Pesquisa de Auditoria Interna

Transcrição

1 Pesquisa de Auditoria Interna - IARCS 1 Pesquisa de Auditoria Interna IARCS kpmg.com/br

2 2 Pesquisa de Auditoria Interna - IARCS PREFÁCIO A Auditoria Interna tem sido considerada nas companhias como sua terceira linha de defesa. As expectativas atribuídas aos auditores internos têm aumentado desde os impactos da última crise financeira global. Atualmente, um escopo abrangente de governança corporativa, gerenciamento de riscos, compliance, financeiro, fraude, operacional e estratégico tem sido adicionado às auditorias usuais de processos e à Tecnologia da Informação. Isto significa que o aumento do enfoque em controles internos e gerenciamento de riscos responsabiliza mais funções de Compliance e riscos, em particular na função de Auditoria Interna. Reguladores por todo o mundo estão aumentando as regras e a supervisão sobre as companhias. Grandes mudanças estão por vir no Brasil, como a nova Lei Anticorrupção nº /13. O aumento das estruturas de controles internos (por exemplo): Auditoria Interna, Gerenciamento de Riscos, SOX, compliance, entre outros demonstra que as companhias no Brasil estão investindo cada vez mais para atender a todas estas regulamentações, complexidade e crescimentos dos negócios. A KPMG conduziu uma pesquisa com as maiores companhias no Brasil e centralizou suas análises em investimentos em pessoas e tecnologia e abrangência relacionados à função de Auditoria Interna no Brasil. Perspectiva regulatória No Brasil, a Instrução CVM nº 480 e a nova Lei Brasileira Anticorrupção nº /2013 trouxeram mudanças significativas quanto à responsabilidade de diretores na divulgação de informações ao mercado, assim como quanto à atribuição de responsabilidade às pessoas jurídicas que praticarem atos lesivos à Administração Pública. Em particular, a Instrução CVM nº 480 exige das companhias a elaboração do Formulário de Referência com um padrão de transparência das práticas de governança muito superior ao exigido no passado. Esse formulário deve incluir uma declaração do diretor-presidente e do diretor de relações com investidores sobre a veracidade de todas as informações, sendo um de seus tópicos aspectos relacionados a fatores de riscos, risco de mercado, grau de eficiência de controles internos e deficiências e recomendações sobre controles internos presentes no relatório do auditor independente. Em relação à Lei Brasileira Anticorrupção nº /2013, que atribui responsabilidade às pessoas jurídicas que praticarem atos lesivos à Administração Pública, isto acarretará a estruturação de processos similares aos de empresas americanas que estão sujeitas ao Foreign Corrupt Practice Act (FCPA). Isto abrangerá avaliação de seus relacionamentos comerciais com a Administração Pública, incluindo, mas não se limitando a, avaliação de fornecedores que realizem operações com a Administração Pública e que representem a empresa. A responsabilidade da empresa não exclui a responsabilidade individual de seus dirigentes, administradores ou participantes do ato ilícito, e vice-versa, visando a Lei a preencher algumas lacunas notadas em outras leis, como: Lei de Improbidade, Lei de Licitações e Lei de Defesa da Concorrência. Essas mudanças indicam um aumento do enfoque regulatório na avaliação de eficácia operacional da Auditoria Interna. A Auditoria Interna deve reavaliar a sua estrutura atual e a abrangência com a finalidade de avaliar se sua atuação poderá atender ao desafio desses novos requerimentos regulatórios.

3 Pesquisa de Auditoria Interna - IARCS 3 Sumário executivo A maioria das companhias participantes (43%) possui faturamento lhões, correspondendo aos setores Automotivo, de Indústria Diversificada e Infraestrutura a 42% dos participantes. A abrangência de atuação das auditorias internas também difere significativamente entre as companhias. Auditorias de Operacionais e de Processos são realizadas por mais de 90% das companhias pesquisadas, seguidas de 4 de compliance. Os outros 32% correspondem à atuação em Gerenciamento de Riscos (ERM), 30% em Auditoria Financeira e 2 em SOX, respectivamente. Neste quesito específico, podemos notar que 8 das companhias com lhão possuem escopo de Auditorias Operacionais e de Processos. Outra questão altamente debatida entre as empresas é a terceirização das funções de Auditoria Interna, e pudemos notar que 47% das companhias possuem algum tipo de terceirização, sendo grande parte relacionada a projetos especiais em que não possuem a qualificação específica. Mais da metade das companhias pesquisadas respondeu que possui uma linha de reporte direta ao Conselho de Administração/ Comitê de Auditoria/Conselho Fiscal e que possui um software de Auditoria Interna. No entanto, a metade que possui o software não o utiliza para interação com as áreas de negócios, sendo utilizado apenas para formalização da documentação da Auditoria Interna. Em relação a técnicas de auditoria, pudemos notar que quase 70% utilizam ferramentas de extração de dados, no entanto apenas 3% utilizam para alertas de dados integrados em relatórios gerenciais (triggers). Neste mesmo tópico identificamos que 30% dos respondentes informaram que já possuem um projeto-piloto ou iniciaram um programa de Auditoria Contínua e Monitoramento Contínuo (AC/MC). Em 30% das companhias a responsabilidade de execução dos controles de segregação de função é da área de Auditoria Interna. A seguir, detalhamos todos os temas abordados e as análises pelo tamanho das companhias pesquisadas.

