Escolar Documentos
Profissional Documentos
Cultura Documentos
GLOBAL PERSPECTIVES
AND INSIGHTS:
Tendências Emergentes
De Acordo com o Global Pulse of Internal Audit
Traduzido por:
Global Perspectives:
Tendências Emergentes
Índice
Conselho Consultivo
Nur Hayati Baharuddin, CIA, Metodologia e Dados Demográficos......................................... 3
CCSA, CFSA, CGAP, CRMA –
IIA–Malásia Introdução............................................................................ 4
2 globaliia.org
Global Perspectives:
Tendências Emergentes
25%
39%
4% 17%
8%
7%
1
Para um número limitado de perguntas, os participantes norte-americanos foram consultados entre 20 de Outubro
de 2015 e 10 de Novembro de 2015.
globaliia.org
3
Global Perspectives:
Tendências Emergentes
Introdução
No mundo todo, os líderes de auditoria interna trilham o caminho à excelência
— demonstrando tino comercial, expertise técnica e habilidades de
relacionamento que os tornam recursos valiosos para a melhoria da governança,
gerenciamento de riscos e objetivos estratégicos da organização. Aumentos
antecipados no porte e orçamento das equipes de auditoria interna em muitas
partes do mundo refletem o reconhecimento e o apoio ao valor elevado da
auditoria interna por parte da gerência executiva e dos conselhos e permitem
que as funções de auditoria interna aumentem o tempo dedicado a áreas críticas,
como avaliação de gerenciamento de risco, riscos estratégicos do negócio e TI.
Mas, de acordo com muitos relatos, precisamos melhorar continuamente.
Aumente
Aumente
Diminua
35%
56% Permaneça o mesmo
9%
Observação: Q50: Para os próximos doze meses, você espera que o orçamento de sua função de
auditoria interna:
4 globaliia.org
Global Perspectives:
Tendências Emergentes
Acreditamos que este relatório apoie o chamado para que a auditoria interna
continue a se concentrar nas principais questões e práticas emergentes. Agora,
mais do que nunca, as expectativas quanto à auditoria interna continuam a
aumentar. Sim, tivemos amplo progresso como profissão... Mas também ainda
temos muito trabalho a fazer. É isso que torna a auditoria interna uma profissão
tão desafiadora e recompensadora.
globaliia.org
5
Global Perspectives:
Tendências Emergentes
Auditando a Cultura
A História mostra que a cultura pode afetar direta e adversamente as finanças,
operações e reputação de uma organização. Conselhos, executivos e outras
partes interessadas devem ser capazes de recorrer à auditoria interna para
avaliações e serviços de consultoria que ajudem a organização a monitorar e
fortalecer sua cultura, e para soar o alarme se as coisas estiverem incorretas.
“Auditar a cultura não é A cultura incorpora as crenças e valores de uma organização, conforme
refletidos através das ações e comportamentos de todos os seus funcionários.
uma ciência exata. Muitas Ou seja, é a forma como as coisas são feitas na organização.
organizações lutam para
A cultura desejada é estabelecida no topo, aparece nos valores fundamentais e
definir sua cultura, quanto
no código de ética da organização e dita o comportamento aceitável e
mais para incorporá-la com inaceitável. Comportamentos inaceitáveis, ou até antiéticos — a forma de NÃO
eficácia em seus processos fazer as coisas —, colocam a organização em risco e, em extremos, contribuem
de estudo de risco e avaliação. para culturas organizacionais tóxicas, associadas a fraudes, corrupção e outros
tipos de malfeitorias. Alguns eventos importantes levaram até a crises
Mas é essencial que o façam.” econômicas e à erosão da confiança pública. Em 2015, o mundo testemunhou
uma série de incidentes de alto destaque que são potencialmente indicadores
Dr. Ian Peters, Chief Executive,
de grandes erros de cultura, incluindo um escândalo de contabilidade na
Chartered Institute of Internal Toshiba, alegações de suborno e corrupção na FIFA, evidências de testes de
Auditors, (IIA–UK e Irlanda)2 emissões modificados na Volkswagen e relatórios questionáveis da ExxonMobil
sobre o impacto das mudanças climáticas, citando apenas alguns. Só esses
exemplos já deviam servir para despertar os auditores internos para a prestação
de avaliação sobre a consistência da cultura das organizações com os valores
fundamentais divulgados e se ela encoraja ou não a conduta ética e a
conformidade com as leis e regulamentos. No entanto, 72 por cento dos líderes
de auditoria interna dizem não auditar a cultura atualmente (Documento 3).
