Quem é o Proprietário do Risco?

Transcrição

1 Quem é o Proprietário do Risco? RISCO Core Report Analisando o Papel em Mudança da Auditoria Interna Paul J. Sobel CIA, QIAL, CRMA CBOK The Global Internal Audit Common Body of Knowledge

2 Sobre o CBOK FATOS DA PESQUISA Participantes Países Idiomas 14,518* NÍVEIS DOS FUNCIONÁRIOS* Chief audit executive (CAE) 26% Diretor 13% Gerente 17% Equipe 44% *As taxas podem variar por pergunta. O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 ( respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. Pesquisa do Praticante CBOK 2015 Participação das Regiões Globais Europa & Ásia 23% Central América 19% do Norte Oriente Médio & África 8% do Norte América Latina 14% & Caribe África 6% Subsaariana Sul da Ásia 5% Leste Asiático 25% & Pacífico Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

3 Áreas de Conhecimento do CBOK Conteúdos Futuro Sumário Executivo 4 Introdução 5 Perspectiva Global Governança Gestão Risco Normas & Certificações Talento Tecnologia 1 Tendências de Gerenciamento de Riscos 6 Processos Formais de Gerenciamento de Riscos 6 As Tendências ao Longo do Tempo 6 2 O Posicionamento da AI no Gerenciamento de Riscos 11 Relação com o ERM 11 As Três Linhas de Defesa 11 3 Responsabilidades de Gerenciamento de Riscos da AI 15 Avaliação Geral do Gerenciamento de Riscos 15 Avaliação de Riscos Individuais 18 Assessoria e Consultoria de Riscos 18 Foco no Plano de Auditoria de Avaliação Combinada 20 4 Abordagens e Competências para o Risco 23 Principais Áreas de Risco 23 Fontes de Avaliação de Riscos 23 Frequência da Avaliação de Riscos 24 Arquivos de Dados de Riscos 24 Planos de Auditoria com Base em Riscos 25 Níveis de Competência para o Risco 26 Conclusão 29 Recomendações para o Gerenciamento de Riscos 29

4 Sumário Executivo Q uem é o verdadeiro proprietário do risco? A resposta literal é não é a auditoria interna. No entanto, a auditoria interna, sem dúvidas, ajudou organizações a entender e gerenciar melhor seus riscos no passado e, indubitavelmente, terá um papel fundamental no futuro. Este relatório não apenas fornece insights quanto ao status do gerenciamento de riscos e quanto ao papel da auditoria interna no mundo todo, mas também relata 13 ações principais que podem ajudar chief audit executives (CAEs) e auditores internos a garantir que sua função de auditoria interna esteja posicionada apropriadamente para lidar com os desafios de riscos em um mundo em constante mudança. Utilizando as descobertas das pesquisas desse relatório, você poderá comparar suas práticas de riscos a outras do mundo todo e de diferentes indústrias. Você terá novos insights sobre: As práticas de riscos da sua organização Sua interação com o enterprise risk management (ERM) Seu nível de responsabilidade pela avaliação de riscos em sua organização Seu nível de maturidade de riscos Sua proficiência em avaliação de riscos Este relatório foi elaborado por Paul Sobel, presidente de do Conselho de Administração do IIA, e autor e palestrante renomado sobre tópicos de riscos e auditoria interna. Informações atualizadas sobre práticas de riscos foram obtidas a partir da Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, a maior pesquisa contínua de auditores internos do mundo. Essas descobertas foram complementadas por entrevistas com líderes globais de auditoria interna e riscos, para obter um contexto regional.

5 Introdução MISSÃO DA AUDITORIA INTERNA Aumentar e proteger o valor organizacional, fornecendo às partes interessadas avaliações, assessoria e conhecimentos confiáveis, objetivos e baseados em risco. Trecho do IPPF revisado, The Institute of Internal Auditors, Julho de 2015 A Estrutura Internacional de Práticas Profissionais (IPPF) recentemente atualizada inclui uma nova missão para a auditoria interna: Aumentar e proteger o valor organizacional, fornecendo às partes interessadas avaliações, assessoria e conhecimentos confiáveis, objetivos e baseados em risco. Para cumprir com essa missão, as funções de auditoria interna do mundo todo precisam focar no risco como a base do que deve ser auditado, de como deve ser auditado e do que deve ser reportado. A Pesquisa Global do Praticante de Auditoria Interna CBOK 2015 fornece dados e insights que ajudaram os auditores internos a entender as práticas globais relativas a riscos. Depois de, primeiro, entender até que ponto o gerenciamento de riscos formal está em prática (capítulo 1), este relatório examina o posicionamento da auditoria interna dentro do gerenciamento de riscos (capítulo 2). O Modelo das Três Linhas de Defesa ajuda a entender esse posicionamento, porque separa as responsabilidades administrativas de gestão de riscos (primeira linha de defesa) do papel de outras funções no apoio e supervisão do gerenciamento de riscos (segunda linha) e do papel da auditoria interna em prestar avaliação objetiva (terceira linha).* O capítulo 3 examina as responsabilidades de gerenciamento de riscos da auditoria interna, com foco especial em suas responsabilidades de avaliação. Por fim, o capítulo 4 cobre uma variedade de tópicos relativos ao uso de riscos por parte da auditoria interna, incluindo os atributos da avaliação de riscos, o que ajuda a moldar o plano de auditoria interna, outros recursos para o plano de auditoria, e níveis de competência em gerenciamento de riscos para os auditores internos. Está claro que o progresso obtido no gerenciamento de riscos, assim como o papel da auditoria interna, continua evoluindo. No entanto, há muitas oportunidades para os CAEs e outros auditores internos de garantir que suas funções de auditoria interna possam abordar com eficácia os desafios de riscos em um mundo em constante mudança. As principais ações identificadas nesse relatório devem ajudar a usar essas oportunidades. * Para informações adicionais, consulte a Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, Janeiro de 2013, e Leveraging COSO Across the Three Lines of Defense, desenvolvido em parceria pelo IIA e COSO, Janeiro 2015.

