Uma Visão Globalda Auditoria de Serviços FinanceirosDesafios, Oportunidades e o Futuro

Closer Look

FUTURO

CBOKThe Global Internal Audit Common Body of Knowledge

Patrocinado por

Jennifer F. BurkeCPA, CRP, CFF, CFS

Steven E. JamesonCIA, CFSA, CRMA, CPA, CFE

●

Sobre o CBOK

Pesquisa do Praticante CBOK 2015 Participação das Regiões Globais

FATOS DA PESQUISA

Participantes 14,518*

Países 166

Idiomas 23

NÍVEIS DOS FUNCIONÁRIOS*

Chief audit executive (CAE) 26%

Diretor 13%

Gerente 17%

44%Equipe

Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a pro�ssão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela �e IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582 respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações pro�ssionais, �liais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia especí�ca. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.

O

8%

6%

14%

19%

5%

25%

23%

Américado Norte

AméricaLatina & Caribe

ÁfricaSubsaariana

Oriente Médio& Áfricado Norte

Europa& ÁsiaCentral

Sul daÁsia

Leste Asiático& Pacífico

Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

*As taxas podem variarpor pergunta.

●

Conteúdos

Sumário Executivo 4

1 Desafios Regulatórios para Auditores Internos de Serviços Financeiros 6

2 Pautas Lotadas dos Comitês de Auditoria e Riscos 9

3 Desafios Devidos à Elevação da Auditoria Interna 11

4 Maiores Riscos Tecnológicos 14

5 Três Linhas de Defesa 17

6 Recursos de Auditoria Interna 20

Conclusão 22

Áreas deConhecimento

do CBOK

Futuro

Governança

Gestão

Risco

Normas & Certificações

Talento

Tecnologia

PerspectivaGlobal

●

M1.

2. Gestão de pautas do comitê de governança, que estão cada vez mais lotadas

3. Expectativas crescentes para os auditores internos

4.

5. Coordenação entre todas as linhas de defesa

6. Gestão de alocação de recursos

Sumário Executivo

uitos na indústria de serviços �nanceiros concordarão que as coisas nunca foram tão desa�adoras quanto estão hoje. Embora os auditores internos encarem muitas questões em instituições �nanceiras, este relatório foca nos seguintes desa�os principais:

Requisitos regulatórios, que estão, geralmente, no topo das listas de riscos da maioria das instituições �nanceiras

Maiores riscos tecnológicos, enquanto cibercriminosos descobrem novas formas de quebrar as barreiras de defesa

A conformidade regulatória continua no topo da lista de prioridades e, frequentemente, assume o papel principal nas discussões, desde os bastidores até a sala do conselho. Regulações novas e modi�cadas exigem gastos maiores para estruturação adicional de equipe, novas tecnologias, processos revisados e até mesmo uma redução nas taxas e receitas de instituições �nanceiras. As mudanças têm sido tão abrangentes que até mesmo parceiros indiretos e fornecedores que atendem instituições �nanceiras têm sido impactados de maneiras signi�cantes. Aqueles encarregados das atividades de governança e supervisão descobriram sua carga de trabalho em expansão. As demandas de tempo, por reuniões mais frequentes e longas para cobrir pautas crescentes, desa�am as instituições �nanceiras a se tornarem mais e�cientes, para dedicar tempo su�ciente ao número sempre crescente de questões que precisam ser discutidas. O número de presentes nessas reuniões também contribui para reuniões mais extensas. Embora os auditores internos tenham, por muito tempo, buscado ser reconhecidos e convidados a fazer parte das discussões estratégicas em suas instituições �nanceiras, as maiores expectativas, por parte de múltiplas partes interessadas, que elevaram a atividade de auditoria interna também trouxeram desa�os singulares. Considerando a natureza da auditoria interna de focar em problemas, fraquezas e riscos não controlados, essas maiores expectativas colocaram uma pressão maior sobre os auditores internos para tomarem as decisões certas - e aumentaram as consequências para aqueles que não o �zerem.

●

Os auditores internos frequentemente alavancaram a tecnologia para garantir uma maior cobertura de auditoria em universos de auditoria expandidos, ainda utilizando recursos limitados com e�cácia. Hoje, a tecnologia está expandindo com tanta rapidez que manter o controle e�caz é quase impossível. Para agravar o desa�o, os criminosos agora usam a tecnologia para facilitar ataques globais contínuos contra instituições �nanceiras e seus clientes. Há alguns raios de esperança para os auditores internos em instituições �nanceiras, conforme novos modelos de defesa são criados e adotados, para vencer os muitos desa�os que encaram. As Três Linhas de Defesa são um modelo que tem tido ampla aceitação e adoção no mundo todo nos últimos anos. Os auditores internos em instituições �nanceiras são desa�ados a encontrar novas formas de implementar esse modelo com e�cácia, de modo que funcione para suas organizações. Em instituições de menor porte, a linha entre a segunda e a terceira linhas de defesa é, muitas vezes, tênue, desa�ando os auditores internos a esclarecer papéis e responsabilidades. Diferenças geracionais, mais requisitos de habilidades, menores fontes de recursos e programas de rotação para o cargo do diretor executivo de auditoria (chief audit executive - CAE) criam desa�os para a gestão de recursos de auditoria. Tais desa�os sempre �zeram parte do trabalho, para a maioria dos CAEs. Embora este não seja, necessariamente, um desa�o novo, os métodos usados no passado para gerir desa�os de recursos nem sempre funcionam hoje em dia. Novos métodos e abordagens para aquisição e gestão de recursos devem ser desenvolvidos para funcionar no futuro.