2
CCH Daily, “FRC calls for greater emphasis on corporate culture”, 20 de Julho de 2016, https://www.cchdaily.co.uk/
frc-calls-greater-emphasis-corporate-culture (acessado em 24 de Agosto de 2016).
6 globaliia.org
Global Perspectives:
Tendências Emergentes
Sim
28% Não
72%
Felizmente, uma forte maioria dos líderes de auditoria interna (89%) concorda
que seu departamento de auditoria interna entende os riscos associados à
cultura organizacional, mas apenas cerca da metade (53%) indica que seu
departamento de auditoria interna entende como auditar a cultura. Curiosamente,
18% relataram não auditar a cultura, porque outra área conduz essa avaliação,
enquanto as principais razões para não auditar a cultura incluem a falta de
competências (25%) e/ou não ter o apoio organizacional necessário (23%) ou
tempo (21%), conforme exibido no Documento 4.
globaliia.org
7
Global Perspectives:
Tendências Emergentes
A auditoria interna não tem o apoio da gerência executiva para auditar a cultura. 23%
possuam habilidades e
Observação: Q6: Qual das opções a seguir descreve por que seu departamento de auditoria interna não
conhecimento de auditoria da audita a cultura? Os participantes puderam escolher mais de uma resposta. (Pergunta àqueles que não
auditam a cultura.)
cultura podem começar
fazendo o que seus auditores
internos fazem bem – que é De acordo com Nur Hayati Baharuddin, diretora executiva do IIA-Malásia, “os
trazendo uma abordagem departamentos de auditoria interna que não possuam habilidades e
sistemática e disciplinada à conhecimento de auditoria da cultura podem começar fazendo o que seus
auditores internos fazem bem — que é trazer uma abordagem sistemática e
avaliação e melhoria das disciplinada à avaliação e melhoria das atividades da organização relativas à
atividades da organização cultura”. Por exemplo, conforme descrito no 2016 Global Perspectives and
relativas à cultura” Insights: Auditando a Cultura – Um Olhar Formal Sobre o Informal, “entender o
modelo das três linhas de defesa (ou outro modelo adequado que delineie
Nur Hayati Baharuddin, deveres/responsabilidades de riscos e controle e linhas de reporte)3 é tão eficaz
na avaliação da cultura, quanto no apoio aos trabalhos de auditoria comum.
Diretora Executiva, IIA–Malásia Quando se trata da auditoria da cultura, as obrigações esperadas para cada
linha podem incluir:
1. A primeira linha de defesa — a gestão em linha do negócio — é responsável
por determinar, comunicar e aplicar como modelo os valores e condutas
desejados.
2. A segunda linha é uma função de supervisão, como um departamento de
ética, que desenvolve programas de ética, monitora riscos relativos à cultura
e a conformidade com políticas e procedimentos relativos à cultura, além de
fornecer orientações à primeira linha.
3. A terceira linha — a auditoria interna — avalia a aderência às normas
declaradas e esperadas da organização e avalia se a cultura corporativa apoia
o propósito, a estratégia e o modelo de negócios da organização. A auditoria
interna avalia a cultura geral e identifica áreas nas quais a cultura seja
fraca”.4
3
Declaração de Posicionamento do The IIA, “The Three Lines of Defense in Effective Risk Management
and Control” 2013, www.theiia.org/positionpapers (acessado em 29 de Setembro de 2016).
4
The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, 5
www.theiia.org/gpi (acessado em 24 de Agosto de 2016).
8 globaliia.org
Global Perspectives:
Tendências Emergentes
A cultura foi classificada como alto risco pela auditoria interna 40%
5
The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, 3
www.theiia.org/gpi (acessado em 24 de Agosto de 2016).
globaliia.org
9
Global Perspectives:
Tendências Emergentes
18%
Apenas trabalho específico de cultura
27%
Trabalho específico, além da incorporação
da cultura em todos os demais trabalhos
Observação: Q8: Por favor, indique qual das opções a seguir melhor descreve sua abordagem à
auditoria da cultura. (Pergunta àqueles que auditam a cultura.)
