Ficando Um Passo

TECNOLOGIA

À Frente Closer Look

O Uso da Tecnologia por parte da

Auditoria Interna

Michael P. Cangemi

Patrocínio
CBOK
The Global Internal Audit
Common Body of Knowledge
 Sobre o CBOK

FATOS DA PESQUISA
Participantes 14,518
O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior
estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo
estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos
Países 166 componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece
Idiomas 23 uma perspectiva abrangente das atividades e características dos auditores internos do
mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores,
NÍVEIS DOS conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582
FUNCIONÁRIOS* respostas).
Chief audit Com início em Julho de 2015, os relatórios serão lançados mensalmente e podem ser
executive (CAE) 26%
baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações
Diretor 13%
profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados e
Gerente 17%
Equipe 44%
categorizados em oito áreas de conhecimento, com foco nas questões emergentes da profissão,
em áreas que incluem o futuro da auditoria interna, governança, perspectiva global, gestão,
*Os níveis foram obtidos riscos, normas, talento e tecnologia.
de 12.716 participantes.
Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download
das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.

Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais

Europa
& Ásia 23%
Central

América
19%
do Norte
Oriente Médio
& África 8%
do Norte Sul da 5%
Ásia

América Leste
Latina 14% Asiático 25%
& Caribe & Pacífico
África 6%
Subsaariana

Observação: As regiões globais são baseadas nas categorias do Banco Mundial. As respostas da pesquisa foram coletadas
entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos,
sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as
perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1,
Q2 e assim por diante.
 Conteúdos
Áreas de
Conhecimento
do CBOK

Futuro

Sumário Executivo 4

Introdução 5
Perspectiva
Global 1 Capacitando Processos de Auditoria com Tecnologia 6

2 Ferramentas de Tecnologia Usadas pela Auditoria Interna 7

3 Tendências de 10 Anos 9
Governança

4 Closer Look: Mineração e Análise de Dados 10

5 Closer Look: Auditoria Contínua 11

Gestão
6 Educação e Certificações de Tecnologia 12

7 Aumentando as Habilidades Tecnológicas no

Departmento de Auditoria Interna 14
Risco
Conclusão 15

Normas &
Certificações

Talento

Tecnologia

●
 Sumário Executivo

A tecnologia continua a evoluir e, em alguns casos, a surpreender e atrapalhar

muitos modelos de negócios. Em todo setor de negócios, as tecnologias estão
mudando a forma como os negócios operam - desde agregando produtividade, até
criando interrupções que revolucionam o negócio existente e criam novos segmentos
de negócio. Da mesma forma, o uso da tecnologia por auditores internos está sob
pressão para mudar e se adaptar ao novo ambiente. A Pesquisa Global do Praticante de
Auditoria Interna do CBOK 2015 esclarece quanto ao uso da tecnologia por parte da
auditoria interna e quanto às habilidades tecnológicas que os auditores internos têm
adquirido.
Os dados da pesquisa mostram que o uso da tecnologia por parte da auditoria
interna no processo de auditoria continua crescendo, mas há espaço para melhoria. Por
exemplo, o uso de ferramentas de software para mineração de dados cresceu em 14%
entre os participantes da pesquisa, entre 2006 e 2015. No entanto, menos de 4 entre
10 chief audit executives (CAEs - diretores executivos de auditoria) do mundo todo
sentem que o uso da tecnologia em seus departamentos seja apropriado ou melhor.
Há grandes diferenças entre as regiões. Na América do Norte, apenas cerca de 1
entre 10 diz que pode confiar nos processos manuais, mas essa proporção é maior do
que 3 entre 10 na África Subsaariana e no Leste Asiático/Pacífico.
A educação e a certificação tecnológicas também desempenham um papel no uso da
tecnologia por parte dos auditores internos. Globalmente, cerca de 6 entre 10
participantes entraram para a profissão com formação em contabilidade, enquanto
apenas 1 entre 10 teve formação em sistemas de informação ou ciência da computação.
No entanto, o Sul Asiático e a América Latina estão liderando a profissão, com 2 entre
10 incluindo a tecnologia em seus estudos acadêmicos.
Este relatório ajudará os leitores a comparar seus departamentos de auditoria
interna com os de outras organizações em suas regiões, e possibilitar a liderança criativa
quanto a formas de melhorar as habilidades e atividades relativas à tecnologia.

