IV Survey sobre a função de Auditoria Interna em Portugal. Resultados Preliminares. XXII Conferência Anual IPAI. Lisboa, 19 de Novembro de 2015

Transcrição

1 IV Survey sobre a função de Auditoria Interna em Portugal Resultados Preliminares XXII Conferência Anual IPAI Lisboa, 19 de Novembro de 2015 Risk Consulting

2 AGENDA 1 Enquadramento do Estudo 2 Caracterização dos Participantes 3 Resultados Preliminares 1

3 AGENDA 1 Enquadramento do Estudo 2 Caracterização dos Participantes 3 Resultados Preliminares 2

4 1 Enquadramento do Estudo Introdução O IPAI e a KPMG têm vindo, desde 2007, a realizar trienalmente um Estudo sobre a evolução da função de Auditoria Interna em Portugal (2007 / 2009 / 2012 / 2015). Objectivos 1º 2º2º 1 Conhecimento pelos Auditores Internos e dos Gestores das Organizações da evolução, em diversas vertentes, da função de Auditoria Interna em Portugal. Percepção da evolução de cada função de Auditoria Interna face à sua situação anterior e à evolução dos seus pares, considerando as boas práticas internacionalmente reconhecidas. Principais Benefícios Assim, este Estudo ao funcionar como instrumento que identifica de forma sistemática, ao longo do tempo, os aspectos passíveis de serem melhorados ao nível da função de Auditoria Interna, permite ir estabelecendo e executando planos de acção, a nível macro e micro, que visam reforçar a capacitação da referida função no desenvolvimento mais eficaz e eficiente do seu papel. 3

5 AGENDA 1 Enquadramento do Estudo 2 Caracterização dos Participantes 3 Resultados Preliminares 4

6 2 Caracterização dos Participantes Distribuição das organizações participantes nos 4 Estudos por Sector de Actividade Sector % % % % Alimentação e Bebidas 3% 4% 4% 3% Banca, Seguros e Serviços Financeiros 29% 31% 31% 35% Comércio e distribuição 7% 5% 4% 2% Construção e produção de materiais de construção 5% 5% 2% 6% Indústria 18% 13% 10% 5% Petrolífero e Gás 1% 1% 1% 3% Saúde 6% 9% 10% 14% Serviços 18% 14% 7% 6% Telecomunicações e Média 1% 7% 6% 8% Transportes 4% 7% 8% 5% Utilities 8% 4% 6% 6% Outros % 9% Total 100% 100% 100% 100% Os Sectores Financeiro e Saúde têm vindo gradualmente a ganhar peso neste Survey 35% das Organizações participantes encontram-se cotadas em Bolsa 5

7 AGENDA 1 Enquadramento do Estudo 2 Caracterização dos Participantes 3 Resultados Preliminares 6

8 Existência da Função de Auditoria Interna Desde o primeiro Estudo realizado em 2007 o peso das organizações que têm integrado no seu modelo de governo a função de Auditoria Interna aumentou 16 p.p. (de 78% para 94%), embora nos últimos 3 anos essa variação tenha sido apenas de 2 p.p. A organização possui uma função de Auditoria Interna? 22% 21% 8% 6% +2 pp Poderemos concluir que nesta última década consolidou-se uma consciencialização por parte das organizações em geral o quão importante é que se encontre estabelecida uma função de Auditoria Interna, como elemento de uma 3ª Linha de Defesa de uma organização. 78% 79% 92% 94% Existência de função de Auditoria Interna Sim 7

9 Independência da Função de Auditoria Interna Um dos aspectos que importa avaliar numa função de AI é o seu posicionamento na organização, dado que o seu grau de independência e o seu empowerment vão ser função desse mesmo posicionamento. Na grande maioria das organizações o CAE depende hierarquicamente do Presidente da CE ou do Presidente do CA, tendo o peso das organizações em que essa dependência ocorre aumentado de 69% para 74%, pelo que existe a preocupação de reforçar a independência da função de AI. É de salientar também que o peso das organizações que têm um documento formalmente aprovado ou estatuto (Audit Charter), que regula o funcionamento da função de AI, cresceu de 83% para 90%. A função de AI depende hierarquicamente de: 69% 74% Presidente da CE/Presidente do CA +5 pp 21% 15% Outro membro da Comissão Executiva 1% 2% 3% 2% Director Geral Director Financeiro 6% Outro 8% 8

