Uma Visão Global da Auditoria de Serviços Financeiros

Transcrição

1 Uma Visão Global da Auditoria de Serviços Financeiros Desafios, Oportunidades e o Futuro FUTURO Closer Look Jennifer F. Burke CPA, CRP, CFF, CFS Steven E. Jameson CIA, CFSA, CRMA, CPA, CFE CBOK The Global Internal Audit Common Body of Knowledge Patrocinado por

2 Sobre o CBOK FATOS DA PESQUISA Participantes Países Idiomas 14,518* NÍVEIS DOS FUNCIONÁRIOS* Chief audit executive (CAE) 26% Diretor 13% Gerente 17% Equipe 44% *As taxas podem variar por pergunta. O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 ( respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. Pesquisa do Praticante CBOK 2015 Participação das Regiões Globais Europa & Ásia 23% Central América 19% do Norte Oriente Médio & África 8% do Norte América Latina 14% & Caribe África 6% Subsaariana Sul da Ásia 5% Leste Asiático 25% & Pacífico Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

3 Áreas de Conhecimento do CBOK Conteúdos Futuro Sumário Executivo 4 Perspectiva Global 1 Desafios Regulatórios para Auditores Internos de Serviços Financeiros 6 2 Pautas Lotadas dos Comitês de Auditoria e Riscos 9 3 Desafios Devidos à Elevação da Auditoria Interna 11 Governança 4 Maiores Riscos Tecnológicos 14 5 Três Linhas de Defesa 17 Gestão 6 Recursos de Auditoria Interna 20 Conclusão 22 Risco Normas & Certificações Talento Tecnologia

4 Sumário Executivo M uitos na indústria de serviços financeiros concordarão que as coisas nunca foram tão desafiadoras quanto estão hoje. Embora os auditores internos encarem muitas questões em instituições financeiras, este relatório foca nos seguintes desafios principais: 1. Requisitos regulatórios, que estão, geralmente, no topo das listas de riscos da maioria das instituições financeiras 2. Gestão de pautas do comitê de governança, que estão cada vez mais lotadas 3. Expectativas crescentes para os auditores internos 4. Maiores riscos tecnológicos, enquanto cibercriminosos descobrem novas formas de quebrar as barreiras de defesa 5. Coordenação entre todas as linhas de defesa 6. Gestão de alocação de recursos A conformidade regulatória continua no topo da lista de prioridades e, frequentemente, assume o papel principal nas discussões, desde os bastidores até a sala do conselho. Regulações novas e modificadas exigem gastos maiores para estruturação adicional de equipe, novas tecnologias, processos revisados e até mesmo uma redução nas taxas e receitas de instituições financeiras. As mudanças têm sido tão abrangentes que até mesmo parceiros indiretos e fornecedores que atendem instituições financeiras têm sido impactados de maneiras significantes. Aqueles encarregados das atividades de governança e supervisão descobriram sua carga de trabalho em expansão. As demandas de tempo, por reuniões mais frequentes e longas para cobrir pautas crescentes, desafiam as instituições financeiras a se tornarem mais eficientes, para dedicar tempo suficiente ao número sempre crescente de questões que precisam ser discutidas. O número de presentes nessas reuniões também contribui para reuniões mais extensas. Embora os auditores internos tenham, por muito tempo, buscado ser reconhecidos e convidados a fazer parte das discussões estratégicas em suas instituições financeiras, as maiores expectativas, por parte de múltiplas partes interessadas, que elevaram a atividade de auditoria interna também trouxeram desafios singulares. Considerando a natureza da auditoria interna de focar em problemas, fraquezas e riscos não controlados, essas maiores expectativas colocaram uma pressão maior sobre os auditores internos para tomarem as decisões certas - e aumentaram as consequências para aqueles que não o fizerem.

5 Os auditores internos frequentemente alavancaram a tecnologia para garantir uma maior cobertura de auditoria em universos de auditoria expandidos, ainda utilizando recursos limitados com eficácia. Hoje, a tecnologia está expandindo com tanta rapidez que manter o controle eficaz é quase impossível. Para agravar o desafio, os criminosos agora usam a tecnologia para facilitar ataques globais contínuos contra instituições financeiras e seus clientes. Há alguns raios de esperança para os auditores internos em instituições financeiras, conforme novos modelos de defesa são criados e adotados, para vencer os muitos desafios que encaram. As Três Linhas de Defesa são um modelo que tem tido ampla aceitação e adoção no mundo todo nos últimos anos. Os auditores internos em instituições financeiras são desafiados a encontrar novas formas de implementar esse modelo com eficácia, de modo que funcione para suas organizações. Em instituições de menor porte, a linha entre a segunda e a terceira linhas de defesa é, muitas vezes, tênue, desafiando os auditores internos a esclarecer papéis e responsabilidades. Diferenças geracionais, mais requisitos de habilidades, menores fontes de recursos e programas de rotação para o cargo do diretor executivo de auditoria (chief audit executive - CAE) criam desafios para a gestão de recursos de auditoria. Tais desafios sempre fizeram parte do trabalho, para a maioria dos CAEs. Embora este não seja, necessariamente, um desafio novo, os métodos usados no passado para gerir desafios de recursos nem sempre funcionam hoje em dia. Novos métodos e abordagens para aquisição e gestão de recursos devem ser desenvolvidos para funcionar no futuro.