6 1 Tendências de Gerenciamento de Riscos O gerenciamento de riscos continua crescendo e evoluindo em todo o mundo. A crise financeira global que começou em 2008 demonstrou o valor e importância de boas práticas de gerenciamento de riscos. Desde então, foram promulgadas regulações que exigem o gerenciamento de riscos, ou componentes dele, e muito já foi escrito sobre formas de gerir riscos em uma economia global em rápida mudança. Processos Formais de Gerenciamento de Riscos Os resultados da pesquisa CBOK 2015 mostram que mais da metade de CAEs do mundo todo acredita que processos e procedimentos formais de gerenciamento de riscos estejam em prática em suas organizações (veja o Documento 1). Conforme mostrado nesta tabela, mais da metade (53%) indica que processos e procedimentos formais de gerenciamento de riscos estão em prática (29%) ou a organização tem um processo formal de gerenciamento de riscos corporativos com um chief risk officer ou equivalente (24%). Embora uma pequena maioria acredite que suas organizações tenham processos formais de gerenciamento de riscos, é necessário pensar se há um crescimento contínuo no gerenciamento de riscos ao longo do tempo. As Tendências ao Longo do Tempo Embora haja poucas pesquisas que façam as mesmas perguntas sobre os riscos ao longo do tempo, alguns recursos podem oferecer insights sobre o crescimento do gerenciamento de riscos: O Report on ERM, de 2010, do Committee of Sponsoring Organizations of the Treadway Commission (COSO), identificou que pouco mais de um quarto dos 460 participantes considera seu programa de gerenciamento de riscos um processo sistemático, robusto e replicável com reporte Documento 1 Práticas de Gerenciamento de Riscos Gerenciamento de riscos formal e chief risk officer (CRO) 24% Gerenciamento de riscos formal 29% Informal/em desenvolvimento 37% Nenhum 10% 0% 10% 20% 30% 40% 50% Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas participantes.

7 As regulações Basel e Solvency II Directive foram condutores importantes do desenvolvimento de funções independentes de gerenciamento de riscos e conformidade nos bancos e empresas de seguros na Europa. Charlotta Löfstrand-Hjelm, Chief Internal Auditor, Länsförsakringar (LFAB), Estocolmo, Suécia regular, ao conselho, do conjunto das principais exposições a riscos. Esse estudo foi baseado quase totalmente na América do Norte e incluiu 20% do setor de serviços financeiros. Em 2011, a Risk Management Society (RIMS) publicou resultados de sua Risk Benchmark Survey de 2011, que incluiu respostas de gerentes de riscos, sendo 94% da América do Norte e 15% do setor de serviços financeiros. Os resultados da pesquisa mostraram que mais da metade (54%) tinha um programa de gerenciamento de riscos total ou parcialmente integrado, em comparação com apenas um terço na pesquisa de A International Federation of Accountants (IFAC) publicou um information paper em 2011, chamado Global Survey on Risk Management and Internal Control, no qual reportou que dois terços dos 586 participantes indicaram ter um sistema formal de gerenciamento de riscos (mais de três quartos eram externos à América do Norte e um quarto era do setor de serviços financeiros). Uma comparação desses estudos não pode ser considerada uma pesquisa definitiva sobre o crescimento do gerenciamento de riscos; no entanto, com base em seu timing e descobertas, parece ter havido um crescimento notável no gerenciamento de riscos formal na saída da crise financeira global, o que é, de certa forma, intuitivo. No entanto, o ritmo do crescimento pode ter diminuído nos últimos anos. Também é notável que a publicação da IFAC, que inclui uma proporção muito maior de participantes externos à América do Norte, tenha mostrado um número maior de processos formais de gerenciamento de riscos do que os outros dois estudos. Visão Regional A pesquisa CBOK 2015 também mostra diferenças nas práticas de gerenciamento de riscos por região (veja o Documento 2). Em especial, uma porcentagem bem maior de CAEs da Europa indicam ter um processo formal de gerenciamento de riscos em prática (67%), o que replica os resultados da IFAC de Por outro lado, apenas 35% dos participantes do Oriente Médio e da África do Norte, e 42% dos participantes da América Latina e Caribe indicaram ter um processo formal de gerenciamento de riscos em prática. Uma resposta às descobertas na Europa foi dada por Charlotta Löfstrand-Hjelm, chief internal auditor da Länsförsakringar (LFAB), em Estocolmo, na Suécia, que tem experiência na indústria de seguros. Ela observou que as regulações no setor de serviços financeiros aceleraram o desenvolvimento de funções independentes de gerenciamento de riscos na Europa. No entanto, tais regulações são menos predominantes nas regiões do Oriente Médio e na África do Norte, assim como na América Latina e Caribe; daí os números menores nessas regiões. Os entrevistados dessas regiões enfatizaram que o gerenciamento de riscos formal tende a existir apenas em empresas muito grandes, no setor de serviços financeiros e nas subsidiárias de empresas estrangeiras.

8 Documento 2 Práticas de Gerenciamento de Riscos (Visão Regional) Europa 7% 14% América Latina & Caribe 17% Oriente Médio & África do Norte 0% 24% 29% 37% 40% 12% 23% 45% 20% 17% 25% 40% 10% 17% 31% 38% 20% Média Global 14% 37% 45% Leste Asiático & Pacífico 27% 25% 44% Sul da Ásia 4% 21% 32% 36% 4% 34% 33% 10% África Subsaariana América do Norte 27% 60% 80% 100% Nenhuma em prática Gerenciamento de Riscos Formal Informal/desenvolvimento Gerenciamento de Riscos Formal e chief risk officer (CRO) Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas participantes. Devido ao arredondamento, alguns totais regionais podem não somar 100%. Visão por Indústria AÇÃO PRINCIPAL 1 Seja defensor do progresso dos processos formais de gerenciamento de riscos, independentemente da indústria. Variações entre indústrias também são, provavelmente, relacionadas ao nível de regulação. Por conta das regulações promulgadas após a crise financeira global, é possível conjecturar que uma porcentagem maior de empresas financeiras e de seguros teriam implementado o gerenciamento de riscos. Os dados provam que isso é correto, já que quase três quartos das empresas financeiras e de seguros têm processos formais de gerenciamento de riscos em prática (veja o Documento 3). Não é de surpreender que uma indústria altamente regulada tenha uma porcentagem maior de processos formais de gerenciamento de riscos em prática, principalmente porque, em muitos países, é exigido que empresas financeiras e de seguros tenham um certo nível de gerenciamento de riscos. Vale notar que, somando-se as respostas de todas as indústrias não financeiras, apenas uma média de 45% tem processos formais de riscos, indicando que, na ausência da regulação, a maioria das empresas ainda não migrou para um estado formal de gerenciamento de riscos (veja o Documento 4). Visão por Porte Por fim, pode-se esperar que empresas de maior porte tenham processos mais formais de gerenciamento de riscos do que empresas menores. Essa expectativa existe por dois motivos: 1) empresas maiores têm mais recursos para dedicar ao gerenciamento de riscos e 2) a maioria das instituições financeiras são maiores. Os dados comprovam isso, com processos

9 Documento 3 Práticas Formais de Gerenciamento de Riscos (Visão por Indústria) Finanças e seguros 74% Mineração, pedreiras e extração de petróleo e gás 56% Setor de serviços públicos 56% Serviços profissionais, científicos e técnicos 55% Imobiliária, aluguel e leasing 50% Construção 49% Venda por atacado 47% Administração pública 46% Saúde e assistência social 45% Manufatura 44% Outros serviços (exceto administração pública) 43% Transporte e armazenamento 42% Informação 42% Venda por varejo 42% Outras 37% Serviços educacionais 31% Média 53% Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? O documento mostra os participantes que escolheram a opção Processos e procedimentos formais de gerenciamento de riscos estão em prática ou A organização tem um processo formal de enterprise risk management (ERM) com chief risk officer ou equivalente. CAEs apenas participantes. Documento 4 Práticas de Gerenciamento de Riscos (Visão por Indústria Financeira X Não Financeira) 100% 80% 74% Nenhum processo de gerenciamento de riscos em prática. 60% 40% 20% 13% 42% 45% 23% Processos de gerenciamento de riscos informais ou em desenvolvimento. Gerenciamento de riscos formal está em prática. 3% 0% Indústrias Não Financeiras Indústria Financeira e de Seguros Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas participantes.

