Auditoria Interna Como Reforçar a Objetividade e Independência. Nome Fátima Geada 7 outubro 2014 Lisboa

Transcrição

1 Auditoria Interna Como Reforçar a Objetividade e Independência Nome Fátima Geada 7 outubro 2014 Lisboa

2 Índice ÍNDICE I Enquadramento Atual 1.Definição de Auditoria Interna 3 2.Normativo Regulamentar da Profissão de Auditoria Interna 6 3.Linhas de Defesa das Organizações 17 4.Auditores Externos, Reguladores e Outros Órgãos Externos 28 5.Coordenação das Três Linhas de Defesa 29 II Posicionamento Futuro 6. Princípios-Chave na Atuação da Auditoria Interna Questões de Reflexão Futura

3 1. Definição de Auditoria Interna Definição de Auditoria Interna A Estrutura Internacional de Práticas Profissionais (IPPF) do IIA define a auditoria interna como: uma atividade independente e objetiva de avaliação e consultoria, desenvolvida para agregar valor e melhorar as operações de uma organização. Auxilia a organização a alcançar os seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gestão de riscos, controlo e governação. 3 3

4 1. Definição de Auditoria Interna Definição de Auditoria Interna Independência e Objetividade: Independente dentro de uma organização Posicionamento hierárquico out of the operational services Condução da auditoria suportada numa sponsorização ancorada numa governação forte Entendimento detalhado dos sistemas e processos do negócio e que têm um estímulo fundamental de ajudar as suas organizações na gestão mais eficaz dos riscos Agregando valor promovendo proactivamente uma avaliação objetiva sobre a eficácia e a eficiência dos processos de governação, gestão de riscos e controlo interno 4 4

5 1. Definição de Auditoria Interna Definição de Auditoria Interna Independência e Objetividade: Auxiliando a organização a alcançar seus objetivos estratégicos, operacionais, financeiros e de conformidade Agindo como um catalisador para melhorar a eficácia e a eficiência de uma organização, fazendo recomendações com base em análises e avaliações objetivas de dados e processos do negócio 5 5

6 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1000 Objetivo, Autoridade e Responsabilidade O objetivo, autoridade e responsabilidade da atividade de auditoria interna têm que ser formalmente definidos no estatuto da auditoria interna, em conformidade com a Definição de Auditoria Interna, o Código de Ética e as Normas. O Responsável pela Auditoria tem que rever periodicamente o estatuto da auditoria interna e apresentá-lo aos gestores superiores e ao Conselho para aprovação. Interpretação: O estatuto da auditoria interna é um documento formal que define o objetivo da auditoria interna, a sua autoridade e responsabilidade. O estatuto da auditoria interna define a posição da atividade de auditoria interna no seio da organização; autoriza o acesso aos registos, pessoal e ativos da organização, que seja necessário para o desempenho dos trabalhos; e define o âmbito das atividades de auditoria interna. A aprovação final do estatuto da auditoria interna compete ao Conselho. 6 6

7 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1100 Independência e Objetividade A atividade de auditoria interna tem que ser independente, e os auditores internos têm que ser objetivos no desempenho do seu trabalho. Interpretação - Organização A independência representa a não sujeição a condições que ameacem a capacidade da atividade de auditoria interna ou do responsável pela auditoria de cumprir com as responsabilidades da auditoria interna de forma imparcial. Para alcançar o grau de independência necessário para cumprir de forma eficaz com as suas responsabilidades, o responsável pela auditoria deverá ter acesso direto e ilimitado ao Conselho. Tal pode ser conseguido através de uma dupla relação de reporte: Funcional à Comissão de Auditoria Hierárquica ao CAE As ameaças à independência têm de ser geridas a diferentes níveis: do auditor individual, do compromisso de auditoria, funcional e organizacional. 7 7

8 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna - Perfil A objetividade é uma atitude mental imparcial que permite aos auditores internos realizar o seu trabalho de forma tal que acreditem no produto desse trabalho e que não sejam praticados quaisquer compromissos de qualidade Independência organizacional O responsável pela auditoria tem de reportar a um nível no seio da organização que permita que a atividade de auditoria interna cumpra com as suas responsabilidades. O responsável pela auditoria tem que confirmar ao Conselho, pelo menos uma vez por ano, a independência organizacional da atividade de auditoria interna. 8 8