●

P

1 Desafios Regulatórios para Auditores Internos de Serviços Financeiros

❝ Pré-planejar é

mais importante

agora, quando

complexidades

adicionais fazem

parte das mudanças

regulatórias e as

organizações

precisam se

planejar para uma

receita menor

devido a algumas

das mudanças.❞

—James Alexander,

Unitus Community Credit Union,

Portland, Oregon

Documento 1 Áreas de Risco nas quais os CAEs Planejam Focar em 2015

Área de Risco Porcentagem de Resposta

Conformidade/regulatória 83%

Operacional 78%

68%

Tecnologia da Informação 67%

Riscos estratégicos do negócio 53%

Documento 2 Áreas de Risco com Maior Porcentagem do Plano de Auditoria de 2015

Área de Risco Porcentagem do Plano de Auditoria

Operacional 25%

Conformidade/regulatória 16%

14%

Tecnologia da Informação 11%

Riscos estratégicos do negócio 10%

Avaliação/Eficácia do Gerenciamento de Riscos

Avaliação/Eficácia do Gerenciamento de Riscos

Observação: Q66: Por favor, identifique os cinco principais riscos nos quais seu departamento de auditoria interna está focando o maior nível de atenção em 2015. CAEs apenas. Filtrada pelo setor financeiro. 582 participantes.

Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde às seguintes categorias de risco? CAEs apenas. Filtrada pelo setor financeiro. 558 participantes.

ergunte a auditores internos de serviços �nanceiros o que os mantém acordados à noite e a maioria vai citar os desa�os regulatórios no topo de sua longa lista de riscos principais. Houve um tempo em que a conformidade regulatória era deixada, principalmente, nas mãos dos departamentos jurídico e de compliance, permitindo que os auditores internos focassem em questões �nanceiras e operacionais. Hoje, a conformidade regulatória atinge todas as funções de uma instituição �nanceira. O risco regulatório e o de conformidade

atingiram o topo da lista quando CAEs do mundo todo escolheram os cinco principais riscos nos quais seus departamentos de auditoria interna estão focando sua maior atenção em 2015. Os riscos de conformidade e regulatório foram seguidos pelo risco operacional (veja o Documento

1). CAEs do setor �nanceiro também indicam que seus planos de auditoria focam nessas áreas, apesar de planejarem dedicar mais do plano de auditoria a questões operacionais do que no foco em conformidade (veja o Documento 2).

●

Novas Agências e Leis Regulatóriasno Mundo Todo

❝ Os bancos de Wall

Street e seus rivais

estrangeiros pagaram

$100 bilhões em

acordos jurídicos nos

EUA desde a crise

financeira, com mais

da metade das

penalidades extraídas

no último ano.❞

—FinancialTimes.Com, 25 de Março de 2014

No passado, as mudanças regulatórias pareciam ser menos impactantes. Elas podiam afetar o que ou o quanto era divulgado aos consumidores, os formulários de divulgação podiam ser revisados e por aí vai. Mudanças recentes, nos últimos anos, parecem não impactar apenas o que e o quanto é publicado em formulários de divulgação, mas também exigem mudanças operacionais substanciais nos sistemas e processos. Essas mudanças parecem ter um efeito pirâmide em múltiplos sistemas e unidades operacionais. As mudanças de hoje são maiores e mais invasivas em operações bancárias. Novas agências regulatórias, com poderes maiores e mais amplos, foram criadas para supervisionar e monitorar instituições �nanceiras. A Financial Services Authority na Indonésia, a Financial Conduct Authority e a Prudential Regulation Authority no Reino Unido, e o Consumer Financial Protection Bureau nos Estados Unidos são apenas alguns exemplos de novos órgãos de governança que estão surgindo no mundo todo. Novas leis e regulações foram aplicadas com volume e frequência sempre maiores. Exemplos de regulações novas e revisadas incluem o Basel III, um conjunto abrangente de medidas de reforma para fortalecer a regulação, supervisão e gerenciamento de riscos desenvolvido pelo Basel Committee do Bank of International Settlements, e a diretiva revisada Markets in Financial Instruments (MiFID II) e a regulação Markets in Financial Instruments (MiFIR), ambas da União Europeia. No passado, o estabelecimento de leis e regulações novas ou revisadas incluía

coleta de consensos e períodos su�cientes de implementação para garantir que aqueles afetados fossem capazes de implementar as regulações novas e revisadas. Essa abordagem foi deixada de lado, com um processo que enfatiza a rapidez sob o mantra da proteção dos consumidores e investidores a qualquer custo. Muitos descrevem essa nova abordagem como “regulação por execução”. Multas e penalidades recorde, atingindo facilmente os bilhões de dólares, têm sido cobradas de instituições �nanceiras nos últimos anos. Tradicionalmente, os auditores internos da indústria de serviços �nanceiros não estiveram muito envolvidos na auditoria de conformidade regulatória. Auditorias ou revisões de conformidade regulatória eram geralmente conduzidas por um grupo separado de conformidade. Nos últimos anos, especialmente por conta do impacto operacional das mudanças regulatórias e do maior risco de falta de conformidade regulatória, os grupos de auditoria interna se tornaram muito mais envolvidos em questões de conformidade regulatória, incluindo a auditoria de conformidade ou o grupo de compliance, acompanhando e monitorando a conformidade com leis e regulações, avaliando o impacto operacional das mudanças de conformidade, garantindo que existem sistemas em prática para monitorar as reclamações dos consumidores, avaliando a adequação do treinamento regulatório para os funcionários e servindo como ligação entre sua instituição �nanceira e os exércitos de reguladores que visitam ou estão permanentemente alocados em suas instituições �nanceiras.

