Edição 5

GLOBAL PERSPECTIVES
AND INSIGHTS:
Tendências Emergentes
De Acordo com o Global Pulse of Internal Audit

Traduzido por:
 Global Perspectives:
Tendências Emergentes

Índice
Conselho Consultivo
Nur Hayati Baharuddin, CIA, Metodologia e Dados Demográficos......................................... 3
CCSA, CFSA, CGAP, CRMA –
IIA–Malásia Introdução............................................................................ 4

Lesedi Lesetedi, CIA, QIAL – Auditando a Cultura .............................................................. 6

IIA Federação Africana
Conclusão ...................................................................... 12
Hans Nieuwlands, CIA, CCSA,
CGAP – IIA–Holanda Acompanhando a Tecnologia.................................................. 13
Cibersegurança ................................................................ 13
Karem Toufic Obeid, CIA,
Big Data ......................................................................... 18
CCSA, CRMA – Membro do
Conclusão ....................................................................... 22
IIA–Emirados Árabes Unidos

Carolyn Saint, CIA, CRMA, Atingindo o Status de Conselheiro Confiável............................. 23

CPA – IIA–América do Norte Conclusão........................................................................ 28
Ana Cristina Zambrano
Reflexões de Encerramento.................................................... 29
Preciado, CIA, CCSA, CRMA –
IIA–Colômbia
Para Mais Informações .......................................................... 30
Feedback dos Leitores
Envie perguntas ou comentários para
globalperspectives@theiia.org.
Copyright © 2016 The Institute of Internal Auditors, Inc.,
(“The IIA”) direitos estritamente reservados. Qualquer
reprodução do nome ou marca The IIA deverá contar com
o símbolo de registro federal de marca registrada ®.
Nenhuma parte deste material pode ser reproduzida de
qualquer forma sem permissão por escrito do The IIA.

2 globaliia.org
 Global Perspectives:
Tendências Emergentes

Metodologia e Dados Demográficos

A pesquisa “2016 Global Pulse of Internal Audit” (Pulso Global) do The IIA foi
conduzida online entre 9 de Maio e 27 de Maio de 2016.1 O The IIA coletou
dados de 2.254 participantes de todo o mundo que se identificaram como atuais
profissionais de auditoria interna. Cinquenta e dois por cento dos participantes
são o membro de maior nível de seu departamento de auditoria interna, ou diretores/
gerentes sênior que reportam ao CAE. Neste relatório, este grupo é denominado
“líderes de auditoria interna”. Os participantes também incluem gerentes que
reportam aos diretores (16%), membros da equipe de auditoria interna que
conduzem auditorias (28%) e outros, incluindo prestadores de serviços (4%).

Participantes de 111 países ou territórios representam a ampla variedade da

auditoria interna em termos de tipo de organização, indústria, receita, número
de funcionários e porte do departamento de auditoria interna.

Os participantes trabalham predominantemente em organizações de capital

aberto (34%), do setor público (27%) e privadas (25%).

As indústrias com maior representação incluem as de serviços financeiros (32%),

manufatura (12%), administração pública (11%), saúde (6%) e serviços (6%).

Os resultados foram ajustados (normalizados) para representar a distribuição

global dos membros do IIA por região:

25%
39%
4% 17%
8%
7%

1
Para um número limitado de perguntas, os participantes norte-americanos foram consultados entre 20 de Outubro
de 2015 e 10 de Novembro de 2015.

globaliia.org
3
 Global Perspectives:
Tendências Emergentes

Introdução
No mundo todo, os líderes de auditoria interna trilham o caminho à excelência
— demonstrando tino comercial, expertise técnica e habilidades de
relacionamento que os tornam recursos valiosos para a melhoria da governança,
gerenciamento de riscos e objetivos estratégicos da organização. Aumentos
antecipados no porte e orçamento das equipes de auditoria interna em muitas
partes do mundo refletem o reconhecimento e o apoio ao valor elevado da
auditoria interna por parte da gerência executiva e dos conselhos e permitem
que as funções de auditoria interna aumentem o tempo dedicado a áreas críticas,
como avaliação de gerenciamento de risco, riscos estratégicos do negócio e TI.
Mas, de acordo com muitos relatos, precisamos melhorar continuamente.

Documento 1 – Projeção de estruturação da auditoria interna

Aumente

Aumentos antecipados no 26% Diminua

porte e orçamento das

equipes de auditoria interna 68%
Permaneça o mesmo

em muitas partes do mundo 6%

refletem o reconhecimento
e o apoio ao valor elevado
da auditoria interna por
parte da gerência executiva
e dos conselhos. Observação: Q49: Para os próximos doze meses, você espera que o número de membros da equipe
equivalentes ao período integral em sua função de auditoria interna:

Documento 2 – Projeção do orçamento de auditoria interna

Aumente

Diminua
35%
56% Permaneça o mesmo

9%

Observação: Q50: Para os próximos doze meses, você espera que o orçamento de sua função de
auditoria interna:

4 globaliia.org
 Global Perspectives:
Tendências Emergentes

Em busca de passos a tomar a caminho da excelência, o Pulso Global avaliou o

estado da auditoria interna, avaliando as questões e práticas emergentes de
gerenciamento da auditoria interna no nível global.

Este relatório explora duas questões emergentes: a auditoria da cultura e o

acompanhamento tecnológico (cibersegurança e big data). Também exploramos
como a auditoria interna pode, e discutivelmente deve, atingir o nível de
conselheiro confiável.

Acreditamos que este relatório apoie o chamado para que a auditoria interna
continue a se concentrar nas principais questões e práticas emergentes. Agora,
mais do que nunca, as expectativas quanto à auditoria interna continuam a
aumentar. Sim, tivemos amplo progresso como profissão... Mas também ainda
temos muito trabalho a fazer. É isso que torna a auditoria interna uma profissão
tão desafiadora e recompensadora.

globaliia.org
5
 Global Perspectives:
Tendências Emergentes
“Auditar a cultura não é
uma ciência exata. Muitas
organizações lutam para
definir sua cultura, quanto
mais para incorporá-la com
eficácia em seus processos
de estudo de risco e avaliação.
Mas é essencial que o façam.”
Dr. Ian Peters, Chief Executive,
Chartered Institute of Internal
Auditors, (IIA–UK e Irlanda)2
6 globaliia.org
Auditando a Cultura
A História mostra que a cultura pode afetar direta e adversamente as finanças,
operações e reputação de uma organização. Conselhos, executivos e outras
partes interessadas devem ser capazes de recorrer à auditoria interna para
avaliações e serviços de consultoria que ajudem a organização a monitorar e
fortalecer sua cultura, e para soar o alarme se as coisas estiverem incorretas.
Reconhecidamente, a auditoria interna vem auditando controles informais há
um bom tempo e, ao menos informalmente, avaliando o tom no topo de muitas
organizações desde que “tone at the top” se tornou um termo comum. No
entanto, embora alguns estejam tomando o próximo passo de auditar a cultura
organizacional formalmente, a maioria indica uma variedade de fatores que
impedem sua habilidade de progredir.
A cultura incorpora as crenças e valores de uma organização, conforme
refletidos através das ações e comportamentos de todos os seus funcionários.
Ou seja, é a forma como as coisas são feitas na organização.
A cultura desejada é estabelecida no topo, aparece nos valores fundamentais e
no código de ética da organização e dita o comportamento aceitável e
inaceitável. Comportamentos inaceitáveis, ou até antiéticos — a forma de NÃO
fazer as coisas —, colocam a organização em risco e, em extremos, contribuem
para culturas organizacionais tóxicas, associadas a fraudes, corrupção e outros
tipos de malfeitorias. Alguns eventos importantes levaram até a crises
econômicas e à erosão da confiança pública. Em 2015, o mundo testemunhou
uma série de incidentes de alto destaque que são potencialmente indicadores
de grandes erros de cultura, incluindo um escândalo de contabilidade na
Toshiba, alegações de suborno e corrupção na FIFA, evidências de testes de
emissões modificados na Volkswagen e relatórios questionáveis da ExxonMobil
sobre o impacto das mudanças climáticas, citando apenas alguns. Só esses
exemplos já deviam servir para despertar os auditores internos para a prestação
de avaliação sobre a consistência da cultura das organizações com os valores
fundamentais divulgados e se ela encoraja ou não a conduta ética e a
conformidade com as leis e regulamentos. No entanto, 72 por cento dos líderes
de auditoria interna dizem não auditar a cultura atualmente (Documento 3).
2
CCH Daily, “FRC calls for greater emphasis on corporate culture”, 20 de Julho de 2016, https://www.cchdaily.co.uk/
frc-calls-greater-emphasis-corporate-culture (acessado em 24 de Agosto de 2016).
 Global Perspectives:
Tendências Emergentes

Documento 3 – Porcentagem de departamentos de auditoria

interna que auditam a cultura

Sim

28% Não

72%

Observação: Q5: Seu departamento de auditoria interna audita a cultura?

