Avaliação Combinada: Uma Língua, Uma Voz, Uma Visão

Transcrição

1 Avaliação Combinada: Uma Língua, Uma Voz, Uma Visão RISCO Fast Fact Sam C. J. Huibers EMIA, RO, CRMA Sumário Executivo Em organizações cada vez mais complexas, onde mais e mais participantes estão envolvidos na prestação de diferentes métricas de avaliação, como podemos prevenir que a gerência fique sobrecarregada de informações e relatórios e ceda à fadiga de avaliação? A avaliação combinada pode ajudar a resolver esse problema, integrando e alinhando processos de avaliação, de modo que a alta administração e os comitês de auditoria e supervisão obtenham uma visão abrangente e holística da eficácia da governança, dos riscos e dos controles de sua organização, para permitir que definam prioridades e executem as ações necessárias. Há benefícios múltiplos em implementar a avaliação combinada, incluindo: Uma única voz e taxonomia em todos os órgãos e funções de governança da organização Eficiência na coleta e reporte de informações Uma única visão de todos os riscos e questões da organização Uma supervisão mais eficaz da governança, dos riscos e do controle No entanto, os resultados da pesquisa CBOK 2015 mostram que o conhecimento e a implementação do conceito de avaliação combinada não foram, ainda, difundidos. As orientações específicas sobre como implementar a avaliação combinada da melhor maneira possível ainda são limitadas, embora a Norma do IIA 2050: Coordenação recomende que o chief audit executive compartilhe informações e coordene atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e a minimização da duplicação de esforços. Adicionalmente, há formas diferentes de avaliação CBOK The Global Internal Audit Common Body of Knowledge

2 combinada. Dependendo dos requisitos específicos e da integração de atividades na organização, a coordenação varia: Auditorias integradas: coordenação pelas atividades de auditoria, realizando auditorias em conjunto que a organização se beneficie, ao longo do tempo, por ter uma língua, uma voz e uma visão. Por fim, isso resultará em menos fatores desconhecidos ou inesperados e apoiará o progresso, em direção à plena realização dos objetivos e da estratégia da organização. Planejamento e reporte integrados: coordenação pelos processos de planejamento e reporte Alinhamento das atividades: coordenação pelo alinhamento das atividades de funções separadas Integração funcional: coordenação por meio das linhas hierárquicas, combinando a auditoria interna com as funções da organização que apoiem a administração Seção 1: Introdução Ao combinar a avaliação, o papel da auditoria interna é fundamental no apoio ao conselho para a supervisão eficaz da empresa. Do contrário, não funciona. Marie-Helene Laimay, CAE, Para qualquer implementação de avaliação combinada, se deve notar que o Modelo das Três Linhas de Defesa, no qual a auditoria interna está posicionada como uma função independente e separada na terceira linha de defesa, é considerado uma boa prática pelo IIA, da perspectiva da avaliação independente. A gerência atua como a primeira linha de defesa (assumindo propriedade dos processos, controles e riscos); diversas funções de apoio, incluindo o gerenciamento de riscos, controle interno e conformidade, são a segunda linha de defesa (monitorando os processos, assim como seus riscos e controles); e a auditoria interna representa a independente terceira linha de defesa. Considerando este modelo, a integração funcional não é a forma preferida de promover a avaliação combinada, por conta dos desafios que causa para a independência e objetividade do auditor. O objetivo deste relatório é ajudar as funções de auditoria interna e suas organizações a embarcar na jornada da avaliação combinada. A auditoria interna tem um papel fundamental a desempenhar, tanto na implementação e coordenação das atividades, quanto na melhoria contínua. O relatório traz os pontos principais quanto à posição atual da auditoria interna, em relação à implementação da avaliação combinada; por que as organizações têm embarcado nessa jornada; quais lições podem ser aprendidas; e orientações práticas de boas práticas para os passos da implementação. A avaliação combinada deve ser vista pela auditoria interna, não como ameaça, mas como uma oportunidade de desempenhar um papel principal na coordenação e no alinhamento dos envolvidos na avaliação, para garantir Conforme as organizações crescem e se tornam mais complexas, o mesmo acontece com o número de funções necessárias para garantir que os conselhos cumpram com sua responsabilidade de controle, conformidade e gerenciamento de riscos eficazes na organização. O problema, então, passa a ser como prevenir que a gerência fique sobrecarregada de informações e relatórios, criando uma fadiga de avaliação. O propósito da avaliação combinada é lidar com esse problema, integrando e alinhando os processos de avaliação em uma empresa, para maximizar a supervisão dos riscos e governança e a eficiência do controle, e otimizar a avaliação geral para os comitês de auditoria e riscos, considerando o apetite ao risco da organização.* Ao alinhar e harmonizar as atividades de avaliação e as formas de trabalhar entre diferentes funções, a entrega da avaliação se torna cada vez mais eficiente e eficaz. Portanto, com a avaliação combinada, haverá diversas partes envolvidas na prestação da avaliação e suas atividades exigem coordenação e alinhamento, conforme exibido no Documento 1. Essas partes são: 1. Administração: Responsável por garantir que uma estrutura robusta de riscos e controle esteja em prática, de modo que desvios sejam identificados oportunamente e remediados adequadamente. * King Code of Governance for South Africa 2009 (Institute of Directors in Southern Africa), documents/king3.pdf