●

❝ Devido ao escrutínio

dos bancos, os

reguladores estão

aumentando sua

dependência da

auditoria interna e,

portanto, muitos

bancos estão

considerando criar

equipes de auditoria

específicas para se

concentrarem apenas

nos pedidos dos

reguladores. Isso

aliviará as limitações

de capacidade que

as equipes de

auditoria encaram.❞ ,EAC ,nhoJ ahtineJ—

FirstRand, South Africa

As expectativas dos reguladores para os auditores internos cresceram signi�cativamente. Essas expectativas podem variar com base no porte da instituição e no regulador especí�co que pode supervisionar a operação. Em muitos casos, as expectativas regulatórias vão além das Normas Internacionais para a Prática Pro�ssional de Auditoria Interna (Normas) do IIA para instituições �nanceiras, especialmente nas áreas de independência, estrutura de reporte, cobertura de auditoria, relatórios de auditoria e gestão desa�adora. Em alguns países, os reguladores também podem esperar que a auditoria interna revise e comente sobre a cultura de risco e controle da organização. Essas expectativas foram aumentadas ao ponto de que alguns sugerem que, talvez, a auditoria interna devesse ter um relacionamento formal e direto de reporte aos reguladores. Vários relacionamentos indiretos de reporte já estão em prática em alguns países. Em uma expansão sem precedentes da autoridade regulatória, até os fornecedores que atendem instituições �nanceiras foram atingidos pelo escrutínio das agências regulatórias de serviços �nanceiros. Embora os reguladores, normalmente, não sejam capazes de regular diretamente as organizações de serviços não �nanceiros, novas leis e regulações foram aplicadas e executadas em instituições �nanceiras de tal maneira que os fornecedores que atendem instituições �nanceiras devem

estar em conformidade, ou arriscam ser desquali�cados como prestadores de serviço. O risco reputacional pode aumentar o escrutínio regulatório sobre a instituição �nanceira, mesmo quando um fornecedor tem uma questão isolada com um serviço não fundamental. A conformidade regulatória já foi uma consideração principalmente voltada para instituições �nanceiras. Hoje, leis e regulações foram aplicadas e executadas de modo que as fontes de receita estão sendo afetadas. O inventário de riscos relativo à conformidade regulatória já está carregado de maiores custos, menores receitas, grandes mudanças operacionais e tecnológicas, relacionamentos com fornecedores, multas potenciais, penalidades e restituições de cobranças aos consumidores. No entanto, para aumentar a intensidade, também se pode acrescentar o risco estratégico e reputacional à lista. As questões de conformidade regulatória estão no cerne de ações judiciais coletivas, ações de investidores e brigas de procuração, demandas de grupos de defesa ao consumidor, memorandos públicos de entendimento dos reguladores e a pressão por parte dos conselhos de administração para resolver as questões. O fardo regulatório fez com que algumas instituições �nanceiras buscassem parceiros de fusão, já que o fardo estava pesado demais para carregar como uma entidade única.

●

O

2 Pautas Lotadas dos Comitês de Auditoria e Riscos

Documento 3 Número Médio de Reuniões Formais do Comitê por Ano

Tipo de InstituiçãoNúmero Médiode Reuniões

Setor financeiro (públicas e privadas) 6,7

Públicas (excluindo o setor financeiro) 6,4

Organizações Sem Fins Lucrativos 6,2

Setor público (incluindo agências governamentais e operações do governo)

5,9

Outro Tipo de Organização 5,6

Privadas (excluindo o setor financeiro) 5,3

Observação: Q78: Aproximadamente, quantas reuniões formais do comitê de auditoria foram realizadas no último ano fiscal? CAEs apenas. 1.894 participantes.

tempo do comitê de auditoria e do comitê de riscos se tornou uma commodity preciosa, conforme as pautas das reuniões continuam aumentando para abordar responsabilidades adicionais advindas de uma série de fontes. As expectativas dos acionistas e investidores continuam crescendo e as expectativas dos reguladores não mostram sinais de diminuição. Os conselhos de administração recorreram aos comitês de auditoria e riscos para ajudá-los a cumprir com as responsabilidades �duciárias e oferecer algum nível de limitação de responsabilidade contra processos judiciais e ações regulatórias. As reuniões dos comitês de auditoria e de riscos continuam crescendo em frequência e duração. De acordo com os participantes da pesquisa, o setor �nanceiro tem o maior número médio de

reuniões formais do comitê de auditoria, em comparação com todos os outros tipos de organizações, com uma média de 6,7 reuniões por ano (veja o Documento

3). Além do setor �nanceiro ter um maior número de reuniões, o tempo alocado para cada item da pauta reduz conforme o número de itens e apresentadores cresce. As questões a abordar cresceram em complexidade, exigindo discussões mais longas. Mais requisitos de quali�cação para membros dos comitês de auditoria e de riscos resultaram em mais perguntas, o que exige mais explicações e discussões nas reuniões. Embora o maior envolvimento e interação por parte do comitê de auditoria sejam, normalmente, algo positivo, exigem mais tempo e esforço para acomodar as maiores interações.

●

• Membros do conselho precisam de relatórios focados nos riscos estratégicos de alto nível.

•

A gerência executiva precisa de dados mais especí�cos para identi�car ações corretivas.

• A gerência operacional precisa, muitas vezes, de detalhes extensos, para que possa revisar os sistemas e processos para implementar apropriadamente mudanças complexas.

O elenco de personagens em qualquer reunião cresceu, incluindo diretores como chief executive o�cers (CEOs), chief �nancial o�cers (CFOs), CAEs, chief risk o�cers (CROs), chief compliance o�cers (CCOs), chief technology o�cers (CTOs), chief privacy o�cers (CPOs), conselheiros jurídicos, gerentes das unidades de negócios para apresentação de relatórios, gerentes de revisão de empréstimos, executivos de segurança, executivos de BSA/AML, auditores externos e conselheiros e consultores externos. Acrescente sessões executivas periódicas para os comitês, assim como reuniões privadas com auditores internos e externos, e não é à toa que as reuniões �cam lotadas e, frequentemente, parecem apressadas. Para lidar com os desa�os da pauta lotada, muitas instituições �nanceiras acrescentaram ou aumentaram as sessões entre as reuniões, promovem conferências telefônicas entre os presidentes dos comitês e o CAE e publicam ou enviam os materiais da reunião, para que os membros do comitê possam se preparar com antecedência e ajudar a acelerar as discussões. Os pacotes de materiais para reunião aumentaram muito de tamanho, por conta de questões complexas que exigem explicações adicionais. Os CAEs continuam tendo di�culdades com os desa�os de redigir