10 AÇÃO PRINCIPAL 2 Busque oportunidades de ajudar a acelerar a implementação do gerenciamento de riscos formal, e sustente-o quando já estiver em prática. formais de gerenciamento de riscos em prática em cerca de 7 a cada 10 das empresas de maior porte, em comparação com 4 em cada 10 das empresas de menor porte (veja o Documento 5). Sumário Para resumir, as instituições financeiras e empresas de maior porte, muitas das quais são provavelmente a mesma, apresentam maior progresso no estabelecimento de processos formais de gerenciamento de riscos. Além disso, empresas na Europa têm maior porcentagem de processos formais de gerenciamento de riscos, provavelmente refletindo regulações de governança mais avançadas do que em outras partes do mundo. É importante notar que regulações podem existir em outras partes do mundo, como a lei americana Sarbanes-Oxley de No entanto, essas regulações não exigem o progresso do gerenciamento de riscos como um todo; em vez disso, o foco fica sobre riscos relativos a certas áreas, tais como controles internos sobre o reporte financeiro. Isso pode explicar por que as regulações na Europa e em outras certas partes do mundo tendem a motivar mais o gerenciamento de riscos formal. Também é importante reconhecer que o gerenciamento de riscos formal ainda não está presente em uma média global de 47% das organizações. Com base em uma variedade de descobertas de pesquisas sobre riscos, isso pode refletir uma redução no ritmo de proliferação da implementação do gerenciamento de riscos, após o período seguinte à recessão global, o que é, de certa forma, preocupante. No entanto, CAEs podem certamente impactar o progresso e a sustentabilidade do gerenciamento de riscos em suas organizações. Documento 5 Práticas Formais de Gerenciamento de Riscos (Visão por Receita) 100% 80% 62% 73% 60% 46% 43% 51% 40% 20% 0% $1 milhão ou menos Mais de $1 milhão até $100 milhões Mais de $100 milhões até $1 bilhão Mais de $1 bilhão até $10 bilhões Mais de $10 bilhões Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas participantes.

11 2 O Posicionamento da Auditoria Interna no Gerenciamento de Riscos O Modelo das Três Linhas de Defesa posiciona o gerenciamento de riscos na segunda linha e a auditoria interna na terceira. Até que ponto as funções de auditoria interna ao redor do mundo estão alinhadas com esse modelo? Relação com o ERM De todos os participantes globais, 66% indicaram que a auditoria interna e ERM são funções separadas que coordenam e compartilham conhecimento entre si, em suas empresas (veja o Documento 6). Outros 14% indicaram que a auditoria interna e o ERM são funções separadas, que não interagem. Isso significa que 80% dos participantes dizem que suas funções de auditoria interna são separadas do gerenciamento de riscos, o que é uma tendência encorajadora, por ser um indicador da separação entre a segunda e terceira linhas de defesa. Por outro lado, um quinto dos participantes indicaram que a auditoria interna é responsável pelo ERM e mais de dois terços deles não têm planos de transferi-lo; então, ainda há trabalho a fazer para separar esses papéis essenciais. As Três Linhas de Defesa No entanto, para os 66% que coordenam e compartilham informação, pode haver um perigo de que tal coordenação possa borrar o limite entre a segunda e terceira linhas de defesa. Alguns participantes da pesquisa reconhecem essa situação em suas organizações. Entre os participantes da pesquisa que usam o Modelo das Três Linhas de Defesa, 13% dizem que a distinção entre a segunda e terceira linhas não é clara (Q63, participantes). Para uma análise mais aprofundada das respostas da pesquisa sobre o Modelo das Três Linhas de Defesa, por favor consulte o relatório CBOK chamado Avaliação Combinada: Uma Língua, Uma Voz, Uma Visão. Documento 6 Relação Entre a Auditoria Interna e o Gerenciamento de Riscos Corporativos (Enterprise Risk Management - ERM) 14% 6% 14% 66% 66% 14% Auditoria interna e ERM são separados, mas coordenam e compartilham informações. Auditoria interna e ERM são separados e não interagem. 6% A auditoria interna é responsável pelo ERM, mas a responsabilidade será transferida. Observação: Q59: Qual a relação entre a auditoria interna e o gerenciamento de riscos corporativos (enterprise risk management - ERM) em sua organização? participantes.

12 Visão Regional A separação entre a auditoria interna e o ERM varia entre as regiões globais de formas inesperadas. A Europa tem a maior porcentagem de organizações que separam a auditoria interna do ERM (86%), o que é consistente com o maior nível de gerenciamento de riscos formal na região (conforme discutido no capítulo 1). No entanto, a segunda maior porcentagem foi a do Leste Asiático e Pacífico (84%) (veja o Documento 7), mas essa região estava, na verdade, abaixo da média global de gerenciamento de riscos formal em suas organizações. Naohiro Mouri, diretor executivo corporativo/chief internal auditor na AIG Japan Holdings, em Tóquio, Japão, especula que, embora o gerenciamento de riscos formal possa não prevalecer tanto em todo o Leste Asiático e Pacífico, há forte ênfase, na região, na conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) do IIA e outras orientações, o que pode levar à maior porcentagem de separação entre a auditoria interna e o gerenciamento de riscos. Visão Industrial Examinando essa questão a partir da visão industrial, vemos que 93% dos participantes do setor de finanças e seguros disseram que suas organizações separam a auditoria interna do ERM (veja o Documento 8). Como empresas financeiras e de seguros compõem 33% do total de participantes, essa indústria claramente influencia os resultados em direção à média global de 80%. Documento 7 Organizações com as Funções de Auditoria Interna e ERM Separadas (Visão Regional) Europa 86% Leste Asiático & Pacífico 84% América do Norte 79% América Latina & Caribe 79% Oriente Médio & África do Norte Sul da Ásia 70% 69% África Subsaariana 68% Média Global 80% 0% 20% 40% 60% 80% 100% Observação: Q59: Qual a relação entre a auditoria interna e o gerenciamento de riscos corporativos (enterprise risk management - ERM) em sua organização? O documento mostra os participantes que escolheram a opção A auditoria interna e o ERM são funções separadas e não interagem ou A auditoria interna e o ERM são funções separadas, mas coordenam e compartilham conhecimento participantes.