Questões de conformidade,
práticas de recursos humanos
e o alinhamento do Às vezes, um trabalho específico de cultura faz sentido — em situações em que
comportamento organizacional um retrato do momento se faz necessário, como após um grande escândalo, em
preparação para uma fusão ou aquisição para avaliar a compatibilidade das
com os valores fundamentais
organizações, ou para identificar as causas raízes de uma questão específica de
declarados pela organização não-conformidade. No entanto, trabalhos específicos de cultura provavelmente
são os fatores mais não são suficientes. Quando a auditoria interna considera a cultura em todos os
frequentemente considerados trabalhos aplicáveis, ela pode ajudar mais a gerência executiva e os conselhos a
em qualquer trabalho relativo detectar e lidar com uma microcultura que esteja se distanciando da cultura
à cultura. organizacional geral desejada, ou que esteja até, possivelmente, se tornando
tóxica. Então, há lugar tanto para avaliações da macrocultura, quanto para
diversas e distintas microculturas.
Trabalhos de cultura são mais eficazes quando uma lista abrangente de fatores
relativos à cultura é considerada — e a auditoria interna pode muito bem ter
oportunidades de melhoria nessa área. Cerca de metade dos líderes de auditoria
indicou considerar ao menos quatro de sete fatores identificados na pesquisa
(Documento 7). Questões de conformidade, práticas de recursos humanos e o
alinhamento do comportamento organizacional com os valores fundamentais
declarados pela organização são os fatores mais frequentemente considerados
em qualquer trabalho relativo à cultura.
10 globaliia.org
Global Perspectives:
Tendências Emergentes
Habilidades informais
(ex., competência, confiança, honestidade, transparência e liderança)
52%
Compliance 57%
Observação: Q11: Com quais departamentos a auditoria interna coordenou esforços para auditar a
cultura? Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que coordenam
esforços com outros departamentos.)
globaliia.org
11
Global Perspectives:
Tendências Emergentes
Conclusão
Apenas cerca da metade dos As evidências começam a sugerir que a auditoria interna está se tornando mais
líderes de auditoria reporta profundamente ciente das questões culturais como uma causa potencial
inerente de danos de longo prazo às organizações. Embora quase três quartos
que seu departamento de
dos departamentos de auditoria interna participantes da pesquisa tenham
auditoria interna entende indicado que não auditam a cultura, um grupo menor de líderes de auditoria
como reportar sobre a interna deu passos em direção à excelência nessa área. A profissão da auditoria
cultura e um em cinco interna como um todo é orientada a seguir esses líderes, da seguinte forma:
indica não ter reportado
Entendendo completamente a macrocultura da organização.
resultados de trabalhos
relativos à cultura em Aplicando estruturas estabelecidas de risco/governança, para avaliar macro e
momento algum. microculturas.
12 globaliia.org
Global Perspectives:
Tendências Emergentes
Acompanhando a Tecnologia
Embora a auditoria interna tenha progredido em acompanhar a dinâmica em
evolução da tecnologia rapidamente mutante e complexa, os resultados da
pesquisa do Pulso Global indicam que ela ainda parece ter dificuldade de
abordar abrangentemente os riscos tecnológicos. A auditoria interna não está
sozinha nessa luta. Na verdade, de acordo com o relatório global de 2016 State
of Security Operations, da Hewlett Packard Enterprise (HPE), houve um declínio
ano-a-ano na maturidade de security operation center (SOC) em 2015. A HPE
atribui esse declínio às pressões sobre a ciberdefesa por parte da computação
na nuvem, mobile, social e big data e à maior sofisticação da comunidade de
ciberataques. Ainda assim, quase todas as pesquisas de membros do conselho
classificam os riscos tecnológicos, principalmente o cibernético, como altos (se
não os principais) na lista de suas preocupações.
Como a auditoria interna pode ajudar? Um número crescente de líderes de
auditoria interna bem-informados está tomando atitudes para posicionar a
auditoria interna como conselheira confiável de cibernética para a organização,
construindo competências e demonstrando proficiência em questões de TI,
como cibersegurança e big data, e fornecendo uma grande variedade de “A cibersegurança deve ser
serviços de auditoria interna (diretamente ou por meio de cosourcing) relativos a
essas questões. Mas, para outros, os dados da pesquisa do Pulso Global considerada de forma holística
sugerem que diversos obstáculos inibem que a auditoria interna atinja a e sistêmica, já que os efeitos
excelência nessa área.