Com as maiores expectativas, é muito difícil para os comitês de auditoria e de riscos garantir sua e�cácia no ambiente atual. Deve-se alocar tempo adicional para cobrir as pautas maiores e as discussões mais longas. É imperativo que os CAEs garantam que as reuniões do comitê de auditoria tenham foco nos tópicos mais importantes e que os planos de auditoria com base em riscos sejam desenvolvidos para abordar as questões preocupantes para a gerência e o comitê de auditoria. Relatórios de auditoria sucintos e impactantes podem contribuir para o uso e�ciente do tempo dos membros da administração e do comitê de auditoria e facilitam discussões mais e�cazes nas reuniões.

relatórios de auditoria voltados paramúltiplos públicos, considerando que cada um exige diferentes níveis de detalhe. Por exemplo:

●

C

3 Desafios Devidos à Elevação da Auditoria Interna

0% 20% 40% 60% 80% 100%

Média

Privadas (excluindo o setor financeiro)

Setor público (incluindo agênciasgovernamentais e operações do governo)

Outro Tipo de Organização

Públicas (excluindo o setor financeiro)

Organizações Sem Fins Lucrativos

Setor financeiro (públicas e privadas)

62%

56%

53%

54%

44%

43%

69%

Documento 4 Reporte Funcional dos CAEs aos Comitês de Auditoria

Observação: Q74: Qual é a linha de reporte funcional principal para o diretor executivo de auditoria (chief audit executive - CAE) ou equivalente em sua organização? CAEs apenas. 2.634 participantes.

AEs desejaram, por muito tempo, ser elevados em sua posição e reconheci- mento, para facilitar a independência, agregar valor e importância às recomenda- ções de auditoria, interagir com a gerência executiva e membros do conselho com maior frequência, e obter mais conheci- mentos de primeira mão e contribuições para iniciativas estratégicas. Parece que o ditado do “cuidado com o que você deseja” se tornou realidade para muitos, trazendo consigo oportunidades e desa�os. CAEs estão se encontrando no meio de quase qualquer problema imaginável. As expectativas da gerência, diretores, reguladores e auditores externos aumentaram o nível de exigência para o desempenho da auditoria interna. Essas partes interessadas da auditoria interna estão, frequentemente, em lados opostos com relação às suas expectativas de auditoria interna, colocando a pro�ssão

na posição difícil de servir múltiplos mestres inconsistentes. Os auditores internos em instituições �nanceiras muitas vezes precisam ir além do que as Normas exigem em termos de governança, envolvimento estratégico, reporte e decisões de gestão desa�adora para atender as expectativas. Adicionalmente, os auditores de serviços �nanceiros reportam diretamente ao comitê de auditoria com muito mais frequência do que os auditores internos em outras indústrias. De acordo com os participantes da pesquisa, 69% dos auditores internos de serviços �nanceiros reportam diretamente ao comitê de auditoria, em comparação com apenas 54% em todas as outras indústrias (veja o Documento 4). As maiores expectativas aumentaram a carga de trabalho da auditoria interna e o cronograma de auditoria, “esticando” os recursos ainda mais.

●

Assistência Prestada a AuditoresExternos

0% 10% 20% 30% 40% 50%

Nenhuma

Até 1 semana

1 a 4 semanas

Mais do que 4 semanas,até 8 semanas

Mais do que 8 semanas

17%

26%

23%

16%

17%

Observação: Q51: Aproximadamente, quantas semanas de trabalho o departamento de auditoria interna de sua organização dedicou, no ano passado, a atividades de apoio à auditoria externa? CAEs apenas. Filtrada pelo setor financeiro. 560 participantes.

Documento 5 Número de Semanas por Ano em que a Auditoria Interna Apoia a Auditoria Externa

Tradicionalmente, auditores internos frequentemente dedicam recursos substanciais a suplementar ou auxiliar os auditores externos. Isso ainda ocorre, mas agora os grupos de auditoria interna devem, também, suplementar e auxiliar os examinadores regulatórios quase tanto quanto - ou mais do que - os auditores externos. Em alguns casos, novos reguladores contábeis colocaram restrições adicionais sobre a dependência do trabalho dos auditores internos, resultando em trabalho e taxas adicionais por parte dos auditores externos. Isso, por sua vez, pode fazer com que a administração e membros do conselho questionem os recursos alocados para a auditoria interna, já que têm que pagar taxas adicionais aos auditores externos e até mesmo a agências reguladoras. De acordo com os participantes da pesquisa, em comparação com todas as outras indústrias, a classi�cação da indústria �nanceira e de seguros é a mais provável de prestar apoio aos auditores externos, com apenas 16% relatando que não dão apoio aos auditores externos. Adicionalmente, o setor de serviços �nanceiros gasta mais tempo no apoio aos auditores externos - 34% gastaram

mais de 4 semanas de trabalho, enquanto 17% deles gastaram mais de 8 semanas de trabalho em atividades de apoio (veja o Documento 5). Os requisitos para garantir que as recomendações de auditoria sejam aplicadas colocaram maior ênfase na formalidade dos programas de acompanhamento de auditoria interna. O acompanhamento deve ir além de simplesmente pedir à gerência para con�rmar a implementação das recomendações. A realização de testes para validar a implementação oportuna está se tornando mais importante e aumentando a carga de trabalho de auditoria, sobrecarregando recursos já limitados. Os participantes da pesquisa indicam que outras indústrias têm maior probabilidade de encarregar o proprietário do processo como responsável primário pela ação de acompanhamento (25% em média, em comparação com 19% em serviços �nanceiros), enquanto os auditores internos de serviços �nanceiros têm maior probabilidade de compartilhar essa responsabilidade com os proprietários do processo (54%, em comparação com a média geral de 50%). (Fonte: Q52, 3.216 participantes.) Novamente, os recursos de auditoria interna no setor de serviços �nanceiros estão “esticados” ao máximo, devido a essa responsabilidade adicional.

