A Auditoria Interna e a Segunda Linha de Defesa

Transcrição

1 Orientação Suplementar Guia Prático A Auditoria Interna e a Segunda Linha de Defesa Traduzido por:

2 Índice Índice... 2 Sumário Executivo... 3 Introdução... 3 Importância para o Negócio e Riscos Relacionados... 3 Normas Relacionadas do IIA... 4 Definição dos Conceitos Principais... 6 Visão Geral da Boa Governança... 8 O Modelo das Três Linhas de Defesa... 8 Independência e Objetividade... 9 O Papel do CAE A Governança Organizacional e as Três Linhas de Defesa Identificando Lacunas e Conflitos em Potencial Dentro das Três Linhas de Defesa A Auditoria Interna e as Responsabilidades da Segunda Linha de Defesa Funções da Segunda Linha de Defesa A Auditoria Interna e as Atividades da Segunda Linha de Defesa Salvaguardas para a Manutenção da Independência e da Objetividade Discussões sobre Responsabilidades Duais Salvaguardas para Manter a Independência e a Objetividade Plano de Transição A Aceitação, por parte da Administração, dos Riscos à Independência e à Objetividade Recursos Orientações Relacionadas do IIA Autores

3 Sumário Executivo Conforme as funções de governança e monitoramento colaboram com maior proximidade para evitar a duplicação de esforços, a auditoria interna pode receber solicitações para assumir responsabilidades de gerenciamento de riscos, conformidade, supervisão regulatória e outras atividades de governança. O chief audit executive (CAE) desempenha um papel crítico em navegar entre o papel tradicional da auditoria interna e assumir responsabilidades de gerenciamento de riscos, conformidade e outras funções de governança. O CAE deve ser responsável pela preservação da independência e objetividade, pela comunicação com a administração e o conselho e pela confirmação da aceitação do risco por parte da administração, para a independência da auditoria interna e/ou objetividade do auditor. Para navegar esses desafios concorrentes, os auditores internos podem recorrer às orientações do The IIA quanto ao gerenciamento de riscos e controle eficazes, e às normas promulgadas relativas à independência e à objetividade. Introdução Em Janeiro de 2013, o The IIA publicou uma Declaração de Posicionamento, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes. A declaração de posicionamento delineia as responsabilidades de risco e controle dentro das organizações e declara que, se responsabilidades duais forem dadas a uma mesma pessoa ou departamento, é necessário considerar a separação dessas funções posteriormente. No entanto, limitações do negócio e outras considerações podem limitar a separação total das funções de governança. Esse guia prático oferece orientações para garantir que a independência e objetividade não sejam comprometidas em situações em que a auditoria interna seja responsável por funções da segunda linha de defesa. Estas orientações não são aplicáveis a casos em que normas de países e/ou indústrias específicas possam proibir que a auditoria interna desempenhe atividades da segunda linha de defesa. Importância para o Negócio e Riscos Relacionados Ao seguir o modelo das Três Linhas de Defesa, as responsabilidades entre funções variadas da organização são normalmente classificadas como: Primeira linha de defesa: funções de gestão operacional, com propriedade ou gerenciamento dos riscos. Segunda linha de defesa: funções de gerenciamento de riscos e conformidade, que monitoram os riscos. 3

4 Terceira linha de defesa: uma função de auditoria interna que presta avaliação independente. Quando a auditoria interna também é responsável pelas funções da segunda linha de defesa, como gerenciamento de riscos e conformidade, é essencial implementar salvaguardas para proteger a independência e/ou objetividade e, rotineiramente, validar que as salvaguardas estejam operando com eficácia. A administração e o conselho devem entender claramente os riscos e controles apropriados necessários quando a auditoria interna desempenha funções da segunda linha de defesa. Normas Relacionadas do IIA As normas a seguir, das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas), estão relacionadas ao desempenho de funções da segunda linha de defesa por parte da auditoria interna. Orientações adicionais relacionadas do IIA estão identificadas nos Recursos Independência e Objetividade A atividade de auditoria interna deve ser independente e os auditores internos devem ser objetivos ao executar seus trabalhos Independência Organizacional O executivo chefe de auditoria deve reportar-se a um nível dentro da organização que permita à atividade de auditoria interna cumprir com suas responsabilidades. O executivo chefe de auditoria deve confirmar junto ao conselho, pelo menos anualmente, a independência organizacional da atividade de auditoria interna Objetividade Individual Os auditores internos devem adotar uma atitude imparcial e isenta e evitar qualquer conflito de interesses Prejuízo à Independência ou à Objetividade Caso a independência ou a objetividade seja prejudicada de fato ou na aparência, os detalhes de tal prejuízo devem ser divulgados às partes apropriadas. A natureza da divulgação dependerá do tipo de prejuízo A1 Os auditores internos devem se abster de avaliar operações específicas pelas quais tenham sido responsáveis anteriormente. Presume-se que a objetividade fique 4