6 1 Desafios Regulatórios para Auditores Internos de Serviços Financeiros Pré-planejar é mais importante agora, quando complexidades adicionais fazem parte das mudanças regulatórias e as organizações precisam se planejar para uma receita menor devido a algumas das mudanças. James Alexander, Unitus Community Credit Union, Portland, Oregon P ergunte a auditores internos de serviços financeiros o que os mantém acordados à noite e a maioria vai citar os desafios regulatórios no topo de sua longa lista de riscos principais. Houve um tempo em que a conformidade regulatória era deixada, principalmente, nas mãos dos departamentos jurídico e de compliance, permitindo que os auditores internos focassem em questões financeiras e operacionais. Hoje, a conformidade regulatória atinge todas as funções de uma instituição financeira. O risco regulatório e o de conformidade Documento 1 Áreas de Risco nas quais os CAEs Planejam Focar em 2015 Área de Risco Porcentagem de Resposta Conformidade/regulatória 83% Operacional 78% Avaliação/Eficácia do Gerenciamento de Riscos atingiram o topo da lista quando CAEs do mundo todo escolheram os cinco principais riscos nos quais seus departamentos de auditoria interna estão focando sua maior atenção em Os riscos de conformidade e regulatório foram seguidos pelo risco operacional (veja o Documento 1). CAEs do setor financeiro também indicam que seus planos de auditoria focam nessas áreas, apesar de planejarem dedicar mais do plano de auditoria a questões operacionais do que no foco em conformidade (veja o Documento 2). 68% Tecnologia da Informação 67% Riscos estratégicos do negócio 53% Observação: Q66: Por favor, identifique os cinco principais riscos nos quais seu departamento de auditoria interna está focando o maior nível de atenção em CAEs apenas. Filtrada pelo setor financeiro. 582 participantes. Documento 2 Áreas de Risco com Maior Porcentagem do Plano de Auditoria de 2015 Área de Risco Porcentagem do Plano de Auditoria Operacional 25% Conformidade/regulatória 16% Avaliação/Eficácia do Gerenciamento de Riscos 14% Tecnologia da Informação 11% Riscos estratégicos do negócio 10% Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde às seguintes categorias de risco? CAEs apenas. Filtrada pelo setor financeiro. 558 participantes.

7 Os bancos de Wall Street e seus rivais estrangeiros pagaram $100 bilhões em acordos jurídicos nos EUA desde a crise financeira, com mais da metade das penalidades extraídas no último ano. FinancialTimes.Com, 25 de Março de 2014 Novas Agências e Leis Regulatórias no Mundo Todo No passado, as mudanças regulatórias pareciam ser menos impactantes. Elas podiam afetar o que ou o quanto era divulgado aos consumidores, os formulários de divulgação podiam ser revisados e por aí vai. Mudanças recentes, nos últimos anos, parecem não impactar apenas o que e o quanto é publicado em formulários de divulgação, mas também exigem mudanças operacionais substanciais nos sistemas e processos. Essas mudanças parecem ter um efeito pirâmide em múltiplos sistemas e unidades operacionais. As mudanças de hoje são maiores e mais invasivas em operações bancárias. Novas agências regulatórias, com poderes maiores e mais amplos, foram criadas para supervisionar e monitorar instituições financeiras. A Financial Services Authority na Indonésia, a Financial Conduct Authority e a Prudential Regulation Authority no Reino Unido, e o Consumer Financial Protection Bureau nos Estados Unidos são apenas alguns exemplos de novos órgãos de governança que estão surgindo no mundo todo. Novas leis e regulações foram aplicadas com volume e frequência sempre maiores. Exemplos de regulações novas e revisadas incluem o Basel III, um conjunto abrangente de medidas de reforma para fortalecer a regulação, supervisão e gerenciamento de riscos desenvolvido pelo Basel Committee do Bank of International Settlements, e a diretiva revisada Markets in Financial Instruments (MiFID II) e a regulação Markets in Financial Instruments (MiFIR), ambas da União Europeia. No passado, o estabelecimento de leis e regulações novas ou revisadas incluía coleta de consensos e períodos suficientes de implementação para garantir que aqueles afetados fossem capazes de implementar as regulações novas e revisadas. Essa abordagem foi deixada de lado, com um processo que enfatiza a rapidez sob o mantra da proteção dos consumidores e investidores a qualquer custo. Muitos descrevem essa nova abordagem como regulação por execução. Multas e penalidades recorde, atingindo facilmente os bilhões de dólares, têm sido cobradas de instituições financeiras nos últimos anos. Tradicionalmente, os auditores internos da indústria de serviços financeiros não estiveram muito envolvidos na auditoria de conformidade regulatória. Auditorias ou revisões de conformidade regulatória eram geralmente conduzidas por um grupo separado de conformidade. Nos últimos anos, especialmente por conta do impacto operacional das mudanças regulatórias e do maior risco de falta de conformidade regulatória, os grupos de auditoria interna se tornaram muito mais envolvidos em questões de conformidade regulatória, incluindo a auditoria de conformidade ou o grupo de compliance, acompanhando e monitorando a conformidade com leis e regulações, avaliando o impacto operacional das mudanças de conformidade, garantindo que existem sistemas em prática para monitorar as reclamações dos consumidores, avaliando a adequação do treinamento regulatório para os funcionários e servindo como ligação entre sua instituição financeira e os exércitos de reguladores que visitam ou estão permanentemente alocados em suas instituições financeiras.