4 4 Pesquisa de Auditoria Interna - IARCS Questões e respostas Questão 1 - Perfil das companhias pesquisadas Qual é o tamanho da empresa em que trabalha atualmente (Receita Operacional Bruta Anual em R$)? 1 Bilhão, 20% Acima de 5 Bilhões, 43% De 1 Bilhão a 5 Bilhões, 37% Questão 2 - Segmentos de atuação Qual das opções a seguir melhor descreve a principal atividade de sua organização? 1% 2% Indústria Diversificada Infraestrutura 3% Automotivo Energia Mineração 7% 7% 1 Agronegócio Alimentos e Bebidas Varejo Bancos 7% 10% 10% Governo Química e Farmacêutica Gestão de Investimentos Imóveis Saúde Tecnologia e Software

5 Pesquisa de Auditoria Interna - IARCS 5 Questão 3 - Abrangência da função de Auditoria Interna Quais são as responsabilidades da Auditoria Interna atualmente? Auditoria de Processos Auditoria Operacional Auditoria Financeira (Excluindo SOX) compliance SOX Enterprise Risk Management (ERM) / Gerenciamento de Riscos % % 2 32% 50% 50% % 83% 91% 91% 100% 92% 97% 90% A abrangência de atuação das Auditorias Internas difere significativamente entre as companhias. Auditorias de Operacionais e de Processos são as maiores responsabilidades da Auditoria Interna, ocorrem em mais de 90% nas companhias pesquisadas, seguidas de compliance, com 4. Outros 32% correspondem à atuação em Gerenciamento de Riscos (ERM), 30% em Auditoria Financeira e 2 em SOX. Neste quesito específico, podemos notar que tais companhias possuem escopo de Auditorias Operacionais e de Processos. Outro item a se destacar com maior relevância é que nas companhias superior a R$ 5 Bilhões as atividades de Gerenciamento de Riscos não são realizadas pela área de Auditoria Interna, mas em outras áreas independentes, como podemos notar na próxima questão.

6 6 Pesquisa de Auditoria Interna - IARCS Questão 4 - Atividades realizadas por outras áreas Algumas das atividades abaixo são realizadas por outras áreas em sua empresa que não seja a de Auditoria Interna? Auditoria de Processos Auditoria Financeira (Excluindo SOX) SOX Nenhuma Atividade Auditoria Operacional compliance Enterprise Risk Management (ERM) / Gerenciamento de Riscos 2 1 7% 1 20% 42% 36% 32% 3 31% 37% 42% 6 Observamos que, no geral, as companhias realizam mais as atividades de compliance e ERM utilizando outras áreas. Especialmente nas companhias lhões observamos que mais de um terço possui ERMs realizados em área independente. É possível notar também que, à medida que a receita operacional bruta cresce, as atividades de ERM e SOX são efetuadas por outras áreas que não a de Auditoria Interna. Questão 5 - Estrutura da equipe de ERM Qual é a estrutura (quantidade) de pessoas da Auditoria Interna dedicada a ERM? Zero Um Dois 2% 1 92% 77% 8 83% Até A maioria das companhias não tem profissionais dedicados a ERM. Observamos uma tendência de que quanto maior a receita operacional da empresa, maior a estrutura de pessoas dedicadas a ERM.