3 Documento 1 Partes Envolvidas na Estrutura de Avaliação Combinada Prestadores externos de avaliação Administração Avaliação Combinada Prestadores internos de avaliação Governança de supervisão; riscos e controles Fonte: Adaptado do King Code of Governance for South Africa 2009 (Institute of Directors in Southern Africa) e Combined Assurance: Case Studies on a Holistic Approach to Organizational Governance, por G. Sarens, Decaux, L., & Lenz, R. (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2012). Prestadores internos de avaliação: Responsáveis por apoiar a administração, como as funções de gerenciamento de riscos, controle interno e conformidade (também conhecidas como as funções da segunda linha de defesa) e a auditoria interna (terceira linha de defesa). Prestadores externos de avaliação: Responsáveis pela avaliação externa independente, tais como o auditor externo financeiro. Por fim, uma única língua (taxonomia), uma única voz (por exemplo, o reporte integrado) e uma única visão de governança, riscos e controles resultarão em menos fatores desconhecidos ou surpresas e beneficiarão a organização. Este relatório é de natureza exploratória e tem como objetivo estabelecer a posição atual, em relação à implementação da avaliação combinada; por que as organizações têm embarcado nessa jornada; e quais lições podem ser aprendidas. Ele foca nas partes internas envolvidas e oferece orientações práticas ao compartilhar as lições aprendidas. O relatório é concluído com as melhores práticas para os passos para a implementação da avaliação combinada. Seção 2: Benefícios da Avaliação Combinada O maior dos principais fatores de sucesso é você mesmo acreditar nos benefícios da avaliação combinada e ter a energia de embarcar nessa jornada. Jenitha John, CAE, FirstRand, África do Sul A avaliação combinada é um meio de prestar avaliação de uma forma eficaz e eficiente, que supera as dificuldades de trabalhar com diferentes sistemas de classificação e formatos de relatórios de diferentes funções. Isso pode levar a tamanha sobrecarga de informações que qualquer mensagem e chamada à ação da alta administração, na realidade, se perdem. Jenitha John, CAE da FirstRand, na África do Sul, ajudou a implementar a avaliação combinada na FirstRand, uma das maiores instituições financeiras da África do Sul. Ela comentou que a implementação bem sucedida da avaliação combinada foi precedida por entrevistas com executivos sênior e com os comitês de auditoria e riscos, para, simultaneamente, identificar os benefícios potenciais e conseguir apoio. O Documento 2 lista os benefícios da avaliação combinada identificados pela FirstRand. Um membro do conselho disse que a avaliação combinada ajudou a combater o desafio da priorização nas avaliações de diferentes fontes (chamado, comumente, de fadiga de avaliação ). Ele comentou: Na verdade, recebemos avaliações demais, mas não temos uma visão equilibrada do que temos que fazer e, em especial, de quais são nossas prioridades. Ponto Principal A coordenação e alinhamento eficazes dos diversos prestadores de avaliação são essenciais para um conselho ou comitê supervisor ter supervisão adequada da governança da empresa. Então, a meta é conectar, analisar e reportar as informações fornecidas pelos diferentes prestadores de avaliação, de modo que a alta administração, o comitê de auditoria e o comitê supervisor recebam uma visão abrangente e holística da eficácia da governança, riscos e controles em sua organização, para permitir que tomem as atitudes necessárias. Ao alinhar e harmonizar as atividades de avaliação e formas de trabalhar das diferentes funções, a entrega da avaliação se torna cada vez mais eficiente e eficaz.

4 Documento 2 Dez Formas pelas quais a Avaliação Combinada Apoia os Objetivos Organizacionais 1 Erradicação da fadiga de avaliação. Os recursos não são mais desperdiçados em duplicação desnecessária. 2 Os esforços de avaliação são direcionados aos riscos que mais importam. Os recursos são liberados para tarefas mais produtivas. 3 É criada uma visão única dos riscos e questões da organização. 4 O escalonamento de informações para comitês de governança é mais preciso e perspicaz. 5 As atividades de avaliação produzem dados valiosos e relevantes, baseados na colaboração, não em silos. Isso facilita uma melhor tomada de decisões. 6 O uso de uma língua única e a consistência ajudam a facilitar discussões de valor agregado. 7 A eficiência é melhorada ao compartilhar as lições aprendidas. 8 Custos são reduzidos por meio da melhor alocação de recursos e maior cobertura. 9 Demonstra-se comprometimento em melhorar os controles. 10 Por fim, menos surpresas desagradáveis ocorrem. Fonte: Adaptado de Harnessing the Benefits of Combined Assurance, uma apresentação de Jenitha John, CAE na FirstRand, África do Sul. Usada com permissão. Site Corporativo da FirstRand LTD (16 de Agosto de 2015). Conforme mostrado no Documento 3, os benefícios da implementação da avaliação combinada incluem: Uma taxonomia para todos os órgãos e funções de governança da organização O abandono dos silos, com coleta e reporte mais eficientes de informações Uma visão comum dos riscos e questões para toda a organização Uma supervisão mais eficaz de governança, riscos e controle Documento 3 Uma Língua Uma Voz Uma Visão Uma taxonomia para todos os órgãos e funções de governança na organização Benefícios da Avaliação Combinada Abandono dos silos, com coleta e reporte mais eficientes de informações Uma visão comum dos riscos e questões para toda a organização Resultando em: Uma supervisão mais eficaz de governança, riscos e controle Seção 3: A Adoção da Avaliação Combinada Embora os benefícios descritos na seção anterior sejam muitos, a Pesquisa Global do Praticante de Auditoria Interna CBOK 2015 indica que o conhecimento e a implementação do conceito de avaliação combinada ainda não foram difundidos. Na pesquisa, foi fornecida aos participantes a descrição de avaliação combinada a partir do King Code of Governance for South Africa (conhecido como King III), para que indicassem se a avaliação combinada tinha sido implementada em suas organizações ou se não estavam familiarizados com o conceito. Conhecimento sobre a Avaliação Combinada Globalmente, apenas 59% dos participantes tinham conhecimento sobre a avaliação combinada, embora haja grandes diferenças entre os números de diferentes regiões. O conhecimento sobre a avaliação combinada variou de um máximo de 80% na África Subsaariana para um mínimo de 46% no Sul da Ásia (veja o Documento 4).

