram que planejam se aposentar e o restante está incerto ou planeja assumir

diferentes papéis (veja o Documento 7).

Sem contar com os CAEs que planejam se aposentar da profissão, a maioria dos

líderes de auditoria encara desafios advindos das pressões políticas. Os 72 porcento

de CAEs que planejam permanecer na auditoria interna precisam explorar

mudanças na carreira e opções externas, se sua organização não estiver disposta a

respeitar sua resistência à pressão política. CAEs que planejem sair da auditoria

interna, incluindo CAEs em rotação para os quais a auditoria interna seja apenas

um passo em seu caminho profissional, precisam decidir se cumprir com suas

responsabilidades como CAE é mais importante do que suas opções de carreira a

longo prazo dentro de sua organização mãe.

SUPORTE E ACESSO. Os resultados da pesquisa relativos ao apoio do

conselho à auditoria interna sugerem que isso deve ser uma área de preocupação.

Enquanto pouco mais da metade (57 porcento) dos CAEs reportaram ter o apoio

completo do conselho para revisar políticas e procedimentos de governança


Documento 7 – CAEs que Planejam Permanecer na Auditoria Interna

Observação: Q36: Nos próximos cinco anos, quais são seus planos de carreira com relação à auditoria interna? Apenas respostas de CAEs estão relatadas. 3.108 participantes.

Documento 8 – CAEs Reportando Acesso Irrestrito

Observação: Q53: Em sua opinião, até que ponto o departamento de auditoria interna tem acesso completo e irrestrito às propriedades e registros dos funcionários para a condução das atividades de auditoria? Apenas

respostas de CAEs estão relatadas. 2.765 participantes.

19


organizacional, significantes 43 porcento reportaram pouco ou nenhum apoio.

Políticas e procedimentos de governança, frequentemente, levam os auditores

internos a áreas com impacto pessoal direto sobre a administração, tais como

compensação executiva, programas relativos à ética, fluxo livre de informações entre a

administração e o conselho, isenções da administração às políticas organizacionais,

etc. O apoio do conselho é crítico caso um CAE se depare com descobertas delicadas

que exijam coragem para lidar.

Os participantes da pesquisa também responderam sobre o acesso da auditoria

interna aos registros e propriedades necessários à condução das auditorias internas.

Uma pequena maioria (54 porcento) de CAEs relatou que a auditoria interna tem

acesso completo e irrestrito aos registros e propriedades dos funcionários na

condução das auditorias internas (veja o Documento 8). Na realidade, isso significa

que em pouco menos da metade das organizações, os CAEs podem ser impedidos de

obter a documentação dos funcionários sobre questões relativas ao trabalho – acesso

irrestrito é essencial para os auditores internos.

CONFORMIDADE COM AS NORMAS. CAEs que assumem posições não

populares são desafiados pela administração e, portanto, precisam documentar seu

trabalho com eficácia. A melhor defesa contra um trabalho de auditoria incompleto,

inadequado e mal elaborado é uma forte aderência às Normas. A conformidade eficaz

com as Normas exige um Programa de Melhoria e Certificação de Qualidade (Quality

Assurance and Improvement Program - QAIP). Na pesquisa, apenas 34 porcento dos

participantes CAEs reportaram ter um QAIP bem definido (veja o Documento 9).

Outro terço dos CAEs disse que seu QAIP estava em desenvolvimento e o terço

restante indicou que seu programa é ad hoc ou inexistente. Se os processos de

auditoria não são capazes de resistir ao escrutínio das partes interessadas, os CAEs

acharão difícil tomar uma postura corajosa.

Documento 9 – Nível de Maturidade do Programa de Melhoria e Certificação de Qualidade

Observação: Q47: Qual o nível de desenvolvimento do programa de melhoria e certificação de qualidade (quality assurance and improvement program - QAIP) em sua organização? Apenas CAEs. “Bem definido” inclui os que responderam “bem definido, incluindo revisão externa de qualidade e uma

ligação forma com atividades de melhoria contínua e treinamento da equipe .” 2.833 participantes.


Os Imperativos para o CAE

Embora cada organização seja distinta, CAEs em todos os lugares do mundo

precisam fortalecer sua habilidade de lidar eficazmente com questões delicadas. Para

este fim, os CAEs devem:

• DESENVOLVER linhas e relacionamentos de reporte que posicionem a

auditoria interna com a independência necessária para lidar com tópicos

delicados diretamente com os membros da organização de supervisão (ex., o

conselho). Evite depender demais dos organogramas organizacionais ou

relacionamentos formais.