10 Gestão de Risco Salienta-se uma estagnação das organizações que têm implementado um processo de identificação, avaliação, reporte e monitorização dos riscos, mantendo-se nos 82% de 2012 para 2015, tendo acorrido um crescimento de 4 p.p. desde de Houve, no entanto, uma melhoria significativa ao nível do grau de documentação dos processos associados à gestão de risco, passando de 48% em 2012 para 62% em 2015 as organizações que têm documentação completa ou a maioria dos processos está documentada, significando um crescimento de 14 p.p. Este aspecto não é suficiente, mas é necessário para que o processo de gestão de risco possa fluir e funcionar de forma mais eficaz, bem como possa ser mais facilmente auditado. Existe na organização um processo que procure a identificação, avaliação, reporte e monitorização dos seus riscos? 22% 23% 18% 18% 78% 77% 82% 82% Sim Não Nível de documentação da Gestão de Risco 19% 17% 13% 2% 36% 40% 38% 39% +14 pp 43% 34% 36% 36% 7% 10% 12% 19% Sem documentação Algumas áreas estão documentadas A maioria dos processos está documentada Documentação completa

11 Plano de Auditoria Interna O CAE deve estabelecer um plano de AI baseado no risco, no sentido de determinar as prioridades da actividade de auditoria interna, consistente com os objectivos da organização. Deve também considerar o framework de gestão de risco da organização ou, caso não exista, utilizar o seu próprio julgamento sobre os riscos, após consultar os Órgãos de Gestão da organização. Neste Estudo constata-se um aumento das funções que desenvolvem o seu plano com base na avaliação de riscos da organização, passando de 79% em 2012 para 85% em Importa, pois, que as funções de AI continuem a investir neste processo, reforçando a articulação com as áreas de Risco e definindo critérios de prioritização de unidades de negócio, áreas, processos e SI. O plano de auditoria é definido com base na avaliação de riscos da organização? 28% 72% 8% 92% 21% 79% 15% 85% Sim Não +6 pp 10

12 Auditoria de Sistemas de Informação (1/2) Actualmente, os processos da esmagadora maioria das organizações estão suportados em SI pelo que sendo uma componente crítica em termos de risco, importa que seja parte do universo auditável. O plano de auditoria do DAI inclui acções de auditoria aos sistemas de informação e/ou dos controlos aplicacionais? No âmbito desta dimensão, embora se tenha assistido entre 2007 e 2012 a um crescimento sustentado muito significativo em 15 p.p. passando de 46% em 2007 para para 61% em 2012, assiste-se agora a um retrocesso em 13 p.p. para 48%, ou seja, mais de metade das funções de AI não considera no seu plano acções de auditoria de SI. 54% 50% 46% 50% 39% 61% 52% 48% -13 pp Este decréscimo implica um retrocesso que se consubstancia numa maior limitação do âmbito de actuação da função de AI e, consequentemente, no desconhecimento sobre a eficácia da gestão dos riscos associados aos SI Sim Não 11

13 Auditoria de Sistemas de Informação (2/2) Um dos Top 10 Risks identificados por parte dos CAEs num Survey internacional realizado pela KPMG em 2015 está relacionado com o tema Ciber Security. Das funções de AI que efectuam auditorias de sistemas de informação que tipo de auditorias realizam? Se é verdade que as auditorias no âmbito dos Controlos Gerais de IT são realizadas pela quase totalidade das funções de AI (as que fazem auditorias de SI), contrariamente as acções de auditoria em termos de Cyber Security são ainda reduzidas. No sentido de evitar consequências onerosas de violações de dados, tais como coimas, cobertura de prejuízos de clientes, esforços de remediação, potencial perda de clientes e negócio, bem como evitar danos à reputação e prevenir a perda de propriedade intelectual e outras informações privilegiadas da organização, importa reforçar o investimento neste tipo de auditorias. Cyber Security Social Media Forense Projectos Dados Segurança Aplicações Controlos Gerais IT 11% 28% 28% 50% 56% 61% 78% 94% 12