●
 Introdução

❝Os efeitos das

tecnologias
Q uando computadores, redes e sistemas foram desenvolvidos e utilizados
inicialmente pelas empresas, muitos auditores escolheram contornar o
computador, utilizando técnicas de auditoria do passado. No entanto, conforme o uso
emergentes têm corporativo da tecnologia da informação (TI) foi evoluindo e sistemas corporativos
sido paradoxais. automatizados mais complexos foram adotados, os auditores internos começaram a
Por um lado, as lidar com a nova tecnologia. Auditores especializados em TI foram contratados ou
tecnologias capacitados e outros membros da equipe foram treinados para auditar os sistemas
computadorizados. Além disso, eles começaram a auditar dados usando técnicas de
emergentes auditoria com auxílio de sistemas (computer-assisted audit techniques - CAATs).
criaram um A era do computador mainframe foi aumentada pela chegada do computador
sistema mais pessoal (PC). O PC revolucionou a indústria da computação, ainda muito nova,
difícil de auditar fazendo com que os terminais computadores dessem lugar a terminais smart, usando
com eficácia. Por microcomputadores. Com o tempo, todos os funcionários tinham um PC e,
outro lado, os aparentemente da noite pro dia, quase todos também tinham um computador em casa
também.
auditores têm Isso levou a talvez um dos avanços mais significantes para a auditoria interna e
conseguido usar todas as unidades de negócios: a tecnologia de software para produtividade corporativa
as tecnologias e doméstica. Novos programas de computador para processamento de palavras e
emergentes planilhas para processamento de dados numéricos mudaram o paradigma da
como administração e documentação para auditoria interna, permitindo aumentos
ferramentas de substanciais da produtividade e melhoria na documentação. Esses progressos
continuam ocorrendo até hoje, com tablets e smartphones.
auditoria, Conforme a computadorização dos sistemas financeiro, operacionais e outros
tornando-se, sistemas corporativos expandiu, a auditoria interna reagiu, expandindo o treinamento
portanto, mais de TI para auditores e a construção de funções de auditoria de TI dentro dos
eficazes e departamentos de auditoria interna. Os auditores aprenderam a examinar os controles
eficientes. ❞ de data centers e a auditar aplicativos de software. Eles elaboraram testes de dados e
empregaram novas ferramentas para examinar dados usando softwares gerais de
—Michael P. Cangemi e auditoria, softwares de análise de dados com foco em auditoria e programas de
Tommie W. Singleton, gerenciamento de auditoria. Esses avanços tecnológicos continuam criando desafios
de Managing the para as funções corporativas e de avaliação fornecerem segurança e controles de TI.
Audit Function. No início do desenvolvimento da auditoria de TI, alguns líderes de auditoria
acreditavam que todos os auditores se tornariam auditores de TI, porque o
computador era muito dominante. Em vez disso, conforme as complexidades da TI
continuaram aumentando e outras prioridades de auditoria foram se desenvolvendo, a
auditoria de TI transformou-se em um departamento dentro da auditoria interna, ou
uma área principal de terceirização.
Com a expansão do uso inicial das CAATs, um dos maiores avanços no uso da TI
na auditoria interna foi o maior uso da mineração de dados1, da auditoria contínua e
das métricas para auditoria de dados. Conforme mostram os resultados da pesquisa,
essa tendência continua aumentando a cobertura e eficiência da auditoria interna.

1
A mineração de dados é “a prática de buscar, entre grandes quantidades de dados computadorizados,
padrões ou tendências úteis” (Merriam-Webster’s English Dictionary, versão online).

●
1 Capacitando Processos de
Auditoria com Tecnologia

PASSOS DE AÇÃO M uitos CAEs sentem que seus

departamentos poderiam fazer
melhor uso da tecnologia, no geral. No
exigir assumir mais riscos e usar de mais
criatividade do que as atividades gerais de
auditoria interna.
1. Identificar e listar os mundo todo, apenas 4 entre 10 O Documento 1 também mostra que
processos manuais disseram usar a tecnologia em nível há grandes diferenças regionais no uso da
de auditoria.
“apropriado” ou maior, indicando um tecnologia. CAEs na América do Norte
2. Identificar
oportunidades claro espaço para melhoria (veja o relatam o uso mais extensivo da
próximas de Documento 1). Na realidade, 2 entre tecnologia (50% em uso “apropriado” ou
automatizar processos, 10 CAEs disseram que seus maior), seguidos pelos do Sul Asiático,
para melhorar a departamentos dependem com 45%. O grande uso tecnológico no
eficiência e a eficácia.
primariamente de técnicas manuais. Sul Asiático está provavelmente
3. Implementar a
tecnologia apropriada. Parte do motivo pode ser uma falta de relacionado à maior porcentagem de
4. Avaliar a eficácia. expertise de TI na equipe. Outro fator participantes com maior formação em
5. Identificar a próxima contribuinte pode ser que a busca por tecnologia (veja o Documento 8).
oportunidade. novas formas de usar a tecnologia pode