Com sua visão abrangente e

Embora o tom da organização normalmente seja definido no topo e, objetiva da organização, a
independentemente do porte ou complexidade da organização, a cultura auditoria interna tem o
desejada seja emanada por sua liderança, a cultura não é necessariamente uma
potencial de examinar cada
mentalidade homogênea em toda a organização. Uma cultura ampla e top-down
— uma “macrocultura” — é o ponto de partida quando se trata de definir o uma das microculturas, seu
comportamento desejado. Mas toda organização tem muitas pequenas culturas impacto sobre a macrocultura
separadas, ou “microculturas”, refletidas em locais específicos, departamentos,
da organização e os riscos
divisões e outras unidades ou grupos de funcionários com algo em comum. Essa
proliferação de microculturas pode dificultar a auditoria da cultura. Mas, com potenciais associados para a
sua visão abrangente e objetiva da organização, a auditoria interna tem o organização.
potencial de examinar cada uma das microculturas, seu impacto sobre a
macrocultura da organização e os riscos potenciais associados para a
organização. Primeiro, a auditoria interna precisa entender profundamente a
macrocultura desejada, para que, então, avalie subculturas e examine as
diferenças entre o que é desejado pelo topo e o que está realmente
acontecendo em toda a organização.

Felizmente, uma forte maioria dos líderes de auditoria interna (89%) concorda
que seu departamento de auditoria interna entende os riscos associados à
cultura organizacional, mas apenas cerca da metade (53%) indica que seu
departamento de auditoria interna entende como auditar a cultura. Curiosamente,
18% relataram não auditar a cultura, porque outra área conduz essa avaliação,
enquanto as principais razões para não auditar a cultura incluem a falta de
competências (25%) e/ou não ter o apoio organizacional necessário (23%) ou
tempo (21%), conforme exibido no Documento 4.

globaliia.org
7
 Global Perspectives:
Tendências Emergentes
“Os departamentos de
auditoria interna que não
possuam habilidades e
conhecimento de auditoria da
cultura podem começar
fazendo o que seus auditores
internos fazem bem – que é
trazendo uma abordagem
sistemática e disciplinada à
avaliação e melhoria das
atividades da organização
relativas à cultura”
Nur Hayati Baharuddin,
Diretora Executiva, IIA–Malásia
8 globaliia.org
Documento 4 – Motivos pelos quais os departamentos de auditoria
interna não auditam a cultura
A auditoria interna não tem as competências (habilidades e conhecimentos) necessárias. 25%
A auditoria interna não tem o apoio da gerência executiva para auditar a cultura. 23%
A auditoria interna não tem tempo para auditar a cultura. 21%
A cultura é avaliada por outra função dentro da organização.
(recursos humanos, gerenciamento de riscos, ética e compliance, ou outra). 18%
A auditoria interna não tem o apoio do conselho/comitê
de auditoria para auditar a cultura. 17%
5% A cultura é avaliada por um prestador externo.
Observação: Q6: Qual das opções a seguir descreve por que seu departamento de auditoria interna não
audita a cultura? Os participantes puderam escolher mais de uma resposta. (Pergunta àqueles que não
auditam a cultura.)
De acordo com Nur Hayati Baharuddin, diretora executiva do IIA-Malásia, “os
departamentos de auditoria interna que não possuam habilidades e
conhecimento de auditoria da cultura podem começar fazendo o que seus
auditores internos fazem bem — que é trazer uma abordagem sistemática e
disciplinada à avaliação e melhoria das atividades da organização relativas à
cultura”. Por exemplo, conforme descrito no 2016 Global Perspectives and
Insights: Auditando a Cultura – Um Olhar Formal Sobre o Informal, “entender o
modelo das três linhas de defesa (ou outro modelo adequado que delineie
deveres/responsabilidades de riscos e controle e linhas de reporte)3 é tão eficaz
na avaliação da cultura, quanto no apoio aos trabalhos de auditoria comum.
Quando se trata da auditoria da cultura, as obrigações esperadas para cada
linha podem incluir:
1. A primeira linha de defesa — a gestão em linha do negócio — é responsável
por determinar, comunicar e aplicar como modelo os valores e condutas
desejados.
2. A segunda linha é uma função de supervisão, como um departamento de
ética, que desenvolve programas de ética, monitora riscos relativos à cultura
e a conformidade com políticas e procedimentos relativos à cultura, além de
fornecer orientações à primeira linha.
3. A terceira linha — a auditoria interna — avalia a aderência às normas
declaradas e esperadas da organização e avalia se a cultura corporativa apoia
o propósito, a estratégia e o modelo de negócios da organização. A auditoria
interna avalia a cultura geral e identifica áreas nas quais a cultura seja
fraca”.4
3
Declaração de Posicionamento do The IIA, “The Three Lines of Defense in Effective Risk Management
and Control” 2013, www.theiia.org/positionpapers (acessado em 29 de Setembro de 2016).
4
The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, 5
www.theiia.org/gpi (acessado em 24 de Agosto de 2016).
 Global Perspectives:
Tendências Emergentes

No entanto, tendo ou não as competências, a auditoria da cultura está no radar

da auditoria interna. De acordo com a pesquisa de 2016 da Protiviti, Internal
Audit Capabilities Survey, a auditoria da cultura está entre as cinco principais
prioridades para os líderes da auditoria interna. E lembre-se que 89% da
liderança de auditoria interna que participou da pesquisa do Pulso Global do
The IIA indicaram entender os riscos associados à cultura. As principais
motivações para auditar a cultura incluem a classificação da cultura como um
alto risco por parte da auditoria interna, solicitação do conselho/comitê de
auditoria e resposta a um evento relativo à cultura (Documento 5).

Documento 5 – Por que os departamentos de auditoria interna

auditam a cultura (três principais motivos)

A cultura foi classificada como alto risco pela auditoria interna 40%

Solicitação do conselho/comitê de auditoria 30%

“Auditar a cultura deve ser
Em resposta a um evento relativo à cultura
(ex., conduta antiética que resultou em dano financeiro, operacional ou
reputacional à organização)
29% algo incorporado em cada
auditoria, dando à organização
Observação: Q7: Por favor, indique por que seu departamento de auditoria interna audita a cultura.
Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que auditam a cultura.) uma base para o monitoramento
contínuo e permitindo que os
Atuando a partir disso, por meio de sua liderança no desenvolvimento de um
plano de auditoria interna com base em riscos e de seus relacionamentos com o
auditores internos procurem
conselho/comitê de auditoria, os CAEs devem desempenhar um papel principal por sinais adiantados de alerta.”
em ajudar suas organizações a manter as culturas saudáveis e desejadas
necessárias para que a organização atinja sua missão estratégica e implemente Angela Witzany,
os objetivos comerciais e operacionais relacionados. Presidente Global do The IIA
Aqueles que auditam a cultura estão adotando uma abordagem progressiva.
Conforme declarado pela Presidente Global do The IIA de 2016-2017, Angela
Witzany, “auditar a cultura deve ser algo incorporado em cada auditoria, dando
à organização uma base para o monitoramento contínuo e permitindo que os
auditores internos procurem por sinais adiantados de alerta.”5
Há ao menos três formas de auditar a cultura: uma avaliação única de toda a
organização; trabalhos individuais como parte de muitas (se não todas)
auditorias; e/ou reportando sobre um conjunto de auditorias de microculturas
conduzidas ao longo do tempo. Essas abordagens não são mutuamente
exclusivas. Talvez como uma reflexão da cultura da organização em si, há uma
variedade de abordagens diferentes citadas pela minoria que audita a cultura
atualmente (Documento 6).