9 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1110.A1 A atividade de auditoria interna tem que estar livre de interferências ao determinar o âmbito da auditoria interna, no desenvolvimento do trabalho e na comunicação dos resultados Interação Direta com o Conselho O responsável pela auditoria tem que comunicar e interagir diretamente com o Conselho 1120 Objetividade Individual Os auditores internos têm que ter uma atitude de imparcialidade, livre de preconceitos e evitar conflitos de interesse. 9 9

10 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1130 Impedimentos à Independência e Objetividade Se houver impedimentos, reais ou aparentes, à independência ou objetividade, os detalhes de tais impedimentos têm que ser divulgados às entidades competentes. A natureza de tal divulgação dependerá do tipo de impedimento. Interpretação: Os impedimentos à independência organizacional e à objetividade pessoal poderão incluir, mas não se limitam a, conflito de interesse pessoal, limitações de âmbito, restrições ao acesso de registos, pessoal, e ativos, e limitação de recursos, tais como financeiros

11 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1130.A1 Os auditores internos têm que abster-se de avaliar operações específicas cuja responsabilidade lhes havia sido anteriormente confiada. Um auditor interno deve ter um período de carência na prestação de serviço relativamente a uma atividade pela qual o auditor interno foi responsável de, pelo menos, um ano C2 Caso os auditores internos sintam constrangimentos à independência ou objetividade relativamente a compromissos de consultoria propostos, tal facto tem que ser revelado antes da aceitação do compromisso

12 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna - Objetividade 1200 Proficiência e Cuidado Profissional Adequado Os compromissos de auditoria têm que ser desempenhados com proficiência e cuidado profissional adequado Proficiência Os auditores internos têm que possuir os conhecimentos, o domínio das técnicas e outras competências necessárias para cumprir com as suas responsabilidades individuais. A atividade de auditoria interna, tem que possuir, coletivamente, ou obter os conhecimentos das técnicas e das matérias necessárias para o desempenho da sua responsabilidade

13 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna Interpretação O conhecimento, técnicas e outras competências são termos abrangentes que se referem à capacidade profissional exigida dos auditores internos para que possam cumprir com as suas responsabilidades profissionais de forma eficaz. Os auditores internos são encorajados a demonstrar a sua proficiência obtendo certificações profissionais e qualificações adequadas, tais como a designação de Certified Internal Auditor e outras certificações oferecidas pelo Institute of Internal Auditors e outras organizações profissionais apropriadas A1 O responsável pela auditoria tem que obter aconselhamento e assistência competentes, se os auditores internos carecerem dos conhecimentos, das técnicas e outras competências necessárias para realizar parte ou a totalidade do seu trabalho

14 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1210.A2 Os auditores internos têm que possuir o conhecimento adequado para avaliar o risco de fraude e a forma como ele é gerido pela organização, mas não se espera que disponham da perícia de uma pessoa cuja responsabilidade principal seja a deteção e a investigação da fraude A3 Os auditores internos têm que ter conhecimento dos riscos e controloschave das tecnologias da informação e das técnicas de auditoria de base tecnológica, para o desempenho do seu trabalho. Contudo, não se espera que todos os auditores internos tenham a perícia de um auditor interno cuja responsabilidade principal seja a de efetuar auditorias das tecnologias da informação C1 O responsável pela auditoria tem que declinar a realização de um compromisso de consultoria ou obter aconselhamento e apoio competente quando os auditores internos não disponham dos conhecimentos, técnicas ou competências necessárias para executar todo ou parte do compromisso

15 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1220 Cuidado Profissional Adequado Os auditores internos têm que utilizar o cuidado e a técnica que se espera de um auditor interno razoavelmente prudente e competente. Um cuidado profissional adequado não implica infalibilidade A1 Os auditores internos têm que exercer um cuidado profissional adequado tendo em consideração: A extensão de trabalho necessária para alcançar os objetivos do compromisso; A relativa complexidade, materialidade, ou importância das matérias em que se aplicam os procedimentos de garantia; A adequação e eficácia dos processos de governação, de gestão do risco e de controlo; A probabilidade de erros materiais, fraude ou não conformidade; 15 15