do fracasso podem variar de
Cibersegurança uma incapacidade de
A cibersegurança refere-se às medidas adotadas para proteger de perdas, conduzir transações básicas,
destruição, acesso não autorizado ou uso impróprio por partes indesejadas os
dados da empresa em sistemas baseados em computadores. Conforme à perda de propriedades
explicado no Global Perspectives and Insights: A Auditoria Interna Como intelectuais, ao dano
Conselheira Confiável de Cibernética, de 2016, “a cibersegurança deve ser
considerada de forma holística e sistêmica, já que os efeitos do fracasso podem reputacional.”
variar de uma incapacidade de conduzir transações básicas, à perda de
propriedades intelectuais, ao dano reputacional. Não é apenas um risco
tecnológico; é um risco do negócio e, portanto, os auditores internos têm um
papel crítico a desempenhar”.6
Felizmente, a grande maioria (93%) dos líderes de auditoria interna reporta que
seus departamentos de auditoria interna entendem os riscos associados à
cibersegurança. Em contraste com esse otimismo, em seu relatório de 2016,
Creating trust in the digital world, a EY alerta que os riscos da cibersegurança
foram subestimados e que organizações demais estão exacerbando suas
vulnerabilidades, adotando uma abordagem ad hoc ao risco. O Pulso Global
confirma isso, com pouco mais da metade (55%) dos líderes de auditoria
interna declarando que suas organizações usam uma estrutura desenvolvida
para abordar a cibersegurança. Esse é quase o mesmo número (58%) que diz
oferecer serviços de auditoria interna relativos à cibersegurança às suas
organizações, exclusivamente (16%) ou via cosourcing (42%), conforme exibido
no Documento 9.
6
The IIA, “Global Perspectives and Insights: Internal Audit as Trusted Cyber Adviser,” 2016, 5,
www.theiia.org/gpi (acessado em 24 de Agosto de 2016).
globaliia.org
13
Global Perspectives:
Tendências Emergentes
7
James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA Research Foundation, 2016) p 2,
http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.
14 globaliia.org
Global Perspectives:
Tendências Emergentes
7% A auditoria interna avaliou o risco relativo à cibersegurança como um baixo risco à organização.
Observação: Q26: Qual das opções a seguir descreve por que seu departamento de auditoria interna
não presta serviços de auditoria interna especificamente relativos à cibersegurança atualmente? Os
participantes puderam escolher mais de uma opção. (Pergunta àqueles que não prestaram à
organização qualquer serviço de auditoria interna relativo à cibersegurança.)
O que um auditor interno pode fazer para progredir nessa área? Primeiro,
deve-se ter ou adquirir as competências e ferramentas necessárias para auditar
a cibersegurança. Claramente, a partir dos resultados da pesquisa, esses são
dois dos principais impedimentos para auditar com sucesso essa área crítica.
Então, reconheça a necessidade de apoio por parte do topo. Conforme
declarado no A Auditoria Interna Como Conselheira Confiável de Cibernética,
em praticamente todas as organizações, para todo grande projeto, é crítico o
apoio do topo. No entanto, os conselhos podem não estar lidando com suas
principais preocupações relativas à cibersegurança com ações proporcionais ao
risco. Por exemplo, de acordo com um estudo recente dos Estados Unidos, 26
por cento dos indivíduos entrevistados indicaram que seu chief information
security officer (CISO) ou chief security officer (CSO) faz uma apresentação de
segurança ao conselho apenas uma vez ao ano; praticamente o mesmo número
(28%) reportou que nenhuma apresentação é feita. Adicionalmente, quase um
terço disse que nenhum membro ou comitê do conselho está envolvido no risco
cibernético, com apenas 15% indicando envolvimento do comitê de auditoria
no risco cibernético.8
8
PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey,” Julho de 2015,
http://www.pwc.com/us/cybercrime (acessado em 24 de Agosto de 2016).
globaliia.org
15
Global Perspectives:
Tendências Emergentes
cibernéticas e oferecer auxílio Em terceiro lugar, siga aqueles que já progrediram nessa área. Como
mencionado anteriormente, mais da metade (58%) dos líderes de auditoria
em um processo que interna disse prestar serviços de auditoria interna relativos à cibersegurança à
estabeleça o apetite de risco sua organização, exclusivamente ou por meio de cosourcing. Os principais
da organização quanto à motivos para a auditoria da cibersegurança são que a classificação correta da
cibersegurança como alto risco e o fato de que o CAE levantou a questão
cibersegurança. durante o processo de planejamento de auditoria, demonstrando que os líderes
de auditoria interna podem precisar atuar como catalisadores para a
organização, dando a devida ênfase à importância cada vez maior da
cibersegurança (Documento 11).