5 Documento 4 Familiaridade com o Modelo de Avaliação Combinada África Subsaariana 80% 20% América Latina & Caribe 70% 30% Europa Oriente Médio & África do Norte América do Norte 60% 53% 65% 35% 40% 47% Familiarizado com o modelo de avaliação combinada Não familiarizado com o modelo de avaliação combinada Leste Asiático & Pacífico 50% 50% Sul da Ásia 46% 54% Média Global 59% 41% 0% 20% 40% 60% 80% 100% Observação: Q61: Sua organização implementou um modelo formal de avaliação combinada? Participantes que selecionaram Não sei. Não estou familiarizado com o modelo de avaliação combinada foram comparados com aqueles que estão familiarizados com o modelo. Devido ao arredondamento, os totais podem não somar 100% participantes. Implementação Atual da Avaliação Combinada O Documento 5 mostra uma riqueza de informações relativas à implementação da avaliação combinada entre os participantes da pesquisa que estavam familiarizados com o conceito. Dentre esses já familiarizados com a avaliação combinada, as principais descobertas incluem: Uma média global de 40% dos participantes dizem que suas organizações já implementaram o modelo (veja o total combinado das barras verde e azul no Documento 5). O menor nível de implementação está na América do Norte, em 25%, e o mais alto, no Sul da Ásia e na África Subsaariana (cerca de 50%). Planos para Adoção da Avaliação Combinada no Futuro O Documento 5 também traz dados sobre aqueles que não implementaram a avaliação combinada, mas planejam fazê-lo em dois a três anos (veja as barras douradas). Sem Planos para Adoção da Avaliação Combinada Por fim, o Documento 5 mostra aqueles que dizem não ter planos de adotar a avaliação combinada nos próximos dois a três anos (veja as barras em cinza). Cerca de 3 a cada 10 dizem que suas organizações não adotaram a avaliação combinada, mas esperam fazê-lo em dois a três anos. As regiões com maior probabilidade de dizer que adotariam a avaliação combinada no futuro são o Oriente Médio & África do Norte, África Subsaariana, Sul da Ásia e América Latina & Caribe (entre 33% e 38%). Cerca de 3 a cada 10 dizem que suas organizações não têm planos de adotar a avaliação combinada nos próximos dois a três anos. A América do Norte foi, de longe, a menos provável de adotar a avaliação combinada no futuro, com 49% dizendo não ter planos de fazê-lo nos próximos dois a três anos.

6 Documento 5 Implementação da Avaliação Combinada Sul da Ásia 42% 7% 33% 17% África Subsaariana 39% 12% 34% 15% Leste da Ásia & Pacífico Europa 38% 34% 6% 7% 25% 28% 30% 31% Sim, está implementada Sim, mas não aprovada ainda pelo conselho ou comitê de auditoria América Latina & Caribe 30% 12% 33% 24% Não, mas há planos de adotar nos próximos 2 a 3 anos Oriente Médio & África do Norte 24% 10% 38% 28% Não, e não há planos de adotar nos próximos 2 a 3 anos América do Norte 21% 4% 26% 49% Média Global 32% 8% 29% 31% 0% 20% 40% 60% 80% 100% Observação: Q61: Sua organização implementou um modelo formal de avaliação combinada? Participantes que selecionaram Não sei. Não estou familiarizado com o modelo de avaliação combinada foram excluídos destes cálculos. Devido ao arredondamento, os totais podem não somar 100% participantes. Avaliações por Escrito da Avaliação Combinada Para aqueles que implementaram a avaliação combinada, a pesquisa incluiu uma pergunta adicional, para descobrir se tinham emitido uma avaliação por escrito sobre a avaliação combinada. O Documento 6 mostra essas descobertas: Ponto Principal O conhecimento e a implementação de um conceito de avaliação combinada não foram ainda difundidos. Em organizações nas quais a avaliação combinada tinha sido implementada, uma média global de 27% disse não ter emitido relatório de avaliação combinada por escrito. Outros 12% não sabem se suas organizações emitiram um relatório por escrito. Com isso, sobram 60% dos participantes, que disseram que suas organizações emitiram um relatório de avaliação combinada por escrito. Regionalmente, as maiores porcentagens de emissão do relatório por escrito foram no Leste Asiático & Pacífico, África Subsaariana e Sul da Ásia, com cerca de 7 a cada 10 tendo emitido um relatório de avaliação combinada por escrito. O menor número foi na América do Norte (44%). Fatores que Afetam a Adoção da Avaliação Combinada De acordo com os resultados da pesquisa, a conscientização e implementação da avaliação combinada parecem baixas. Isso pode ser por conta de não haver uma definição e orientações internacionalmente adotadas com relação à avaliação combinada e como implementá-la, incluindo as diferentes formas de avaliação combinada e os diferentes tipos de coordenação possíveis. Adicionalmente, os códigos e requisitos de governança variam por país e não há orientações abrangentes no nível global sobre como governar uma empresa e garantir a supervisão eficaz por parte de seu conselho e do comitê supervisor. Uma das fontes citadas mais frequentemente