5
The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, 3
www.theiia.org/gpi (acessado em 24 de Agosto de 2016).

globaliia.org
9
 Global Perspectives:
Tendências Emergentes
Questões de conformidade,
práticas de recursos humanos
e o alinhamento do
comportamento organizacional
com os valores fundamentais
declarados pela organização
são os fatores mais
frequentemente considerados
em qualquer trabalho relativo
à cultura.
10 globaliia.org
Documento 6 – Abordagens para auditar a cultura
Cultura incorporada em diversos trabalhos,
sem trabalho específico de cultura
11%
Cultura incorporada em todos os trabalhos,
sem trabalho específico de cultura
31% 13%
Trabalho específico, além da incorporação
da cultura em diversos trabalhos
18%
Apenas trabalho específico de cultura
27%
Trabalho específico, além da incorporação
da cultura em todos os demais trabalhos
Observação: Q8: Por favor, indique qual das opções a seguir melhor descreve sua abordagem à
auditoria da cultura. (Pergunta àqueles que auditam a cultura.)
Às vezes, um trabalho específico de cultura faz sentido — em situações em que
um retrato do momento se faz necessário, como após um grande escândalo, em
preparação para uma fusão ou aquisição para avaliar a compatibilidade das
organizações, ou para identificar as causas raízes de uma questão específica de
não-conformidade. No entanto, trabalhos específicos de cultura provavelmente
não são suficientes. Quando a auditoria interna considera a cultura em todos os
trabalhos aplicáveis, ela pode ajudar mais a gerência executiva e os conselhos a
detectar e lidar com uma microcultura que esteja se distanciando da cultura
organizacional geral desejada, ou que esteja até, possivelmente, se tornando
tóxica. Então, há lugar tanto para avaliações da macrocultura, quanto para
diversas e distintas microculturas.
Trabalhos de cultura são mais eficazes quando uma lista abrangente de fatores
relativos à cultura é considerada — e a auditoria interna pode muito bem ter
oportunidades de melhoria nessa área. Cerca de metade dos líderes de auditoria
indicou considerar ao menos quatro de sete fatores identificados na pesquisa
(Documento 7). Questões de conformidade, práticas de recursos humanos e o
alinhamento do comportamento organizacional com os valores fundamentais
declarados pela organização são os fatores mais frequentemente considerados
em qualquer trabalho relativo à cultura.
 Global Perspectives:
Tendências Emergentes

Documento 7 – Fatores relativos à cultura considerados nos

trabalhos de auditoria interna
Questões de conformidade
(ex., regras de proteção ao denunciante ou frequência com a qual a organização encarou problemas jurídicos)
70%

Práticas de Recursos Humanos

(ex., incentivos e aplicação, como entrevistas de desligamento e consistência de penalidade para violações) 58%

Alinhamento do real comportamento da organização com os valores

fundamentais declarados pela organização
56%

Treinamento relativo à cultura

(ex., treinamento sobre os valores da organização)
53%

Satisfação/opiniões das partes interessadas

(ex., percepção das partes interessadas sobre o tom no topo, resultados das pesquisas
com funcionários e clientes, feedback dos clientes ou opinião pública)
52%

Habilidades informais
(ex., competência, confiança, honestidade, transparência e liderança)
52%

Estruturas de hotline, helpline ou denúncias

(ex., taxa de uso, tipos de questões, resoluções) 34%
Sessenta por cento daqueles
Observação: Q12: Quais dos seguintes fatores relativos à cultura, se tanto, foram considerados que auditam a cultura
em qualquer trabalho de auditoria interna? Os participantes puderam escolher mais de uma
opção. (Pergunta àqueles que auditam a cultura.) coordenam esforços com
outros departamentos para
Interessantemente, um total de 60 por cento daqueles que auditam a cultura
fazê-lo. No entanto, a
coordena esforços com outros departamentos para fazê-lo. Com maior auditoria interna deveria
frequência, a auditoria interna coordena esforços com recursos humanos, considerar liderar os esforços,
compliance e/ou gerenciamento de riscos para auditar a cultura (Documento 8). chegar a suas próprias
A coordenação com outras áreas principais da organização parece prudente e é conclusões e reportar suas
possivelmente uma prática de liderança. No entanto, considerando o papel opiniões e observações
independente e importante da auditoria interna, é a auditoria interna que deve
independentemente.
considerar liderar os esforços, chegar a suas próprias conclusões e reportar suas
opiniões e observações independentemente.

Documento 8 – Departamentos com os quais a auditoria interna

coordena esforços para auditar a cultura (três principais)

Recursos Humanos 63%

Compliance 57%

Gerenciamento de Riscos 48%

Observação: Q11: Com quais departamentos a auditoria interna coordenou esforços para auditar a
cultura? Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que coordenam
esforços com outros departamentos.)

globaliia.org
11
 Global Perspectives:
Tendências Emergentes
Apenas cerca da metade dos
líderes de auditoria reporta
que seu departamento de
auditoria interna entende
como reportar sobre a
cultura e um em cinco
indica não ter reportado
resultados de trabalhos
relativos à cultura em
momento algum.
12 globaliia.org
Conjecturamos que podem ser os aspectos intangíveis da auditoria da cultura
que explicam por que pode ser mais difícil para a auditoria interna reportar
resultados de trabalhos relativos à cultura do que em outros trabalhos. De fato,
daqueles que auditam a cultura, apenas cerca da metade dos líderes de
auditoria reporta que seu departamento de auditoria interna entende como
reportar sobre a cultura e um em cinco indica não ter reportado resultados de
trabalhos relativos à cultura em momento algum. Quando os resultados são
reportados, o formato mais comum é o relatório escrito, às vezes também
acompanhado de um relatório verbal.
Embora seja de se entender, os auditores internos não devem hesitar em adotar
as auditorias da cultura. Quando a auditoria interna incorporar a cultura em
todos os trabalhos aplicáveis, a cultura pode se tornar mais um fator a
considerar em cada conjunto individual de conclusões e no relatório final.
Conclusão
As evidências começam a sugerir que a auditoria interna está se tornando mais
profundamente ciente das questões culturais como uma causa potencial
inerente de danos de longo prazo às organizações. Embora quase três quartos
dos departamentos de auditoria interna participantes da pesquisa tenham
indicado que não auditam a cultura, um grupo menor de líderes de auditoria
interna deu passos em direção à excelência nessa área. A profissão da auditoria
interna como um todo é orientada a seguir esses líderes, da seguinte forma:
 Entendendo completamente a macrocultura da organização.
 Aplicando estruturas estabelecidas de risco/governança, para avaliar macro e
microculturas.
 Tendo em mente os múltiplos fatores relativos à cultura, considerando a
cultura em todos os trabalhos.
 Reportando continuamente sobre a cultura.
 Global Perspectives:
Tendências Emergentes