5 prejudicada, se um auditor interno prestar serviços de avaliação (assurance) de uma atividade pela qual o mesmo tenha sido responsável durante ano anterior A2 Os trabalhos de avaliação (assurance) de funções pelas quais o executivo chefe de auditoria tenha responsabilidade devem ser supervisionados por uma parte externa à atividade de auditoria interna C1 Os auditores internos podem prestar serviços de consultoria relativos às operações pelas quais tenham sido responsáveis anteriormente C2 Caso os auditores internos tenham potenciais prejuízos à independência ou à objetividade com relação aos serviços de consultoria propostos, o cliente do trabalho de auditoria deve ser informado antes que o trabalho seja aceito Divulgação de Não Conformidade Quando a não conformidade com o Código de Ética ou com as Normas impactar o escopo geral ou a operação da atividade de auditoria interna, o executivo chefe de auditoria deve divulgar a não conformidade e os impactos à alta administração e ao conselho Coordenação e Dependência O executivo chefe de auditoria deveria compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação (assurance) e consultoria para assegurar a cobertura apropriada e a minimização da duplicação de esforços Natureza do Trabalho A atividade de auditoria interna deve avaliar e contribuir para a melhoria dos processos de governança, gerenciamento de riscos e controles, utilizando uma abordagem sistemática, disciplinada e com base em riscos. A credibilidade e o valor da auditoria interna são aumentados, quando os auditores são proativos e seus avaliadores oferecem novos conhecimentos (insights) e consideram o impacto futuro Monitoramento do Progresso O executivo chefe de auditoria deve estabelecer e manter um sistema para monitorar a disposição dos resultados comunicados à administração A1 O executivo chefe de auditoria deve estabelecer um processo de acompanhamento, para monitorar e assegurar que as ações da administração tenham 5

6 sido implantadas com eficácia ou que a alta administração tenha aceitado o risco de não aplicar qualquer ação C1 A atividade de auditoria interna deve monitorar a disposição dos resultados dos trabalhos de consultoria na extensão previamente acordada com o cliente Comunicação da Aceitação de Riscos Quando o executivo chefe de auditoria conclui que a administração aceitou um nível de risco que pode ser inaceitável para a organização, o executivo chefe de auditoria deve discutir o assunto com a alta administração. Caso o executivo chefe de auditoria determine que a questão não foi resolvida, o executivo chefe de auditoria deve comunicar a questão ao conselho. Definição dos Conceitos Principais Atividade de Auditoria Interna Um departamento, divisão, time de consultores ou outros profissionais que prestem serviços independentes e objetivos de avaliação (assurance) e consultoria, desenvolvidos para adicionar valor e melhorar as operações da organização. A atividade de auditoria interna auxilia uma organização a atingir seus objetivos, a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, gerenciamento de riscos e controles. 1, 2 Conselho (Board) O mais alto nível de corpo diretivo da organização, encarregado da responsabilidade de dirigir e/ou supervisionar as atividades e responsabilizar a alta administração (p.ex.: um conselho de administração, conselho de supervisão ou um conselho de gestores ou curadores). Embora características de governança variem entre jurisdições e setores, o conselho normalmente inclui membros que não fazem parte da administração e não é composto, apenas, por membros da administração. Se não existe conselho, a palavra conselho nas Normas se refere a um grupo ou pessoa encarregada da governança. Adicionalmente, conselho, nas Normas, pode se referir a um comitê ou outro órgão ao qual o órgão de governança tenha delegado certas funções (ex., um comitê de auditoria ou comitê de riscos). 3 Executivo chefe de auditoria (Chief Audit Executive CAE) Executivo chefe de auditoria descreve a pessoa em uma posição de alto nível (sênior), responsável pelo gerenciamento eficaz da atividade de auditoria interna, de acordo com o estatuto e a Definição de Auditoria 1 The International Profession Practices Framework (IPPF), pp Observação: os termos auditoria interna e atividade de auditoria interna são usados de forma intercambiável neste guia prático. 3 Ibid. 6