7 Pesquisa de Auditoria Interna - IARCS 7 Questão 6 - Estrutura da equipe de SOX Qual é a estrutura (quantidade) de pessoas da Auditoria Interna dedicada a SOX? Zero Um Dois 92% % Até Seguindo a tendência da questão anterior, a maioria das companhias não tem profissionais dedicados a SOX. Questão 7 - Orçamento de Auditoria Interna Qual é o orçamento da Auditoria Interna (excluindo SOX e ERM)? Até R$ 500 mil De R$ 500 mil a R$ 1 milhão De R$ 1,5 mi a R$ 2 milhões De R$ 2 mi a R$ 2,5 milhões De R$ 2,5 mi a R$ 3 milhões De R$ 3 mi a R$ 4 milhões De R$ 4 mi a R$ 5 milhões De R$ 5 mi a R$ 10 milhões Acima de R$ 10 milhões 2 32% 27% 2 1 3% 13% 7% 3% 67% Entre as companhias com receita operacional bruta de até lhão, observamos que 67% têm orçamento de até R$ 500 mil para a Auditoria Interna, sendo este montante o nível mais baixo em nossa pesquisa. Entretanto, observamos que 2 das empresas deste grupo têm orçamento entre R$ 500 mil e R$ 1 Milhão. Com o aumento da receita operacional, observamos o crescimento do orçamento da Auditoria Interna, porém pulveriza-se entre as várias faixas propostas em nossa pesquisa. Observa-se, no geral, que 63% do orçamento da Auditoria Interna está entre 500 mil e 2 Milhões de reais.

8 8 Pesquisa de Auditoria Interna - IARCS Questão 8 - Orçamento do ERM Qual é o orçamento da Auditoria Interna dedicado a ERM? Até R$ 500 mil De R$ 2 mi a R$ 2,5 milhões De R$ 4 mi a R$ 5 milhões N/A De R$ 500 mil a R$ 1 milhão De R$ 2,5 mi a R$ 3 milhões De R$ 5 mi a R$ 10 milhões De R$ 1,5 mi a R$ 2 milhões De R$ 3 mi a R$ 4 milhões Acima de R$ 10 milhões % 10% 2% 32% % 83% Observamos que a grande maioria não possui orçamento dedicado a ERM, e a parte que possui está entre R$ 500 mil e R$ 1 Milhão.

9 Pesquisa de Auditoria Interna - IARCS 9 Questão 9 - Orçamento de SOX Qual é o orçamento da Auditoria Interna dedicado a SOX? Até R$ 500 mil De R$ 2 mi a R$ 2,5 milhões De R$ 4 mi a R$ 5 milhões N/A De R$ 500 mil a R$ 1 milhão De R$ 2,5 mi a R$ 3 milhões De R$ 5 mi a R$ 10 milhões De R$ 1,5 mi a R$ 2 milhões De R$ 3 mi a R$ 4 milhões Acima de R$ 10 milhões 7% 3% 62% 7 86% 100% Assim como na questão anterior, não observamos orçamentos específicos para SOX na área de Auditoria Interna na maioria das companhias pesquisadas. Questão 10 - Terceirização de Auditoria Interna Sua empresa realiza algum tipo de terceirização das funções de Auditoria Interna? Sim Não % 67% 4 46% 53% Observamos uma tendência de que quanto maior a receita operacional, maior o percentual de terceirização das funções de Auditoria Interna. Como a estrutura de Auditoria Interna das companhias tende a ser reduzida, a contratação de terceiros com conhecimento técnico específico é necessária para agregar tanto na parte técnica quanto na parte operacional, complementando o time de Auditoria Interna ou até mesmo substituindo em caso de terceirização total da Auditoria Interna.

10 10 Pesquisa de Auditoria Interna - IARCS Questão 11 - Percentual de terceirização Qual é o percentual de terceirização? 100% de consultores, excluindo gerentes e diretores que são internos 100% de consultores e parcial gerentes 50% de consultores, gerentes e diretores são internos Apenas projetos especiais com especialização requerida N/A 7% 2% 3% 41% 4 42% 42% 40% 4 67% Podemos notar que um dos principais motivos da terceirização é a realização de projetos especiais em que habilidades específicas são necessárias e provavelmente não existem dentro das companhias. Questão 12 Especialistas em Auditoria Interna Em quais áreas a Auditoria Interna possui especialistas? Tecnologia da Informação Financeira compliance Engenharia Impostos Processo Contabilidade 2 50% % 77% % 6 27% 62% 2 50% 50% 72% 13% Nas áreas de Contabilidade e Tecnologia da Informação, a presença de especialistas é maior, seguida das áreas Financeiras e de Compliance. A pesquisa mostra que apenas para empresas com receita operacional bruta de até 1 Bilhão a presença de especialistas na área de Tecnologia da Informação é menor que nas áreas Financeiras e de Compliance.