Acompanhando a Tecnologia
Embora a auditoria interna tenha progredido em acompanhar a dinâmica em
evolução da tecnologia rapidamente mutante e complexa, os resultados da
pesquisa do Pulso Global indicam que ela ainda parece ter dificuldade de
abordar abrangentemente os riscos tecnológicos. A auditoria interna não está
sozinha nessa luta. Na verdade, de acordo com o relatório global de 2016 State
of Security Operations, da Hewlett Packard Enterprise (HPE), houve um declínio
ano-a-ano na maturidade de security operation center (SOC) em 2015. A HPE
atribui esse declínio às pressões sobre a ciberdefesa por parte da computação
na nuvem, mobile, social e big data e à maior sofisticação da comunidade de
ciberataques. Ainda assim, quase todas as pesquisas de membros do conselho
classificam os riscos tecnológicos, principalmente o cibernético, como altos (se
não os principais) na lista de suas preocupações.
Como a auditoria interna pode ajudar? Um número crescente de líderes de
auditoria interna bem-informados está tomando atitudes para posicionar a
auditoria interna como conselheira confiável de cibernética para a organização,
construindo competências e demonstrando proficiência em questões de TI,
como cibersegurança e big data, e fornecendo uma grande variedade de “A cibersegurança deve ser
serviços de auditoria interna (diretamente ou por meio de cosourcing) relativos a
essas questões. Mas, para outros, os dados da pesquisa do Pulso Global considerada de forma holística
sugerem que diversos obstáculos inibem que a auditoria interna atinja a e sistêmica, já que os efeitos
excelência nessa área.
do fracasso podem variar de
Cibersegurança uma incapacidade de
A cibersegurança refere-se às medidas adotadas para proteger de perdas, conduzir transações básicas,
destruição, acesso não autorizado ou uso impróprio por partes indesejadas os
dados da empresa em sistemas baseados em computadores. Conforme à perda de propriedades
explicado no Global Perspectives and Insights: A Auditoria Interna Como intelectuais, ao dano
Conselheira Confiável de Cibernética, de 2016, “a cibersegurança deve ser
considerada de forma holística e sistêmica, já que os efeitos do fracasso podem reputacional.”
variar de uma incapacidade de conduzir transações básicas, à perda de
propriedades intelectuais, ao dano reputacional. Não é apenas um risco
tecnológico; é um risco do negócio e, portanto, os auditores internos têm um
papel crítico a desempenhar”.6
Felizmente, a grande maioria (93%) dos líderes de auditoria interna reporta que
seus departamentos de auditoria interna entendem os riscos associados à
cibersegurança. Em contraste com esse otimismo, em seu relatório de 2016,
Creating trust in the digital world, a EY alerta que os riscos da cibersegurança
foram subestimados e que organizações demais estão exacerbando suas
vulnerabilidades, adotando uma abordagem ad hoc ao risco. O Pulso Global
confirma isso, com pouco mais da metade (55%) dos líderes de auditoria
interna declarando que suas organizações usam uma estrutura desenvolvida
para abordar a cibersegurança. Esse é quase o mesmo número (58%) que diz
oferecer serviços de auditoria interna relativos à cibersegurança às suas
organizações, exclusivamente (16%) ou via cosourcing (42%), conforme exibido
no Documento 9.

6
The IIA, “Global Perspectives and Insights: Internal Audit as Trusted Cyber Adviser,” 2016, 5,
www.theiia.org/gpi (acessado em 24 de Agosto de 2016).

globaliia.org
13
 Global Perspectives:
Tendências Emergentes
Um em quatro líderes de
auditoria interna indica que
nenhum serviço de auditoria
interna relativo à
cibersegurança é prestado
à organização.
14 globaliia.org
Então, embora a maioria dos departamentos de auditoria interna possa declarar
que entende os riscos de cibersegurança, apenas alguns traduzem plenamente
esse entendimento em ação, oferecendo abrangentemente todos os serviços de
auditoria interna de cibersegurança necessários às suas organizações. Mas é
ainda mais alarmante, considerando o entendimento expresso dos líderes de
auditoria interna sobre os riscos de cibersegurança, a alta visibilidade e os
danos causados por eventos cibernéticos amplamente divulgados, que um em
quatro (25%) líderes de auditoria interna indique que nenhum serviço de
auditoria interna relativo à cibersegurança é prestado à organização. Os
restantes, 16 por cento, reportam que todos os serviços de auditoria interna
relativos à cibersegurança são totalmente terceirizados (Documento 9).
Documento 9 – Quem presta serviços de auditoria interna relativos
à cibersegurança para as organizações
Todos os serviços de auditoria interna relativos
à cibersegurança são prestados pelo
departamento de auditoria interna.
16%
25% Serviços de auditoria interna relativos à
cibersegurança são prestados em cosourcing
entre a auditoria interna e prestadores externos.
Todos os serviços de auditoria interna relativos
42% 16% à cibersegurança são terceirizados.
Nenhum serviço de auditoria interna relativo à
cibersegurança é prestado para minha
organização.
Observação: Q25: Qual afirmação melhor descreve quem presta serviços de auditoria interna relativos
à cibersegurança para sua organização? Favor notar: os números não totalizam 100% devido ao
arredondamento.
Os principais motivos para que nenhum serviço de auditoria interna seja
prestado à organização incluem a falta de competências (habilidades e
conhecimentos) e ferramentas, por parte da auditoria interna, para auditar a
cibersegurança (Documento 10). Os CAEs estão tomando atitudes para corrigir
essas deficiências. De acordo com o relatório CBOK de 2016 da IIARF,7 a
tecnologia da informação e mineração/análise de dados são duas das sete
habilidades que os CAEs estão recrutando ou desenvolvendo em seus
departamentos de auditoria interna. Os CAEs também compensam a falta de
competências e ferramentas por meio de estruturas de cosourcing e terceirização.
7
James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA Research Foundation, 2016) p 2,
http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.
 Global Perspectives:
Tendências Emergentes

Documento 10 – Motivos pelos quais os departamentos de auditoria

interna não auditam a cibersegurança

A auditoria interna não tem as competências (habilidades e conhecimentos)

necessárias para prestar serviços de auditoria relativos à cibersegurança. 65%

A auditoria interna não tem as ferramentas para auditar

a cibersegurança. 55%

26% A auditoria interna não avaliou o risco relativo à cibersegurança.

22% A auditoria interna não tem tempo para auditar a cibersegurança.

A auditoria interna não tem o apoio da gerência executiva para auditar

19% a cibersegurança.

16% A cibersegurança é avaliada por um prestador externo de avaliação.

A auditoria interna não tem o apoio do conselho/comitê de auditoria para

16% auditar a cibersegurança.

14% A cibersegurança é avaliada por outro prestador interno de avaliação.

7% A auditoria interna avaliou o risco relativo à cibersegurança como um baixo risco à organização.

Observação: Q26: Qual das opções a seguir descreve por que seu departamento de auditoria interna
não presta serviços de auditoria interna especificamente relativos à cibersegurança atualmente? Os
participantes puderam escolher mais de uma opção. (Pergunta àqueles que não prestaram à
organização qualquer serviço de auditoria interna relativo à cibersegurança.)

O que um auditor interno pode fazer para progredir nessa área? Primeiro,
deve-se ter ou adquirir as competências e ferramentas necessárias para auditar
a cibersegurança. Claramente, a partir dos resultados da pesquisa, esses são
dois dos principais impedimentos para auditar com sucesso essa área crítica.
Então, reconheça a necessidade de apoio por parte do topo. Conforme
declarado no A Auditoria Interna Como Conselheira Confiável de Cibernética,
em praticamente todas as organizações, para todo grande projeto, é crítico o
apoio do topo. No entanto, os conselhos podem não estar lidando com suas
principais preocupações relativas à cibersegurança com ações proporcionais ao
risco. Por exemplo, de acordo com um estudo recente dos Estados Unidos, 26
por cento dos indivíduos entrevistados indicaram que seu chief information
security officer (CISO) ou chief security officer (CSO) faz uma apresentação de
segurança ao conselho apenas uma vez ao ano; praticamente o mesmo número
(28%) reportou que nenhuma apresentação é feita. Adicionalmente, quase um
terço disse que nenhum membro ou comitê do conselho está envolvido no risco
cibernético, com apenas 15% indicando envolvimento do comitê de auditoria
no risco cibernético.8

8
PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey,” Julho de 2015,
http://www.pwc.com/us/cybercrime (acessado em 24 de Agosto de 2016).