7 Interna, o Código de Ética e as Normas. O executivo chefe de auditoria, ou outros subordinados, deve ter certificações e qualificações apropriadas. O nome da posição específica e/ou papel do executivo chefe de auditoria pode variar de acordo com as organizações. 4 Funções de Avaliação (Assurance) Funções que prestam avaliação quanto à eficácia da governança, do gerenciamento de riscos e do controle. Independência Liberdade de condições que ameacem a capacidade da atividade de auditoria interna de cumprir com suas responsabilidades de forma imparcial. 5 Objetividade Atitude mental imparcial, que permite aos auditores internos executar os trabalhos de auditoria de maneira a terem confiança no resultado de seu trabalho e que não haja qualquer comprometimento da qualidade. A objetividade requer que os auditores internos não subordinem a outras pessoas o seu julgamento em assuntos de auditoria. 6 Prejuízo (Impairment) Prejuízos na independência organizacional e na objetividade individual podem incluir conflito de interesses pessoais, limitações de escopo, restrição de acesso aos registros, ao pessoal e às propriedades e limitações na disponibilidade de recursos (financeiros). 7 Serviços de Avaliação (Assurance) Exame objetivo da evidência, com o propósito de fornecer para a organização uma avaliação independente sobre os processos de governança, gerenciamento de riscos e controles. Exemplos podem incluir trabalhos de auditoria financeira, de desempenho, de conformidade, de segurança de sistemas e de due diligence. 8 4 Ibid. 5 Ibid. 6 Ibid. 7 Ibid. 8 Ibid. 7

8 Visão Geral da Boa Governança O Modelo das Três Linhas de Defesa O modelo das Três Linhas de Defesa 9, conforme ilustrado na Figura 1, descreve as responsabilidades do gerenciamento de riscos e controle eficazes, como a seguir: Figura 1 A administração é a principal responsável pelos processos de monitoramento e controle e é a primeira linha de defesa do gerenciamento de riscos. A segunda linha de defesa consiste das funções de supervisão, estabelecidas separadamente, de risco, controle e conformidade, que garantem que processos e controles apropriadamente desenvolvidos estejam em prática na primeira linha de defesa e operando com eficácia. A natureza e tipos dessas funções dependem de muitos fatores, incluindo a maturidade da indústria e da organização. Funções como a auditoria interna, que prestam avaliação independente sobre os processos e controles, são consideradas a terceira linha de defesa. Atuando com eficácia, cada linha de defesa contribui para a governança organizacional saudável, garantindo que os objetivos sejam atingidos no contexto dos ambientes social, 9 Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes 8

9 regulatório e de mercado. A segunda e terceira linhas de defesa atuam na supervisão e/ou avaliação do gerenciamento de riscos. As diferenças principais entre a segunda e terceira linhas de defesa são os conceitos de independência e objetividade. Independência e Objetividade A Norma 1100 informa que a atividade de auditoria interna deve ser independente e que os auditores internos devem ser objetivos na condução de seu trabalho. As condições que ameaçam a habilidade de qualquer função organizacional, incluindo a auditoria interna, de cumprir com suas responsabilidades de forma imparcial têm o potencial de comprometer a independência e a objetividade. De acordo com a interpretação da Norma 1110, a independência organizacional é atingida, de fato, quando o chief audit executive reporta funcionalmente ao conselho, o que inclui a aprovação do conselho quanto à indicação, remuneração e afastamento do chief audit executive. Os líderes da segunda linha de defesa, tipicamente, reportam funcionalmente à gestão organizacional e, como resultado, a segunda linha de defesa não é considerada independente. Benefícios podem ser usufruídos pela organização quando a segunda e terceira linhas de defesa atuam em colaboração. A Norma 2050 declara que o chief audit executive deve compartilhar informações e coordenar suas atividades com as de prestadores internos e externos e com serviços de consultoria, para garantir a devida cobertura e minimização da duplicação de esforços. O Guia Prático do IIA, Coordenando o Gerenciamento e a Avaliação de Riscos, oferece orientações ao CAE quanto à coordenação e reporte eficazes, de modo que os recursos sejam usados com eficácia e que os principais riscos não passem despercebidos ou sejam mal avaliados. Os conselhos e a administração contam com a auditoria interna para a prestação de avaliação quanto à adequação da governança, do gerenciamento de riscos e dos controles. Essa confiança é aperfeiçoada pela independência da auditoria interna e pela objetividade dos auditores internos. Conforme as atividades de governança e gerenciamento de riscos expandem, salvaguardas e controles adicionais são necessários para manter a independência e a objetividade. 9