11 Pesquisa de Auditoria Interna - IARCS 11 Questão 13 - Linha de reporte da Auditoria Interna A quem a Auditoria Interna se reporta? Conselho de Administração/ Comitê de Auditoria Conselho Fiscal Presidente/CEO Diretor-financeiro Controladoria Outros 2 1 2% 20% 1 3% 42% Mais da metade das companhias pesquisadas respondeu que possui uma linha de reporte direta ao Conselho de Administração/ Comitê de Auditoria/Conselho Fiscal e que possui um software de Auditoria Interna. No entanto, podemos notar que ainda existem empresas que reportam à controladoria e ao diretor-financeiro (podem ser casos de subsidiárias multinacionais). Questão 14 - Software de Auditoria Interna A Auditoria Interna possui um software de auditoria? Sim Não 2 50% % 52% Mais da metade das companhias pesquisadas respondeu que possui um software de Auditoria Interna. No entanto, apenas metade que possui o software o utiliza para interação com as áreas de negócios, sendo utilizado apenas para formalização da documentação da Auditoria Interna (vide gráfico 15 a seguir).

12 12 Pesquisa de Auditoria Interna - IARCS Questão 15 - Abrangência de software de Auditoria Interna Esse software tem interação com as áreas de negócios para aprovação e FUP de pontos de auditoria ou é apenas utilizado pela Auditoria Interna? Para documentação da área de Auditoria Interna Para documentação e interação com as áreas de negócios N/A % % 32% Questão 16 - Ferramentas de extração de dados A Auditoria Interna possui ferramentas de extração de dados? Sim Não 32% 1 32% 32% 32% 6 67% v Em relação a técnicas de auditoria, pudemos notar que quase 70% utilizam ferramentas de extração de dados, no entanto apenas 3% utilizam para alertas de dados integrados em relatórios gerenciais (triggers). Neste mesmo tópico, identificamos que 1 dos respondentes informaram que já possuem um projeto-piloto ou iniciaram um programa de Auditoria Contínua e Monitoramento Contínuo (AC/MC) vide gráficos 17 e 18 a seguir.

13 Pesquisa de Auditoria Interna - IARCS 13 Questão 17 - Análise de dados em Auditoria Interna Como você utiliza a análise de dados em seus procedimentos regulares de Auditoria Interna? Utilização de técnicas de data mining nos trabalhos de Auditoria Interna Extração automatizada de relatórios gerenciais Extração e análise periódica de relatórios ad hoc Alerta de dados integrados em relatórios gerenciais (triggers) Extração e análise frequente de relatórios gerenciais Outros 1 3% % 36% 27% 30% 2 20% 3 Observamos grande diversificação na utilização de extração e na análise de dados. Nas empresas com receita operacional de até lhão e de lhão a R$ 5 Bilhões, destacou-se extração e análise periódica de relatórios ad hoc, com e 36%, respectivamente. Já nas empresas com receita operacional lhões, destacou-se utilização de técnicas de data mining nos trabalhos de Auditoria Interna, com 3.

14 27% 14 Pesquisa de Auditoria Interna - IARCS Questão 18 - Auditoria Contínua e Monitoramento Contínuo Qual das alternativas melhor descreve a situação de sua empresa em relação à abordagem de Auditoria Contínua e Monitoramento Contínuo (AC/MC)? Não considerou implementar a abordagem de AC/MC Já considerou, porém não iniciou nenhuma fase Compreende a proposição de valor da abordagem AC/MC Business case já finalizado. Aguardando inclusão no orçamento Projeto-piloto já iniciado Projeto já implantado há um ou mais anos Meu Departamento de Auditoria Interna é maduro e experiente o suficiente para implementar o processo em seu curso normal de trabalho Outros 1 9 % % 1 2% 1 10% 7% 36% Questão 19 - Responsabilidade de execução de segregação de funções Entre as responsabilidades da Auditoria Interna está a execução dos controles de segregação de função? Sim Não. Somos responsáveis apenas pela auditoria do tema Não (execução e auditoria) 3% 42% 32% 31%

15 Pesquisa de Auditoria Interna - IARCS 15

16 Contato Diogo Dias Sócio, Risk Consulting Tel: (11) KPMG Risk & Advisory Services Ltda, uma sociedade simples brasileira, de responsabilidade limitada, e firma-membro da rede KPMG de firmas-membro independentes e afiliadas à KPMG International Cooperative ( KPMG International ), uma entidade suíça. Todos os direitos reservados. Impresso no Brasil. Design: Wake.up Comunicação (wkup.com.br). Todas as informações apresentadas neste documento são de natureza genérica e não têm por finalidade abordar as circunstâncias de uma pessoa ou entidade específica. Embora tenhamos nos empenhado em prestar informações precisas e atualizadas, não há garantia de sua exatidão na data em que forem recebidas nem de que tal exatidão permanecerá no futuro. Essas informações não devem servir de base para se empreenderem ações sem orientação profissional qualificada, precedida de um exame minucioso da situação em pauta. O nome KPMG, o logotipo e cutting through complexity são marcas registradas ou comerciais da KPMG International.