13 Normalmente, os reguladores na região do Leste Asiático e Pacífico seguem ou consultam as Normas do IIA e orientações para estruturas de governança corporativa; portanto, é predominante que a auditoria interna seja separada do gerenciamento de riscos. Naohiro Mouri, Diretor Executivo Corporativo/Chief Internal Auditor, AIG Japan Holdings, Tóquio, Japão Documento 8 Organizações com Funções de Auditoria Interna e ERM Separadas (Visão por Indústria) Finanças e seguros 93% Mineração, pedreiras e extração de petróleo e gás 80% Administração pública 78% Setor de serviços públicos 78% Outros serviços (exceto administração pública) 75% Transporte e armazenamento 75% Informação 75% Serviços profissionais, científicos e técnicos 74% Construção 72% Venda por atacado 70% Imobiliária, aluguel e leasing 69% Saúde e assistência social 68% Manufatura 68% Serviços educacionais 67% Venda por varejo 64% Outras 63% Média 80% Observação: Q59: Qual a relação entre a auditoria interna e o gerenciamento de riscos corporativos (enterprise risk management - ERM) em sua organização? participantes. AÇÃO PRINCIPAL 3 Trabalhe com a gerência e outros prestadores internos de avaliação para garantir a clareza dos papéis dentro das três linhas de defesa. Inclusive, nenhum outro setor ultrapassou 80%. Isso indica que, em outras indústrias, a distinção entre a segunda e terceira linhas de defesa pode não ser tão clara. Visão por Porte Empresas maiores tiveram porcentagens mais altas de separação entre a auditoria interna e o gerenciamento de riscos do que as menores (veja o Documento 9). Sumário No geral, parece que há uma separação entre as funções de auditoria interna e gerenciamento de riscos, especialmente nas regiões de maior regulação, e mais notavelmente entre as empresas do setor financeiro. Além disso, empresas maiores tendem a ter uma separação maior entre as duas, o que está provavelmente relacionado. No entanto, há alguns indicadores de possível desfoque entre a segunda e terceira linhas de defesa, o que também foi notado na pesquisa Pulso da Profissão de Vale acompanhar essa questão nos próximos anos, para garantir que os papéis valiosos dessas duas linhas de defesa não se tornem tão embaçados a ponto de diminuir a qualidade e confiabilidade da avaliação.

14 Documento 9 Organizações com as Funções de Auditoria Interna e ERM Separadas (Visão por Receita) 100% 80% 70% 75% 77% 80% 86% 60% 40% 20% 0% $1 milhão ou menos Mais de $1 milhão até $100 milhões Mais de $100 milhões até $1 bilhão Mais de $1 bilhão até $10 bilhões Mais de $10 bilhões Observação: Q59: Qual a relação entre a auditoria interna e o gerenciamento de riscos corporativos (enterprise risk management - ERM) em sua organização? participantes.

15 3 Responsabilidades de Gerenciamento de Riscos da Auditoria Interna AÇÃO PRINCIPAL 4 Esforce-se para prestar avaliação sobre o gerenciamento de riscos como um todo, não apenas quanto aos riscos individuais. U ma boa separação entre a auditoria interna e o gerenciamento de riscos parece uma prática encorajadora e importante. No entanto, para colocar o tópico do capítulo 2 em contexto, é importante entender como as responsabilidades de riscos da auditoria interna são diferentes daquelas de uma função de ERM. Portanto, esse capítulo traz insights sobre como a auditoria interna presta avaliação e assessoria de riscos. A auditoria interna pode ter diversas responsabilidades de riscos (veja o Documento 10; note que era possível escolher múltiplas respostas). Avaliação Geral do Gerenciamento de Riscos Primeiro, é importante notar que 47% dos participantes indicam que prestam avaliação do gerenciamento de riscos Documento 10 Avaliação do gerenciamento de riscos como um todo Avaliação de riscos individuais Assessoria e Consultoria como um todo. Por um lado, o número parece bem alto, considerando as orientações limitadas disponíveis sobre como prestar tal avaliação. Por outro lado, o número pode ser baixo em relação aos resultados da pesquisa CBOK Embora as perguntas não tenham sido feitas da mesma forma, 57% dos participantes de 2010 indicaram que sua atividade de auditoria interna conduzia auditorias dos processos de ERM e 20% indicaram esperar que tais auditorias aumentassem nos 5 anos seguintes (isto é, até 2015).* Apesar da pergunta ter sido feita de forma diferente, o fato é que a porcentagem de avaliação do gerenciamento de riscos foi menor em * Characteristics of an Internal Audit Activity Internal Auditors Research Foundation, 2010), Responsabilidades de Gerenciamento de Riscos da Auditoria Interna 47% 44% 57% Não segue uma abordagem com base em riscos Outra 7% 6% 0% 20% 40% 60% 80% 100% Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) participantes.

16 em 2015 do que em 2010 sugere que os auditores internos não aumentaram sua avaliação do gerenciamento de riscos nos últimos cinco anos. Visão Regional Examinando os resultados por região (veja o Documento 11), 60% dos participantes na África Subsaariana indicam que prestam avaliação do gerenciamento de riscos como um todo, a porcentagem mais alta de qualquer região do mundo. Isso ocorre por conta, provavelmente, dos fortes requisitos de governança na África do Sul, que tornam a avaliação do gerenciamento de riscos mais crítica (cerca de 40% dos participantes da região são da África do Sul). A Europa teve o segundo número mais alto (57%), provavelmente por conta do nível de foco da regulação e governança na região. Por outro lado, apenas 39% dos participantes do Leste Asiático & Pacífico e da América Latina & Caribe, e 44% da América do Norte indicaram que prestam avaliação sobre o gerenciamento de riscos como um todo, então tal avaliação ainda não prevalece em muitas partes do mundo. Visão por Porte As respostas para empresas de diferentes portes são parecidas com as outras perguntas da pesquisa; isto é, empresas de maior porte têm porcentagens maiores de participantes indicando que avaliam o gerenciamento de riscos como um todo. No entanto, nenhum desses grupos demográficos foi maior do que dois terços, então até as grandes empresas podem aumentar seu foco na avaliação do gerenciamento de riscos. Documento 11 Responsabilidades de Gerenciamento de Riscos da Auditoria Interna (Visão Regional) 100% 80% 60% 40% 60% 57% 53% 52% 54% 41% 62% 51% 47% 45% 34% 35% 60% 61% 57% 55% 44% 39% 38% 39% 30% 47% 44% 57% 20% 0% África Subsaariana Europa Sul da Ásia Oriente Médio & África do Norte América do Norte Leste Asiático & Pacífico América Latina & Caribe Média Global Avaliação do gerenciamento de riscos como um todo Avaliação dos riscos individuais Assessoria e Consultoria Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) participantes.