10 O Papel do CAE A Governança Organizacional e as Três Linhas de Defesa De acordo com a Norma 2100, a auditoria interna deve avaliar e contribuir para a melhoria dos processos de governança, gerenciamento de riscos e controle, usando uma abordagem sistemática e disciplinada. Se certas funções da segunda linha de defesa forem julgadas críticas para o monitoramento e/ou prestação de avaliação quanto à eficácia do gerenciamento de riscos e do controle interno, o CAE deve avaliar a eficácia dessas funções com relação a esse objetivo. O escopo da avaliação será orientado pelo risco e pela extensão da confiança dedicada a essas funções. O Guia Prático do IIA, Dependência da Auditoria Interna em relação a outros Prestadores de Avaliação, oferece orientações ao CAE quanto a uma abordagem de dependência da avaliação prestada pelas funções internas ou externas de avaliação, útil para avaliar a eficácia da função. Identificando Lacunas e Conflitos em Potencial Dentro das Três Linhas de Defesa Ao avaliar as funções da segunda linha de defesa, o CAE pode identificar lacunas, conflitos ou duplicação de esforços. De acordo com a Norma 2100, o CAE deve trabalhar com as partes interessadas para recomendar melhorias que aperfeiçoem a governança, o gerenciamento de riscos e o controle interno. Os resultados podem incluir a colaboração entre áreas organizacionais, para reduzir a sobreposição entre funções, e a segregação de responsabilidades, para manter adequadamente a independência e objetividade. As seções a seguir fornecem orientações ao CAE sobre a manutenção da independência e da objetividade em situações em que a auditoria interna assuma responsabilidades da segunda linha de defesa. A Auditoria Interna e as Responsabilidades da Segunda Linha de Defesa Funções da Segunda Linha de Defesa Muitas organizações solicitam ou exigem que o CAE assuma responsabilidades adicionais da segunda linha de defesa. Isso é devido, muitas vezes, ao porte ou maturidade da organização, ou é resultado de novas iniciativas de gerenciamento de riscos ou conformidade executadas pela organização. Se não for gerida apropriadamente, a objetividade, que é crucial para a prestação de avaliação à administração e ao conselho, pode ser prejudicada. As normas regulatórias e práticas da indústria amplamente adotadas podem exigir atividades específicas da segunda linha de defesa, como a coordenação do gerenciamento de riscos ou a 10