8 Devido ao escrutínio dos bancos, os reguladores estão aumentando sua dependência da auditoria interna e, portanto, muitos bancos estão considerando criar equipes de auditoria específicas para se concentrarem apenas nos pedidos dos reguladores. Isso aliviará as limitações de capacidade que as equipes de auditoria encaram. Jenitha John, CAE, FirstRand, South Africa As expectativas dos reguladores para os auditores internos cresceram significativamente. Essas expectativas podem variar com base no porte da instituição e no regulador específico que pode supervisionar a operação. Em muitos casos, as expectativas regulatórias vão além das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) do IIA para instituições financeiras, especialmente nas áreas de independência, estrutura de reporte, cobertura de auditoria, relatórios de auditoria e gestão desafiadora. Em alguns países, os reguladores também podem esperar que a auditoria interna revise e comente sobre a cultura de risco e controle da organização. Essas expectativas foram aumentadas ao ponto de que alguns sugerem que, talvez, a auditoria interna devesse ter um relacionamento formal e direto de reporte aos reguladores. Vários relacionamentos indiretos de reporte já estão em prática em alguns países. Em uma expansão sem precedentes da autoridade regulatória, até os fornecedores que atendem instituições financeiras foram atingidos pelo escrutínio das agências regulatórias de serviços financeiros. Embora os reguladores, normalmente, não sejam capazes de regular diretamente as organizações de serviços não financeiros, novas leis e regulações foram aplicadas e executadas em instituições financeiras de tal maneira que os fornecedores que atendem instituições financeiras devem estar em conformidade, ou arriscam ser desqualificados como prestadores de serviço. O risco reputacional pode aumentar o escrutínio regulatório sobre a instituição financeira, mesmo quando um fornecedor tem uma questão isolada com um serviço não fundamental. A conformidade regulatória já foi uma consideração principalmente voltada para instituições financeiras. Hoje, leis e regulações foram aplicadas e executadas de modo que as fontes de receita estão sendo afetadas. O inventário de riscos relativo à conformidade regulatória já está carregado de maiores custos, menores receitas, grandes mudanças operacionais e tecnológicas, relacionamentos com fornecedores, multas potenciais, penalidades e restituições de cobranças aos consumidores. No entanto, para aumentar a intensidade, também se pode acrescentar o risco estratégico e reputacional à lista. As questões de conformidade regulatória estão no cerne de ações judiciais coletivas, ações de investidores e brigas de procuração, demandas de grupos de defesa ao consumidor, memorandos públicos de entendimento dos reguladores e a pressão por parte dos conselhos de administração para resolver as questões. O fardo regulatório fez com que algumas instituições financeiras buscassem parceiros de fusão, já que o fardo estava pesado demais para carregar como uma entidade única.

9 2 Pautas Lotadas dos Comitês de Auditoria e Riscos O tempo do comitê de auditoria e do comitê de riscos se tornou uma commodity preciosa, conforme as pautas das reuniões continuam aumentando para abordar responsabilidades adicionais advindas de uma série de fontes. As expectativas dos acionistas e investidores continuam crescendo e as expectativas dos reguladores não mostram sinais de diminuição. Os conselhos de administração recorreram aos comitês de auditoria e riscos para ajudá-los a cumprir com as responsabilidades fiduciárias e oferecer algum nível de limitação de responsabilidade contra processos judiciais e ações regulatórias. As reuniões dos comitês de auditoria e de riscos continuam crescendo em frequência e duração. De acordo com os participantes da pesquisa, o setor financeiro tem o maior número médio de reuniões formais do comitê de auditoria, em comparação com todos os outros tipos de organizações, com uma média de 6,7 reuniões por ano (veja o Documento 3). Além do setor financeiro ter um maior número de reuniões, o tempo alocado para cada item da pauta reduz conforme o número de itens e apresentadores cresce. As questões a abordar cresceram em complexidade, exigindo discussões mais longas. Mais requisitos de qualificação para membros dos comitês de auditoria e de riscos resultaram em mais perguntas, o que exige mais explicações e discussões nas reuniões. Embora o maior envolvimento e interação por parte do comitê de auditoria sejam, normalmente, algo positivo, exigem mais tempo e esforço para acomodar as maiores interações. Documento 3 Número Médio de Reuniões Formais do Comitê por Ano Tipo de Instituição Número Médio de Reuniões Setor financeiro (públicas e privadas) 6,7 Públicas (excluindo o setor financeiro) 6,4 Organizações Sem Fins Lucrativos 6,2 Setor público (incluindo agências governamentais e operações do governo) 5,9 Outro Tipo de Organização 5,6 Privadas (excluindo o setor financeiro) 5,3 Observação: Q78: Aproximadamente, quantas reuniões formais do comitê de auditoria foram realizadas no último ano fiscal? CAEs apenas participantes.

10 O elenco de personagens em qualquer reunião cresceu, incluindo diretores como chief executive officers (CEOs), chief financial officers (CFOs), CAEs, chief risk officers (CROs), chief compliance officers (CCOs), chief technology officers (CTOs), chief privacy officers (CPOs), conselheiros jurídicos, gerentes das unidades de negócios para apresentação de relatórios, gerentes de revisão de empréstimos, executivos de segurança, executivos de BSA/AML, auditores externos e conselheiros e consultores externos. Acrescente sessões executivas periódicas para os comitês, assim como reuniões privadas com auditores internos e externos, e não é à toa que as reuniões ficam lotadas e, frequentemente, parecem apressadas. Para lidar com os desafios da pauta lotada, muitas instituições financeiras acrescentaram ou aumentaram as sessões entre as reuniões, promovem conferências telefônicas entre os presidentes dos comitês e o CAE e publicam ou enviam os materiais da reunião, para que os membros do comitê possam se preparar com antecedência e ajudar a acelerar as discussões. Os pacotes de materiais para reunião aumentaram muito de tamanho, por conta de questões complexas que exigem explicações adicionais. Os CAEs continuam tendo dificuldades com os desafios de redigir relatórios de auditoria voltados para múltiplos públicos, considerando que cada um exige diferentes níveis de detalhe. Por exemplo: Membros do conselho precisam de relatórios focados nos riscos estratégicos de alto nível. A gerência executiva precisa de dados mais específicos para identificar ações corretivas. A gerência operacional precisa, muitas vezes, de detalhes extensos, para que possa revisar os sistemas e processos para implementar apropriadamente mudanças complexas. Com as maiores expectativas, é muito difícil para os comitês de auditoria e de riscos garantir sua eficácia no ambiente atual. Deve-se alocar tempo adicional para cobrir as pautas maiores e as discussões mais longas. É imperativo que os CAEs garantam que as reuniões do comitê de auditoria tenham foco nos tópicos mais importantes e que os planos de auditoria com base em riscos sejam desenvolvidos para abordar as questões preocupantes para a gerência e o comitê de auditoria. Relatórios de auditoria sucintos e impactantes podem contribuir para o uso eficiente do tempo dos membros da administração e do comitê de auditoria e facilitam discussões mais eficazes nas reuniões.