7 Documento 6 Participantes que Emitiram Relatório Escrito sobre a Avaliação Combinada (Dentre Aqueles que Implementaram a Avaliação Combinada) Leste da Ásia & Pacífico 73% 20% 8% África Subsaariana 70% 23% 7% Sul da Ásia 69% 19% 12% Sim Oriente Médio & África do Norte 59% 32% 8% Não Europa 56% 28% 16% Não sei América Latina & Caribe 52% 35% 13% América do Norte 44% 36% 20% Média Global 60% 27% 12% 0% 20% 40% 60% 80% 100% Observação: Q62: A auditoria interna em sua organização emite um relatório de avaliação combinada por escrito, como parte da iniciativa de avaliação combinada? Esta pergunta só foi respondida por aqueles que responderam Sim, está implementada na Q61. Devido ao arredondamento, alguns totais podem não somar 100% participantes. de informações sobre a avaliação combinada é o King III, um código não-legislativo com base em princípios e práticas. Ele adota uma abordagem aplique ou explique. Em muitos países, é exigida da administração uma declaração sobre a eficácia do sistema de controle interno como parte do relatório anual. Para criar essa declaração, a auditoria interna fornece relatórios sobre riscos e sobre a eficácia dos controles em mitigá-los. Além disso, a auditoria interna pode avaliar a eficácia das funções da segunda linha (isto é, revisões da segunda linha de defesa). Seção 4: Orientações e Revisão da Avaliação Combinada Orientações específicas sobre a melhor forma de implementar a avaliação combinada continuam limitadas. No entanto, vale usar como referência diversas das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) do IIA, relacionadas indiretamente à necessidade de uma avaliação eficaz. Este capítulo descreve essas normas e mostra uma visão geral das diferentes formas de avaliação combinada, incluindo considerações específicas sobre o papel do auditor interno, especialmente quanto à proteção da independência dos auditores. As normas aplicáveis estão incluídas e relacionadas ao Modelo das Três Linhas de Defesa. As Normas do IIA As Normas fazem parte da International Professional Practices Framework (IPPF) do IIA, que fornece aos profissionais de auditoria interna do mundo todo orientações fidedignas obrigatórias ou recomendadas. Embora não haja uma norma específica no IPPF sobre a prestação da avaliação combinada, diversas normas estão bem relacionadas ao tema (veja o Documento 7). As Práticas Recomendadas relativas à Norma 2050 trazem informações úteis sobre a coordenação de atividades de avaliação e consultoria com outras funções. A Prática Recomendada recomenda que o CAE seja responsável pela avaliação regular da coordenação entre os auditores internos e externos.