globaliia.org
15
 Global Perspectives:
Tendências Emergentes
Com seu acesso privilegiado
ao conselho/comitê de
auditoria e seu entendimento
dos riscos de cibersegurança,
os líderes de auditoria interna
devem manter a
cibersegurança em pauta,
discutir as vulnerabilidades
cibernéticas e oferecer auxílio
em um processo que
estabeleça o apetite de risco
da organização quanto à
cibersegurança.
16 globaliia.org
Possivelmente como resultado de alguma combinação de percepção e realidade
de que a auditoria interna não tem competência suficiente para avaliar a
cibersegurança, a confiança de que a auditoria interna vai suprir essa
deficiência também está em falta. Por exemplo, no Pulso Global, apenas 56 por
cento dos líderes de auditoria interna disseram que têm diretrizes para que o
conselho/comitê de auditoria audite a cibersegurança. Então, o que precisa ser
feito? Primeiro, com seu acesso privilegiado ao conselho/comitê de auditoria e
seu entendimento dos riscos de cibersegurança, os líderes de auditoria interna
devem manter a cibersegurança em pauta, discutir as vulnerabilidades
cibernéticas e oferecer auxílio em um processo que estabeleça o apetite de
risco da organização quanto à cibersegurança. Para aqueles que não entendem
a gravidade dos riscos de cibersegurança, entenda que esse é um grande fator
de risco, que certamente se tornará mais grave conforme a tecnologia continua
a evoluir cada vez mais rapidamente do que os esforços de gerenciar e controlar
o risco com eficácia. Na verdade, a Forbes reportou no início de 2016 uma
projeção de que os custos do cibercrime estão previstos para atingir $2 trilhões
até 2019.9
Em segundo lugar, perceba que a cibersegurança exige um esforço colaborativo
dependente do tino de liderança demonstrado pelo CAE. Como explica Hans
Nieuwlands, diretor executivo do IIA–Holanda, “os CAEs devem estabelecer
parcerias de confiança com a gerência executiva, oferecendo conselhos e
soluções que gerenciem ou reduzam os riscos de cibersegurança a um nível
aceitável e desenvolvendo relacionamentos colaborativos com o chief
information officer (CIO), chief information security officer (CISO) e executivos
sênior de privacidade/jurídico”.
Em terceiro lugar, siga aqueles que já progrediram nessa área. Como
mencionado anteriormente, mais da metade (58%) dos líderes de auditoria
interna disse prestar serviços de auditoria interna relativos à cibersegurança à
sua organização, exclusivamente ou por meio de cosourcing. Os principais
motivos para a auditoria da cibersegurança são que a classificação correta da
cibersegurança como alto risco e o fato de que o CAE levantou a questão
durante o processo de planejamento de auditoria, demonstrando que os líderes
de auditoria interna podem precisar atuar como catalisadores para a
organização, dando a devida ênfase à importância cada vez maior da
cibersegurança (Documento 11).
É importante notar que os departamentos de auditoria interna que auditam a
cibersegurança estão começando a oferecer uma grande variedade de serviços
valiosos às suas organizações. Serviços citados mais frequentemente incluem a
avaliação dos controles que abordam como os sistemas de conexão com a
internet processam, armazenam e/ou transportam dados, a avaliação do plano
de continuidade do negócio e a avaliação do processo de avaliação do risco da
cibersegurança (Documento 12). Uma oportunidade potencialmente óbvia é que
os líderes de auditoria interna se envolvam mais na linha de frente do processo,
aconselhando quanto a equipes de projeto e oferecendo orientação sobre planos
de implementação e de desempenho da cibersegurança.
9
Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019,” http://www.forbes.com/sites/
stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0
 Global Perspectives:
Tendências Emergentes

Documento 11 – Por que a auditoria audita a cibersegurança

A cibersegurança foi classificada como alto risco. 74%

O chief audit executive (CAE) ou chefe de auditoria interna levantou a

questão durante o processo anual de planejamento de auditoria. 63%

Solicitação do conselho/comitê
de auditoria 34%

Solicitação da gerência 28%

Em resposta a um evento relativo à cibersegurança

17% (ex., violação de dados que resultou em dano financeiro, operacional ou reputacional à organização)

Em resposta a mudanças nas métricas estabelecidas de cibersegurança

10% (ex., maior número de alertas de software de proteção, maior número de violações de política de cibersegurança)

Observação: Q27: Por favor, indique por que seu departamento de auditoria interna prestou serviços de
auditoria interna relativos à cibersegurança. Os participantes puderam escolher mais de uma opção.
(Pergunta àqueles que prestam serviços relativos à cibersegurança exclusivamente ou por cosourcing.)

Documento 12 – Como os departamentos de auditoria interna

auditam a cibersegurança

Avaliaram controles que abordam como sistemas de conexão com a internet

processam, armazenam e/ou transportam dados 70%

Avaliaram o plano de continuidade do negócio 68%

Avaliaram o processo de avaliação do risco de cibersegurança 64%

Avaliaram a prevenção de cibersegurança 59%

Avaliaram o plano de resposta a incidentes 56%

Avaliaram o plano de gerenciamento de crise 47%

Participaram de uma equipe de projeto para oferecer orientações
27% quanto a planos de implementação e desempenho da cibersegurança

Observação: Q28: Por favor, indique como seu departamento de auditoria interna esteve envolvido na
cibersegurança. Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que prestam
serviços relativos à cibersegurança exclusivamente ou por cosourcing.)

globaliia.org
17
 Global Perspectives:
Tendências Emergentes
No nível global, quase
metade dos líderes de
auditoria interna indica que
suas organizações fizeram
investimentos em big data e
outros 23 por cento dizem
que suas organizações têm
uma estratégia em prática
para fazê-lo. Deve-se esperar
que a auditoria interna esteja
abordando ou venha a
abordar o big data em seus
planos de auditoria com
base em riscos.
18 globaliia.org
Big Data
Big data significa mais do que apenas uma grande quantidade de dados. Big
data refere-se aos dados (informações) em uma organização que atingem
volume, variedade, velocidade e variabilidade tão altos que as organizações
devem investir em arquiteturas de sistema, ferramentas e práticas
especificamente desenvolvidas para lidar com esses dados. No nível global,
quase metade (49%) dos líderes de auditoria interna indica que suas
organizações fizeram tais investimentos (e, presume-se, implementaram
sistemas para lidar com eficácia com o big data até certo ponto) e outros 23 por
cento dizem que suas organizações têm uma estratégia em prática para fazê-lo
(Documento 13). Como resultado, deve-se esperar que a auditoria interna esteja
abordando ou venha a abordar o big data em seus planos de auditoria com base
em riscos.
Documento 13 – Organizações que investiram em big data
Minha organização investiu em arquitetura de
sistemas, ferramentas e práticas especialmente
7% desenvolvidas para lidar com big data.
Minha organização não investiu em arquitetura
de sistemas, ferramentas e práticas
21% especialmente desenvolvidas para lidar com
big data, mas tem uma estratégia em prática.
49%
Minha organização não investiu em arquitetura
de sistemas, ferramentas e práticas
especialmente desenvolvidas para lidar com
23% big data e não tem planos de fazê-lo.
Não sei.
Observação: Q17: Qual declaração melhor descreve a abordagem de sua organização ao big data?
Uma pesquisa de 2016 da New Vantage Partners (NVP), com foco nos
tomadores de decisões comerciais e tecnológicas de nível sênior das Fortune
1000 dos EUA, revelou que:
 O big data atingiu a adoção geral.
 Um novo papel organizacional, o de chief data officer, está se tornando
bem-estabelecido.
 A parceria comercial e tecnológica é vista como crítica para a adoção do big
data.
 Conhecimento e velocidade do negócio são os principais catalisadores
comerciais de investimento no big data.
 A variedade (de dados) continua ultrapassando volume e velocidade como
catalisador técnico por trás dos investimentos em big data.10
10
New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://newvantage.com/wp-content/up -
loads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (acessado em 24 de Agosto de 2016).
 Global Perspectives:
Tendências Emergentes

Quanto aos líderes de auditoria interna que trabalham em organizações que

investiram no big data, 64 por cento dizem que seu departamento oferece à
organização serviços de auditoria interna relativos ao big data, exclusivamente
(32%) ou em cosourcing com um prestador externo (32%), conforme exibido no
Documento 14. E, como com a cibersegurança, os líderes de auditoria interna
muitas vezes direcionam a atenção da organização para as questões de
gerenciamento de riscos e controle do big data. Entre os líderes de auditoria
interna que auditam o big data, os dois principais motivos citados para fazê-lo
estão relacionados a enxergar o risco. Conforme reportado, o CAE levantou a
questão durante o processo de planejamento de auditoria anual ou o big data
foi classificado como alto risco por parte da auditoria interna.

Documento 14 – Quem presta serviços de auditoria interna relativos

a big data para as organizações
Todos os serviços de auditoria interna relativos
a big data são prestados pelo departamento de
auditoria interna.

32% 26% Os serviços de auditoria interna relativos a big Entre os líderes de auditoria
data são prestados em cosourcing entre
a auditoria interna e prestadores externos. interna que auditam o big
data, os dois principais
9% Todos os serviços de auditoria interna relativos motivos citados para fazê-lo
a big data são terceirizados.
32% estão relacionados a enxergar
Nenhum serviço de auditoria interna relativo
o risco. Conforme reportado,
a big data é prestado à minha organização. o CAE levantou a questão
durante o processo de
planejamento de auditoria
anual ou o big data foi
classificado como alto risco
Observação: Q19: Qual declaração melhor descreve quem presta serviços de auditoria interna
relativos a big data? (Pergunta àqueles que investiram em big data.) Favor notar: os números por parte da auditoria interna.
não totalizam 100% devido ao arredondamento.