11 revisão da conformidade. Por exemplo, as responsabilidades da segunda linha de defesa poderiam estar relacionadas a requisitos da indústria de serviços financeiros, a auditorias independentes de sistemas de gestão da qualidade (ISO 9001), ao Eco-Management and Audit Scheme (EMAS) da European Commission para avaliar e reportar o desempenho ambiental, e à aplicação de regras da United States Occupational Safety and Health Administration (OSHA) de saúde e segurança relativas ao trabalho. A Auditoria Interna e as Atividades da Segunda Linha de Defesa As responsabilidades podem ficar embaçadas entre a auditoria interna e as funções da segunda linha de defesa, mesmo em organizações com programas robustos de gerenciamento de riscos e governança e recursos para apoiá-los. Pode-se solicitar ao CAE que assuma atividades da segunda linha de defesa em situações como: Novo requisito regulatório: Um novo regulamento exige esforço significante associado a novas políticas, procedimentos, testes e atividades de gerenciamento de riscos. Mudança no negócio: Uma organização pode entrar em um novo mercado geográfico ou em um novo segmento de negócio e estar sujeita a novos regulamentos ou atividades de gerenciamento de riscos. Limitações de recursos: Uma organização pode passar por limitações de recursos ou mudanças na equipe, como quando um líder de uma função da segunda linha de defesa deixa a organização. Eficiência: A administração e/ou o conselho pode determinar que é mais eficiente para a auditoria interna executar a função de conformidade ou outras funções da segunda linha de defesa. A auditoria interna pode ser a escolha preferida, por conta de sua expertise na aplicação dos princípios de gerenciamento de riscos e governança a áreas existentes, novas e emergentes. Como exemplo, a administração de muitas organizações pediu à auditoria interna que assumisse o papel de conformidade quando a legislação Sarbanes-Oxley se tornou obrigatória para empresas públicas dos Estados Unidos. A mistura da auditoria interna com atividades da segunda linha de defesa também pode ocorrer sem requisitos regulatórios adicionais ou limitações de recursos, visto que a administração pode determinar que a auditoria interna é a melhor opção para certas atividades, tais como quando: A organização é pequena e não consegue sustentar funções distintas de controle e avaliação. A administração e o conselho não acreditam que o nível de riscos justifique funções separadas para certas atividades da segunda e terceira linhas de defesa. A auditoria interna tem o conjunto de habilidades necessário ou expertise relevante para responsabilidades específicas de gerenciamento de riscos e/ou conformidade. A administração e/ou o conselho não entendem ou valorizam apropriadamente a importância de uma terceira linha de defesa independente e objetiva. 11

12 A auditoria interna responde a pressões para redução de custos, ou outros fatores, e assume responsabilidades pelo bem da organização. Se as responsabilidades da segunda linha de defesa forem assumidas pela auditoria interna, o CAE deve comunicar os riscos à administração e ao conselho. É importante que o CAE, a administração e o conselho entendam os riscos envolvidos em assumir tais deveres, independentemente de serem temporários ou de longo prazo. De qualquer forma, as salvaguardas e controles apropriados precisam ser acordados, implementados e periodicamente validados, para garantir que a objetividade da auditoria interna seja mantida adequadamente. Salvaguardas para a Manutenção da Independência e da Objetividade Estruturas de governança corporativa variam muito entre as organizações, dependendo de fatores como o porte da organização, o setor da indústria, a disponibilidade de recursos, a cultura, a tolerância aos riscos, a composição do conselho e o risco e importância relativos de certas atividades da segunda linha de defesa para a entidade. A eficácia da função primária da auditoria interna prestar serviços de avaliação e consultoria independentes e objetivos deve ser protegida. Qualquer prejuízo à independência e/ou objetividade precisa ser destacado e avaliado. Discussões sobre Responsabilidades Duais A Norma 1110 exige a confirmação para o conselho, ao menos anualmente, do status da função de auditoria interna quanto à sua independência organizacional. A Norma 1130 exige a divulgação de qualquer prejuízo, real ou aparente, às partes apropriadas. A natureza da divulgação dependerá do prejuízo e deve declarar o seguinte: A situação. As consequências e riscos para a independência e a objetividade da auditoria interna. Salvaguardas. Plano de transição, se aplicável. Salvaguardas para Manter a Independência e a Objetividade Se a administração e o conselho aceitarem o risco da assunção de atividades da segunda linha de defesa por parte da auditoria interna, salvaguardas e controles precisam ser postos em prática para garantir que a independência e a objetividade não sejam comprometidas. As salvaguardas citadas abaixo devem ser consideradas para cada atividade da segunda linha de defesa atribuída à auditoria interna. 12