11 3 Desafios Devidos à Elevação da Auditoria Interna C AEs desejaram, por muito tempo, ser elevados em sua posição e reconhecimento, para facilitar a independência, agregar valor e importância às recomendações de auditoria, interagir com a gerência executiva e membros do conselho com maior frequência, e obter mais conhecimentos de primeira mão e contribuições para iniciativas estratégicas. Parece que o ditado do cuidado com o que você deseja se tornou realidade para muitos, trazendo consigo oportunidades e desafios. CAEs estão se encontrando no meio de quase qualquer problema imaginável. As expectativas da gerência, diretores, reguladores e auditores externos aumentaram o nível de exigência para o desempenho da auditoria interna. Essas partes interessadas da auditoria interna estão, frequentemente, em lados opostos com relação às suas expectativas de auditoria interna, colocando a profissão na posição difícil de servir múltiplos mestres inconsistentes. Os auditores internos em instituições financeiras muitas vezes precisam ir além do que as Normas exigem em termos de governança, envolvimento estratégico, reporte e decisões de gestão desafiadora para atender as expectativas. Adicionalmente, os auditores de serviços financeiros reportam diretamente ao comitê de auditoria com muito mais frequência do que os auditores internos em outras indústrias. De acordo com os participantes da pesquisa, 69% dos auditores internos de serviços financeiros reportam diretamente ao comitê de auditoria, em comparação com apenas 54% em todas as outras indústrias (veja o Documento 4). As maiores expectativas aumentaram a carga de trabalho da auditoria interna e o cronograma de auditoria, esticando os recursos ainda mais. Documento 4 Reporte Funcional dos CAEs aos Comitês de Auditoria Setor financeiro (públicas e privadas) 69% Organizações Sem Fins Lucrativos 62% Públicas (excluindo o setor financeiro) Outro Tipo de Organização 56% 53% Setor público (incluindo agências governamentais e operações do governo) Privadas (excluindo o setor financeiro) 44% 43% Média 54% 0% 20% 40% 60% 80% 100% Observação: Q74: Qual é a linha de reporte funcional principal para o diretor executivo de auditoria (chief audit executive - CAE) ou equivalente em sua organização? CAEs apenas participantes.

12 Assistência Prestada a Auditores Externos Tradicionalmente, auditores internos frequentemente dedicam recursos substanciais a suplementar ou auxiliar os auditores externos. Isso ainda ocorre, mas agora os grupos de auditoria interna devem, também, suplementar e auxiliar os examinadores regulatórios quase tanto quanto - ou mais do que - os auditores externos. Em alguns casos, novos reguladores contábeis colocaram restrições adicionais sobre a dependência do trabalho dos auditores internos, resultando em trabalho e taxas adicionais por parte dos auditores externos. Isso, por sua vez, pode fazer com que a administração e membros do conselho questionem os recursos alocados para a auditoria interna, já que têm que pagar taxas adicionais aos auditores externos e até mesmo a agências reguladoras. De acordo com os participantes da pesquisa, em comparação com todas as outras indústrias, a classificação da indústria financeira e de seguros é a mais provável de prestar apoio aos auditores externos, com apenas 16% relatando que não dão apoio aos auditores externos. Adicionalmente, o setor de serviços financeiros gasta mais tempo no apoio aos auditores externos - 34% gastaram mais de 4 semanas de trabalho, enquanto 17% deles gastaram mais de 8 semanas de trabalho em atividades de apoio (veja o Documento 5). Os requisitos para garantir que as recomendações de auditoria sejam aplicadas colocaram maior ênfase na formalidade dos programas de acompanhamento de auditoria interna. O acompanhamento deve ir além de simplesmente pedir à gerência para confirmar a implementação das recomendações. A realização de testes para validar a implementação oportuna está se tornando mais importante e aumentando a carga de trabalho de auditoria, sobrecarregando recursos já limitados. Os participantes da pesquisa indicam que outras indústrias têm maior probabilidade de encarregar o proprietário do processo como responsável primário pela ação de acompanhamento (25% em média, em comparação com 19% em serviços financeiros), enquanto os auditores internos de serviços financeiros têm maior probabilidade de compartilhar essa responsabilidade com os proprietários do processo (54%, em comparação com a média geral de 50%). (Fonte: Q52, participantes.) Novamente, os recursos de auditoria interna no setor de serviços financeiros estão esticados ao máximo, devido a essa responsabilidade adicional. Documento 5 Número de Semanas por Ano em que a Auditoria Interna Apoia a Auditoria Externa Mais do que 8 semanas Mais do que 4 semanas, até 8 semanas 17% 17% 1 a 4 semanas Até 1 semana 23% 26% Nenhuma 16% 0% 10% 20% 30% 40% 50% Observação: Q51: Aproximadamente, quantas semanas de trabalho o departamento de auditoria interna de sua organização dedicou, no ano passado, a atividades de apoio à auditoria externa? CAEs apenas. Filtrada pelo setor financeiro. 560 participantes.