●

Reguladores Pedem que os Auditores Internos Desafiem a Administração

A elevação da importância da auditoria interna por parte dos reguladores aumentou o escopo dos exames para além de simplesmente olhar alguns relatórios e papéis de trabalho, para avaliações mais abrangentes de todos os aspectos da auditoria interna. Em alguns casos, os reguladores quase parecem estar tentando fazer dos grupos de auditoria interna uma extensão dos próprios reguladores. É pedido que os auditores internos driblem os processos normais ou tradicionais de resolução na gestão desa�adora, reportando ao conselho e até reportando questões diretamente aos reguladores. Muitos auditores internos preocupam-se que os resultados de seu trabalho possam ser usados pelos reguladores para citar de�ciências adicionais nos relatórios de exame regulatório. James Alexander, chief risk o�cer da Unitus Community Credit Union, em Portland, Oregon,

acredita que “um bom sistema de acompanhamento para os comentários do relatório de auditoria pode reduzir o potencial de reguladores citarem os comentários de relatórios de auditoria interna como descobertas do exame.” Processos tradicionais de resolução de discordâncias, tipicamente, resolviam muitos problemas antes que esses itens fossem reportados ao conselho ou reguladores. As expectativas maiores dos reguladores pedem que os auditores internos “desa�em” a administração se houver diferenças de opinião e que busquem evidências de que essas situações foram escaladas para o comitê de auditoria ou conselho. A elevação da auditoria interna certamente tem seus benefícios, mas também tem seus desa�os. Com maiores expectativas, mais reporte e mais responsabilidade vêm mais requisitos para que os auditores internos estabeleçam as salvaguardas apropriadas para independência, objetividade, diligência devida e comunicação com todas as partes.

●

A

4 Maiores Riscos Tecnológicos

Documento 6 Atividade de Auditoria Interna para Riscos Gerais de TI

10%

20%

30%

40%

50%

ExtensivaModeradaMínimaNenhuma

Privadas (excluindoo setor financeiro)

Organizações Sem Fins Lucrativos

Setor público (incluindoagências governamentais e

operações do governo)

Públicas (excluindoo setor financeiro)

Setor financeiro(públicas e privadas)

5%

13%

35%

47%

12%

24%

43%

21%

8%

20%

44%

27%

10%

23%

41%

25%

11%

22%

44%

23%

Observação: Q92: Para a segurança da tecnologia da informação (TI), em especial, qual a extensão da atividade em seu departamento de auditoria interna com relação às áreas a seguir? Tópico: Riscos gerais de tecnologia da informação (TI).9.747 participantes.

s capacidades tecnológicas estão crescendo mais rápido do que as organizações conseguem acompanhar, interpretar, avaliar e controlar o acesso a dados sensíveis. Usando a tecnologia, criminosos são capazes de responder e explorar vulnerabilidades mais rapidamente do que as organizações podem proteger e restringir o acesso. Os ladrões de banco da atualidade vêm armados com tecnologia, em vez de

armas. Trabalham nos bastidores e podem estar em qualquer lugar do mundo. Suas tentativas de acessar inapropriadamente os dados sensíveis de instituições �nanceiras podem ser feitas eletrônica e ininterruptamente, 24 horas por dia. Como resultado, os auditores internos do setor �nanceiro têm níveis muito maiores de atividade para riscos de TI do que outros tipos de indústrias (veja o Documento 6).

●

O Amplo Impacto dos Riscos deCibersegurança

Atividades de Preparação eRecuperação

❝ A competência da

auditoria interna

na análise de dados

e condução do

monitoramento

contínuo está

aumentando e

isso é uma área a

considerar no

planejamento de

capacidades.❞

—Jenitha John, CAE, FirstRand, South Africa

0% 10% 20% 30% 40% 50%

Média

Públicas (excluindo o setor financeiro)

Privadas (excluindo o setor financeiro)

Setor público (incluindo agênciasgovernamentais e operações do governo)

Organizações Sem Fins Lucrativos

Setor financeiro(públicas e privadas)

41%

32%

31%

54%

26%

34%

43%

Documento 7 Risco de Violação de Dados Descrita como “Extensiva”

Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas emergentes de tecnologia da informação (TI) a seguir? Tópico: Violações de dados que podem prejudicar a marca da organização. 9.426 participantes.

Cibersegurança, ameaças avançadas persistentes e privacidade tornaram-se alguns dos tópicos mais populares nos radares dos auditores internos. Conforme exibido no Documento 1 e Documento 2, os riscos de tecnologia da informação (TI) �cam em quarto lugar nos principais riscos identi�cados pelos CAEs e na porcentagem de tempo dedicado a auditar esses riscos. E não são apenas os auditores internos que estão focando nesses tópicos. Podemos acrescentar a alta administração, conselhos de administração, reguladores e investidores à lista das partes preocupadas com esses riscos. Por conta das violações de dados amplamente divulgadas, todos estão bem cientes do risco reputacional e impacto negativo que essas violações podem causar. Esforços de recuperação podem ser custosos, extremamente demorados e podem resultar em grandes reformulações organizacionais. Muitos dizem que não é uma questão de “se você for violado”, mas sim de “quando você for violado”, e que planos para reparação devem ser bem desenvolvidos e testados antes que uma violação ocorra. Os auditores internos do setor

�nanceiro veem o risco de uma violação de dados como mais extensiva do que em outros setores: 43% descrevem o risco como extensivo, em comparação com uma média de 34% (veja o Documento 7).