Documento 1 Uso Geral da Tecnologia em Processos de Auditoria Interna

América do Norte 50% 37% 13%

Europa e Ásia Central 39% 43% 18%

Uso apropriado ou
extensivo de tecnologia Oriente Médio e
para processos de auditoria África do Norte 35% 44% 21%

Pouco uso de papéis de Sul da Ásia 45% 33% 21%

trabalho eletrônicos ou
outras ferramentas
corporativas de tecnologia América Latina e Caribe 36% 39% 25%
da informação
África Subsaariana 37% 31% 32%
Dependência primária
dos sistemas e
processos manuais Leste Asiático e Pacífico 27% 37% 36%

Média Global 38% 39% 23%

0% 20% 40% 60% 80% 100%

Observação: Q44: Como você descreveria o uso da tecnologia para apoiar os processos de auditoria interna em sua organização?
CAEs apenas. A categoria “uso apropriado ou extensivo de tecnologia para processos de auditoria interna” inclui aqueles que
escolheram “uso extensivo de tecnologia em todo o processo de auditoria, incluindo mineração e análise de dados” ou
“metodologia de auditoria apoiada por tecnologia apropriada”. Devido ao arredondamento, alguns totais podem não somar 100%.
2.959 participantes.

●
2 Ferramentas de Tecnologia Usadas
pela Auditoria Interna
PASSOS DE AÇÃO

1. Avalie seu uso geral

de ferramentas de
tecnologia.
2. Desenvolva uma visão
para o uso dessas
ferramentas ao longo
dos próximos 2-3 anos.
3. Desenvolva um plano
estratégico para
concretizar sua visão.
4. Comunique a visão
e o plano ao grupo
de auditoria interna.
5. Implemente o plano e
avalie periodicamente
o desempenho.
O estudo CBOK também pediu aos
participantes que avaliassem seu
uso de ferramentas e técnicas
tecnológicas específicas. As respostas
mostram claramente que o uso extensivo
da tecnologia é uma exceção, não a regra.
Para cerca da metade dos participantes
do mundo todo, o uso da maioria das
ferramentas tecnológicas é “nenhum” ou
“mínimo” (veja o Documento 2). A
única exceção é no caso dos papéis de
trabalho eletrônicos, que têm uma taxa
muito maior de uso do que as outras
categorias (7 entre 10 participantes).
Uma explicação pode ser que os
participantes tenham interpretado a
pergunta como referência às ferramentas
gerais de software (como processamento
de palavras e planilhas), em vez de
softwares especializados em papéis de
trabalho eletrônicos. Embora se possa
questionar se o uso da tecnologia por
parte da auditoria interna deve ser maior,
vale lembrar que nem todo trabalho de
auditoria interna pode ser feito de forma
tecnológica e que há muitos desafios em
processos automatizados, assim como
prioridades concorrentes.

Documento 2 Uso Atual de Ferramentas e Técnicas de TI pela Auditoria Interna

Papéis de trabalho eletrônicos 14% 14% 31% 41%

Ferramenta automatizada para monitorar e avaliar
as ações corretivas e o acompanhamento da auditoria
28% 20% 28% 24%

Ferramenta automatizada para gerir

30% 21% 29% 19%
as informações coletadas pela auditoria interna

Ferramenta automatizada para análise de dados 24% 23% 33% 19%

Software ou ferramenta para mineração de dados 24% 23% 34% 19%

Software de fluxograma ou
22% 26% 34% 18%
mapeamento de processo
Software ou ferramenta para avaliação
28% 22% 33% 17%
de riscos da auditoria interna

Computer-assisted audit technique (CAAT) 30% 22% 31% 17%

1-Nenhum
Ferramenta automatizada para planejamento
31% 23% 29% 17%
2-Mínimo e agendamento da auditoria interna

Auditoria contínua/em tempo real 31% 25% 30% 14%

3-Moderado
Avaliações internas de qualidade
4-Extensivo usando ferramenta automatizada
39% 24% 26% 11%

0% 20% 40% 60% 80% 100%

Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes
ferramentas e técnicas de tecnologia da informação (TI)? 9.953 a 10.425 participantes.

●

PASSO DE AÇÃO
Os resultados no
Documento 3 podem ser
usados para comparar o
uso tecnológico de seu
departamento de
auditoria interna com o de
outras organizações em
sua região, assim como
comparar com a
média global.
Diferenças Regionais para Ferramentas Tecnológicas
Há insights interessantes na categoria de
uso global tecnológico. Os participantes
do Sul Asiático e América Latina/Caribe
relataram atividade maior que a média em
todas as ferramentas tecnológicas. Um
motivo para isso pode ser que essas duas
regiões também têm a maior porcentagem
de participantes com formação em ciência
da computação ou TI como parte de seu
histórico educacional (cerca de 20%,
veja Documento 8).
Do outro lado da balança, os
participantes na África Subsaariana e no
Leste Asiático/Pacífico relataram uso
menor que a média de quase todas as
tecnologias (veja Documento 3).