8 Documento 7 Normas do IIA Relativas à Avaliação Combinada Norma 1000: Propósito, Autoridade e Responsabilidade Norma 2050: Coordenação Norma 2060: Reporte à Alta Administração e ao Conselho Norma 2100: Natureza do Trabalho O propósito, a autoridade e a responsabilidade da atividade de auditoria interna devem estar formalmente definidos em um estatuto de auditoria interna, consistente com a Definição de Auditoria Interna, com o Código de Ética e com as Normas. O CAE deve compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação (assurance) e consultoria, para assegurar a cobertura apropriada e a minimização da duplicação de esforços. O CAE deve reportar periodicamente à alta administração e ao conselho (...). O reporte deve também incluir a exposição de pontos de riscos significativos e de controles, incluindo os riscos de fraude, os assuntos de governança e outros assuntos necessários ou solicitados pela alta administração e pelo conselho. A atividade de auditoria interna deve avaliar e contribuir para a melhoria dos processos de governança, gerenciamento de riscos e controles, utilizando uma abordagem sistemática e disciplinada. Fonte: Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) (Altamonte Springs, FL: The Institute of Internal Auditors, 2013). A Prática Recomendada orienta quanto à adoção de uma visão holística e eficaz do monitoramento de riscos e controles, mapeando a cobertura de avaliação em comparação com os riscos identificados na organização. A Prática Recomendada aponta que o auditor interno pode depender ou usar o trabalho de outros avaliadores internos ou externos em suas avaliações de governança, gerenciamento de riscos e controle para o conselho, caso certas salvaguardas estejam em prática. Em suma, as Normas claramente apoiam a filosofia da avaliação combinada. A próxima pergunta é, como a auditoria interna a coloca em prática? Tipos diferentes de coordenação podem ser usados, o que é explicado em mais detalhes na próxima seção, assim como a relação com as Normas. Formas de Coordenar a Avaliação Combinada Há métodos e formas diferentes de avaliação combinada e as Normas não oferecem uma definição específica. Quando se trata do tipo de coordenação, as variações dependem dos requisitos específicos e do tipo de integração das atividades que as organizações preferem (veja o Documento 8). 1. Auditorias integradas. A coordenação ocorre por meio das atividades; especificamente, conduzindo 2. Integração do processo. A coordenação ocorre por meio dos processos de planejamento e reporte. O plano de auditoria com base em riscos é totalmente alinhado com as funções de governança da segunda linha. O reporte integrado pode ser orientado interna ou externamente. O International Integrated Reporting Council (IIRC) descreve um relatório integrado orientado externamente como: Um relatório integrado é uma comunicação concisa sobre como a estratégia, governança, desempenho e perspectivas de uma organização, no contexto de seu ambiente externo, levam à criação de valor a curto, médio e longo prazo.* 3. auditorias conjuntamente com funções de apoio e/ou com o auditor externo. Alinhamento por meio das atividades. A coordenação ocorre por meio do alinhamento das atividades, de forma estruturada ou ad hoc. Por exemplo, informar as funções de governança sobre o escopo e o resultado das atividades de auditoria interna permite que esses dados sejam considerados em suas próprias atividades (por exemplo, fraquezas de controle identificadas pela auditoria interna podem ser abordadas pelo controle interno). * Integrated Reporting (International Integrated Reporting Council [IIRC], 2015).

9 Documento 8 Formas de Coordenar a Avaliação Combinada Auditorias Integradas Integração do Processo Alinhamento por meio das Atividades Integração Funcional (Não Preferida) Auditorias Conduzidas em Conjunto Planejamento e Reporte Coordenados Compartilhamento de Informações para Alinhar as Atividades Combinação das Linhas Hierárquicas FUNÇÃO SEPARADA DE AUDITORIA INTERNA FUNÇÕES COMBINADAS 4. Integração funcional. A coordenação ocorre por meio das linhas hierárquicas, combinando a auditoria interna com as funções de apoio à administração, tais como gerenciamento de riscos, controle interno e compliance. governança nas três primeiras formas de coordenação da avaliação - auditorias integradas, integração do processo e alinhamento das atividades. Portanto, essas formas não são mutuamente excludentes, mas devem ser vistas como complementares. Quanto à quarta forma (integração funcional), vale notar que o IIA promove fortemente - do ponto de vista da objetividade e independência dos auditores - manter a função de auditoria interna separada. Então, a integração funcional não é uma opção preferida pelo IIA. Se ocorrer, é preferível que seja de forma temporária e com a meta Declaração de Posicionamento do IIA, As Três Linhas de Nesses casos, salvaguardas e condições devem ser postas em prática para minimizar o impacto negativo sobre a objetividade e independência do auditor. Exemplos incluem situações em que a maturidade das funções de desenvolva as atividades de riscos e conformidade. Para mais informações, consulte o whitepaper do IIA Holanda sobre auditoria interna e as segundas linhas de defesa, publicado em 2014.* O Documento 9 dá mais detalhes sobre as diferentes formas de avaliação combinada, incluindo considerações quanto à proteção da independência do auditor. Referências às Normas foram incluídas. Avaliação Combinada e o Modelo das Três Linhas de Defesa O IIA apoia o Modelo das Três Linhas de Defesa. Cada uma das três linhas tem um papel distinto na estrutura de governança da organização. As diferentes linhas de defesa podem ser descritas da seguinte forma: Primeira linha de defesa - Administração. A gestão do negócio tem a responsabilidade principal pelas operações de monitoramento e controle. São os proprietários dos processos e controles de mitigação dos mesmos. Segunda linha de defesa - Funções de Apoio à Governança. A gestão, em sua responsabilidade de * S. C. J. Huibers, G. M. Wolswijk, e P. A. Hartog, Combining Internal Audit and Second Line of Defense Functions