A continuidade do negócio, retomada e recuperação tornaram-se igualmente ou mais importantes do que as tentativas de restringir ou prevenir violações de dados. Controles mais amplos e holísticos de dados e privacidade, e programas que cobrem o espectro inteiro - da preparação, detecção e análise, contenção, erradicação e recuperação, até atividades pós-incidente - são necessários. O envolvimento ativo dos auditores internos no teste de planos de prontidão pode trazer grandes resultados quando o evento inevitável acontecer. O teste de prontidão evoluiu, partindo de recursos internos e alguns fornecedores, incluindo hoje organizações tais como o Financial Services Information Sharing and Analysis Center (FS-ISAC), um recurso da indústria global de serviços �nanceiros para análise e compartilhamento de informações sobre ameaças cibernéticas e físicas.

●

Acrescentando os Riscos de Big Data aos Planos de Auditoria

Conectividade e Dispositivos Móveis

O Big Data está criando desa�os para as organizações, na forma como armazenam, gerenciam, protegem e usam esse recurso vasto e sempre crescente. Em 2013, foi relatado que 90% de todos os dados do mundo foram gerados nos dois anos anteriores (ScienceDaily.com, 22 de Maio de 2013). A coleta de dados de riscos e governança de informação são tópicos para os auditores internos considerarem no desenvolvimento de seus planos de auditoria com base em riscos.

Novas tecnologias estão criando desa�os únicos para as organizações e grupos de auditoria interna. O controle de acesso não está mais limitado a bloquear sua estação de trabalho. A internet, mídias sociais, dispositivos móveis, acesso remoto e outros dispositivos ou métodos abriram muitos pontos de entrada a controlar. Usuários de toda a organização são, frequentemente, capazes de executar softwares não aprovados sem passar pelos

canais normais de controle. Coordenar as novas tecnologias em conjunto com os sistemas legado usados por muitas instituições �nanceiras pode apresentar desa�os adicionais no monitoramento e controle das informações da instituição �nanceira. Esses desa�os tecnológicos trazem uma série de questões para os departamentos de auditoria interna do setor �nanceiro. Ter conhecimento especializado na equipe para lidar com os riscos tecnológicos sempre em mudança é custoso e difícil de conseguir, devido ao número limitado de especialistas nessa área. No mundo todo, apenas 10% dos participantes da pesquisa disseram que têm uma certi�cação de auditoria de sistemas da informação e apenas 3% têm certi�cação de segurança de TI (Q13, 12.540 participantes). Depender de consultores para conduzir auditorias tecnológicas pode, também, ser custoso e exige supervisão e gestão adicionais. Devido à velocidade com a qual a tecnologia muda, o per�l de risco tecnológico da instituição está em constante mudança e adaptação, exigindo que os departamentos de auditoria interna auditem um alvo em movimento.

●

O

5 Três Linhas de DefesaAuditoria Externa

Órgão de Governança / Conselho / Comitê de Auditoria

The Three Lines of Defense Model

Alta Administração

3ª Linha de Defesa

AuditoriaInterna

1ª Linha de Defesa

Controles daGerência

Medidasde Controle

Interno

Controle Financeiro

Segurança

Gerenciamento de Riscos

Qualidade

Inspeção

Conformidade

Documento 8 O Modelo das Três Linhas de Defesa

Regulador

2ª Linha de Defesa

Observação: Adaptado da Orientação ECIIA/FERMA sobre a 8th EU Company Law Directive, artigo 41, conforme mostrado na Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, Janeiro de 2013.

Modelo das Três Linhas de Defesa (veja Documento 8) ganhou popularidade e ampla utilização entre auditores internos do mundo todo. De acordo com os participantes da pesquisa, 78% dos pro�ssionais do setor �nanceiro do mundo todo dizem seguir o Modelo das Três Linhas de Defesa, com a auditoria interna como a terceira linha de defesa (veja Documento 9 na página a seguir). Esta porcentagem é muito maior do que em outros tipos de organização. Embora o modelo esteja se tornando mais popular, entendido e aceito, é questionado o quanto ele deve ser �exível. Todas as três linhas de defesa devem existir, de alguma forma, em todas as instituições �nanceiras, não importando seu porte ou complexidade. O gerenciamento de riscos, normalmente, é mais forte quando há três linhas de defesa separadas e

claramente identi�cadas. Em prática, especialmente em algumas instituições de pequeno e médio porte, uma abordagem misturada tem sido implementada. Por exemplo, algumas instituições consolidaram ou combinaram algumas segundas linhas de defesa com a auditoria interna. Pode-se pedir ou encarregar os auditores internos da responsabilidade de prestar auditorias de conformidade, quando um departamento separado de compliance não existir; executar revisões de empréstimos, sem um departamento separado de revisão de empréstimos; coordenar as atividades de gerenciamento de riscos corporativos (enterprise risk management - ERM) ou lidar com a segurança física e/ou de TI. Alguns CAEs estão buscando respostas sobre como implementar o Modelo das Três Linhas de Defesa apropriada e e�cazmente.

●

Salvaguardas para uma AbordagemMisturada para as Três Linhas de Defesa

0%

20%

40%

60%

80%

100%

Não ou não se aplica

Sim, mas a distinção entre a segunda e terceira linhas de defesa não é clara.

Sim, mas a auditoria interna é considerada a segunda linha de defesa em nossa organização.

Sim e a auditoria interna é considerada a terceira linha de defesa.

Setor financeiro (públicas e privadas)

Públicas (excluindo o

setor financeiro)

Setor público (incluindo agências governamentais e operações do governo)

Organizações Sem Fins Lucrativos

Privadas (excluindo o

setor financeiro)

Documento 9 Uso do Modelo das Três Linhas de Defesa

3%7%

5%7% 8%

78%

55%

43%41% 40%

10%

15% 13%

18%15%

8%

24%

38%35%

38%

Observação: Q63: Sua organização segue o modelo das três linhas de defesa articulado pelo IIA? Aqueles que responderam “Não estou familiarizado com este modelo” foram excluídos dos cálculos. Devido ao arredondamento, alguns totais podem não somar 100%. 9.093 participantes.