14 Programas de Auditoria Interna A importância dos programas de auditoria interna serem desenvolvidos com base no risco, é um aspecto determinante para que os trabalhos de auditoria interna se foquem nos aspectos mais críticos de um determinado objecto de auditoria (e.g. área, processo, sistema de informação, entre outros). Observa-se neste estudo uma evolução relativa desde 2012, expressa num aumento de 5 p.p. do peso das funções de AI cujos programas são orientados ao risco. O peso dessas funções encontra-se actualmente num nível (93%) com margem de melhoria, à partida, reduzida. No entanto, face aos trabalhos que vamos desenvolvendo no terreno, acreditamos existir alguma benevolência por parte dos participantes nesta questão. Os programas de auditoria interna evidenciam os riscos associados aos objectos de auditoria? 9% 12% 91% 88% 7% 93% Sim Não +5 pp 13

15 Ferramentas de Auditoria e Monitorização Contínuas Constata-se um acréscimo acentuado em 13 p.p. do peso das funções de AI que possuem ferramentas de auditoria e monitorização contínua, tendo passado de 17% em 2009 para 30% em 2015, evoluindo 4 p.p. desde o último estudo. A sua organização possui alguma ferramenta de auditoria contínua que lhe permita auditar de forma automática e à distância diversos temas? No sentido da actividade de AI ser mais eficiente e com foco mais quantitativo, importa reforçar o investimento nestas ferramentas de modo a: Aumentar a eficiência global de auditorias a executar (periodicidade, âmbito, etc); Aprofundar conhecimentos em áreas chave de risco por meio de análise de dados; Reduzir os custos envolvidos em auditorias e monitorização; Permitir a detecção atempada de possíveis fraudes, erros e abusos; Quantificar valores em perda. 74% 70% 83% 26% 30% 17% Sim Não +4 pp 14

16 Avaliação da Qualidade da Função Auditoria Interna O IIA recomenda que seja desenvolvido e mantido um programa de avaliação de qualidade e aperfeiçoamento da função de AI, devendo as avaliações externas ser realizadas pelo menos uma vez de 5 em 5 anos. Verifica-se desde 2007 uma evolução significativa em 16 p.p. das organizações em que a referida função é avaliada por pessoas ou entidades externas, tendo passado de 9% em 2007 para 25% em 2015, evoluindo 6 p.p. desde o último estudo. Esta evolução significativa, permite às funções de AI um alinhamento mais célere face às boas práticas internacionalmente reconhecidas. No entanto, 75% das funções de AI ainda não recorre a avaliações externas independentes. A avaliação da qualidade da função de Auditoria Interna é efectuada por: 47% 33% 11% 12% 9% 10% 58% 56% 20% 22% 3% 19% 47% 21% 7% 25% Não é realizada A própria unidade orgânica de Auditoria Interna Outra unidade orgânica/função dentro da organização Pessoas ou entidades externas +6 pp 15

17 Formação dos Auditores Internos Assistiu-se entre 2009 e 2012 a um reforço do investimento em formação considerando um aumento em 6 p.p. das funções de AI que ultrapassam o número mínimo de 40 horas de formação anual, em média, por colaborador, atingindo os 51% em Indicar o número médio de horas que cada Auditor Interno dedica anualmente a acções de formação: 2% 1% 2% No entanto, este Estudo revela agora uma redução do investimento em horas de formação por colaborador, considerando que apenas 44% ultrapassam as 40 horas. Sabendo que o IIA no seu Survey de Pulse of the Profession definiu as 5 características chave do auditor interno: 1. Pensamento analítico e crítico 2. Capacidade de comunicação 3. Data mining and analytics 4. Visão de negócio 5. Conhecimento Gerais de IT. importa reforçar o investimento em formação que permita desenvolver estes atributos. 53% 48% 25% 35% 54% 33% 12% 9% 8% 8% 7% 3% Mais de 80 De 60 a 79 De 40 a 59 De 1 a 39 Nenhuma -7% 16