É importante notar que os departamentos de auditoria interna que auditam a
cibersegurança estão começando a oferecer uma grande variedade de serviços
valiosos às suas organizações. Serviços citados mais frequentemente incluem a
avaliação dos controles que abordam como os sistemas de conexão com a
internet processam, armazenam e/ou transportam dados, a avaliação do plano
de continuidade do negócio e a avaliação do processo de avaliação do risco da
cibersegurança (Documento 12). Uma oportunidade potencialmente óbvia é que
os líderes de auditoria interna se envolvam mais na linha de frente do processo,
aconselhando quanto a equipes de projeto e oferecendo orientação sobre planos
de implementação e de desempenho da cibersegurança.
9
Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019,” http://www.forbes.com/sites/
stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0
16 globaliia.org
Global Perspectives:
Tendências Emergentes
Solicitação do conselho/comitê
de auditoria 34%
Observação: Q27: Por favor, indique por que seu departamento de auditoria interna prestou serviços de
auditoria interna relativos à cibersegurança. Os participantes puderam escolher mais de uma opção.
(Pergunta àqueles que prestam serviços relativos à cibersegurança exclusivamente ou por cosourcing.)
Observação: Q28: Por favor, indique como seu departamento de auditoria interna esteve envolvido na
cibersegurança. Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que prestam
serviços relativos à cibersegurança exclusivamente ou por cosourcing.)
globaliia.org
17
Global Perspectives:
Tendências Emergentes
Big Data
Big data significa mais do que apenas uma grande quantidade de dados. Big
data refere-se aos dados (informações) em uma organização que atingem
volume, variedade, velocidade e variabilidade tão altos que as organizações
devem investir em arquiteturas de sistema, ferramentas e práticas
especificamente desenvolvidas para lidar com esses dados. No nível global,
quase metade (49%) dos líderes de auditoria interna indica que suas
organizações fizeram tais investimentos (e, presume-se, implementaram
sistemas para lidar com eficácia com o big data até certo ponto) e outros 23 por
cento dizem que suas organizações têm uma estratégia em prática para fazê-lo
(Documento 13). Como resultado, deve-se esperar que a auditoria interna esteja
abordando ou venha a abordar o big data em seus planos de auditoria com base
em riscos.
Documento 13 – Organizações que investiram em big data
10
New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://newvantage.com/wp-content/up -
loads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (acessado em 24 de Agosto de 2016).
18 globaliia.org
Global Perspectives:
Tendências Emergentes
32% 26% Os serviços de auditoria interna relativos a big Entre os líderes de auditoria
data são prestados em cosourcing entre
a auditoria interna e prestadores externos. interna que auditam o big
data, os dois principais
9% Todos os serviços de auditoria interna relativos motivos citados para fazê-lo
a big data são terceirizados.
32% estão relacionados a enxergar
Nenhum serviço de auditoria interna relativo
o risco. Conforme reportado,
a big data é prestado à minha organização. o CAE levantou a questão
durante o processo de
planejamento de auditoria
anual ou o big data foi
classificado como alto risco
Observação: Q19: Qual declaração melhor descreve quem presta serviços de auditoria interna
relativos a big data? (Pergunta àqueles que investiram em big data.) Favor notar: os números por parte da auditoria interna.
não totalizam 100% devido ao arredondamento.
globaliia.org
19
Global Perspectives:
Tendências Emergentes
Avaliou controles sobre disponibilidade, usabilidade, integridade ou segurança do big data 80%
20 globaliia.org
Global Perspectives:
Tendências Emergentes
A auditoria interna não tem as ferramentas para auditar o big data. 61%
22% A auditoria interna não tem tempo para auditar o big data.
A auditoria interna avaliou o risco relativo ao big data como um baixo risco à
8% organização.
Observação: Q20: Quais das opções a seguir descreve por que seu departamento de auditoria
interna não presta serviços de auditoria interna relativos ao big data atualmente? Os participantes
puderam escolher mais de uma opção. (Pergunta àqueles que não prestaram à organização
qualquer serviço de auditoria interna relativo ao big data.)
globaliia.org
21
Global Perspectives:
Tendências Emergentes
Conclusão
Embora os riscos tecnológicos relativos à cibersegurança e ao big data sejam
top-of-mind para muitos conselhos, o número de departamentos de auditoria
interna que estão prestando serviços relativos de auditoria interna para suas
organizações parece não estar no nível necessário, considerando os riscos. No
entanto, os departamentos de auditoria interna que de fato prestam esses
serviços estão frequentemente ajudando a direcionar a atenção da organização
para as questões críticas de riscos e controle de cibersegurança e big data. O
desafio será que os auditores internos garantam o acesso às habilidades,
conhecimentos, recursos e ferramentas em um ambiente de riscos dinâmico e
em constante mudança. Aproveitar estruturas de cosourcing para trazer os
especialistas apropriados pode se provar imperativo para muitas funções de
auditoria interna daqui para a frente.