13 Reguladores Pedem que os Auditores Internos Desafiem a Administração A elevação da importância da auditoria interna por parte dos reguladores aumentou o escopo dos exames para além de simplesmente olhar alguns relatórios e papéis de trabalho, para avaliações mais abrangentes de todos os aspectos da auditoria interna. Em alguns casos, os reguladores quase parecem estar tentando fazer dos grupos de auditoria interna uma extensão dos próprios reguladores. É pedido que os auditores internos driblem os processos normais ou tradicionais de resolução na gestão desafiadora, reportando ao conselho e até reportando questões diretamente aos reguladores. Muitos auditores internos preocupam-se que os resultados de seu trabalho possam ser usados pelos reguladores para citar deficiências adicionais nos relatórios de exame regulatório. James Alexander, chief risk officer da Unitus Community Credit Union, em Portland, Oregon, acredita que um bom sistema de acompanhamento para os comentários do relatório de auditoria pode reduzir o potencial de reguladores citarem os comentários de relatórios de auditoria interna como descobertas do exame. Processos tradicionais de resolução de discordâncias, tipicamente, resolviam muitos problemas antes que esses itens fossem reportados ao conselho ou reguladores. As expectativas maiores dos reguladores pedem que os auditores internos desafiem a administração se houver diferenças de opinião e que busquem evidências de que essas situações foram escaladas para o comitê de auditoria ou conselho. A elevação da auditoria interna certamente tem seus benefícios, mas também tem seus desafios. Com maiores expectativas, mais reporte e mais responsabilidade vêm mais requisitos para que os auditores internos estabeleçam as salvaguardas apropriadas para independência, objetividade, diligência devida e comunicação com todas as partes.

14 4Maiores Riscos Tecnológicos A s capacidades tecnológicas estão crescendo mais rápido do que as organizações conseguem acompanhar, interpretar, avaliar e controlar o acesso a dados sensíveis. Usando a tecnologia, criminosos são capazes de responder e explorar vulnerabilidades mais rapidamente do que as organizações podem proteger e restringir o acesso. Os ladrões de banco da atualidade vêm armados com tecnologia, em vez de armas. Trabalham nos bastidores e podem estar em qualquer lugar do mundo. Suas tentativas de acessar inapropriadamente os dados sensíveis de instituições financeiras podem ser feitas eletrônica e ininterruptamente, 24 horas por dia. Como resultado, os auditores internos do setor financeiro têm níveis muito maiores de atividade para riscos de TI do que outros tipos de indústrias (veja o Documento 6). Documento 6 Atividade de Auditoria Interna para Riscos Gerais de TI 50% 40% 35% 47% 43% 44% 41% 44% 30% 20% 24% 21% 20% 27% 23% 25% 22% 23% 10% 5% 13% 12% 8% 10% 11% Setor financeiro (públicas e privadas) Setor público (incluindo agências governamentais e operações do governo) Públicas (excluindo o setor financeiro) Privadas (excluindo o setor financeiro) Organizações Sem Fins Lucrativos Nenhuma Mínima Moderada Extensiva Observação: Q92: Para a segurança da tecnologia da informação (TI), em especial, qual a extensão da atividade em seu departamento de auditoria interna com relação às áreas a seguir? Tópico: Riscos gerais de tecnologia da informação (TI) participantes.

15 A competência da auditoria interna na análise de dados e condução do monitoramento contínuo está aumentando e isso é uma área a considerar no planejamento de capacidades. Jenitha John, CAE, FirstRand, South Africa O Amplo Impacto dos Riscos de Cibersegurança Cibersegurança, ameaças avançadas persistentes e privacidade tornaram-se alguns dos tópicos mais populares nos radares dos auditores internos. Conforme exibido no Documento 1 e Documento 2, os riscos de tecnologia da informação (TI) ficam em quarto lugar nos principais riscos identificados pelos CAEs e na porcentagem de tempo dedicado a auditar esses riscos. E não são apenas os auditores internos que estão focando nesses tópicos. Podemos acrescentar a alta administração, conselhos de administração, reguladores e investidores à lista das partes preocupadas com esses riscos. Por conta das violações de dados amplamente divulgadas, todos estão bem cientes do risco reputacional e impacto negativo que essas violações podem causar. Esforços de recuperação podem ser custosos, extremamente demorados e podem resultar em grandes reformulações organizacionais. Muitos dizem que não é uma questão de se você for violado, mas sim de quando você for violado, e que planos para reparação devem ser bem desenvolvidos e testados antes que uma violação ocorra. Os auditores internos do setor financeiro veem o risco de uma violação de dados como mais extensiva do que em outros setores: 43% descrevem o risco como extensivo, em comparação com uma média de 34% (veja o Documento 7). Atividades de Preparação e Recuperação A continuidade do negócio, retomada e recuperação tornaram-se igualmente ou mais importantes do que as tentativas de restringir ou prevenir violações de dados. Controles mais amplos e holísticos de dados e privacidade, e programas que cobrem o espectro inteiro - da preparação, detecção e análise, contenção, erradicação e recuperação, até atividades pós-incidente - são necessários. O envolvimento ativo dos auditores internos no teste de planos de prontidão pode trazer grandes resultados quando o evento inevitável acontecer. O teste de prontidão evoluiu, partindo de recursos internos e alguns fornecedores, incluindo hoje organizações tais como o Financial Services Information Sharing and Analysis Center (FS-ISAC), um recurso da indústria global de serviços financeiros para análise e compartilhamento de informações sobre ameaças cibernéticas e físicas. Documento 7 Risco de Violação de Dados Descrita como Extensiva Setor financeiro (públicas e privadas) Organizações Sem Fins Lucrativos 41% 43% Setor público (incluindo agências governamentais e operações do governo) Privadas (excluindo o setor financeiro) 32% 31% Públicas (excluindo o setor financeiro) 26% Média 34% 0% 10% 20% 30% 40% 50% 54% Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas emergentes de tecnologia da informação (TI) a seguir? Tópico: Violações de dados que podem prejudicar a marca da organização participantes.