É importante para a auditoria interna ser capaz de cumprir com seus deveres com objetividade e não ser in�uenciada indevidamente por gerentes das operações diárias. Algumas organizações podem ter grupos de avaliação interna, incluindo auditoria interna e algumas partes da segunda linha de defesa, que reportam administrativamente a um único executivo. Um relacionamento de reporte administrativo misturado deve ser desenvolvido, de modo a não interferir com o reporte funcional do

CAE diretamente ao comitê de auditoria da instituição. É importante garantir que a auditoria interna reporte funcionalmente diretamente ao comitê de auditoria, quando elementos diferentes das três linhas de defesa reportam administrativamente ao mesmo executivo. Salvaguardas adicionais também podem ser estabelecidas para ajudar a manter a independência e objetividade da auditoria interna; avaliações de qualidade da auditoria interna; revisões externas de conformidade, revisão de empréstimos, segurança e ERM; conceder acesso aos

●

comitês do conselho para gerentes encarregados de compliance, revisão de empréstimos e segurança, etc. Garantir que esses grupos não tenham responsabilidades operacionais ou de tomada de decisões gerenciais com divulgação apropriada e transparência no estatuto de auditoria interna, relatórios e outras comunicações pode promover a independência e objetividade em um relacionamento combinado de reporte administrativo de acordo com o Modelo das Três Linhas de Defesa. Na indústria altamente regulada dos serviços �nanceiros, exames regulatórios que revisem esses acordos combinados de reporte, e as salvaguardas em prática para promover a independência e objetividade podem ser usados para ajudar a validar a adequação da estrutura. Ter um executivo a quem todos os grupos de avaliação interna reportem diretamente também pode servir como uma salvaguarda, que pode fortalecer a independência e objetividade de todos esses grupos. Essa abordagem pode promover uma melhor comunicação e coordenação entre múltiplos grupos de avaliação, de modo que a informação possa ser alavancada e que o trabalho duplicado minimizado, resultando em programas mais e�cientes e e�cazes. A Declaração de Posicionamento do

IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle E�cazes, reconhece que, “Já que cada organização é única e situações especí�cas variam, não há uma forma ‘certa’ de coordenar as Três Linhas de Defesa.” A declaração também registra que “em situações excepcionais que podem surgir, especialmente em pequenas empresas, certas linhas de defesa podem ser combinadas. Por exemplo, há casos em que foi solicitado que a auditoria interna estabelecesse ou gerenciasse as atividades de gerenciamento de riscos ou conformidade. Nessas situações, a auditoria interna deve comunicar claramente ao órgão de governança e à alta administração o impacto da combinação. Se responsabilidades duplas forem delegadas a uma única pessoa ou departamento, seria apropriado considerar separar a responsabilidade por essas funções em um momento posterior para estabelecer as três linhas.” CAEs devem garantir que a informação seja compartilhada e as atividades coordenadas para o gerenciamento e�caz dos riscos e controles de cada organização. O desenvolvimento de políticas e procedimentos formais pode auxiliar nesse sentido.

●

A

6 Recursos de Auditoria Interna

❝ Tendo em vista a

necessidade, por

parte das funções

de auditoria de

serviços financeiros,

de evoluir seu foco

de riscos financeiros

para riscos mais

operacionais, os

históricos de quem

estamos recrutando

também estão

evoluindo. Agora,

buscamos candidatos

com graduações como

finanças, estratégia

organizacional,

estatística e gestão

de cadeia de

fornecimento.❞

—Mark Howard, Vice-Presidente Sênior e CAE,

USAA, San Antonio, Texas

Documento 10

HabilidadeSetor

FinanceiroSetores NãoFinanceiros

Lacuna

Pensamento Analítico/Crítico 66% 64% 2%

Habilidades de Comunicação 52% 51% 1%

Avaliação de Gerenciamento de Riscos 48% 41% 7%

Conhecimento Específico da Indústria 45% 33% 12%

Tecnologia da Informação (Geral) 43% 37% 6%

Contabilidade 36% 45% -9%

Mineração e Análise de Dados 32% 31% 1%

Finanças 30% 21% 9%

Tino Comercial 26% 27% -1%

Auditoria de Fraude 21% 23% -2%

Cibersegurança e Privacidade 16% 13% 3%

Investigações Forenses e Demais 13% 15% -2%

Conhecimento Jurídico 10% 12% -2%

Controles de Qualidade (Six Sigma; ISO) 4% 8% -4%

Outras 3% 4% -1%

Observação: Q30: Quais habilidades você está recrutando ou desenvolvendo mais em seu departamento de auditoria interna? (Escolha até cinco.) CAEs apenas. 3.288 participantes.

Principais Habilidades que CAEs do Setor Financeiro Buscam para a Equipe

s expectativas da administração, dos membros do conselho e dos reguladores para em relação aos auditores internos cresceram além do conhecimento típico de contabilidade e �nanças que era a característica tradicional de todos os auditores internos. Agora, eles também devem ter conhecimento de tecnologia, operações comerciais, serviços �nanceiros, comunicação, conformidade regulatória, cibersegurança, privacidade, gestão de fornecedores, continuidade do negócio,

questões jurídicas, análise quantitativa e por aí vai. Na maioria das organizações, não é possível simplesmente continuar contratando mais pessoas para obter essas habilidades. De acordo com os participantes CAEs da pesquisa, a indústria de serviços �nanceiros tem habilidades prioritárias diferentes de outras indústrias, com maior ênfase no conhecimento especí�co da indústria, �nanças, gerenciamento de riscos e TI (veja o Documento 10). Curiosamente, há menor ênfase nas habilidades de