22 globaliia.org
Global Perspectives:
Tendências Emergentes
Atingindo o Status de
Conselheiro Confiável
Por mais elusivo e desafiador que seja, a auditoria interna tem continuado a
fazer progresso em acompanhar com as expectativas sempre crescentes das
partes interessadas. Para muitos, esse será um desafio duradouro, enquanto,
para outros, será uma questão de ao menos tentar ficar um ou dois passos à
frente das demandas e expectativas crescentes.
Então, qual o próximo passo? Muitos estão dizendo, agora, que a auditoria
interna precisa se elevar ainda mais, ser vista na organização como “conselheira
confiável” para ser realmente eficaz. Ainda assim, em muitos casos, a auditoria
interna ainda está pedindo para ter o cobiçado “lugar à mesa” (se conseguí-lo) Um verdadeiro conselheiro
— onde a maioria das questões organizacionais urgentes está sendo discutida e confiável tem lugar à mesa
onde as decisões executivas são tomadas. Por sua vez, um verdadeiro
conselheiro confiável tem lugar à mesa por conta do valor que todos aceitam por conta do valor que todos
como garantido. Eles não pedem para se envolver... Eles são convidados. Um aceitam como garantido. Eles
conselheiro confiável, então, deve ter o pleno complemento do tino comercial,
do conhecimento técnico e das habilidades de relacionamento para ser não pedem para se envolver...
percebido pelas partes interessadas como um recurso valioso para auxiliar com Eles são convidados.
os objetivos da organização. Para o CAE e sua equipe, isso significa
consistentemente ter algo de significante para contribuir.
11
Deloitte, “Evolution or irrelevance? Internal audit at a crossroads,” 2016, 5, http://www2.deloitte.com/global/en/pages/
audit/solutions/global-chief-audit-executive-survey.html (acessado em 24 de Agosto de 2016).
globaliia.org
23
Global Perspectives:
Tendências Emergentes
A auditoria interna pode fechar essas lacunas notáveis e progredir para se tornar
uma conselheira confiável? Considerando as expectativas, passos proativos e
agressivos podem ser necessários.
De acordo com Karem Toufic Obeid, CAE, Tawazun, “fechar a lacuna exige a
construção de relacionamentos de confiança com a gerência executiva e com o
conselho. A confiança é construída quando o trabalho da auditoria interna não é
apenas confiável e não entrega apenas o que promete, mas é preventivo e
esclarecedor.” Infelizmente, a maioria dos líderes de auditoria interna ainda se
reúne com o CEO, com a gerência executiva e com o comitê de auditoria apenas
em momentos predeterminados e definidos, em vez de com frequência e
conforme necessário. E sobre a necessidade de relacionamentos sólidos com o
topo, ter que considerar o tino comercial afiado e o conhecimento técnico,
combinados com a necessidade de ser perspicaz, pode ser difícil. Mas parece
que também está se tornando um óbvio necessário. No entanto, a maioria
(66%) dos líderes de auditoria interna reporta não ser convidada
frequentemente para participar de grandes iniciativas de mudança
organizacional (Documento 17) e quase um terço dos líderes de auditoria
interna nunca é convidado para participar de uma reunião completa do
conselho (Documento 18). Como resultado, ao menos nesse momento para
A maioria (66%) dos líderes muitos, o status de conselheiro confiável permanece sendo uma ambição
esperançosa “em andamento”.
de auditoria interna reporta
não ser convidada
frequentemente para Documento 17 – Com que frequência a auditoria interna participa
das iniciativas de mudança organizacional
participar de grandes
iniciativas de mudança Sempre
organizacional e quase um 11% 11%
terço dos líderes de auditoria Frequentemente
interna nunca é convidado
para participar de uma 17%
26% Às vezes
reunião completa do
conselho. Raramente
36%
Nunca
Observação: Q38: Com que frequência a auditoria interna participa das principais iniciativas de
mudança organizacional? Os números não totalizam 100% devido ao arredondamento.