13 Discussão sobre os riscos com a administração e com o conselho. Aceitação e propriedade dos riscos por parte da administração. Definição e atribuição claras dos papéis de cada atividade na qual atividades da segunda linha de defesa se sobrepuserem às atividades da terceira linha de defesa, incluindo os componentes documentados a seguir: o Impacto e riscos para a organização e para a auditoria interna. o Papéis, responsabilidades e segregação de deveres. o Controles postos em prática para validar se as salvaguardas acordadas estão operando com eficácia. o Determinar se a atribuição é temporária ou de longo prazo. Se for temporária, será necessário um plano de transição (veja a seção a seguir). o Aceitação e aprovação documentadas por parte da alta administração e do conselho. o Atividades da segunda linha de defesa desempenhadas pela auditoria interna devem ser indicadas no estatuto e/ou incluídas na atualização do conselho, ao menos anualmente. Avaliação periódica (ao menos anualmente) das linhas de reporte e das responsabilidades por parte da administração e do conselho. A natureza dos papéis da auditoria interna deve ser declarada claramente no estatuto de auditoria. Avaliação periódica independente dos papéis de segunda linha de defesa e da eficácia das estipulações de independência, objetividade e avaliação. o O CAE deve incluir uma revisão dos papéis de segunda linha de defesa da auditoria interna em seu programa de garantia de qualidade e melhoria, ou em maior frequência, dependendo do nível de risco. Quando não forem possíveis salvaguardas para manter a independência e a objetividade da auditoria interna, as Normas exigem que a responsabilidade pela condução da atividade da segunda linha de defesa seja reatribuída a outra função da organização ou terceirizada para um prestador externo. A auditoria interna deve tomar cuidado para evitar atividades que comprometam sua independência e/ou objetividade, incluindo: Definir o apetite ao risco. Propriedade do gerenciamento de riscos. Responsabilidades de contabilidade, desenvolvimento do negócio e outras funções da primeira linha de defesa. Tomar decisões de resposta a riscos em nome da administração. Implementar ou assumir prestação de contas pelos processos de gerenciamento de riscos ou governança. Prestar avaliação quanto às atividades da segunda linha de defesa desempenhadas pela auditoria interna. 13

14 Plano de Transição Se a atribuição de responsabilidades da segunda linha de defesa à auditoria interna for considerada temporária, um plano formal de transição para liberar a auditoria interna de tais responsabilidades deve ser desenvolvido, discutido com a administração e com o conselho e implementado. O plano de transição deve considerar questões como: Necessidades organizacionais/estruturais: A auditoria interna pode precisar ajustar as relações de reporte, conforme indivíduos ou grupos deixam seus papéis em atividades da segunda linha de defesa. Se essas responsabilidades estão sendo transferidas dentro da organização, mudanças estruturais podem ser necessárias para garantir independência e objetividade. Recursos: Podem ser necessários recursos para treinar indivíduos de outros setores da organização para os deveres da segunda linha de defesa ou para a transição da equipe de auditoria interna para esses papéis. Cronograma e tarefas: As responsabilidades e datas definidas para os marcos principais devem ser documentadas. Manutenção da independência durante a transição: De acordo com a Norma 1130.A1, indivíduos devem evitar avaliar questões específicas pelas quais eles tenham sido responsáveis por um período de ao menos um ano. Isso também se aplicaria a indivíduos que tenham se envolvido em atividades da segunda linha de defesa, durante seu trabalho dentro da auditoria interna. Monitoramento do progresso: O CAE deve monitorar o progresso do plano de transição. Transparência: Comunicação contínua com a administração e com o conselho sobre a aderência ao plano de transição e ao cronograma. Mudanças ou atrasos significantes devem ser avaliados e aprovados pelo conselho. O plano de auditoria da auditoria interna pode incluir provisões para avaliar a integralidade e a eficácia da transição dos deveres da segunda linha defesa para os recursos identificados (um prestador externo pode precisar liderar esse esforço de auditoria, devido às consequências para a independência e a objetividade). Durante o desenvolvimento e implementação do plano de transição, o CAE, junto com a alta administração e com o conselho, deve considerar a estrutura organizacional de longo prazo para garantir o tom no topo apropriado; a adequação dos programas de governança corporativa; os requisitos estatutários, regulatórios e outros requisitos obrigatórios de conformidade; a cultura de gerenciamento de riscos; o alinhamento com a abordagem das três linhas de defesa; o porte e a complexidade da organização. 14