16 Acrescentando os Riscos de Big Data aos Planos de Auditoria O Big Data está criando desafios para as organizações, na forma como armazenam, gerenciam, protegem e usam esse recurso vasto e sempre crescente. Em 2013, foi relatado que 90% de todos os dados do mundo foram gerados nos dois anos anteriores (ScienceDaily.com, 22 de Maio de 2013). A coleta de dados de riscos e governança de informação são tópicos para os auditores internos considerarem no desenvolvimento de seus planos de auditoria com base em riscos. Conectividade e Dispositivos Móveis Novas tecnologias estão criando desafios únicos para as organizações e grupos de auditoria interna. O controle de acesso não está mais limitado a bloquear sua estação de trabalho. A internet, mídias sociais, dispositivos móveis, acesso remoto e outros dispositivos ou métodos abriram muitos pontos de entrada a controlar. Usuários de toda a organização são, frequentemente, capazes de executar softwares não aprovados sem passar pelos canais normais de controle. Coordenar as novas tecnologias em conjunto com os sistemas legado usados por muitas instituições financeiras pode apresentar desafios adicionais no monitoramento e controle das informações da instituição financeira. Esses desafios tecnológicos trazem uma série de questões para os departamentos de auditoria interna do setor financeiro. Ter conhecimento especializado na equipe para lidar com os riscos tecnológicos sempre em mudança é custoso e difícil de conseguir, devido ao número limitado de especialistas nessa área. No mundo todo, apenas 10% dos participantes da pesquisa disseram que têm uma certificação de auditoria de sistemas da informação e apenas 3% têm certificação de segurança de TI (Q13, participantes). Depender de consultores para conduzir auditorias tecnológicas pode, também, ser custoso e exige supervisão e gestão adicionais. Devido à velocidade com a qual a tecnologia muda, o perfil de risco tecnológico da instituição está em constante mudança e adaptação, exigindo que os departamentos de auditoria interna auditem um alvo em movimento.

17 5 Três Linhas de Defesa O Modelo das Três Linhas de Defesa (veja Documento 8) ganhou popularidade e ampla utilização entre auditores internos do mundo todo. De acordo com os participantes da pesquisa, 78% dos profissionais do setor financeiro do mundo todo dizem seguir o Modelo das Três Linhas de Defesa, com a auditoria interna como a terceira linha de defesa (veja Documento 9 na página a seguir). Esta porcentagem é muito maior do que em outros tipos de organização. Embora o modelo esteja se tornando mais popular, entendido e aceito, é questionado o quanto ele deve ser flexível. Todas as três linhas de defesa devem existir, de alguma forma, em todas as instituições financeiras, não importando seu porte ou complexidade. O gerenciamento de riscos, normalmente, é mais forte quando há três linhas de defesa separadas e claramente identificadas. Em prática, especialmente em algumas instituições de pequeno e médio porte, uma abordagem misturada tem sido implementada. Por exemplo, algumas instituições consolidaram ou combinaram algumas segundas linhas de defesa com a auditoria interna. Pode-se pedir ou encarregar os auditores internos da responsabilidade de prestar auditorias de conformidade, quando um departamento separado de compliance não existir; executar revisões de empréstimos, sem um departamento separado de revisão de empréstimos; coordenar as atividades de gerenciamento de riscos corporativos (enterprise risk management - ERM) ou lidar com a segurança física e/ou de TI. Alguns CAEs estão buscando respostas sobre como implementar o Modelo das Três Linhas de Defesa apropriada e eficazmente. Documento 8 O Modelo das Três Linhas de Defesa Órgão de Governança / Conselho / Comitê de Auditoria Alta Administração 1ª Linha de Defesa Controles da Gerência Medidas de Controle Interno 2ª Linha de Defesa Controle Financeiro Segurança Gerenciamento de Riscos Qualidade Inspeção 3ª Linha de Defesa Auditoria Interna Auditoria Externa Regulador Conformidade Observação: Adaptado da Orientação ECIIA/FERMA sobre a 8th EU Company Law Directive, artigo 41, conforme mostrado na Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, Janeiro de 2013.

18 Salvaguardas para uma Abordagem Misturada para as Três Linhas de Defesa É importante para a auditoria interna ser capaz de cumprir com seus deveres com objetividade e não ser influenciada indevidamente por gerentes das operações diárias. Algumas organizações podem ter grupos de avaliação interna, incluindo auditoria interna e algumas partes da segunda linha de defesa, que reportam administrativamente a um único executivo. Um relacionamento de reporte administrativo misturado deve ser desenvolvido, de modo a não interferir com o reporte funcional do CAE diretamente ao comitê de auditoria da instituição. É importante garantir que a auditoria interna reporte funcionalmente diretamente ao comitê de auditoria, quando elementos diferentes das três linhas de defesa reportam administrativamente ao mesmo executivo. Salvaguardas adicionais também podem ser estabelecidas para ajudar a manter a independência e objetividade da auditoria interna; avaliações de qualidade da auditoria interna; revisões externas de conformidade, revisão de empréstimos, segurança e ERM; conceder acesso aos Documento 9 Uso do Modelo das Três Linhas de Defesa 100% 80% 78% 60% 55% 40% 43% 38% 41% 40% 35% 38% 24% 20% 0% 3% 10% 8% Setor financeiro (públicas e privadas) 7% 15% Públicas (excluindo o setor financeiro) 5% 13% Setor público (incluindo agências governamentais e operações do governo) 18% 7% 8% Organizações Sem Fins Lucrativos 15% Privadas (excluindo o setor financeiro) Sim e a auditoria interna é considerada a terceira linha de defesa. Sim, mas a auditoria interna é considerada a segunda linha de defesa em nossa organização. Sim, mas a distinção entre a segunda e terceira linhas de defesa não é clara. Não ou não se aplica Observação: Q63: Sua organização segue o modelo das três linhas de defesa articulado pelo IIA? Aqueles que responderam Não estou familiarizado com este modelo foram excluídos dos cálculos. Devido ao arredondamento, alguns totais podem não somar 100% participantes.