24 globaliia.org
Global Perspectives:
Tendências Emergentes
A todas as reuniões
Anualmente
23%
31%
Conforme solicitado pelo conselho
4%
Conforme solicitado pelo chief audit
7% executive (CAE) ou chefe de auditoria
34% interna
Nunca
Observação: Q37: Com que frequência o chief audit executive ou chefe de auditoria interna é
convidado a comparecer a uma reunião completa do conselho (separada do comitê de auditoria)?
Os números não totalizam 100% devido ao arredondamento.
Além do CEO, da gerência executiva e do presidente do comitê de auditoria, os Fechar a lacuna exige a
líderes e a equipe de auditoria interna precisam desenvolver relacionamentos
construção de relacionamentos
com os gerentes sênior e intermediários também. Para muitos, isso é melhor
feito por meio do planejamento intencional, usando interações estruturadas e
de confiança com a gerência
repetitivas, trabalhando em direção a estabelecer relacionamentos profundos e executiva e com o conselho. A
contínuos. No entanto, 65 por cento dos líderes de auditoria interna indicam confiança é construída quando
não ter um programa formal através do qual os auditores internos se reúnam o trabalho da auditoria interna
com funcionários específicos da organização de forma contínua (Documento não é apenas confiável e não
19). Sem tal programa, será difícil, se não impossível, na maioria das entrega apenas o que promete,
organizações de qualquer porte, que os líderes de auditoria interna e sua equipe
mas é preventivo e
estabeleçam e sustentem uma base de relacionamentos necessária para se
elevar à visão de conselheiros confiáveis.
esclarecedor.”
Documento 19 – Programas por meio dos quais auditores internos Karem Toufic Obeid,
se reúnem com funcionários da organização CAE, Tawazun
14%
Sim, temos um programa informal.
35% 15%
Não, não temos um programa assim,
mas estamos considerando.
36%
Não, não temos um programa assim e
não estamos considerando.
Observação: Q31: A auditoria interna tem um programa por meio do qual os auditores internos se
reúnam com funcionários da organização de forma contínua?
globaliia.org
25
Global Perspectives:
Tendências Emergentes
Gerência executiva
20%
26%
Apenas 26 por cento Alta administração
Observação: Q35: O chief audit executive (CAE) ou chefe de auditoria interna é percebido
como membro de: (Dados oferecidos refletem as respostas dos CAEs apenas.) Os números
não totalizam 100% devido ao arredondamento.
Outro fator que pode aumentar a visibilidade e o status dos líderes de auditoria
interna na organização, embora não deixe de trazer desafios, é que eles sejam
convidados a adotar mais responsabilidades externas à auditoria interna. Um
em quatro líderes de auditoria interna (26%) indica ser responsável por funções
além da auditoria interna (Documento 21). As funções mais frequentemente
mencionadas são as funções de gerenciamento de riscos e compliance, voltadas
para a segunda linha de defesa.
26 globaliia.org
Global Perspectives:
Tendências Emergentes
Sim
26%
Não
74%
Observação: Q39: O chief audit executive (CAE) ou chefe de auditoria interna de sua
organização é responsável também por outra(s) função(ões) além da auditoria interna?
Pedirem que expanda sua
atuação além da auditoria
interna — assumindo
Claro, os líderes de auditoria interna encaram desafios quanto a assumir responsabilidade pela
responsabilidades externas à auditoria interna. Manter tanto a objetividade conformidade ou
percebida quanto a real é de extrema importância, assim como os desafios da
gerenciamento de riscos,
independência, que depende das linhas de reporte. Sim, há riscos no limite
por exemplo — pode ser
embaçado entre a segunda e a terceira linhas de defesa e o CAE deve
fortemente proteger a auditoria interna de ser puxada em uma direção que
um indicador, para os CAEs,
minimize ou comprometa sua principal responsabilidade de qualquer forma. de que seus conhecimentos,
Mas pedirem que expanda sua atuação além da auditoria interna também pode habilidades e contribuições
ser um indicador, para os CAEs, de que seus conhecimentos, habilidades e podem ser e são significantes
contribuições podem ser e são significantes para toda a organização, em uma para toda a organização, em
variedade de funções. uma variedade de funções.