17 AÇÃO PRINCIPAL 5 Ao prestar avaliação do gerenciamento de riscos, garanta que os critérios da avaliação sejam bem entendidos. Análise da Lacuna por Região Uma forma diferente de examinar os dados é comparar as porcentagens das empresas que têm gerenciamento de riscos formal (capítulo 1) aos números das que prestam avaliação do gerenciamento de riscos. Como as duas perguntas parecem ser influenciadas pela regulação, pode-se conjecturar que haveria alguma relação entre as duas. No entanto, a análise das lacunas entre as duas perguntas da pesquisa não apoia necessariamente essa hipótese. As primeiras lacunas que examinaremos são baseadas na região mundial (veja o Documento 12). Lembre-se que, globalmente, 53% indicaram ter gerenciamento de riscos formal em prática (barra azul) e 47% indicaram prestar avaliação do gerenciamento de riscos como um todo (barra verde), resultando em uma lacuna de 7% (barra dourada). Examinar essas porcentagens por região revela que algumas dessas lacunas são maiores do que 7%, indicando que a avaliação não atingiu o nível da implementação do gerenciamento de riscos formal. No entanto, também vale notar que a avaliação é mais comum na África Subsaariana e Oriente Médio & África do Norte do que o gerenciamento de riscos formal (motivo pelo qual a lacuna é negativa, em vez de positiva). Seria interessante entender como tal avaliação é prestada, se o gerenciamento de riscos não é formal. Colocando em outras palavras, a avaliação do gerenciamento de riscos deve ser baseada em critérios reconhecidos e razoáveis, o que seria difícil estabelecer sem um gerenciamento de riscos formal em prática. Documento 12 Lacuna Entre o Gerenciamento de Riscos Formal e a Avaliação do Gerenciamento de Riscos (Visão Regional) 100% 80% 60% 40% 67% 57% 48% 39% 51% 44% 43% 39% 51% 51% 60% 54% 35% 53% 47% 47% 20% 0% 10% 9% 8% 4% 0% -6% -12% 7% Europa Leste Asiático & Pacífico Gerenciamento de riscos formal em prática América do Norte América Latina & Caribe Sul da Ásia África Subsaariana Avaliação do gerenciamento de riscos como um todo Oriente Médio & África do Norte Média Global Lacuna Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) participantes. Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas participantes

18 AÇÃO PRINCIPAL 6 Na condução de uma auditoria com base em riscos, relacione o escopo e os resultados a riscos específicos do negócio. A América Latina tem desempenho menor do que o de outras partes do mundo na prestação da avaliação do gerenciamento de riscos, já que muitas funções de auditoria interna ainda seguem uma abordagem de auditoria mais tradicional. Contudo, nos próximos anos, acredito que os auditores internos na região expandirão seu papel para oferecer mais avaliações sobre o gerenciamento de riscos. Nahun Frett, Vice Presidente de Auditoria Interna, Central Romana Corporation, Ltd., La Romana, República Dominicana Análise da Lacuna por Indústria Examinar as lacunas por indústria também traz variações interessantes (veja o Documento 13). Primeiro, vale notar que não há indústrias com lacunas negativas. Além disso, duas das indústrias com maior nível de gerenciamento de riscos formal - as indústrias financeira e de seguros, e de serviços públicos (veja o Documento 3) - têm duas das maiores lacunas, bem além da média global. No entanto, outras duas indústrias com grandes lacunas - construção e atacado - têm médias de gerenciamento de riscos formal menores do que 53%. Embora não pareçam existir motivos consistentes para as grandes lacunas entre o gerenciamento de riscos formal e a avaliação do gerenciamento de riscos, a existência de tais lacunas reforça que as funções de auditoria interna têm ótimas oportunidades de aumentar sua avaliação do gerenciamento de riscos como um todo. Avaliação de Riscos Individuais Outra opção dessa pergunta da pesquisa foi prestar avaliação de riscos individuais. Com a auditoria com base em riscos tão predominante no mundo todo, é surpreendente que apenas 44% dos participantes indiquem que prestam tal avaliação (veja o Documento 10). As variações entre as regiões, indústrias e portes diferentes mostram padrões parecidos como antes, apesar de variações menores do que em outras perguntas da pesquisa. Assessoria e Consultoria de Riscos Uma terceira opção dessa pergunta foi prestar assessoria e consultoria sobre atividades de gerenciamento de riscos. Embora uma porcentagem maior tenha escolhido essa opção (57%), as variações entre os diferentes grupos demográficos Documento 13 Lacuna Entre o Gerenciamento de Risco Formal e Avaliação do Gerenciamento de Riscos (Visão por Indústria) Setor de serviços públicos 17% Construção 16% Venda por atacado 14% Finanças e seguros 13% Administração pública 10% Imobiliária, aluguel e leasing 9% Serviços profissionais, científicos e técnicos 8% Saúde e assistência social 7% Transporte e armazenamento 5% Manufatura 5% Informação 4% Mineração, pedreiras e extração de petróleo e gás 3% Venda por varejo 2% Outras 1% Serviços educacionais 1% Outros serviços (exceto administração pública) 1% Média 7% Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) participantes. Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas participantes

19 AÇÃO PRINCIPAL 7 Continue aumentando a porcentagem do plano de auditoria focada no gerenciamento de riscos. não são tão grandes. Novamente, já que se pode esperar que a assessoria seja comum entre atividades de auditoria interna que conduzem auditorias com base em riscos, é surpreendente que os números das respostas não sejam maiores. É possível que alguns participantes vejam a avaliação dos riscos individuais e assessoria como partes da avaliação do gerenciamento de riscos como um todo, mas também é possível que as porcentagens não sejam maiores por conta de auditores internos não terem as habilidades e experiência para tal avaliação e assessoria. Isso é explorado mais a fundo no capítulo 4. Foco do Plano de Auditoria de 2015 A pesquisa também pediu aos CAEs que indicassem a porcentagem de seu plano de auditoria de 2015 relativa a auditorias de avaliação/eficácia do gerenciamento de riscos. Na média, 12% dos planos de auditoria focaram nessa área, tornando-a a terceira maior categoria de riscos no plano de auditoria (veja o Documento 14). Há fortes sinais de que o foco no gerenciamento de riscos está aumentando. Na pesquisa Pulso da Profissão de 2012, os participantes indicaram que esperavam gastar 5% de seu próximo plano de auditoria na eficácia do gerenciamento de riscos. Em 2013 e 2014, o número aumentou para 7%. Até 2015, já estava em 12%.* No geral, esses resultados indicam que, embora os auditores internos estejam prestando avaliação e assessoria conforme indicado nas perguntas anteriores, não estão dedicando grande parte de seu plano de auditoria diretamente a essas atividades. No entanto, é razoável presumir que o tempo gasto em outras áreas também é baseado * Executive Center, 2012, 2013 e 2014). Documento 14 Categorias do Plano de Auditoria de 2015 Operacional 24.5% Conformidade/regulatório 15.0% Avaliação/eficácia do gerenciamento de riscos 12.0% Riscos estratégicos do negócio 10.8% Tecnologia da Informação (TI), não coberta em outras auditorias 8.3% Financeiros gerais 6.7% Governança corporativa 6.2% Fraude não coberta em outras auditorias 3.5% Outros (em especial, solicitações, treinamento, etc.) 3.3% Redução ou contenção de custos/gastos 3.2% Teste ou apoio à Sarbanes-Oxley (Estados Unidos apenas) 2.8% Relacionamentos com terceiros 2.4% Gestão de crises 1.2% Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde a cada uma das categorias gerais de riscos a seguir? CAEs apenas participantes.