18 Crise Económica e Implicações na AI (1/2) A crise económica acentuou-se entre o estudo de 2009 e 2012 aumentando o peso das organizações que consideraram o impacto da crise como Catastrófico (4%), Severo (13%) e Moderado (34%), ou seja, 51% apresentaram uma redução dos lucros superior a 20%. Em 2015 denota-se uma inversão daquela tendência, embora 39% das organizações apresentem ainda aquele nível de redução dos lucros superior a 20%. Desta situação decorre, consequentemente, um impacto negativo relevante nos orçamentos das funções de AI. Como é que graduaria o impacto da actual crise económica na sua organização (comparando o corrente ano fiscal com o anterior)? 2% 4% 2% 10% 29% 27% 13% 34% 22% 32% 27% 11% 26% 23% 38% pp Catastrófico elevada probabilidade de falência Severo lucros decresceram > 50% Moderado lucros decresceram entre 21% e 50% Reduzido lucros decresceram entre 5 e 20% Nenhum ou impacto pouco significativo lucros decresceram < 5% 17

19 Crise Económica e Implicações na AI (2/2) No Estudo realizado em 2012, 39% das funções de Auditoria Interna viram os seus orçamentos serem reduzidos, ou seja, mais 14 p.p. do que em Assiste em 2015 a uma inversão da tendência. Embora o peso das funções de AI que viram os seus orçamentos reduzidos ainda seja significativo (21%) é um valor bastante inferior a 2012 (39%). Durante os últimos 12 meses como é que o orçamento da função de auditoria interna foi afectado? 2% 3% 8% 3% 8% 17% 23% 3% 3% 15% +18 pp Esta redução de orçamento pode potencialmente implicar uma forte limitação no desenvolvimento adequado da actividade de auditoria interna e na modernização da própria função. 60% 15% 56% 69% 5% 10% Aumentou Manteve-se constante Reduziu-se < 10% Reduziu-se entre 11% e 25% Reduziu-se entre 26% e 50% Reduziu-se > 50% 18

20 Foco da Actividade de Auditoria Interna (próximos 12 meses) Considerando os próximos 12 meses, o CAE espera aumentar o foco da actividade de Auditoria Interna nos seguintes temas: Foco da Actividade de Auditoria Interna Eficácia da Gestão de Risco 68% 64% 62% Risco Operacional 56% 70% 57% Testes ao SCI 65% 61% 54% Risco de Fraude - 45% 52% Riscos de Sistemas Informação 47% 38% 51% Processos de Governance % Validação de Modelos de Risco 48% 35% 31% Relativamente aos próximos 12 meses a Eficácia da Gestão de Risco (62%), o Risco Operacional (57%), os Testes ao SCI (54%) e o Risco de Fraude (52%) são os temas que mais se destacam em termos de foco da actividade de auditoria interna, aparecendo de seguida os Processos de Governance (39%). É de salientar também o aumento do foco ao nível dos Sistemas de Informação (de 38% para 51%), bem como ao nível da Fraude (de 45% para 51%). 19

21 2015 KPMG Advisory - Consultores de Gestão, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso em Portugal. O nome KPMG, o logótipo e cutting through complexity são marcas registadas da KPMG International Cooperative ( KPMG International ). A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou situação particular. Apesar de fazermos todos os possíveis para fornecer informação precisa e actual, não podemos garantir que tal informação seja precisa na data em que for recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com essa informação sem aconselhamento profissional apropriado para cada situação específica.