Linhas de reporte ótimas — na visão emergente para muitas organizações do
reporte administrativo ao CEO e funcional ao comitê de auditoria — ajudam os
líderes de auditoria interna a manter a independência organizacional,
aumentando seu potencial como conselheiros confiáveis. O Pulso Global revela
que 45 por cento dos líderes de auditoria interna reportam administrativamente
ao CEO (ou equivalente) e 73 por cento reportam funcionalmente ao conselho
ou comitê de auditoria (ou equivalente).12 Essas porcentagens continuam a
aumentar ao longo do tempo, conforme a auditoria interna continua a sair do
papel estereotípico de estar primariamente focado apenas na contabilidade e
em questões financeiras.
12
O reporte administrativo refere-se à supervisão de questões diárias, incluindo orçamento, administração de recursos
humanos, comunicação, políticas internas e procedimentos. O reporte funcional refere-se à supervisão das
responsabilidades da função de auditoria interna, incluindo a aprovação do estatuto de auditoria interna, plano de
auditoria, a avaliação do CAE e a compensação do CAE.
globaliia.org
27
Global Perspectives:
Tendências Emergentes
Conclusão
Primeiro, da auditoria com base em controles para a auditoria com base em
riscos, e agora das avaliações de risco bottom-up para o alinhamento das
prioridades da auditoria interna com as prioridades estratégicas da organização,
a próxima onda de evolução chegou... A que eleva a auditoria interna ao status
de conselheira confiável. O caminho à frente exigirá esforço dedicado, assim
como uma dinâmica flexível em termos das habilidades de valor e talentos
desejados. Mas é um caminho que as partes interessadas da auditoria interna
estão começando a esperar que seja trilhado... E um destino que poucos
pioneiros já estão atingindo.
13
Chambers, Richard. 14 de Junho de 2016. Forensic Examination May Explain Why You Aren’t a Trusted Advisor.
https://iaonline.theiia.org/blogs/chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trust-
ed-Advisor.aspx (acessado em 24 de Agosto de 2016).
28 globaliia.org
Global Perspectives:
Tendências Emergentes
Reflexões de Encerramento
Com a manutenção ou aumento, em sua maioria, dos níveis de orçamento e
estruturação de equipe para apoiar as atividades críticas de auditoria interna,
pode nunca haver oportunidade maior para que a auditoria interna dê os
próximos passos necessários em direção a atender e exceder as expectativas das
partes interessadas. Considerando o apoio à definição dos recursos, agora pode
ser o melhor momento para aproveitar a oportunidade.
globaliia.org
29
Global Perspectives:
Tendências Emergentes
CCH Daily, “FRC calls for greater emphasis on corporate culture,” 20 de Julho
de 2016 https://www.cchdaily.co.uk/frc-calls-greater-emphasis-corporate-culture
(acessado em 24 de Agosto de 2016).
The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the
Soft Stuff,” 2016, www.theiia.org/gpi (acessado em 29 de Setembro de 2016).
Acompanhando a Tecnologia
EY, “Creating trust in the digital world,” 2015 http://www.ey.com/Publication/
vwLUAssets/EY-creating-trust-in-the-digital-world/$FILE/EY-creating-trust-in-
the-digital-world.pdf (acessado em 24 de Agosto de 2016).
New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://
newvantage.com/wp-content/uploads/2016/01/Big-Data-Executive-Survey-
2016-Findings-FINAL.pdf (acessado em 24 de Agosto de 2016).
PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US
State of Cybercrime Survey,” Julho de 2015, http://www.pwc.com/us/cybercrime
(acessado em 24 de Agosto de 2016).
The IIA, “Global Perspectives and Insights: Internal Audit as Trusted Cyber
Adviser,” 2016, www.theiia.org/gpi (acessado em 29 de Setembro de 2016).
30 globaliia.org
Global Perspectives:
Tendências Emergentes
Conselheiro Confiável
Chambers, Richard. 14 de Junho de 2016. Forensic Examination May Explain
Why You Aren’t a Trusted Advisor. https://iaonline.theiia.org/blogs/chambers/
2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trusted-
Advisor.aspx (acessado em 24 de Agosto de 2016).
Geral
Deloitte, “Evolution or irrelevance? Internal Audit at a crossroads,” 2016,
http://www2.deloitte.com/global/en/pages/audit/solutions/global-chief-audit-
executive-survey.html (acessado em 24 de Agosto de 2016).
James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA
Institute of Internal Auditors Research Foundation, 2016) p 2, http://theiia.
mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.
globaliia.org
31
9/2016-1036
globaliia.org