Os departamentos de auditoria interna que estão examinando o big data estão

oferecendo uma grande variedade de serviços valiosos relativos ao big data para
suas organizações. Os serviços citados mais frequentemente incluem a
avaliação dos controles sobre a disponibilidade, usabilidade, integridade ou
segurança dos dados; a avaliação dos riscos associados ao uso do big data; e a
avaliação da precisão do big data (Documento 15).

globaliia.org
19
 Global Perspectives:
Tendências Emergentes
“Ao participar de equipes de
projeto, a auditoria interna
pode estimular conversas
que promovam o raciocínio
e que abordem as
perspectivas comercial e
tecnológica sobre tópicos
como integridade dos dados,
segurança e requisitos de
privacidade”
Carolyn Saint, CAE,
University of Virginia
20 globaliia.org
Documento 15 – Como a auditoria interna audita o big data
Avaliou controles sobre disponibilidade, usabilidade, integridade ou segurança do big data 80%
Avaliou os riscos associados ao uso do big data 66%
Avaliou a precisão do big data 54%
Avaliou a validade do big data (adequação dos dados
para o uso pretendido) 51%
Avaliou o valor das métricas de big data
para a organização 38%
Participou de uma equipe de projeto de big data para oferecer
24% orientações quanto a planos de implementação e desempenho
do big data
10% Auxiliou na análise de custo-benefício
Observação: Q22: Por favor, indique como seu departamento de auditoria interna esteve envolvido
no big data. Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que
prestaram serviços relativos ao big data exclusivamente ou por cosourcing.)
Discutivelmente, esses serviços de auditoria interna podem ser relacionados a
cada uma das principais descobertas da pesquisa da NVP. Por exemplo,
conforme explicado por Lesedi Lesetedi, diretora de auditoria interna da
Botswana International University of Science and Technology, “a pesquisa NPV
revela que o gasto com big data está crescendo. A assistência da auditoria
interna com a análise de custo-benefício pode ajudar a garantir à gerência
executiva e ao conselho que os dólares gastos estejam justificados com base
nos benefícios em potencial para a organização”. Carolyn Saint, CAE da
University of Virginia, acrescenta que, “ao participar de equipes de projeto, a
auditoria interna pode estimular conversas que promovam o raciocínio e que
abordem as perspectivas comercial e tecnológica sobre tópicos como
integridade dos dados, segurança e requisitos de privacidade”.
No entanto, apesar de 92 por cento dos líderes de auditoria interna reportarem
que seus departamentos de auditoria interna entendem os riscos associados ao
big data, e apesar da miríade de formas como a auditoria interna pode
contribuir para as iniciativas de big data de suas organizações, um em quatro
(26%) líderes de auditoria interna trabalhando em organizações que investiram
em big data diz que nenhum serviço de auditoria interna relativo ao big data é
prestado à organização. Esses líderes de auditoria interna citam uma variedade
de motivos, embora a maioria cite a falta de ferramentas e competências
(habilidades e conhecimentos) como sendo o que embarreira a auditoria nesse
quesito (Documento 16).
 Global Perspectives:
Tendências Emergentes

Documento 16 – Motivos pelos quais os departamentos de

auditoria interna não auditam o big data

A auditoria interna não tem as ferramentas para auditar o big data. 61%

A auditoria interna não tem as competências (hablidades

e conhecimento) necessárias para auditar o big data. 46%

A auditoria interna não avaliou os

riscos relativos ao big data. 34%

22% A auditoria interna não tem tempo para auditar o big data.

A auditoria interna não tem o apoio da gerência executiva

17% para auditar o big data.

14% O big data é avaliado por um prestador externo de avaliação.

A auditoria interna não tem o apoio do conselho/comitê de auditoria para

13% auditar o big data.

A auditoria interna avaliou o risco relativo ao big data como um baixo risco à
8% organização.

5% O big data é avaliado por outro prestador interno de avaliação.

Observação: Q20: Quais das opções a seguir descreve por que seu departamento de auditoria
interna não presta serviços de auditoria interna relativos ao big data atualmente? Os participantes
puderam escolher mais de uma opção. (Pergunta àqueles que não prestaram à organização
qualquer serviço de auditoria interna relativo ao big data.)

globaliia.org
21
 Global Perspectives:
Tendências Emergentes
O número de departamentos
de auditoria interna que estão
prestando serviços relativos
de auditoria interna para suas
organizações parece não estar
no nível necessário,
considerando os riscos.
22 globaliia.org
Conclusão
Embora os riscos tecnológicos relativos à cibersegurança e ao big data sejam
top-of-mind para muitos conselhos, o número de departamentos de auditoria
interna que estão prestando serviços relativos de auditoria interna para suas
organizações parece não estar no nível necessário, considerando os riscos. No
entanto, os departamentos de auditoria interna que de fato prestam esses
serviços estão frequentemente ajudando a direcionar a atenção da organização
para as questões críticas de riscos e controle de cibersegurança e big data. O
desafio será que os auditores internos garantam o acesso às habilidades,
conhecimentos, recursos e ferramentas em um ambiente de riscos dinâmico e
em constante mudança. Aproveitar estruturas de cosourcing para trazer os
especialistas apropriados pode se provar imperativo para muitas funções de
auditoria interna daqui para a frente.
Passos que ajudarão a auditoria interna a progredir à excelência nessa área
incluem:
 Entender plenamente os riscos relativos à tecnologia e seu possível impacto
sobre o atingimento dos objetivos operacionais e estratégicos.
 Aproveitar os investimentos da organização em tecnologia para obter as
ferramentas necessárias para auditar a cibersegurança e big data.
 Desenvolver as competências necessárias de auditoria interna.
 Ajudar a promover a cooperação entre as operações de tecnologia e negócios.
 Oferecer um conjunto abrangente de serviços de auditoria interna relativos à
tecnologia, incluindo da participação em equipes de gestão de projetos até
oferecer ao conselho avaliações do gerenciamento de riscos e controles
internos relativos à tecnologia.
 Global Perspectives:
Tendências Emergentes

Atingindo o Status de
Conselheiro Confiável
Por mais elusivo e desafiador que seja, a auditoria interna tem continuado a
fazer progresso em acompanhar com as expectativas sempre crescentes das
partes interessadas. Para muitos, esse será um desafio duradouro, enquanto,
para outros, será uma questão de ao menos tentar ficar um ou dois passos à
frente das demandas e expectativas crescentes.

Continuar a evolução de um foco discutivelmente antiquado sobre os controles

de contabilidade para a verdadeira auditoria, com base em riscos e de toda a
organização, tem sido um grande salto adiante para a profissão. Da mesma
forma, a próxima evolução da profissão tem sido o progresso dos CAEs para
garantir um alinhamento do plano de auditoria interna com as prioridades
estratégicas da organização, e o oferecimento de insights sobre a habilidade (ou
falta de habilidade) de uma organização de atingir com eficácia seus objetivos
estratégicos.

Então, qual o próximo passo? Muitos estão dizendo, agora, que a auditoria
interna precisa se elevar ainda mais, ser vista na organização como “conselheira
confiável” para ser realmente eficaz. Ainda assim, em muitos casos, a auditoria
interna ainda está pedindo para ter o cobiçado “lugar à mesa” (se conseguí-lo) Um verdadeiro conselheiro
— onde a maioria das questões organizacionais urgentes está sendo discutida e confiável tem lugar à mesa
onde as decisões executivas são tomadas. Por sua vez, um verdadeiro
conselheiro confiável tem lugar à mesa por conta do valor que todos aceitam por conta do valor que todos
como garantido. Eles não pedem para se envolver... Eles são convidados. Um aceitam como garantido. Eles
conselheiro confiável, então, deve ter o pleno complemento do tino comercial,
do conhecimento técnico e das habilidades de relacionamento para ser não pedem para se envolver...
percebido pelas partes interessadas como um recurso valioso para auxiliar com Eles são convidados.
os objetivos da organização. Para o CAE e sua equipe, isso significa
consistentemente ter algo de significante para contribuir.