19 comitês do conselho para gerentes encarregados de compliance, revisão de empréstimos e segurança, etc. Garantir que esses grupos não tenham responsabilidades operacionais ou de tomada de decisões gerenciais com divulgação apropriada e transparência no estatuto de auditoria interna, relatórios e outras comunicações pode promover a independência e objetividade em um relacionamento combinado de reporte administrativo de acordo com o Modelo das Três Linhas de Defesa. Na indústria altamente regulada dos serviços financeiros, exames regulatórios que revisem esses acordos combinados de reporte, e as salvaguardas em prática para promover a independência e objetividade podem ser usados para ajudar a validar a adequação da estrutura. Ter um executivo a quem todos os grupos de avaliação interna reportem diretamente também pode servir como uma salvaguarda, que pode fortalecer a independência e objetividade de todos esses grupos. Essa abordagem pode promover uma melhor comunicação e coordenação entre múltiplos grupos de avaliação, de modo que a informação possa ser alavancada e que o trabalho duplicado minimizado, resultando em programas mais eficientes e eficazes. A Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, reconhece que, Já que cada organização é única e situações específicas variam, não há uma forma certa de coordenar as Três Linhas de Defesa. A declaração também registra que em situações excepcionais que podem surgir, especialmente em pequenas empresas, certas linhas de defesa podem ser combinadas. Por exemplo, há casos em que foi solicitado que a auditoria interna estabelecesse ou gerenciasse as atividades de gerenciamento de riscos ou conformidade. Nessas situações, a auditoria interna deve comunicar claramente ao órgão de governança e à alta administração o impacto da combinação. Se responsabilidades duplas forem delegadas a uma única pessoa ou departamento, seria apropriado considerar separar a responsabilidade por essas funções em um momento posterior para estabelecer as três linhas. CAEs devem garantir que a informação seja compartilhada e as atividades coordenadas para o gerenciamento eficaz dos riscos e controles de cada organização. O desenvolvimento de políticas e procedimentos formais pode auxiliar nesse sentido.

20 6 Recursos de Auditoria Interna Tendo em vista a necessidade, por parte das funções de auditoria de serviços financeiros, de evoluir seu foco de riscos financeiros para riscos mais operacionais, os históricos de quem estamos recrutando também estão evoluindo. Agora, buscamos candidatos com graduações como finanças, estratégia organizacional, estatística e gestão de cadeia de fornecimento. Mark Howard, Vice- Presidente Sênior e CAE, USAA, San Antonio, Texas A s expectativas da administração, dos membros do conselho e dos reguladores para em relação aos auditores internos cresceram além do conhecimento típico de contabilidade e finanças que era a característica tradicional de todos os auditores internos. Agora, eles também devem ter conhecimento de tecnologia, operações comerciais, serviços financeiros, comunicação, conformidade regulatória, cibersegurança, privacidade, gestão de fornecedores, continuidade do negócio, Documento 10 Habilidade questões jurídicas, análise quantitativa e por aí vai. Na maioria das organizações, não é possível simplesmente continuar contratando mais pessoas para obter essas habilidades. De acordo com os participantes CAEs da pesquisa, a indústria de serviços financeiros tem habilidades prioritárias diferentes de outras indústrias, com maior ênfase no conhecimento específico da indústria, finanças, gerenciamento de riscos e TI (veja o Documento 10). Curiosamente, há menor ênfase nas habilidades de Principais Habilidades que CAEs do Setor Financeiro Buscam para a Equipe Setor Financeiro Setores Não Financeiros Lacuna Pensamento Analítico/Crítico 66% 64% 2% Habilidades de Comunicação 52% 51% 1% Avaliação de Gerenciamento de Riscos 48% 41% 7% Conhecimento Específico da Indústria 45% 33% 12% Tecnologia da Informação (Geral) 43% 37% 6% Contabilidade 36% 45% -9% Mineração e Análise de Dados 32% 31% 1% Finanças 30% 21% 9% Tino Comercial 26% 27% -1% Auditoria de Fraude 21% 23% -2% Cibersegurança e Privacidade 16% 13% 3% Investigações Forenses e Demais 13% 15% -2% Conhecimento Jurídico 10% 12% -2% Controles de Qualidade (Six Sigma; ISO) 4% 8% -4% Outras 3% 4% -1% Observação: Q30: Quais habilidades você está recrutando ou desenvolvendo mais em seu departamento de auditoria interna? (Escolha até cinco.) CAEs apenas participantes.