Documento 3 Uso, por Parte da Auditoria Interna, de Ferramentas e Técnicas (Diferenças Regionais)

África Subsaariana
América do Norte

Oriente Médio e

Leste Asiático e
África do Norte
América Latina

Média Global
Sul da Ásia
Observação: O azul indica respostas que foram
e Caribe

Pacífico
significativamente maiores que a média global e
Europa
o vermelho indica as respostas que foram
significativamente menores que a média global.

Papéis de trabalho eletrônicos 80% 76% 78% 77% 71% 64% 58% 72%

Ferramenta automatizada para monitorar e avaliar

62% 57% 60% 53% 51% 41% 41% 52%
as ações corretivas e o acompanhamento da auditoria
Ferramenta automatizada para gerir
61% 56% 49% 49% 50% 42% 42% 49%
as informações coletadas pela auditoria interna

Ferramenta automatizada para análise de dados 62% 67% 49% 56% 55% 48% 47% 53%

Software ou ferramenta para mineração de dados 56% 63% 53% 58% 56% 48% 46% 53%

Software de fluxograma ou mapeamento de processo 68% 65% 51% 52% 51% 42% 46% 52%

Software ou ferramenta para avaliação

57% 62% 52% 47% 54% 48% 44% 50%
de riscos da auditoria interna

Computer-assisted audit technique (CAAT) 59% 60% 38% 48% 51% 48% 48% 48%

Ferramenta automatizada para planejamento

56% 54% 47% 42% 52% 44% 43% 46%
e agendamento da auditoria interna

Auditoria contínua/em tempo real 54% 61% 38% 35% 45% 39% 50% 44%

Avaliações internas de qualidade

45% 52% 34% 29% 41% 34% 37% 36%
usando ferramenta automatizada

Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes
ferramentas e técnicas de tecnologia da informação (TI)? O documento mostra os participantes que escolheram “3-Moderado” ou
“4-Extensivo”. O texto azul indica números significativamente acima da média global. O texto vermelho indica números
significativamente abaixo da média global. 9.848 a 10.315 participantes.

●
3 Tendências de 10 Anos

❝A profissão da
auditoria interna deve
O uso da tecnologia por parte dos
auditores internos cresceu ao
longo da última década e essa tendência
organizações, de acordo com a pesquisa
CEO global 2015 conduzida pela PwC.1
Com base nas prioridades dos CEOs, os
estar satisfeita em ver precisa se manter e se acelerar. Uma auditores internos devem acelerar seu uso
que o uso tecnológico comparação entre as respostas das de mineração de dados.
pesquisas CBOK 2006 e CBOK 2015 Conforme mostrado no Documento 4,
reportado pela mostra aumentos no uso das ferramentas os auditores internos também aumentaram
auditoria interna tecnológicas para quase todos os a atividade para a maioria das outras
parece estar propósitos, principalmente no uso da ferramentas tecnológicas, exceto para as
mineração de dados (aumento de 14%). computer-assisted audit techniques (CAATs),
crescendo bem em
Atualmente, 53% dos participantes o que pode ser explicado por uma
comparação com dizem que estão envolvidos moderada mudança no escopo e no uso do termo
pesquisas anteriores. ou extensivamente na mineração de CAAT na última década.
Apesar dos números dados (veja Documento 4). Ao mesmo
tempo, 80% dos CEOs dizem que a 1
“A Marketplace Without Boundaries:
continuarem menores mineração e análise de dados é de Responding to Disruption” (18ª Annual
do que muitos importância estratégica para suas Global CEO Survey da PwC, 2015).
gostariam, ao longo
dos anos mais Documento 4 Aumento no Uso, por Parte da Auditoria Interna,
departamentos de de Ferramentas Tecnológicas
auditoria interna
Auditoria contínua/ 37%
adotaram o uso em tempo real 44%

produtivo das Computer-assisted audit 52%

48%
métricas, incluindo technique (CAAT)

formas de auditoria 39%

Software ou ferramenta
53%
para mineração de dados
contínua e
43%
monitoramento de Software de fluxograma ou
52%
mapeamento de processo
riscos, para melhorar 65%
o valor e eficiência Papéis de Trabalho Eletrônicos 72%

de seu trabalho. ❞ 0% 20% 40% 60% 80% 100%

—Norman Marks, 2006 2015

CAE aposentado e
autor das obras Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna,
World-Class com relação ao uso das seguintes ferramentas e técnicas de tecnologia da informação (TI)?
Internal Audit e Este documento compara aqueles que escolheram “3-Moderado” ou “4-Extensivo” em 2015
World-Class (9.953 a 10.425 participantes) com aqueles que escolheram “Uso Médio”, “Muito Usado” ou
Risk Management “Usado Extensivamente” em 2006 (Q50, 6.399 a 6.581 participantes).