10 Documento 9 Considerações Especiais sobre as Formas de Coordenar a Avaliação Combinada Tipo de Coordenação Descrição Meios de Coordenação Consideração Orientação Auditorias integradas Auditorias feitas em conjunto com as funções da segunda linha de defesa Coordenação por meio das atividades de auditoria Auditoria coordena execução de auditorias e garante conformidade com normas do IPPF Todas as Normas de Desempenho do IPPF se aplicam (The IIA, 2013) Integração do processo Planejamento integrado das atividades de avaliação e reporte Coordenação pelo processo de planejamento e reporte Auditoria coordena o planejamento e emite relatórios integrados de avaliação da governança, riscos e controles para o conselho e o comitê de auditoria Reporte Integrado Melhorado (Enhanced Integrated Reporting, Internal Audit Value Proposition, The IIA, 2015) Alinhamento por meio das atividades Coordenação por meio do alinhamento das atividades Coordenação por meio do alinhamento Coordenação pelo alinhamento das atividades pode ser estruturado ou ad hoc As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes (Declaração de Posicionamento do IIA, 2013) Integração funcional Auditoria interna e funções da segunda linha de defesa são combinadas Coordenação pelas linhas hierárquicas Considerar salvaguardas e limites para garantir a independência Combining Internal Audit and Second Line of Defense Functions (Whitepaper do IIA Holanda, 2014) monitoramento, é apoiada por funções dedicadas, que ajudam na implementação de uma estrutura adequada e no monitoramento de riscos e controles. Exemplos das funções da segunda linha de defesa são o gerenciamento de riscos, controle interno e compliance. Terceira linha de defesa - Auditoria Interna. A auditoria interna presta avaliações independentes adicionais sobre as atividades da primeira e segunda linhas de defesa. Isso pode controles, a conformidade com procedimentos e a auditoria interna também pode ter um papel de Quarta linha de defesa - auditores externos, reguladores e órgãos externos. Avaliações independentes são oferecidas por terceiros, externos A principal responsabilidade por manter controles robustos e garantir a conformidade com procedimentos e legislações recai sobre a gestão. Porém, cada vez mais são criadas funções dedicadas a apoiar e supervisionar essas atividades de controle. Ao mesmo tempo, o número crescente de funções e órgãos internos à organização pode sobrecarregar a gestão com informações e relatórios. Para evitar isso, a auditoria interna pode: Auditoria Interna do IIA. Às vezes, é feita referência a uma quarta linha de defesa, composta por prestadores externos de avaliação: Coordenar e alinhar as atividades de avaliação, participando de auditorias conjuntas ou integrando o planejamento e o reporte de diferentes prestadores de avaliação.

11 Prestar avaliação à administração, revisando a eficácia das chamadas funções da segunda linha de defesa. Na Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, dos participantes familiarizados com o Modelo das Três Linhas de Defesa, entre 45% e 64% indicaram que a auditoria interna opera como uma função totalmente separada e independente na terceira linha de defesa em suas organizações (veja o Documento 10). No entanto, na média, 19% dos participantes familiarizados com o Modelo, cujas organizações o tinham adotado, indicaram que a divisão entre a segunda e terceira linhas não é clara, ou a auditoria interna opera como uma função da segunda linha (em vez de ser prestadora independente de avaliação na terceira linha). Há uma falta de familiaridade com o modelo em certas regiões, especialmente no Sul da Ásia, América do Norte e no Oriente Médio & África do Norte, indicando oportunidades de educação (veja o Documento 11).* Considerações sobre a Adoção do Modelo das Três Linhas de Defesa Ainda hoje, em muitas empresas, o conselho nunca ouviu falar sobre as Três Linhas de Defesa. Nós, como auditores internos, temos a responsabilidade de explicar o que elas significam. Rene Andrich, Gerente de Auditoria Interna, América Latina, Electrolux, e membro do Conselho de Administração do IIA Brasil * Veja o relatório de Larry Harrington e Arthur Piper, Promovendo o Sucesso em um Mundo em Mudança: 10 Imperativos para a Auditoria Interna, da Pesquisa Global do Praticante de Auditoria Interna do Common Body of Knowledge (CBOK) (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2015). Documento 10 Uso do Modelo das Três Linhas de Defesa Europa Leste da Ásia & Pacífico 64% 62% 14% 3% 11% 6% 15% 17% 5% 4% Sim e a auditoria interna é considerada a terceira linha de defesa África Subsaariana 53% 15% 8% 19% 5% Sim, mas a distinção entre a segunda e terceira linhas não é clara Sul da Ásia América do Norte 50% 50% 13% 15% 10% 6% 16% 22% 10% 6% Sim, mas a auditoria interna é considerada a segunda linha de defesa em nossa organização Oriente Médio & África do Norte 45% 10% 10% 25% 10% Não, minha organização não segue este modelo América Latina & Caribe 45% 12% 5% 31% 6% Não, este modelo não se aplica à minha organização Média Global 56% 13% 6% 20% 5% 0% 20% 40% 60% 80% 100% Observação: Q63: Sua organização segue o modelo das três linhas de defesa articulado pelo IIA? Aqueles que responderam Não estou familiarizado com este modelo foram excluídos dos cálculos. Devido ao arredondamento, alguns totais podem não somar 100% participantes.