20 em riscos, de modo que a pequena porcentagem dedicada à avaliação/eficácia do gerenciamento de riscos pode não ser tão alarmante assim. Vale notar também que, do ponto de vista regional, a América do Norte está notavelmente abaixo das outras partes do mundo (veja o Documento 15). Porém, isso é motivado principalmente pelo tempo investido em testes para a Sarbanes-Oxley nos Estados Unidos (10.2%). Embora os testes da Sarbanes-Oxley tenham foco apenas nos riscos do reporte financeiro, é razoável considerar que também prestam avaliação do gerenciamento de riscos. Avaliação Combinada Outro tópico relevante relacionado à avaliação é a avaliação combinada, um esforço coordenado de combinar as avaliações de diversas funções de avaliação interna. Ela pode ser uma das principais facilitadoras da prestação de avaliação do gerenciamento de riscos como um todo, porque essa avaliação é feita com assistência de outras áreas. No entanto, no geral, apenas 1 a cada 4 participantes implementou a avaliação combinada. Especificamente, 19% indicam que sua organização implementou um modelo formal de avaliação combinada Documento 15 Categorias do Plano de Auditoria para 2015 (Visão Regional) Sul da Ásia Europa África Subsaariana Leste Asiático & Pacífico América Latina & Caribe Oriente Médio & África do Norte América do Norte Operacional 25.9% 24.4% 24.5% 24.7% 22.9% 26.4% 24.9% Conformidade/regulatório 12.9% 14.3% 11.3% 20.0% 14.4% 9.2% 14.6% Avaliação/eficácia do gerenciamento de riscos 15.9% 14.2% 13.0% 12.5% 12.4% 11.4% 8.1% Riscos estratégicos do negócio 10.3% 10.9% 13.6% 7.6% 17.2% 12.1% 8.2% Tecnologia da Informação (TI), não coberta em outras auditorias 7.2% 8.2% 8.3% 4.7% 8.5% 9.4% 11.5% Financeiros gerais 8.4% 6.3% 8.3% 7.0% 5.6% 7.8% 6.5% Governança corporativa 6.7% 6.9% 6.9% 8.1% 5.0% 7.1% 3.7% Fraude não coberta em outras auditorias 3.7% 4.0% 3.5% 3.2% 4.4% 3.7% 2.5% Outros (em especial, solicitações, treinamento, etc.) 1.4% 3.3% 3.3% 2.8% 3.6% 2.2% 4.2% Redução ou contenção de custos/gastos 5.0% 3.2% 3.4% 4.5% 1.7% 5.9% 1.9% Teste ou apoio à Sarbanes-Oxley (Estados Unidos apenas) 0.2% 0.6% 0.6% 0.8% 1.7% 0.4% 10.2% Relacionamentos com terceiros 2.0% 2.7% 1.8% 2.0% 1.8% 2.0% 3.1% Gestão de crises 0.5% 1.1% 1.4% 1.9% 0.8% 2.3% 0.7% Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde a cada uma das categorias gerais de riscos a seguir? CAEs apenas participantes.

21 AÇÃO PRINCIPAL 8 Explore formas de integrar a avaliação com outros prestadores de avaliação interna; a avaliação combinada e integrada pode ser mais eficaz e eficiente. e outros 5% dizem que o modelo está implementado, mas não foi aprovado ainda pelo conselho. É interessante notar que, na discussão sobre as três linhas de defesa no capítulo 2, os resultados da pesquisa mostram que 66% dos participantes coordenam e compartilham conhecimento com a função de ERM, mas devem ser uma coordenação e um compartilhamento informais, porque uma porcentagem muito menor implementou a avaliação combinada formal. (Para uma análise mais aprofundada da avaliação combinada, por favor consulte o relatório CBOK chamado Avaliação Combinada: Uma Língua, Uma Voz, Uma Visão.) Há diferenças previsíveis nas respostas a essa pergunta, como em outras perguntas; isto é, empresas maiores e de maior regulação têm maiores taxas de implementação da avaliação combinada formal. No entanto, independentemente do porte ou tipo de indústria, o maior nível de participação na avaliação combinada foi de 36%. É interessante comparar regionalmente as porcentagens das empresas que têm uma avaliação combinada formal em prática com a avaliação do gerenciamento de riscos como um todo (veja o Documento 16). Em toda região, a avaliação do gerenciamento de riscos como um todo (barras verdes) é consistentemente maior do que a implementação da avaliação combinada (barras azuis), o que é de se esperar, porque a avaliação combinada ainda é uma prática em evolução. Nas regiões em que a avaliação combinada é relativamente alta, é provável que o clima regulatório seja uma influência. Por exemplo, a África Subsaariana tem a maior implementação da avaliação combinada (41%), provavelmente por conta da influência das regulações de Documento 16 Lacuna Entre a Avaliação Combinada Formal e a Avaliação do Gerenciamento de Riscos (Visão Regional) 100% 80% 60% 40% 41% 60% 57% 51% 47% 44% 39% 39% 47% 20% 0% 19% África Subsaariana 27% Europa 30% 29% 27% 22% 20% Sul da Ásia Oriente Médio & África do Norte 13% 31% América do Norte 30% 9% América Latina & Caribe 22% 17% Leste Asiático & Pacífico 24% Média Global 23% Gerenciamento de riscos formal em prática Avaliação do gerenciamento de riscos como um todo Lacuna Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) participantes. Q61: Sua organização implementou um modelo formal de avaliação combinada? participantes