●
4 Closer Look:
Mineração e Análise de Dados

PASSOS DE AÇÃO C om a expansão contínua dos dados

- tanto estruturados (a partir de
aplicativos de software) quanto não
populações inteiras (em vez de
amostras). Cerca de 4 entre 10 testam
em busca de conformidade regulatória e
1. Identifique e liste estruturados (a partir de textos e da cerca de 3 entre 10 procuram por
todos os testes de explosão das mídias sociais) -, o termo oportunidades de melhoria do negócio
auditoria conduzidos
“big data” se tornou comum. Embora a (Q96, 11.116 participantes).
manualmente.
2. Avalie cada teste, para maioria dos departamentos de auditoria Nem todos os projetos de mineração
determinar se ele pode interna faça apenas o básico da e análise de dados são realizados pela
ser conduzido usando mineração de dados, alguns estão equipe de auditoria interna. Em média,
mineração/análise começando a usar métricas avançadas cerca de um quarto da análise de dados é
de dados.
para detectar padrões relevantes e prever realizada externamente ao departamento
3. Desenvolva um plano
para transformar testes tendências e comportamentos futuros. de auditoria interna, embora isso varie
manuais específicos em Com relação a seus objetivos de análise por região. Uma proporção menor da
rotinas automatizadas de dados, cerca de 5 entre 10 atividade é feita fora dos departamentos
de mineração de dados, participantes dizem que usam a de auditoria interna na Europa e
com base no
benefício organizacional.
mineração e análise de dados para América do Norte, e uma proporção
4. Implemente o plano identificação de fraude, monitoramento maior no Leste Asiático/Pacífico e Sul da
para um teste manual de riscos e controle ou testes de Ásia (veja Documento 5).
específico.
5. Avalie sua eficácia.
Documento 5 Porcentagem de Análise de Dados Conduzida Fora do
6. Identifique a próxima
Departamento de Auditoria Interna
oportunidade de
transformar um teste
manual em uma rotina Leste Asiático e Pacífico 36%
automatizada.
Sul da Ásia 36%

África Subsaariana 33%

Oriente Médio e
33%
África do Norte

América Latina e Caribe 28%

Europa 18%

América do Norte 15%

Média Global 26%

0% 10% 20% 30% 40% 50%

Observação: Q97: Qual porcentagem das atividades de análise de dados para a auditoria
interna é conduzida fora de seu departamento de auditoria interna? 3.097 participantes).