12 Documento 11 Participantes Não Familiarizados com o Modelo das Três Linhas de Defesa Sul da Ásia América do Norte Oriente Médio & África do Norte 25% 24% 43% independente, separada e dedicada pode prevalecer em relação a considerações internamente orientadas. O whitepaper também dá orientações sobre os requisitos e salvaguardas mínimos para garantir a independência dos auditores. O ponto de partida é que a combinação de funções não é a forma preferida de trabalhar, do ponto de vista da objetividade e independência. Deve-se notar que, em alguns setores, tais como a indústria de serviços Leste da Ásia & Pacífico América Latina & Caribe África Subsaariana Europa Média Global 22% 19% 15% 12% 20% o estabelecimento de funções de gerenciamento de riscos e compliance dedicadas, com a auditoria interna atuando como a terceira linha de defesa. O fator determinante será organização deve estar em conformidade, incluindo orientações estabelecidas pelos órgãos de governança aplicáveis. 0% 10% 20% 30% 40% 50% Observação: Q63: Sua organização segue o modelo das três linhas de defesa articulado pelo IIA? Este gráfico mostra aqueles que escolheram a opção Não estou familiarizado com este modelo participantes. Por que as organizações têm tantas estruturas de governança diferentes? Um motivo é que algumas estruturas organizacionais podem ser desenvolvidas organicamente; portanto, a liderança não tomou decisões racionais explícitas sobre como otimizar a estrutura de governança da organização. Como resultado, o formato do modelo de avaliação varia entre as organizações e também pode ser motivado pelas partes interessadas (e não pela auditoria interna), tais como o conselho e o comitê supervisor (apoiado pelo comitê de auditoria), e pelo que seus membros consideram desejável. O whitepaper do IIA Holanda abordou as preocupações com esses casos, nos quais a auditoria interna é combinada com outras funções de governança. Também notou que, quando a gestão considera funções combinadas, também pode considerar otimizar os ganhos conselho sobre todas as questões de avaliação. Por outro lado, o conselho supervisor pode ter outras considerações, tais como a salvaguarda de ativos e a conformidade com leis e regulamentos, então uma função de auditoria interna Seção 5: Como Implementar a Avaliação Combinada Ao combinar a avaliação, o papel da auditoria interna é fundamental no apoio ao conselho para funciona. Marie-Helene Laimay, CAE, Na implementação da avaliação combinada, um dos diferentes prestadores de avaliação. A partir de entrevistas e outras pesquisas, pode-se concluir que a implementação da avaliação combinada não é algo que possa ser feito de um dia para o outro - ela deve ser considerada uma jornada. As principais lições estão listadas no Documento 12. Uma das lições mais fundamentais é a necessidade de total adesão e apoio por parte da alta administração. Para obter esse apoio em sua organização, Jenitha John, da FirstRand, disse que um membro do comitê executivo foi designado para promover a iniciativa, apoiado pelo comitê de auditoria, enquanto o papel da auditoria interna foi impulsionar a real implementação apoiada pelo conselho. Para dar aos praticantes múltiplas formas de abordar esse

13 Documento 12 Lições Aprendidas Quanto à Implementação da Avaliação Combinada Lições Aprendidas * G. Sarens, L. Decaux, e R. Lenz, Combined Assurance: Case Studies in a Holistic Approach to Organizational Governance Research Foundation, 2012). A auditoria interna tem um papel fundamental em liderar a implementação. A adesão e o apoio são necessários por parte do topo. O valor esperado deve ser articulado de início. Todos os participantes devem chegar a um consenso quanto à taxonomia. Avaliações de controle e classificações de riscos devem ser padronizadas. O nível de maturidade dos diferentes participantes quanto à avaliação combinada deve ser identificado. Combined Assurance: Case Studies in a Holistic Approach to Organizational Governance, escrito pela equipe de pesquisa acadêmica da Université Catholique de Louvain (Bélgica).* Outro conjunto de diretrizes úteis foi desenvolvido por Larry Rittenberg, Chair Emeritus do Committee of Sponsoring Organizations of the Treadway Commission (COSO).** Ele recomenda os seguintes passos para a implementação da avaliação combinada: Venda o peixe do negócio. Esclareça os benefícios da implementação da avaliação combinada e estime os custos do projeto para fazê-lo. Faça um inventário dos prestadores de avaliação. Faça um inventário de todos os envolvidos que auxiliem a gestão fornecendo avaliações de riscos e controles na organização. ** Larry Rittenberg, Internal Audit Challenges: Integration of Strategy, Risk, Control, and Combined Assurance. Apresentação feita na Clain Conference, 17 de Maio de Mapeie os riscos para os prestadores de avaliação. Mapeie os riscos e os relacione aos prestadores de avaliação que os monitoram Desenvolva o plano de avaliação combinada. Identifique quem prestará avaliação em todo o universo de riscos, incluindo o papel da auditoria interna, especificando qual tipo de avaliação será prestado. Crie um roteiro de implementação. Defina um roteiro com principais marcos. Um deles deve ser o alinhamento das definições e classificações de riscos usadas pelos prestadores de avaliação, para servir de base para a implementação de um modelo eficaz de avaliação combinada. Planeje a melhoria contínua. Examine o modelo de avaliação regularmente, identificando áreas de melhoria e decidindo como as informações e os serviços de avaliação para a administração podem ser otimizados. Conclusão Ao alinhar e harmonizar as atividades de avaliação e as formas de trabalhar entre as diferentes funções, a entrega de avaliações se torna cada vez mais eficiente e eficaz, evitando a armadilha de sobrecarregar os conselhos com informações até o ponto da fatiga de avaliação. Ao mesmo tempo, é preciso ter cuidado para garantir que a avaliação combinada seja implementada de forma a preservar a distinção entre as três linhas de defesa. Foram identificados benefícios nítidos da implementação da avaliação combinada entre os diferentes prestadores de avaliação. No entanto, o entendimento e a implementação do conceito de avaliação combinada ainda não foram difundidos. Há formas diferentes de combinar avaliações, que dependem dos requisitos específicos e do tipo desejado de integração das atividades em cada organização. Como diz o ditado, todos os caminhos levam a Roma, e entrevistas aprofundadas com CAEs do mundo todo mostram que a implementação da avaliação combinada deve ser vista como uma jornada, e não algo que possa ser feito da noite para o dia.