16 2. Normativo Regulamentar da Profissão de Auditoria Interna Normativo Regulamentar da Profissão de Auditoria Interna 1220.C1 Os auditores internos têm que exercer um cuidado profissional adequado durante a realização de trabalho de consultoria, tendo em consideração o seguinte: As necessidades e expectativas do cliente, incluindo a natureza, o prazo e a comunicação dos resultados do compromisso; A relativa complexidade e a extensão do trabalho necessário para alcançar os objetivos do compromisso; e O custo do compromisso de consultoria em relação com os benefício potenciais Desenvolvimento Profissional Contínuo Os auditores internos têm que aperfeiçoar os seus conhecimentos, técnicas e outras competências através de um desenvolvimento profissional contínuo

17 3. Linhas de Defesa das Organizações Auditoria Interna - Modelo das 3 Linhas de Defesa Primeira linha de defesa Controlo da gestão Segunda linha de defesa Funções de controlo de riscos e supervisão Terceira linha de defesa Avaliação independente Auditoria Interna 17 17

18 Regulador Auditoria Externa 3. Linhas de Defesa das Organizações Auditoria Interna - Modelo das 3 Linhas de Defesa Orgão de Governança / Conselho / Comité de Auditoria Alta Administração 1ª Linha de defesa Controlos da Gestão Medidas de Controlo Interno 2ª Linha de Defesa Controlo Financeiro Segurança Gestão de Riscos Qualidade Inspeção Conformidade 3ª Linha de Defesa Auditoria Interna Fonte: IIA (Institute of Internal Auditors); FERMA (Federation of European Risk Management Associations) 18 18

19 3. Linhas de Defesa das Organizações Auditoria Interna - Modelo das 3 Linhas de Defesa Os órgãos de governação e a alta administração não são considerados entre as três linhas deste modelo, mas detêm um papel crucial na sua eficácia e eficiência Os órgãos de governação e a alta administração são as principais partes interessadas e com quem os intervenientes no modelo das Três Linhas de Defesa interagem 19 19

20 3. Linhas de Defesa das Organizações 1º Linha de Defesa: Gestão Operacional Como primeira linha de defesa, os gestores operacionais gerem os riscos e têm a responsabilidade direta sobre eles. Devem implementar as ações corretivas para resolver as deficiências dos processos e controlos. A gestão operacional é responsável por manter controlos internos eficazes e por conduzir os procedimentos de riscos e controlo. A gestão operacional identifica, avalia, controla e mitiga os riscos, e é a responsável pelo desenvolvimento e implementação de políticas e procedimentos internos, garantindo que as atividades estejam de acordo com as metas e objetivos. Através de uma estrutura de responsabilidades em cascata, os gestores do nível médio desenvolvem e implementam procedimentos detalhados que servem como controlos e supervisionam a execução desses procedimentos

21 3. Linhas de Defesa das Organizações 1º Linha de Defesa: Gestão Operacional A Gestão Operacional serve naturalmente como a primeira linha de defesa, porque os controlos são desenvolvidos como sistemas e processos sob a sua orientação. Os controlos de gestão e supervisão adequados permitem garantir a conformidade e impedir colapsos de controlo, processos inadequados e eventos inesperados

22 3. Linhas de Defesa das Organizações 2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance Incorpora: Uma função de gestão de riscos que facilita e monitoriza a implementação de práticas eficazes de gestão de riscos por parte da gestão operacional e auxilia os gestores dos riscos a definir a meta de exposição ao risco e a reportar adequadamente informações relacionadas com os riscos em toda a organização. Uma função de conformidade (compliance) que monitorize diversos riscos específicos, tais como a conformidade com as leis e regulamentos aplicáveis. Esta função específica deverá reportar diretamente à alta administração. Múltiplas funções de conformidade coexistem na mesma organização, com responsabilidade por tipos específicos de monitorização da conformidade, como a saúde e segurança, a cadeia de fornecimento, ambiental e de qualidade

23 3. Linhas de Defesa das Organizações 2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance Uma função de controlo que monitorize os riscos transversais financeiros e questões de reporte financeiro torna-se cada vez mais um must nas organizações. A segunda linha de defesa tem um objetivo crucial, mas não oferece análises verdadeiramente independentes aos órgãos de governação acerca da gestão de riscos e dos controlos internos