●
5 Closer Look: Auditoria Contínua
PASSOS DE AÇÃO O uso da auditoria contínua
(continuous auditing – CA) é uma
das tendências mais importantes da
1. Revise seu inventário
tecnologia para auditoria interna. “O
de rotinas de CAAT
que sejam conduzidas trabalho de auditoria contínua começou
atualmente como anos atrás como uma melhoria
parte de auditorias substancial, mas logo se tornaria uma
periódicas. necessidade para a avaliação de sistemas
2. Considere quais modernos”, diz Miklos Vasarhelyi, diretor
dessas rotinas
do Laboratório de Continuous Auditing
podem ser retiradas
de uma auditoria & Reporting do curso de Administração
periódica da universidade Rutgers (New Jersey). No
e conduzidas entanto, a auditoria contínua é usada
separadamente extensivamente apenas por 14% dos
como rotinas de participantes da pesquisa, tornando-a
auditoria contínua.
uma das técnicas tecnológicas menos
3. Identifique também
rotinas de auditoria usadas na pesquisa (veja Documento 2
que possam ser para detalhes).
compartilhadas ou A auditoria contínua oferece aos
transferidas para a auditores internos uma oportunidade
gerência, para excelente de agregar valor às organizações.
permitir que a
gerência conduza o
monitoramento
Usando a Auditoria Contínua nas Três Linhas de Defesa
contínuo de alguns
É útil usar o modelo das Três Linhas de
de seus controles.
Defesa para entender a relação entre a
Para mais informações,
auditoria contínua e o monitoramento
veja o Global Technology
Audit Guide (GTAG) 3 contínuo em uma organização. No
do IIA: Coordinating modelo das Três Linhas de Defesa, a
Continuous Auditing and gerência operacional é considerada a
Monitoring to Provide primeira linha de defesa; a conformidade
Continuous Assurance,
2ª Edição, 2015.
e o gerenciamento de riscos fazem parte
da segunda; e a auditoria interna é a
terceira.1 A primeira e a segunda linhas de
defesa usam o monitoramento contínuo
como um processo apoiado tecnologica-
mente pela análise de dados, para
identificar exceções a políticas, falhas de
controle, fraude e panes nos processos de
Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento Eficaz de
1
Riscos e Controles, Janeiro de 2013, páginas 3-5.
Em especial, os auditores internos devem
buscar oportunidades de migrar suas
rotinas automatizadas ou de auditoria
contínua para a gerência, para que esta,
como primeira linha de defesa, assuma
maior responsabilidade pela condução de
suas próprias atividades de
monitoramento contínuo. Dessa forma,
a auditoria interna ajuda a gerência a
melhorar processos e também melhora o
ambiente geral de controle de suas
organizações.
Essa atividade está bem alinhada com
a forma como CAEs percebem o valor
que a auditoria interna agrega às suas
organizações. De acordo com 8 entre 10
CAEs no mundo todo, a avaliação dos
controles internos é uma das principais
formas de agregar valor, enquanto 5
entre 10 citam também a melhoria do
negócio (Q89, 2.636 participantes).
negócio ou para melhorar a integridade
das informações e a qualidade das
transações. A terceira linha de defesa
(auditoria interna) usa a auditoria
contínua como processo apoiado
tecnologicamente para ajudar a fornecer
avaliações objetivas e independentes,
sobre a eficácia da governança,
gerenciamento de riscos e controle
interno. A diferença importante é que os
sistemas de auditoria contínua devem ser
implementados de modo independente
dos sistemas de monitoramento
contínuo.
●
6 Educação e Certificações
de Tecnologia
Documento 6
Maior Educação Entre
Auditores Internos
C omo alguém se prepara para uma
carreira em auditoria interna? De
acordo com a pesquisa do praticante CBOK
computação ou tecnologia da informação.
Surpreendentemente, há pouca mudança
nessa porcentagem desde 2006 (12% em
2015, um diploma universitário é o mais 2006, em comparação com 13% em 2015).
comum, com mais de 90% dos Uma explicação possível para a falta de
1% 1% 92% participantes da pesquisa no mundo todo aumento na formação tecnológica é que a
6% tendo concluído cursos de quatro anos ou tecnologia esteja sendo incorporada em
mais (veja Documento 6). A educação outras áreas de estudo. Por exemplo,
superior de um auditor interno programas de auditoria interna
normalmente inclui estudos de normalmente incluem um curso de sistemas
92% Bacharelado ou mais contabilidade, auditoria (interna ou da informação em seu currículo e
externa), finanças ou administração (veja programas de contabilidade frequentemente
6% Diploma de Documento 7). Apenas 1 entre 10 apresentam componentes de accounting
Undergraduate ou participantes da pesquisa estudou ciência da information systems (AIS).
Associate (menos de
quatro anos)
Documento 7 Formações e Áreas Significantes de Estudo (Tendências)
1% Segundo Grau/
Ensino Médio
1% Nenhuma das anteriores 2006 2015

Observação: Q5: Qual é seu Contabilidade 58% 57%

maior nível de educação
formal (não certificação) Auditoria (Interna) 13% 43%
concluída? 12.716 participantes.
Finanças 25% 31%

Administração Geral/de Negócios 28% 35%

ESTUDO DA Auditoria (Externa) 19% 23%

AUDITORIA INTERNA
CRESCE Economia 21% 22%
O estudo da auditoria
Ciência da Computação ou Tecnologia da Informação (TI) 12% 13%
interna aumentou de
uma média global de 13%
em 2006 para 43% em
Direito 7% 10%
2015 (veja Documento 7).
As respostas por região Matemática/Estatística 6% 7%
em 2015 foram:
Engenharia 4% 6%
• América Latina e
Caribe 70%
Outras 8% 5%
• Sul da Ásia 69%
• África Subsaariana 56% Artes ou humanas 4% 4%
• Leste Asiático/Pacífico 53%
• Oriente Médio e Outra ciência ou campo técnico 3% 2%
Norte da África 46%
• Europa 33% Observação: Q5: Qual(is) foi(ram) sua(s) formação(ões) acadêmica(s) ou área(s) mais significante(s)
• América do Norte 13% de estudo? (Escolha todas as aplicáveis.) O total não somará 100%, porque os participantes
puderam escolher mais de uma opção. 7.819 participantes em 2006. 12.288 participantes em 2015.