• CONTEMPLAR o impacto que as questões delicadas podem ter sobre o papel

ou carreira do CAE. Em especial, isso se aplica ao CAE que planeja entrar em

uma área externa à auditoria interna na mesma organização.

• GANHAR o apoio das partes interessadas e o acesso necessário para auditar

altos riscos em toda a organização.

• GARANTIR que a auditoria interna tenha um QAIP robusto em prática para

confirmar que o trabalho de auditoria esteja sendo conduzido com qualidade

suficiente para suportar o escrutínio das partes interessadas.

21


CONCLUSÃO

No ambiente de negócios atual, com seus riscos emergentes e mudanças contínuas, a

auditoria interna precisa ser mais receptiva e engenhosa. CAEs que aceitam sua

responsabilidade de ajudar o conselho a cumprir com seus deveres de supervisão de

riscos se posicionam para navegar neste ambiente dinâmico com sucesso. Portanto, o

relatório Pulso Global da Auditoria Interna 2015 promove visões abrangentes do risco

e o planejamento flexível de auditoria – assim como a atitude de expandir o domínio

da auditoria interna e a coragem para lidar com pressões políticas.

Avaliando riscos emergentes, seja por meio de avaliações formais de riscos ou

conversas informais, os CAEs devem ser capazes de usar essas informações para

realizar ajustes no plano de auditoria. Quanto mais volátil o perfil de riscos de uma

organização, mais flexível e receptivo o plano de auditoria deve ser. Conforme a

auditoria interna expande sua visão para incluir riscos corporativos, os CAEs devem

focar em prestar avaliação quanto às avaliações de riscos corporativos –

independentemente de quem gerencie esses riscos. Adicionalmente, a auditoria

interna precisa garantir que seu envolvimento no ERM ou na avaliação combinada

nunca ameace a independência e objetividade da função.

Preocupações corporativas incluem dados financeiros e não financeiros utilizados na

tomada de decisões. Mais especificamente, as partes interessadas estão dando mais

atenção ao reporte não financeiro, tais como o reporte integrado ou de

sustentabilidade. Isso apresenta oportunidades para a auditoria interna expandir seu

domínio, prestando avaliação de áreas anteriormente não abordadas. O primeiro passo

é entender os impactos da sustentabilidade sobre a organização e onde a auditoria

interna pode apoiar medidas para avaliar os riscos relacionados.

Para atender as demandas em mudança na profissão, os CAEs também precisam

suportar as pressões políticas de seu papel. A auditoria interna exige mecanismos

apropriados de defesa – principalmente independência, apoio do conselho e uma

função de auditoria interna de qualidade – para combater essas pressões. Até o ponto

em que um CAE pode influenciar essas áreas, eles também podem influenciar a

extensão do acesso que a auditoria interna tem em uma organização e proteger sua

própria tomada de decisões objetiva.

Em suma, conforme observado por Douglas Anderson, ex-CAE e atual líder de

pensamento na profissão, “Agora não é o momento para os CAEs serem

complacentes. O mundo está mudando rapidamente ao nosso redor e não devemos

apenas reagir, mas estar preparados também. Concentrem-se no risco, no escopo de

seu trabalho e em como você garantirá que poderá lidar com as pressões políticas”.


ANEXO

Observação: Q6: Em qual região você está localizado(a) ou trabalha principalmente? Os participantes identificaram sua região e, então, selecionaram um

país ou território específico. As respostas foram redistribuídas entre sete regiões, conforme definido pelo Banco Mundial. Apenas respostas de CAEs e

diretores estão relatadas. “Outro” inclui países ou territórios dentro da região, com menos de 20 respostas. 4.883 participantes. Exclui participantes que

não identificaram uma região global.

SEDE GLOBAL

247 Maitland Avenue

Altamonte Springs, FL 3270 1-4201

www.globaliia.org

2015.0718

http://www.globaliia.org/

PULSO GLOBAL DA AUDITORIA INTERNA 2015 · de 14.500 respostas utilizáveis, de 166 países, para...

Documents

Transcript of PULSO GLOBAL DA AUDITORIA INTERNA 2015 · de 14.500 respostas utilizáveis, de 166 países, para...