No relatório de 2016 chamado State of Internal Audit Profession Study,

Leadership Matters: Advancing toward the true north as stakeholders expect
more, a PwC revelou uma lacuna, consistente com as principais opiniões, entre
as ambições da profissão e o que ela realmente está entregando hoje.
Reconhecendo a expectativa, apenas 16 por cento dos participantes da PwC
(CAEs e suas partes interessadas) disseram que a auditoria interna atualmente
presta serviços de valor agregado e conselhos estratégicos proativos para o
negócio, bem além da execução eficaz e eficiente do plano de auditoria,
enquanto 62 por cento esperam que a auditoria interna o faça nos próximos
cinco anos. De forma similar, a Deloitte reportou em sua pesquisa de 2016
Global Chief Executive Survey, Evolution or irrelevance? Internal Audit at a
crossroads que “apenas 28 por cento dos CAEs acreditam que suas funções
tenham forte impacto e influência sobre a organização. Um número chocante de
16 por cento notou que a Auditoria Interna tem pouco ou nenhum impacto e
influência. Enquanto isso, quase dois terços acreditam que a força da Auditoria
Interna nessas áreas será importante nos próximos anos.”11

11
Deloitte, “Evolution or irrelevance? Internal audit at a crossroads,” 2016, 5, http://www2.deloitte.com/global/en/pages/
audit/solutions/global-chief-audit-executive-survey.html (acessado em 24 de Agosto de 2016).

globaliia.org
23
 Global Perspectives:
Tendências Emergentes
A maioria (66%) dos líderes
de auditoria interna reporta
não ser convidada
frequentemente para
participar de grandes
iniciativas de mudança
organizacional e quase um
terço dos líderes de auditoria
interna nunca é convidado
para participar de uma
reunião completa do
conselho.
24 globaliia.org
A auditoria interna pode fechar essas lacunas notáveis e progredir para se tornar
uma conselheira confiável? Considerando as expectativas, passos proativos e
agressivos podem ser necessários.
De acordo com Karem Toufic Obeid, CAE, Tawazun, “fechar a lacuna exige a
construção de relacionamentos de confiança com a gerência executiva e com o
conselho. A confiança é construída quando o trabalho da auditoria interna não é
apenas confiável e não entrega apenas o que promete, mas é preventivo e
esclarecedor.” Infelizmente, a maioria dos líderes de auditoria interna ainda se
reúne com o CEO, com a gerência executiva e com o comitê de auditoria apenas
em momentos predeterminados e definidos, em vez de com frequência e
conforme necessário. E sobre a necessidade de relacionamentos sólidos com o
topo, ter que considerar o tino comercial afiado e o conhecimento técnico,
combinados com a necessidade de ser perspicaz, pode ser difícil. Mas parece
que também está se tornando um óbvio necessário. No entanto, a maioria
(66%) dos líderes de auditoria interna reporta não ser convidada
frequentemente para participar de grandes iniciativas de mudança
organizacional (Documento 17) e quase um terço dos líderes de auditoria
interna nunca é convidado para participar de uma reunião completa do
conselho (Documento 18). Como resultado, ao menos nesse momento para
muitos, o status de conselheiro confiável permanece sendo uma ambição
esperançosa “em andamento”.
Documento 17 – Com que frequência a auditoria interna participa
das iniciativas de mudança organizacional
Sempre
11% 11%
Frequentemente
17%
26% Às vezes
Raramente
36%
Nunca
Observação: Q38: Com que frequência a auditoria interna participa das principais iniciativas de
mudança organizacional? Os números não totalizam 100% devido ao arredondamento.
 Global Perspectives:
Tendências Emergentes

Documento 18 – Com que frequência os CAEs são convidados a

comparecer a reuniões completas do conselho

A todas as reuniões

Anualmente
23%
31%
Conforme solicitado pelo conselho
4%
Conforme solicitado pelo chief audit
7% executive (CAE) ou chefe de auditoria
34% interna

Nunca

Observação: Q37: Com que frequência o chief audit executive ou chefe de auditoria interna é
convidado a comparecer a uma reunião completa do conselho (separada do comitê de auditoria)?
Os números não totalizam 100% devido ao arredondamento.

Além do CEO, da gerência executiva e do presidente do comitê de auditoria, os Fechar a lacuna exige a
líderes e a equipe de auditoria interna precisam desenvolver relacionamentos
construção de relacionamentos
com os gerentes sênior e intermediários também. Para muitos, isso é melhor
feito por meio do planejamento intencional, usando interações estruturadas e
de confiança com a gerência
repetitivas, trabalhando em direção a estabelecer relacionamentos profundos e executiva e com o conselho. A
contínuos. No entanto, 65 por cento dos líderes de auditoria interna indicam confiança é construída quando
não ter um programa formal através do qual os auditores internos se reúnam o trabalho da auditoria interna
com funcionários específicos da organização de forma contínua (Documento não é apenas confiável e não
19). Sem tal programa, será difícil, se não impossível, na maioria das entrega apenas o que promete,
organizações de qualquer porte, que os líderes de auditoria interna e sua equipe
mas é preventivo e
estabeleçam e sustentem uma base de relacionamentos necessária para se
elevar à visão de conselheiros confiáveis.
esclarecedor.”

Documento 19 – Programas por meio dos quais auditores internos Karem Toufic Obeid,
se reúnem com funcionários da organização CAE, Tawazun

Sim, temos um programa formal.

14%
Sim, temos um programa informal.

35% 15%
Não, não temos um programa assim,
mas estamos considerando.

36%
Não, não temos um programa assim e
não estamos considerando.

Observação: Q31: A auditoria interna tem um programa por meio do qual os auditores internos se
reúnam com funcionários da organização de forma contínua?

globaliia.org
25
 Global Perspectives:
Tendências Emergentes

Programas formais que aumentem a interação do auditor interno com os

funcionários da organização ajudam a auditoria interna a se tornar mais visível,
mais instruída e mais em sintonia com o que está realmente acontecendo na
organização. Como explica Ana Cristina Zambrano Preciado, presidente e chief
executive officer do IIA–Colômbia, “a forma como os CAEs se apresentam
impacta como eles são percebidos na organização”. E todos nós sabemos que a
percepção propulsiona a realidade. Ainda assim, os resultados da pesquisa
indicam que apenas 26 por cento dos CAEs dizem acreditar que são percebidos
como membros da gerência executiva. Claramente, os 74 por cento restantes
não se sentem percebidos como colegas da equipe executiva (Documento 20).
Considerando que tantos CAEs não acreditam ser percebidos como estando nos
níveis mais altos da organização, isso pode ser visto como uma estatística
perturbadora e uma barreira em potencial para atingir o status e a visibilidade
do conselheiro confiável.

Documento 20 – Como o CAE é percebido

Gerência executiva

20%
26%
Apenas 26 por cento Alta administração

dos CAEs acreditam

ser percebidos como 55%
membros da gerência
Gerência média
executiva.

Observação: Q35: O chief audit executive (CAE) ou chefe de auditoria interna é percebido
como membro de: (Dados oferecidos refletem as respostas dos CAEs apenas.) Os números
não totalizam 100% devido ao arredondamento.

Outro fator que pode aumentar a visibilidade e o status dos líderes de auditoria
interna na organização, embora não deixe de trazer desafios, é que eles sejam
convidados a adotar mais responsabilidades externas à auditoria interna. Um
em quatro líderes de auditoria interna (26%) indica ser responsável por funções
além da auditoria interna (Documento 21). As funções mais frequentemente
mencionadas são as funções de gerenciamento de riscos e compliance, voltadas
para a segunda linha de defesa.