●
 Diferenças Regionais na Educação e Certificação Tecnológicas
Auditores internos obtêm suas
habilidades tecnológicas de formas
muito diferentes, dependendo de onde
vivem. Na maior parte do mundo, as
habilidades tecnológicas são mais
provavelmente obtidas em estudos
acadêmicos, em vez de por meio de
certificações em sistemas da informação
como parte da educação continuada do
cargo. No entanto, na América do
Norte, as certificações desempenham
um papel mais forte do que os estudos
acadêmicos (veja Documento 8). No
geral, em regiões nas quais a educação
tecnológica é maior, as certificações em
tecnologias de sistemas da informação
são menos frequentes (e vice versa).
Ulrich Hahn, que ministrou cursos de
auditoria interna e da TI em toda a
Europa, comentou: “Mais faculdades e
universidades deveriam ter programas de
auditoria da TI, com cursos
especializados e treinamento real em
computadores, além do trajeto
educacional tradicional de auditoria
financeira”.
Uma área na qual todas as regiões
estão igualmente baixas é a de
certificações de segurança da TI (veja
Documento 8). Em média, apenas 3%
dos participantes do mundo todo
possuem certificações em segurança da
TI. Com os riscos de cibersegurança
aumentando em todo o mundo, uma
porcentagem muito maior de auditores
internos provavelmente precisarão obter
certificações em segurança da TI, para
que a auditoria interna forneça, com
eficácia, avaliações sobre esta área.

Documento 8 Educação Tecnológica em Comparação com Certificação Tecnológica

25%

20%
20% 19%
17%
15% 15%
15% 14%
13%
12%
11%
10% 10% 10%
10% 9%
8% 8%

6%
5%
5%
3% 3% 3% 3% 3%
2% 2%

0%
Sul da América Latina África Oriente Médio e Europa América Leste Asiático Média
Ásia e Caribe Subsaariana África do Norte do Norte e Pacífico Global

Estudos acadêmicos em Certificação em auditoria de sistemas da Certificação em segurança da TI

Ciência da Computação ou TI informação (tais como CISA, QICA, CRISC) (tais como CISM, CISSP, CSP, CDP)

Observação: Q5a: Qual foi sua formação acadêmica ou áreas mais significantes de estudo? (Escolha todas as aplicáveis.) Tópico:
Ciência da Computação ou Tecnologia da Informação (TI). 12.288 participantes. Q13: Quais certificações profissionais você tem em
áreas que não sejam auditoria interna? (Escolha todas as aplicáveis.) 12.540 participantes.

●
7 Aumentando as Habilidades
Tecnológicas no Departmento
de Auditoria Interna
PASSOS DE AÇÃO O uvimos frequentemente a analogia:
você não precisa entender como um
motor funciona para dirigir um carro.
1. Conduzir uma
avaliação de riscos Este também é o caso para usuários de
separada dos riscos sistemas de computador. Quando um
tecnológicos da auditor interno usa um computador para
organização. atingir um objetivo de auditoria, como
2. Avaliar as habilidades quando usa um programa de planilhas ou
tecnológicas processador de palavras, essa analogia
necessárias para a
auditoria interna pode ser válida. No entanto, habilidades
abordar os riscos adicionais e compreensão são necessárias
tecnológicos da para auditar um sistema de computador.
organização. A linha entre o auditor generalista e o
3. Implementar um especialista em TI e os benefícios de
plano para adquirir
terceirizar projetos de auditoria de TI são
as habilidades
necessárias, incluindo definidos em cada indústria e
as que possam ser departamento.
desenvolvidas dentro Um desafio contínuo para agregar
da equipe de mais tecnologia ao processo de auditoria
auditoria interna e as interna é que as habilidades fundamentais
que precisarão ser
adquiridas por meio
dos auditores internos giram em torno da
da terceirização contabilidade e da auditoria. No entanto,
periódica. ao longo das décadas, as universidades
4. Orientar a gerência e acrescentaram (e continuam a
o comitê de auditoria acrescentar) cursos de TI a seus currículos
sobre como você está de contabilidade e auditoria, incluindo
lidando com os riscos
tecnológicos da
cursos de auditoria da TI, em alguns
organização. casos. Além disso, programas
universitários continuam agregando mais
cursos tecnológicos gerais e exigem que os
alunos usem ferramentas de software em
geral. Consequentemente, os
recém-formados estão significativamente
mais familiarizados com o computador
do que as gerações passadas.
Embora continuem desenvolvendo
conhecimento técnico e habilidades de
●
TI, muitos auditores internos não têm
tempo ou interesse em se tornar
programadores. No caso mais comum,
auditores internos do novo milênio
precisam entender o básico dos sistemas
computadorizados, incluindo os
componentes chave de hardware de um
sistema de computador e o conceito
básico de cada programa de computador
(entrada – processo – saída). Ao mesmo
tempo, há muito mais a entender para se
saber de tecnologia, incluindo o básico do
desenvolvimento de sistemas, ciclos de
vida dos sistemas, fluxograma de
processos, lógica de programação e
programação de scripts para métricas.
Essas habilidades devem existir em algum
nível na estruturação da equipe ou devem
ser terceirizadas.
Mesmo quando o conhecimento e
habilidades de TI estão disponíveis,
também podem haver impedimentos
menos aparentes à expansão do uso da
tecnologia por parte da auditoria interna.
Eles incluem a necessidade de ser criativo
(em especial, pensando no que pode ser
automatizado na fase de design). Além
disso, porque o desenvolvimento ou
aquisição de um sistema exige um
investimento inicial, os auditores internos
precisam sair de sua zona de conforto e
assumir riscos normais de negócio para
obterem aprovações e serem responsáveis
pela eficácia do projeto e seu retorno
sobre o investimento.
Conclusão
A vanços tecnológicos estão criando oportunidades contínuas para que auditores internos
inovem e melhorem a funcionalidade de seus sistemas atuais. Para garantir que seu
departamento de auditoria interna fique um passo à frente, considere as perguntas a seguir:
● Quais novos aplicativos tecnológicos estão sendo usados em nossa organização?
O departamento de auditoria interna empregou novas tecnologias próprias para
garantir que possa auditar eficazmente os novos sistemas?
● O departamento de auditoria interna tem fundos para adquirir tecnologias
necessárias para auditar apropriadamente os sistemas da organização?
● O departamento de auditoria interna tem habilidades técnicas de TI suficientes
para abordar o nível tecnológico adotado pela organização?
● Quais os planos do departamento de auditoria interna para abordar o “big data”
que é importante para a organização (tanto estruturado quanto não estruturado)?
● Há aplicativos ou processos organizacionais que sejam conduzidos inteiramente na
“black box” (computador) (por exemplo, a computação de taxas de juros sobre
empréstimos)? Se sim, como são auditados?
● Que tipos de software o departamento de auditoria interna usa para tornar as
auditorias mais eficientes e eficazes? Quão extensivamente eles são usados, e com
que frequência?
Explorar questões como essas ajudará você e seu departamento de auditoria interna a
encontrar soluções criativas para os novos desafios e se manter em dia com as habilidades
necessárias para o desempenho eficaz. Por fim, a meta do uso tecnológico por parte da
auditoria interna é evoluir em conjunto com o negócio, usando tecnologias que irão, no
mínimo, permitir que você audite, com eficácia, as diversas infraestruturas do negócio,
enquanto também começa a inovar criativamente para ficar um passo à frente do ritmo
em tempo real do avanço tecnológico.