21 contabilidade. Os conjuntos de habilidades individuais do auditor devem ser desenvolvidos de modo que auditores multitalentosos possam ser utilizados para auditar disciplinas diversas. Desenvolver auditores internos com essas novas habilidades tem seus desafios. Por exemplo, foi relatado na General Audit Management Conference de 2015 do IIA que o número de auditores e contadores desempregados na América do Norte está em seu mínimo e menos alunos estão escolhendo a formação em contabilidade. CAEs estão expandindo buscas de recrutamento e considerando históricos educacionais diferentes da contabilidade tradicional. Diferenças geracionais estão reformulando os ambientes de trabalho e criando desafios para as abordagens tradicionais de compensação e administração. Considerações relativas ao equilíbrio entre o trabalho e a vida pessoal têm prioridade para benefícios para gerações mais novas. Horários flexíveis de trabalho e licenças mais generosas estão se tornando mais comuns. Felizmente, a tecnologia permitiu mais oportunidades de trabalho remoto para equipes de auditoria. As habilidades tecnológicas agora são obrigatórias para qualquer auditor que entre para o mercado de trabalho. A tecnologia também é uma área onde as organizações precisam, muitas vezes, obter recursos externos ou terceirizados para complementar os recursos da equipe. Novos sistemas ou ferramentas de software também podem ser necessárias para complementar os recursos de auditoria interna. Maiores orçamentos e mais treinamentos podem ser necessários para implementar, com eficácia, as auditorias expandidas de tecnologia. CAEs rotativos que atuam como diretores de auditoria interna por tempo limitado, embora expandam as abordagens e métodos de auditoria, também estão criando desafios tais como a continuidade nas abordagens de auditoria, questões de independência e até mesmo a dúvida de se CAEs rotativos entendem ou se importam com as Normas do IIA, avaliações de qualidade, etc. Pode faltar comprometimento para treinamentos e certificações de auditoria interna. Mudanças organizacionais podem afetar o timing e as oportunidades de saídas favoráveis ou a volta a unidades operacionais para CAEs rotativos. No entanto, alguns benefícios podem advir do trabalho de CAEs rotativos, como a liderança comprovada com um assento existente à mesa, mais insights de negócio, e relacionamentos comerciais existentes que podem ser alavancados para agregar valor e aumentar a confiança na função de auditoria.

22 Conclusão S empre haverá desafios para auditores internos na indústria de serviços financeiros. Embora os desafios possam ser agrupados em categorias comuns com temáticas parecidas ao longo dos anos, sempre haverá variações únicas para testar a criatividade e a engenhosidade daqueles encarregados de lidar com os desafios. O ambiente continuará mudando e apresentando novas oportunidades de desenvolver estratégias inovadoras para abordar esses desafios. Os auditores internos que se posicionam e abordam com eficácia os desafios que encaram podem demonstrar suas contribuições positivas para as organizações que servem. Eles serão reconhecidos como líderes eficazes e, por sua vez, continuarão elevando sua posição e reputação no ambiente de trabalho. Em conjunto com esse reconhecimento, provavelmente obterão desafios adicionais, conforme seu papel na organização continua crescendo em importância. Os auditores internos de maior sucesso aprenderão com suas lições do passado e continuarão lutando por melhorias, por meio de técnicas e práticas inovadoras, profissionalismo, evolução contínua e dedicação à profissão da auditoria interna.

23 Sobre os Autores J ennifer F. Burke, CPA, CRP, CFF, CFS, é sócia do escritório de Riscos de Serviços Financeiros da Crowe Horwath e tem mais de 25 anos de experiência atendendo clientes de serviços financeiros, incluindo 19 anos na Crowe. Ela lidera projetos em instituições financeiras estratégicas multibilionárias, prestando serviços de auditoria interna, conformidade, revisão de empréstimos e enterprise risk management (ERM). Ela atua no Financial Services Advisory Board do The IIA e no ERM Initiative Advisory Board do estado da Carolina do Norte. É uma palestrante reconhecida nacionalmente e internacionalmente, abordando assuntos da indústria bancária, auditoria interna e ERM. Antes de entrar para a Crowe, atuou como vice-presidente sênior e CAE em uma empresa de holding e truste, multibilionária, de 10 bancos. S teven E. Jameson, CIA, CFSA, CRMA, CPA, CFE, é vice-presidente executivo, diretor de auditoria interna e executivo de riscos no Community Trust Bank, onde é responsável pelas funções de auditoria interna, ERM, revisão de empréstimos, conformidade e segurança. Tem mais de 28 anos de experiência como auditor interno profissional na indústria de serviços financeiros, três anos em contabilidade pública e mais de quatro anos com o IIA como assistente do Vice-Presidente do Professional Practices Group. Atuou em comitês de direcionamento do Committee of Sponsoring Organizations of the Treadway Commission (COSO), para o desenvolvimento da Controle Interno - Estrutura Integrada (2012) e Gerenciamento de Riscos Corporativos - Estrutura Integrada (2004).

24 Sua Doação Em Ação Os relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo. Doe Para o CBOK goto/cbok Contate-nos The Institute of Internal Auditors Global Headquarters 247 Maitland Avenue Altamonte Springs, Florida , Estados Unidos Sobre a The IIA Research Foundation O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão. Equipe de Desenvolvimento do CBOK Co-Presidentes do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França) Presidente do Subcomitê da Pesquisa do Praticante: Michael Parkinson (Austrália) Vice Presidente da IIARF: Bonnie Ulmer Comitê de Revisão dos Relatórios James Alexander (Estados Unidos) Despoina Chatzaga (Grécia) Kıvılcım Günbattı (Turquia) Cassian Jay (Estados Unidos) Limitação de Responsabilidade Analista de Dados Primários: Dr. Po-ju Chen Desenvolvedora de Conteúdo: Deborah Poulalion Gerente de Projeto: Selma Kuurstra e Kayla Manning Editora Sênior: Lee Ann Campbell Jenitha John (África do Sul) Michael Parkinson (Austrália) Deborah Poulalion (Estados Unidos) Nicola Rimmer (Reino Unido) A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida. Copyright 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar research@theiia.org. ID #