22 Há uma tendência crescente de segregar as funções de avaliação, então não espero ver um aumento na avaliação combinada nesta região (Oriente Médio & África do Norte). A avaliação integrada não se estabeleceu na região e não prevejo que isso mude no futuro próximo. governança na África do Sul, onde o King Report on Corporate Governance (King III) exige um modelo de avaliação combinada. Surpreendentemente, a América Latina e o Caribe têm a segunda mais alta porcentagem de avaliação combinada, o que parece ir contra as respostas às outras perguntas. As maiores lacunas (barras douradas) são na América do Norte (31%) e Europa (30%). A lacuna Europeia provavelmente se deve ao fato de que a implementação da avaliação combinada ainda não alcançou o maior nível de avaliação em geral. No entanto, na América do Norte, a lacuna simplesmente reflete o nível muito baixo da avaliação combinada (13%). Esses resultados claramente mostram que há oportunidades significantes no mundo todo para implementar modelos de avaliação combinada. Uma observação final relativa à avaliação combinada é que apenas 14% dos CAEs indicaram que suas organizações implementaram um modelo formal de avaliação combinada, enquanto 24% dos diretores e gerentes sênior, 22% dos gerentes e 19% da equipe responderam que sim. Essas diferenças são muito grandes para atribuir a diferenças entre as empresas onde trabalham. É mais provável que os CAEs estejam em melhor posição para julgar o que é, de fato, uma avaliação combinada formal, enquanto outros da auditoria interna pensaram que certo nível de avaliação feito por outra atividade já justificaria sua resposta. Tom Totton, Gerente Geral de Auditoria Interna, Bankmuscat, Sultanato de Omã

23 4 Abordagens e Competências para o Risco AÇÃO PRINCIPAL 9 Periodicamente, debata com a gerência as áreas de principais riscos, para garantir que o foco da auditoria interna esteja alinhado com o da gerência. E ste capítulo explora outras perguntas do CBOK, que trazem insights adicionais sobre a pergunta geral, Quem é o proprietário do risco? As perguntas abordam, especificamente, como os executivos percebem, em comparação com os CAEs, o gerenciamento de riscos como uma das áreas principais de riscos; fontes de informações para avaliações de riscos; e proficiências de riscos para auditores internos. Esses insights ajudarão os auditores internos a fazer um melhor trabalho de prestação de serviços com base em riscos. Principais Áreas de Risco Para identificar os cinco principais riscos nos quais sua gerência executiva está focando o maior nível de atenção em 2015, os CAEs escolheram avaliação/ eficácia do gerenciamento de riscos 41% das vezes. Mas, ao responder a mesma pergunta sobre os cinco principais riscos nos quais a auditoria interna está focando sua maior atenção, os CAEs escolheram a opção 58% das vezes (Q65 e Q66, participantes). Por que há diferença entre o que os CAEs acham que a gerência executiva pensa que merece mais atenção, e o que a auditoria interna acha que merece mais atenção? Pode-se apenas conjecturar a resposta a essa pergunta, mas ela provavelmente indica que a gerência executiva e os CAEs não passam tempo suficiente debatendo sobre quais áreas de risco são mais importantes para a organização e onde a avaliação tem mais valor. Os CAEs podem ter um entendimento melhor do valor da avaliação do gerenciamento de riscos e precisam educar a gerência executiva quanto a esse valor. Fontes de Avaliação de Riscos A avaliação de riscos tem sido parte fundamental da auditoria com base em riscos há anos, mas foi muito interessante descobrir como os auditores internos obtêm as informações de avaliação de riscos que usam como base para suas atividades (veja o Documento 17). Cerca de metade dos CAEs indica que a auditoria interna faz uma avaliação de Documento 17 Tipo de Avaliação de Riscos de que a Auditoria Interna Depende 20% 7% 51% 51% 22% Avaliação abrangente por parte da auditoria interna Avaliação focada por parte da auditoria interna 22% 20% Avaliação abrangente por parte da gerência 7% Avaliação focada por parte da gerência Observação: Q41: De que tipo de avaliação de riscos a auditoria interna depende em sua organização? CAEs apenas participantes

24 AÇÃO PRINCIPAL 10 Trabalhe com funções ligadas aos riscos, para garantir proveito e dependência apropriados dos esforços de avaliação de riscos de todas essas funções. AÇÃO PRINCIPAL 11 Atualize a avaliação de riscos com a mesma velocidade dos riscos, não com base na virada de uma página do calendário. de riscos abrangente, enquanto outros 22% dizem que seu departamento de auditoria interna conduz avaliações de riscos focadas. Isso significa que os 27% restantes dependem de avaliações de riscos da gerência (abrangentes ou focadas). Comparando esses dados com a pergunta no capítulo 2 (foco no relacionamento entre a auditoria interna e o ERM), isso levanta a seguinte questão: por que dois terços dos participantes indicam a auditoria interna e o gerenciamento de riscos como funções separadas, mas que coordenam e compartilham conhecimento, se a auditoria interna depende da gerência para informações de avaliação de riscos apenas um quarto do tempo? Pode-se presumir que a função de gerenciamento de riscos deve estar dependendo da avaliação de riscos da auditoria interna, mas parece estranho para uma função de gerenciamento de riscos abrir mão dessa importante responsabilidade de riscos. Também é possível que o gerenciamento de riscos faça sua própria avaliação, mas a auditoria interna prefira utilizar sua própria avaliação. De qualquer forma, parece haver uma oportunidade de melhorar a colaboração entre a auditoria interna e o ERM. Frequência da Avaliação de Riscos Sobre a frequência das avaliações de riscos, 23% dos CAEs dizem que a avaliação de riscos é contínua e outros 36% dizem fazer uma avaliação de riscos anual com atualizações formais (veja o Documento 18). Os 41% restantes não consideram como os riscos mudam ao longo do ano ou o fazem informalmente. Considerando o quão rapidamente o mundo muda e, como resultado, como o perfil de riscos de uma empresa muda, os 41% que não atualizam suas avaliações de riscos formalmente não estão, de alguma forma, otimizando o valor de sua função de auditoria interna. Isso deve ser discutido com suas principais partes interessadas, que podem presumir que os riscos emergentes e variáveis estejam sendo considerados pela auditoria interna de forma oportuna, quando, na realidade, não estão. Arquivos de Dados de Riscos Manter um grande volume de dados de avaliações de riscos em um mundo em constante mudança pode ser desafiador; portanto, a pesquisa também perguntou aos CAEs como sua avaliação de riscos é mantida. Os participantes puderam escolher entre quatro opções de tecnologia. Como a maioria dos sistemas Documento 18 Frequência da Avaliação de Riscos Avaliação contínua 23% Anual, com atualizações periódicas formais Anual, sem atualizações formais 32% 36% Nunca (a auditoria interna não conduz avaliações de riscos) 9% 0% 10% 20% 30% 40% 50% Observação: Q57: Até que ponto você acredita que seu departamento de auditoria interna está alinhado com o plano estratégico de sua organização? CAEs apenas participantes