26 globaliia.org
 Global Perspectives:
Tendências Emergentes

Documento 21 – Porcentagem de CAEs responsáveis por outras

funções

Sim

26%
Não

74%

Observação: Q39: O chief audit executive (CAE) ou chefe de auditoria interna de sua
organização é responsável também por outra(s) função(ões) além da auditoria interna?
Pedirem que expanda sua
atuação além da auditoria
interna — assumindo
Claro, os líderes de auditoria interna encaram desafios quanto a assumir responsabilidade pela
responsabilidades externas à auditoria interna. Manter tanto a objetividade conformidade ou
percebida quanto a real é de extrema importância, assim como os desafios da
gerenciamento de riscos,
independência, que depende das linhas de reporte. Sim, há riscos no limite
por exemplo — pode ser
embaçado entre a segunda e a terceira linhas de defesa e o CAE deve
fortemente proteger a auditoria interna de ser puxada em uma direção que
um indicador, para os CAEs,
minimize ou comprometa sua principal responsabilidade de qualquer forma. de que seus conhecimentos,
Mas pedirem que expanda sua atuação além da auditoria interna também pode habilidades e contribuições
ser um indicador, para os CAEs, de que seus conhecimentos, habilidades e podem ser e são significantes
contribuições podem ser e são significantes para toda a organização, em uma para toda a organização, em
variedade de funções. uma variedade de funções.
Linhas de reporte ótimas — na visão emergente para muitas organizações do
reporte administrativo ao CEO e funcional ao comitê de auditoria — ajudam os
líderes de auditoria interna a manter a independência organizacional,
aumentando seu potencial como conselheiros confiáveis. O Pulso Global revela
que 45 por cento dos líderes de auditoria interna reportam administrativamente
ao CEO (ou equivalente) e 73 por cento reportam funcionalmente ao conselho
ou comitê de auditoria (ou equivalente).12 Essas porcentagens continuam a
aumentar ao longo do tempo, conforme a auditoria interna continua a sair do
papel estereotípico de estar primariamente focado apenas na contabilidade e
em questões financeiras.

12
O reporte administrativo refere-se à supervisão de questões diárias, incluindo orçamento, administração de recursos
humanos, comunicação, políticas internas e procedimentos. O reporte funcional refere-se à supervisão das
responsabilidades da função de auditoria interna, incluindo a aprovação do estatuto de auditoria interna, plano de
auditoria, a avaliação do CAE e a compensação do CAE.

globaliia.org
27
 Global Perspectives:
Tendências Emergentes

Conclusão
Primeiro, da auditoria com base em controles para a auditoria com base em
riscos, e agora das avaliações de risco bottom-up para o alinhamento das
prioridades da auditoria interna com as prioridades estratégicas da organização,
a próxima onda de evolução chegou... A que eleva a auditoria interna ao status
de conselheira confiável. O caminho à frente exigirá esforço dedicado, assim
como uma dinâmica flexível em termos das habilidades de valor e talentos
desejados. Mas é um caminho que as partes interessadas da auditoria interna
estão começando a esperar que seja trilhado... E um destino que poucos
pioneiros já estão atingindo.

Um artigo do Presidente e CEO do IIA, Richard Chambers, no blog da revista

Internal Auditor sugeriu sinais de que suas contribuições como CAE ou
auditoria interna podem não estar sendo valorizados:

 Poucas solicitações (se tanto) de auditoria chegam a você ao longo do ano.

 Contribuição mínima é recebida durante o processo anual de avaliação de riscos

da auditoria interna.

 Você não é convidado para reuniões em que a estratégia do negócio seja

discutida ou formulada.

 Os destinatários de seus relatórios são indiferentes ou resistentes às conclusões

ou recomendações.

 Quando um risco significante é identificado, a gerência não liga para você —

eles buscam um consultor.13

13
Chambers, Richard. 14 de Junho de 2016. Forensic Examination May Explain Why You Aren’t a Trusted Advisor.
https://iaonline.theiia.org/blogs/chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trust-
ed-Advisor.aspx (acessado em 24 de Agosto de 2016).

28 globaliia.org
 Global Perspectives:
Tendências Emergentes

Reflexões de Encerramento
Com a manutenção ou aumento, em sua maioria, dos níveis de orçamento e
estruturação de equipe para apoiar as atividades críticas de auditoria interna,
pode nunca haver oportunidade maior para que a auditoria interna dê os
próximos passos necessários em direção a atender e exceder as expectativas das
partes interessadas. Considerando o apoio à definição dos recursos, agora pode
ser o melhor momento para aproveitar a oportunidade.

E, para continuar sua busca pela excelência e pelo status de conselheira

confiável, a auditoria interna deve estar na linha de frente para lidar com as
exposições organizacionais críticas. Conforme a pesquisa Global Pulse de 2016
indica, exposições urgentes, como cultura, cibersegurança e big data, estão
entre as questões emergentes em que a auditoria interna precisa investir (ou até
aumentar) tempo, energia e foco preciosos.

Os líderes de auditoria interna realizaram esforços para o progresso, mas a

profissão como um todo pode muito bem precisar acelerar o ritmo e certamente
não pode se dar o luxo de perder o embalo.

globaliia.org
29
 Global Perspectives:
Tendências Emergentes

Para Mais Informações

Auditando a Cultura
 Chartered Institute of Internal Auditors, “Organizational Culture: Evolving
approaches to embedding and assurance,” Maio de 2016, https://iia.org.uk/
policy/publications/culture-evolving-approaches-to-embedding-and-assurance-
board-briefing/ (acessado em 24 de Agosto de 2016).

 CCH Daily, “FRC calls for greater emphasis on corporate culture,” 20 de Julho
de 2016 https://www.cchdaily.co.uk/frc-calls-greater-emphasis-corporate-culture
(acessado em 24 de Agosto de 2016).

 Financial Reporting Council, “Corporate Culture and the Role of Boards,”

Julho de 2016, https://www.frc.org.uk/Our-Work/Corporate-Governance-Reporting/
Corporate-governance/Corporate-Culture-and-the-Role-of-Boards.aspx
(acessado em 24 de Agosto de 2016).

 The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the
Soft Stuff,” 2016, www.theiia.org/gpi (acessado em 29 de Setembro de 2016).

Acompanhando a Tecnologia
 EY, “Creating trust in the digital world,” 2015 http://www.ey.com/Publication/
vwLUAssets/EY-creating-trust-in-the-digital-world/$FILE/EY-creating-trust-in-
the-digital-world.pdf (acessado em 24 de Agosto de 2016).

 KPMG, “Global profiles of the fraudster: Technology enables and weak

controls fuel the fraud,” Maio de 2016, https://home.kpmg.com/xx/en/home/
insights/2016/05/global-profiles-of-the-fraudster.html (acessado em 24 de
Agosto de 2016).

 New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://
newvantage.com/wp-content/uploads/2016/01/Big-Data-Executive-Survey-
2016-Findings-FINAL.pdf (acessado em 24 de Agosto de 2016).

 PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US
State of Cybercrime Survey,” Julho de 2015, http://www.pwc.com/us/cybercrime
(acessado em 24 de Agosto de 2016).

 Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019,”

http://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-
projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0

 The IIA, “Global Perspectives and Insights: Internal Audit as Trusted Cyber
Adviser,” 2016, www.theiia.org/gpi (acessado em 29 de Setembro de 2016).

30 globaliia.org
 Global Perspectives:
Tendências Emergentes

 Global Technology Audit Guide (GTAG) do The IIA, “Assessing Cybersecurity

Risk: Roles of the Three Lines of Defense,” 2016, www.globaliia.org/
standards-guidance (acessado em 29 de Setembro de 2016)

Conselheiro Confiável
 Chambers, Richard. 14 de Junho de 2016. Forensic Examination May Explain
Why You Aren’t a Trusted Advisor. https://iaonline.theiia.org/blogs/chambers/
2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trusted-
Advisor.aspx (acessado em 24 de Agosto de 2016).

Geral
 Deloitte, “Evolution or irrelevance? Internal Audit at a crossroads,” 2016,
http://www2.deloitte.com/global/en/pages/audit/solutions/global-chief-audit-
executive-survey.html (acessado em 24 de Agosto de 2016).

 Protiviti, Arriving at Internal Audit’s Tipping Point Amid Business

Transformation, 2016, http://www.protiviti.com/en-US/Pages/IA-Capabilities-
and-Needs-Survey.aspx (acessado em 25 de Agosto de 2016).

 PwC, “2016 State of Internal Audit Profession Study, Leadership matters:

Advancing toward true north as stakeholders expect more,” 2016, https://
www.pwc.com/ca/en/risk/publications/pwc-state-of-internal-audit-profession-
study-2016-03-en.pdf (acessado em 24 de Agosto de 2016).

 James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA
Institute of Internal Auditors Research Foundation, 2016) p 2, http://theiia.
mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.

 Declaração de Posicionamento do The IIA, “The Three Lines of Defense in

Effective Risk Management and Control,” 2013, www.theiia.org/position-papers
(acessado em 29 de Setembro de 2016).

globaliia.org
31
 9/2016-1036

globaliia.org