●

contabilidade. Os conjuntos de habilidades individuais do auditor devem ser desenvolvidos de modo que auditores multitalentosos possam ser utilizados para auditar disciplinas diversas. Desenvolver auditores internos com essas novas habilidades tem seus desa�os. Por exemplo, foi relatado na General Audit Management Conference de 2015 do IIA que o número de auditores e contadores desempregados na América do Norte está em seu mínimo e menos alunos estão escolhendo a formação em contabilidade. CAEs estão expandindo buscas de recrutamento e considerando históricos educacionais diferentes da contabilidade tradicional. Diferenças geracionais estão reformulando os ambientes de trabalho e criando desa�os para as abordagens tradicionais de compensação e administração. Considerações relativas ao equilíbrio entre o trabalho e a vida pessoal têm prioridade para benefícios para gerações mais novas. Horários �exíveis de trabalho e licenças mais generosas estão se tornando mais comuns. Felizmente, a tecnologia permitiu mais oportunidades de trabalho remoto para equipes de auditoria. As habilidades tecnológicas agora são obrigatórias para qualquer auditor que entre para o mercado de trabalho. A tecnologia também é uma área onde as

organizações precisam, muitas vezes, obter recursos externos ou terceirizados para complementar os recursos da equipe. Novos sistemas ou ferramentas de software também podem ser necessárias para complementar os recursos de auditoria interna. Maiores orçamentos e mais treinamentos podem ser necessários para implementar, com e�cácia, as auditorias expandidas de tecnologia. CAEs rotativos que atuam como diretores de auditoria interna por tempo limitado, embora expandam as abordagens e métodos de auditoria, também estão criando desa�os tais como a continuidade nas abordagens de auditoria, questões de independência e até mesmo a dúvida de se CAEs rotativos entendem ou se importam com as Normas do IIA, avaliações de qualidade, etc. Pode faltar comprometimento para treinamentos e certi�cações de auditoria interna. Mudanças organizacionais podem afetar o timing e as oportunidades de saídas favoráveis ou a volta a unidades operacionais para CAEs rotativos. No entanto, alguns benefícios podem advir do trabalho de CAEs rotativos, como a liderança comprovada com um assento existente à mesa, mais insights de negócio, e relacionamentos comerciais existentes que podem ser alavancados para agregar valor e aumentar a con�ança na função de auditoria.

●

S

Conclusão

empre haverá desa�os para auditores internos na indústria de serviços �nanceiros. Embora os desa�os possam ser agrupados em categorias comuns com temáticas parecidas ao longo dos anos, sempre haverá variações únicas para testar a criatividade e a engenhosidade daqueles encarregados de lidar com os desa�os. O ambiente continuará mudando e apresentando novas oportunidades de desenvolver estratégias inovadoras para abordar esses desa�os. Os auditores internos que se posicionam e abordam com e�cácia os desa�os que encaram podem demonstrar suas contribuições positivas para as organizações que servem. Eles serão reconhecidos como líderes e�cazes e, por sua vez, continuarão elevando sua posição e reputação no ambiente de trabalho. Em conjunto com esse reconhecimento, provavelmente obterão desa�os adicionais, conforme seu papel na organização continua crescendo em importância. Os auditores internos de maior sucesso aprenderão com suas lições do passado e continuarão lutando por melhorias, por meio de técnicas e práticas inovadoras, pro�ssionalismo, evolução contínua e dedicação à pro�ssão da auditoria interna.

●

J

S

Sobre os Autores

ennifer F. Burke, CPA, CRP, CFF, CFS, é sócia do escritório de Riscos de Serviços Financeiros da Crowe Horwath e tem mais de 25 anos de experiência atendendo clientes de serviços �nanceiros, incluindo 19 anos na Crowe. Ela lidera projetos em instituições �nanceiras estratégicas multibilionárias, prestando serviços de auditoria interna, conformidade, revisão de empréstimos e enterprise risk management (ERM). Ela atua no Financial Services Advisory Board do �e IIA e no ERM Initiative Advisory Board do estado da Carolina do Norte. É uma palestrante reconhecida nacionalmente e internacionalmente, abordando assuntos da indústria bancária, auditoria interna e ERM. Antes de entrar para a Crowe, atuou como vice-presidente sênior e CAE em uma empresa de holding e truste, multibilionária, de 10 bancos.

teven E. Jameson, CIA, CFSA, CRMA, CPA, CFE, é vice-presidente executivo, diretor de auditoria interna e executivo de riscos no Community Trust Bank, onde é responsável pelas funções de auditoria interna, ERM, revisão de empréstimos, conformidade e segurança. Tem mais de 28 anos de experiência como auditor interno pro�ssional na indústria de serviços �nanceiros, três anos em contabilidade pública e mais de quatro anos com o IIA como assistente do Vice-Presidente do Professional Practices Group. Atuou em comitês de direcionamento do Committee of Sponsoring Organizations of the Treadway Commission (COSO), para o desenvolvimento da Controle Interno - Estrutura Integrada (2012) e Gerenciamento de Riscos Corporativos - Estrutura Integrada (2004).

Limitação de Responsabilidade

Equipe de Desenvolvimento do CBOK

Sobre a The IIA Research Foundation

Comitê de Revisão dos Relatórios

James Alexander (Estados Unidos) Jenitha John (África do Sul) Despoina Chatzaga (Grécia) Michael Parkinson (Austrália) Kıvılcım Günbattı (Turquia) Deborah Poulalion (Estados Unidos)

Nicola Rimmer (Reino Unido)

Doe Parao CBOK

Contate-nos

Sua DoaçãoEm Ação

www.theiia.org/goto/CBOK

The Institute of

Internal Auditors

Global Headquarters

247 Maitland Avenue

Altamonte Springs,

Florida 32701-4201,

Estados Unidos

Os relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo.

O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão.

Co-Presidentes do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França)

Presidente do Subcomitê da Pesquisa do Praticante:Michael Parkinson (Austrália)

Vice Presidente da IIARF: Bonnie Ulmer

Analista de Dados Primários: Dr. Po-ju ChenDesenvolvedora de Conteúdo: Deborah PoulalionGerente de Projeto: Selma Kuurstra e Kayla ManningEditora Sênior: Lee Ann Campbell

Cassian Jay (Estados Unidos)

A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida.

Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar research@theiia.org. ID #2015-1476