15 A Aceitação, por parte da Administração, dos Riscos à Independência e à Objetividade As organizações podem optar por manter certas responsabilidades da segunda linha de defesa integradas com a auditoria interna. Isso pode ocorrer em organizações de menor porte, assim como em áreas em que a administração tenha concluído que há risco ou impacto mínimo para a organização. A decisão de integrar responsabilidades da segunda e terceira linhas de defesa como uma estratégia de prazo mais longo deve ser consciente, deliberada e baseada em uma análise de riscos e em extensa discussão com a administração e com o conselho. A aceitação, por parte da administração, dos riscos associados à combinação da auditoria interna com atividades da segunda linha de defesa pode ser vista como aceitável por um certo período, mas não deve ser percebida como permanente. Mudanças no negócio, o cenário regulatório e os riscos básicos (os riscos inerentes ou a aplicação dos riscos no negócio) podem sobrecarregar os recursos alocados para o gerenciamento de riscos. Um exame, incluindo uma atualização da análise de riscos, deve ser feito junto à administração e ao conselho, ao menos anualmente, para avaliar o papel atual da auditoria interna na condução de atividades da segunda linha de defesa. A sobreposição de atividades da segunda e terceira linhas de defesa é uma ótima área de foco para o programa de garantia de qualidade e melhoria. A auditoria interna deve reavaliar os riscos à independência e à objetividade, comunicá-los à administração, considerar planos de transição e obter a aceitação desses riscos por parte da administração periodicamente. O CAE também pode solicitar a avaliadores externos a inclusão de tais questões no escopo de suas avaliações. Conforme as atividades de governança e gerenciamento de riscos continuam evoluindo, a administração pode solicitar ou exigir que a auditoria interna assuma responsabilidades de segunda linha de defesa. A administração e o conselho devem avaliar, discutir e aceitar os riscos antes de combinar esses deveres. O CAE deve garantir que as salvaguardas e controles apropriados, identificados nesta orientação, sejam implementados e periodicamente validados para manter a independência e a objetividade da auditoria interna. 15

16 Recursos Orientações Relacionadas do IIA A seguir, estão listados recursos do IIA que podem ser úteis para consulta de auditores internos, em situações em que tenham que assumir responsabilidades de gerenciamento de riscos, conformidade, supervisão regulatória ou outras atividades de governança. Prática Recomendada : Coordenação Prática Recomendada 2500.A1-1: Processo de Acompanhamento Guia Prático do The IIA, Coordenando o Gerenciamento e a Avaliação de Riscos Guia Prático do The IIA, Dependência da Auditoria Interna em relação a outros Prestadores de Avaliação Declaração de Posicionamento do The IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, Autores Caroline Glynn, CIA Douglas Hileman, CRMA, CPEA Hans-Peter Lerchner, CIA Thomas Sanglier, CIA, CRMA 16

17 Sobre o Instituto The Institute of Internal Auditors (The IIA) é o mais reconhecido advogado, educador e fornecedor de normas, orientações e certificações da profissão de auditoria interna. Fundado em 1941, o The IIA atende, atualmente, mais de membros de mais de 170 países e territórios. A sede global da associação fica em Altamonte Springs, na Flórida. Para mais informações, visite ou Sobre as Orientações Suplementares Orientações Suplementares fazem parte do International Professional Practices Framework (IPPF) do The IIA e oferecem orientações adicionais recomendadas (não obrigatórias) para a condução de atividades de auditoria interna. Embora apoie as Normas, as Orientações Suplementares não têm o objetivo de relação direta com o atingimento da conformidade com as Normas. Elas têm o objetivo de abordar tópicos específicos, assim como questões específicas de determinados setores, e incluem processos e procedimentos detalhados. Esta orientação é apoiada pelo The IIA, por meio de processos formais de revisão e aprovação. Guias Práticos Os Guias Práticos são um tipo de Orientação Suplementar, que fornecem orientação detalhada para a condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de entregáveis. Como parte das orientações do IPPF, a conformidade com os Guias Práticos é recomendada (não obrigatória). Os Guias Práticos são apoiados pelo The IIA, por meio de processos formais de revisão e aprovação. Um Global Technologies Audit Guide (GTAG) é um tipo de Guia Prático, redigido em linguagem clara de negócios, para abordar uma questão tempestiva relativa ao gerenciamento, controle ou segurança da tecnologia da informação. Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor, visite nosso site em ou Isenção de Responsabilidade O The IIA publica este documento para fins informativos e educacionais e este material não tem o objetivo de fornecer respostas definitivas a específicas circunstâncias individuais. Desta forma, tem o único propósito de servir de guia. O The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados diretamente a qualquer situação específica. O The IIA não aceita qualquer responsabilidade pela confiança depositada unicamente neste guia. Copyright Copyright 2016 The Institute of Internal Auditors Para permissão para reproduzir, por favor contate guidance@theiia.org. Janeiro de