24 3. Linhas de Defesa das Organizações 2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance As responsabilidades dessas funções variam com a sua natureza específica, mas podem incluir: Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para implementação. Fornecer estruturas de gestão de riscos. Identificar questões atuais e emergentes. Identificar alterações na perceção ao risco implícito da organização. Auxiliar a Gestão a desenvolver processos e controlos para a gestão de riscos

25 3. Linhas de Defesa das Organizações 2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance Fornecer orientações sobre os processos de gestão de riscos. Facilitar e monitorizar a implementação de práticas eficazes de gestão de riscos por parte da Gestão Operacional. Alertar a Gestão Operacional para questões emergentes e para as mudanças no cenário regulatório e de riscos. Monitorizar a adequação e a eficácia do controlo interno, a precisão e a integridade do reporte, a conformidade com leis e regulamentos e a resolução oportuna de deficiências

26 3. Linhas de Defesa das Organizações 3º Linha de Defesa: Auditoria Interna Os auditores internos fornecem ao órgão de governação e à gestão de topo avaliações abrangentes baseadas num maior nível de independência e objetividade dentro da organização. Esse alto nível de independência não está disponível na segunda linha de defesa A avaliação sobre a eficiência e a eficácia das operações; a salvaguarda de ativos; a confiabilidade e a integridade dos processos de reporte; e a conformidade com leis, regulamentos, políticas, procedimentos e contratos, é tão mais eficaz quanto maior for a independência com que a função é exercida Não é importante apenas para empresas de grande e média dimensão, mas também para negócios de menor dimensão que têm de enfrentar ambientes igualmente complexos com uma estrutura organizacional menos formal e robusta para garantir a eficácia dos seus processos de governação e gestão de riscos 26 26

27 3. Linhas de Defesa das Organizações 3º Linha de Defesa: Auditoria Interna A auditoria interna contribui ativamente para a governação organizacional eficaz, desde que as condições - que promovam a sua independência e profissionalismo - sejam consideradas. A melhor prática é estabelecer e manter uma função independente de auditoria interna, com uma equipa adequada e competente, que inclua: Atuar de acordo com as normas internacionais reconhecidas para a prática de auditoria interna. Reportar a um nível de topo na organização, de modo a cumprir com as suas responsabilidades de forma independente. Ter uma linha de reporte ativa e eficaz ao órgão de governação. Ter uma linha de reporte dupla a um órgão de supervisão não executivo 27 27

28 4. Auditores Externos, Reguladores e Outros Órgãos Externos Auditores Externos, Reguladores e Outros Órgãos Externos Auditores externos, reguladores e outros órgãos externos estão fora da estrutura da organização, mas desempenham um papel importante na sua estrutura geral de governação e controlo. Os auditores externos, reguladores e outros grupos externos à organização podem ser considerados linhas adicionais de defesa, que fornecem avaliações às partes interessadas da organização, incluindo o órgão de governação e a administração

29 5. Coordenação das Três Linhas de Defesa Coordenação das Três Linhas de Defesa Cada organização é única e evidencia situações específicas, não existindo uma forma certa de coordenar as Três Linhas de Defesa. Na divisão de responsabilidades específicas e na coordenação entre funções de gestão de riscos, pode ser útil ter em mente o papel inerente de cada grupo no processo de gestão de riscos. 1ª LINHA DE DEFESA 2ª LINHA DE DEFESA 3ª LINHA DE DEFESA Proprietários/Gestores de Riscos Controle de Risco e Conformidade Avaliação de Riscos Gestão financeira Independência limitada Auditoria interna Gestão operacional Reporta primariamente à Gestão Independência da Organização Reporta ao órgão de governação 29 29

30 5. Coordenação das Três Linhas de Defesa Coordenação das Três Linhas de Defesa Segundo as Normas Internacionais para Prática Profissional de Auditoria Interna, os diretores executivos de auditoria devem : compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços

31 5. Coordenação das Três Linhas de Defesa Coordenação das Três Linhas de Defesa Práticas Recomendadas Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três Linhas de Defesa. Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriados. Deve haver a coordenação entre as diferentes linhas de defesa para promover a eficiência e a eficácia. As funções de riscos e controlo na operação nas diferentes linhas devem partilhar conhecimento e informações de modo a auxiliar todas as funções a desempenhar melhor o seu papel e de forma mais eficiente

32 5. Coordenação das Três Linhas de Defesa Coordenação das Três Linhas de Defesa Práticas Recomendadas As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa a sua eficácia. Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governação deve ser aconselhado a respeito da estrutura e o seu impacto. Em organizações que não tenham uma função de auditoria interna, deve exigirse que a gestão e/ou o órgão de governação explique e divulgue às partes interessadas como será obtida a avaliação adequada da eficácia das estruturas de governação, gestão de riscos e controlo da organização

33 6. Princípios-Chave na Atuação da Auditoria Interna Princípios-Chave na Atuação da Auditoria Interna - Independência O IIA considera que os três princípios chave da Independência são aplicáveis globalmente a todas as organizações, não sendo relevante o setor de atividade: As organizações devem ter uma comissão de auditoria, ou equivalente, forte e eficaz. As organizações precisam de uma responsabilidade clara quanto à gestão de riscos e controlo interno. A auditoria interna deve ser devidamente estruturada, operar em conformidade com as Normas e deve ser uma exigência, se possível por via regulamentar, para a maioria das organizações

34 6. Princípios-Chave na Atuação da Auditoria Interna Princípios-Chave na Atuação da Auditoria Interna - Independência As linhas de reporte do diretor executivo de auditoria devem aumentar a independência organizacional: O diretor executivo de auditoria deve reportar a um nível, na organização, que permita à atividade de auditoria interna cumprir, de forma independente, com suas responsabilidades. A contratação, remuneração e demissão do diretor executivo de auditoria devem ser decisões deixadas a cargo da comissão de auditoria ou seu equivalente

35 6. Princípios-Chave na Atuação da Auditoria Interna Princípios-Chave na Atuação da Auditoria Interna - Independência O âmbito e orçamento da auditoria interna devem ser decisões deixadas a cargo da comissão de auditoria ou seu equivalente na recomendação do diretor executivo de auditoria As principais questões levantadas pela auditoria interna devem ser reportadas à comissão de auditoria ou seu equivalente A comissão de auditoria deve reunir-se com o diretor executivo de auditoria regularmente sem a presença da gestão executiva 35 35

36 6. Princípios-Chave na Atuação da Auditoria Interna Princípios-Chave na Atuação da Auditoria Interna - Eficácia e Eficiência Fatores de reforço da independência: A auditoria interna deve ter acesso total, livre e sem restrições a qualquer função ou atividade e informação/documentação Nenhuma função ou atividade organizacional deve ser considerada externa ao âmbito de análise da auditoria interna Sponsorização eficaz suportada na gestão de topo e na Comissão de Auditoria 36 36

37 7. Questões de Reflexão Futura Questões de Reflexão Futura - Independência Independência Regulamentação por enquadramento legal Dependência remuneratória externa à organização Responsabilidade pela definição de honorários para o Diretor de Auditoria A quem? Contratualização da Auditoria: Quem o deve efetuar? Reportabilidade a organismo de supervisão exterior à Organização/Empresa 37 37

38 7. Questões de Reflexão Futura Questões de Reflexão Futura - Objetividade Dificuldade de acesso à informação financeira Melhoria da acessibilidade à informação, definindo procedimentos que ultrapassem: Restrições Legais: destinadas a proteger a confidencialidade dos negócios Afastamento geográfico: dificuldade no mundo globalizado atual em o investidor acompanhar o andamento das suas aplicações nos diferentes cantos do Mundo Inviabilidade prática: multiplicidade de interessados 38 38

39 7. Questões de Reflexão Futura Questões de Reflexão Futura Objetividade / Confiabilidade Melhorar a qualificação técnica para verificar e analisar a informação financeira - Complexidade da Informação, através de: Investimento em formação especializada Definição do orçamento da auditoria prevendo a afetação de técnicos especializados Qualificação como pedra basilar para a confiabilidade da informação produzida 39 39

40 Obrigado! 40 40