14 Assim, recomendamos fortemente seguir uma abordagem estruturada, com base em projeto, com um roteiro que inclua marcos claros, para garantir que novas formas de trabalho sejam plenamente implementadas e os benefícios sejam completamente entregues ao longo do tempo. Ponto Principal Ter uma língua, uma voz, uma visão será benéfico para todos, ao apoiar o progresso em direção à plena realização dos objetivos e da estratégia da empresa. Também está claro que a auditoria interna tem um papel fundamental, tanto na implementação e na coordenação das atividades de avaliação combinada, quanto na garantia da melhoria contínua. No entanto, a mensagem mais importante é que a total adesão e apoio por parte da alta administração são essenciais para embarcar na jornada da avaliação combinada. Por fim, ter uma língua, uma voz, uma visão será benéfico para todos, ao apoiar o progresso em direção à plena realização dos objetivos e da estratégia da empresa. Sobre o Autor Sam C. J. Huibers tem ampla experiência em uma variedade de funções de gestão de negócios internacionais, auditoria e assessoria em organizações multinacionais, incluindo a Heineken e a DSM. Como membro do Professional Practices Committee holandês do IIA, ele lidera forças-tarefa tais como as iniciativas de defesa das Três Linhas de Defesa e Project Auditing, e conduz pesquisas em cooperação com o Management Innovation Centre. Ele também é coordenador e palestrante de Excelência em Auditoria Interna, no Executive Internal Auditing Programme, na Amsterdam Business School, na University of Amsterdam. Escreveu diversos artigos sobre auditoria interna, oferece treinamento para auditores e atua como palestrante em conferências internacionais e mesas redondas. Suas credenciais incluem MSc (master of science em administração de negócios), EMIA (executive master internal auditing), RO (certified internal auditor holandês) e certified risk management assurance (CRMA). Mais informações sobre Sam Huibers estão disponíveis no LinkedIn: Agradecimentos O autor agradece os seguintes líderes de auditoria interna, por sua participação nas entrevistas deste projeto: Marie-Helene Laimay, Chief Audit Executive, Jenitha John, QIAL, Chief Audit Executive, FirstRand Ltd., África do Sul Rene Andrich, Gerente de Auditoria Interna, América Latina, Electrolux, e membro do Conselho de Administração do IIA Brasil Qing Xia, Vice Presidente do Departamento de Supervisão e Auditoria, China Unionpay Merchant Services Company, China O autor também agradece o editor (Ian Phillipson) e a revisora (Myriam Southgate), que trabalharam com ele no desenvolvimento deste relatório.

15 Sobre o CBOK FATOS DA PESQUISA Participantes Países Idiomas 14,518* NÍVEIS DOS FUNCIONÁRIOS* Chief audit executive (CAE) 26% Diretor 13% Gerente 17% Equipe 44% *As taxas podem variar por pergunta. O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 ( respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais Europa & Ásia 23% Central América 19% do Norte Oriente Médio & África 8% do Norte América Latina 14% & Caribe África 6% Subsaariana Sul da Ásia 5% Leste Asiático 25% & Pacífico Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

16 Sua Doação Em Ação Os relatórios CBOK estão disponíveis gratuitamente para o público, graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo. Doe Para o CBOK goto/cbok Contate-nos Sede Global do The Institute of Internal Auditors 247 Maitland Avenue Altamonte Springs, Flórida , Estados Unidos Sobre a The IIA Research Foundation O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão. Equipe de Desenvolvimento do CBOK Co-Presidentes do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França) Presidente do Subcomitê da Pesquisa do Praticante: Michael Parkinson (Austrália) Vice Presidente da IIARF: Bonnie Ulmer Comitê de Revisão dos Relatórios Urton Anderson (Estados Unidos) Adil Buhariwalla (Emirados Árabes Unidos) Jenitha John (África do Sul) Marie-Helene Laimay (França) Limitação de Responsabilidade Analista de Dados Primários: Dr. Po-ju Chen Desenvolvedora de Conteúdo: Deborah Poulalion Gerente de Projeto: Selma Kuurstra e Kayla Manning Editora Sênior: Lee Ann Campbell Michael Parkinson (Austrália) Estanislao Sanchez (México) Ad Smits (Países Baixos) Gerard Wolswijk (Países Baixos) A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida. Copyright 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar research@theiia.org. ID # Futuro Governança Risco Talento Perspectiva Global Gestão Normas & Certificações Tecnologia