Sobre o Autor
M ichael P. Cangemi, coautor de Managing the Audit Function, é um
ex-Certified Public Accountant (CPA) e CAE que se tornou chief financial
officer (CFO), chief executive officer (CEO), diretor e presidente do comitê de
auditoria. Atualmente, trabalha como conselheiro sênior e diretor de diversas
companhias, e como Senior Fellow do Continuous Auditing & Reporting (CAR)
Lab da Rutgers. Ele atuou no Conselho de Administração do Committee of
Sponsoring Organizations of the Treadway Commission (COSO), nos conselhos
consultivos do Financial Accounting Standards Board (FASB) e do International
Accounting Standards Board (IASB), em diversos papéis profissionais no IIA,
IIARF e ISACA, e como editor-chefe do ISACA Journal por duas décadas.

●
Sua
Sobre a The IIA Research
Doação
Em Ação
Foundation
Os relatórios CBOK O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas
estão disponíveis inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que
gratuitamente para exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido
o público graças às
contribuições uma força propulsora por trás da evolução e do avanço da profissão.
generosas de
indivíduos, Equipe de Desenvolvimento do CBOK
organizações, filiais
do IIA e institutos Co-Presidentes do CBOK: Vice Presidente da IIARF: Bonnie Ulmer
IIA do mundo todo. Dick Anderson (Estados Unidos) Analista de Dados Primários: Dr. Po-ju Chen
Jean Coroller (França) Desenvolvedora de Conteúdo: Deborah Poulalion
Presidente do Subcomitê da Pesquisa do Praticante: Gerente de Projeto: Selma Kuurstra
Doe Para Michael Parkinson (Austrália) Editora Sênior: Lee Ann Campbell

o CBOK Comitê de Revisão dos Relatórios

www.theiia.org/
Ulrich Hahn (Alemanha) Michael Parkinson (Austrália)
goto/CBOK
Steve Hunt (Estados Unidos) Kurt Reding (Estados Unidos)
Richard Martin (Estados Unidos) Dave Williams (Estados Unidos)
Contate-nos
The Institute of Limitação de Responsabilidade
Internal Auditors
A IIARF publica este documento para propósitos informativos e educacionais apenas.
Global Headquarters
A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados
247 Maitland Avenue jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas
Altamonte Springs, ou contábeis surgirem, assistência profissional deve ser buscada e obtida.
Florida 32701-4201,
Estados Unidos Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos
reservados. Para permissão para reprodução ou citação, favor contatar research@theiia.org. ID #2015-1403