25 Documento 19 Tecnologia Usada para Manter as Avaliações de Riscos Em um software de planilha ou banco de dados 38% Parte de um sistema de gestão de auditoria Parte de um pacote mais amplo de governança, riscos e conformidade 23% 26% Pacote único de riscos 13% 0% 10% 20% 30% 40% 50% AÇÃO PRINCIPAL 12 Observação: Q43: Como sua avaliação de riscos é mantida? CAEs apenas participantes Embora solicitações da gerência devam, tipicamente, ser consideradas em um plano de auditoria, tenha cuidado para garantir que tais pedidos não desviem recursos valiosos de auditoria interna de áreas de maior risco. de gestão de auditoria consegue lidar com possíveis mudanças nos componentes de riscos, é de certa forma encorajador que 62% dos participantes utilizem softwares de gestão de informações de riscos (veja o Documento 19). Os 38% que ainda usam softwares de planilha ou banco de dados podem precisar avaliar os benefícios em utilizar produtos de software feitos para lidar com tais informações de riscos. Planos de Auditoria com Base em Riscos Por fim, 85% dos participantes indicam usar uma metodologia com base em riscos como recurso para estabelecer seu plano de auditoria (resposta mais popular) (veja o Documento 20). Embora haja certa variação entre regiões, indústrias e portes, todos usam a metodologia com base em riscos como recurso nº 1 ou 2 para seus planos de auditoria. Para os poucos casos em que a Documento 20 Recursos Usados para Estabelecer o Plano de Auditoria Uma metodologia com base em riscos 85% Solicitações da gerência 72% Análise da estratégia ou objetivos de negócio da organização 64% Consultas aos chefes de divisão ou negócios 62% Requisitos de conformidade/regulatórios 62% Plano de auditoria do ano anterior 61% Solicitações do comitê de auditoria 56% Consultas aos auditores externos 26% Solicitações dos auditores externos 19% Outros 6% Observação: Q48: Quais recursos você utiliza para estabelecer seu plano de auditoria? (Escolha todas as aplicáveis.) CAEs apenas participantes

26 AÇÃO PRINCIPAL 13 Continue aumentando as capacidades de auditoria interna relativas aos riscos, para garantir que as funções de auditoria interna possam atender as expectativas variáveis futuras das partes interessadas em um mundo cada vez mais complexo e arriscado. resposta ficou em 2º, as solicitações da gerência ficaram em 1º. Isso confirma o risco como principal base das atividades de auditoria interna ao redor do mundo. Níveis de Competência para o Risco Para executar uma metodologia de auditoria com base em riscos, os auditores internos devem ter certo nível de competência para o risco. Ao descrever seu nível de proficiência relativa à aplicação da estrutura de riscos da organização aos trabalhos de auditoria (veja o Documento 21), a maioria dos participantes se avalia como competente (32%), avançada (31%) ou especialista (19%). Embora o total combinado de 82% pareça bem relacionado aos 85% dos participantes que usam uma metodologia com base em riscos, esperaria-se que os participantes que se avaliassem como ao menos competentes chegasse perto de 100%. No entanto, uma maioria das avaliações iniciante e treinado veio da equipe (veja o Documento 22). Então, talvez não seja de surpreender que as pessoas menos experientes não se considerem ainda competentes com relação aos riscos. Documento 21 Autoavaliações de Proficiência em Riscos 32% 11% 7% 31% 19% 7% 11% 32% 1-Iniciante 2-Treinado 3-Competente 31% 19% 4-Avançado 5-Especialista Observação: Q81: Estime sua proficiência em cada competência, usando a escala a seguir: 1-Iniciante; 2-Treinado; 3-Competente; 4-Avançado; 5-Especialista. Tópico: Aplicar a estrutura de riscos da organização aos trabalhos de auditoria participantes Documento 22 Autoavaliação de Proficiência em Riscos Nível Iniciante/Treinado CAE ou equivalente 2% 6% Diretor ou gerente sênior 2% 4% Gerente 3% 9% Equipe 11% 17% 0% 10% 20% 30% 1-Iniciante 2-Treinado Observação: Q81: Estime sua proficiência em cada competência, usando a escala a seguir: 1-Iniciante; 2-Treinado; 3-Competente; 4-Avançado; 5-Especialista. Tópico: Aplicar a estrutura de riscos da organização aos trabalhos de auditoria participantes

27 A tendência, na África Subsaariana, de se tornar mais competente para o risco é consistente com as necessidades e expectativas das partes interessadas da região. O lado negativo é que muitas organizações estão roubando membros das funções de auditoria interna conforme implementam o gerenciamento de riscos formal. Andy Chitete, Gerente Sênior de Riscos, Electrical Supply Corporation of Malawi (ESCOM), Blantyre, Malawi Também é interessante notar que há diferenças na proficiência em riscos entre as várias regiões do mundo (veja o Documento 23), o que provavelmente reflete os níveis diferentes de maturidade com relação aos riscos nessas regiões, conforme discutido ao longo desse relatório. Esse gráfico mostra a média percebida de proficiência na aplicação da estrutura de gerenciamento de riscos da organização, na qual os participantes especialistas receberam a nota 5, avançados 4, competentes 3, treinados 2 e iniciantes 1. A Europa liderou as regiões, enquanto o Leste Asiático e o Pacífico tiveram as menores notas. Esses resultados são relativamente consistentes com os resultados do capítulo 1 sobre a implementação do gerenciamento de riscos formal. As diferenças são menores entre as diversas indústrias (veja o Documento 24). É interessante que todos os outros dados relativos a riscos no CBOK indiquem que as empresas financeiras e de seguros Documento 23 América do Norte são tipicamente mais maduras com relação a tópicos de riscos, provavelmente por conta das regulações mais rígidas nessas indústrias. No entanto, nessa questão, estão mais próximas da média global e em linha com a maioria das outras indústrias. É importante notar que o estudo CBOK de 2010 incluiu um relatório chamado Competências Fundamentais para o Auditor Interno de Hoje. Quase 60% dos participantes daquele ano indicaram o ERM como uma área de conhecimento muito importante para os auditores internos. Além disso, as pesquisas de 2012 e 2013 do Pulso da Profissão, conduzidas pelo Audit Executive Center do IIA, identificaram a avaliação do gerenciamento de riscos como uma das cinco principais habilidades buscadas no mundo todo. Com base nos resultados do CBOK 2015, parece que o foco nas habilidades de gerenciamento de riscos ainda está rendendo frutos. Média da Autoavaliação de Proficiência em Riscos (Visão Regional) Europa África Subsaariana Oriente Médio & África do Norte América Latina & Caribe Sul da Ásia Leste Asiático & Pacífico 3.0 Média Global Observação: Q81: Estime sua proficiência em cada competência, usando a escala a seguir: 1-Iniciante; 2-Treinado; 3-Competente; 4-Avançado; 5-Especialista. Tópico: Aplicar a estrutura de riscos da organização aos trabalhos de auditoria participantes