Ficando Um Passo À Frente

Transcrição

1 Ficando Um Passo À Frente TECNOLOGIA Closer Look O Uso da Tecnologia por parte da Auditoria Interna Michael P. Cangemi CBOK The Global Internal Audit Common Body of Knowledge Patrocínio

2 Sobre o CBOK FATOS DA PESQUISA Participantes Países Idiomas 14, NÍVEIS DOS FUNCIONÁRIOS* Chief audit executive (CAE) 26% Diretor 13% Gerente 17% Equipe 44% *Os níveis foram obtidos de participantes. O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 ( respostas). Com início em Julho de 2015, os relatórios serão lançados mensalmente e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados e categorizados em oito áreas de conhecimento, com foco nas questões emergentes da profissão, em áreas que incluem o futuro da auditoria interna, governança, perspectiva global, gestão, riscos, normas, talento e tecnologia. Visite o CBOK Resource Exchange em para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais Europa & Ásia 23% Central América 19% do Norte Oriente Médio & África 8% do Norte América Latina 14% & Caribe África 6% Subsaariana Sul da Ásia 5% Leste Asiático 25% & Pacífico Observação: As regiões globais são baseadas nas categorias do Banco Mundial. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante.

3 Áreas de Conhecimento do CBOK Conteúdos Futuro Sumário Executivo 4 Introdução 5 Perspectiva Global 1 Capacitando Processos de Auditoria com Tecnologia 6 2 Ferramentas de Tecnologia Usadas pela Auditoria Interna 7 Governança 3 Tendências de 10 Anos 9 4 Closer Look: Mineração e Análise de Dados 10 5 Closer Look: Auditoria Contínua 11 Gestão 6 Educação e Certificações de Tecnologia 12 7 Aumentando as Habilidades Tecnológicas no Departmento de Auditoria Interna 14 Risco Conclusão 15 Normas & Certificações Talento Tecnologia

4 Sumário Executivo A tecnologia continua a evoluir e, em alguns casos, a surpreender e atrapalhar muitos modelos de negócios. Em todo setor de negócios, as tecnologias estão mudando a forma como os negócios operam - desde agregando produtividade, até criando interrupções que revolucionam o negócio existente e criam novos segmentos de negócio. Da mesma forma, o uso da tecnologia por auditores internos está sob pressão para mudar e se adaptar ao novo ambiente. A Pesquisa Global do Praticante de Auditoria Interna do CBOK 2015 esclarece quanto ao uso da tecnologia por parte da auditoria interna e quanto às habilidades tecnológicas que os auditores internos têm adquirido. Os dados da pesquisa mostram que o uso da tecnologia por parte da auditoria interna no processo de auditoria continua crescendo, mas há espaço para melhoria. Por exemplo, o uso de ferramentas de software para mineração de dados cresceu em 14% entre os participantes da pesquisa, entre 2006 e No entanto, menos de 4 entre 10 chief audit executives (CAEs - diretores executivos de auditoria) do mundo todo sentem que o uso da tecnologia em seus departamentos seja apropriado ou melhor. Há grandes diferenças entre as regiões. Na América do Norte, apenas cerca de 1 entre 10 diz que pode confiar nos processos manuais, mas essa proporção é maior do que 3 entre 10 na África Subsaariana e no Leste Asiático/Pacífico. A educação e a certificação tecnológicas também desempenham um papel no uso da tecnologia por parte dos auditores internos. Globalmente, cerca de 6 entre 10 participantes entraram para a profissão com formação em contabilidade, enquanto apenas 1 entre 10 teve formação em sistemas de informação ou ciência da computação. No entanto, o Sul Asiático e a América Latina estão liderando a profissão, com 2 entre 10 incluindo a tecnologia em seus estudos acadêmicos. Este relatório ajudará os leitores a comparar seus departamentos de auditoria interna com os de outras organizações em suas regiões, e possibilitar a liderança criativa quanto a formas de melhorar as habilidades e atividades relativas à tecnologia.

5 Introdução Os efeitos das tecnologias emergentes têm sido paradoxais. Por um lado, as tecnologias emergentes criaram um sistema mais difícil de auditar com eficácia. Por outro lado, os auditores têm conseguido usar as tecnologias emergentes como ferramentas de auditoria, tornando-se, portanto, mais eficazes e eficientes. Michael P. Cangemi e Tommie W. Singleton, de Managing the Audit Function. Q uando computadores, redes e sistemas foram desenvolvidos e utilizados inicialmente pelas empresas, muitos auditores escolheram contornar o computador, utilizando técnicas de auditoria do passado. No entanto, conforme o uso corporativo da tecnologia da informação (TI) foi evoluindo e sistemas corporativos automatizados mais complexos foram adotados, os auditores internos começaram a lidar com a nova tecnologia. Auditores especializados em TI foram contratados ou capacitados e outros membros da equipe foram treinados para auditar os sistemas computadorizados. Além disso, eles começaram a auditar dados usando técnicas de auditoria com auxílio de sistemas (computer-assisted audit techniques - CAATs). A era do computador mainframe foi aumentada pela chegada do computador pessoal (PC). O PC revolucionou a indústria da computação, ainda muito nova, fazendo com que os terminais computadores dessem lugar a terminais smart, usando microcomputadores. Com o tempo, todos os funcionários tinham um PC e, aparentemente da noite pro dia, quase todos também tinham um computador em casa também. Isso levou a talvez um dos avanços mais significantes para a auditoria interna e todas as unidades de negócios: a tecnologia de software para produtividade corporativa e doméstica. Novos programas de computador para processamento de palavras e planilhas para processamento de dados numéricos mudaram o paradigma da administração e documentação para auditoria interna, permitindo aumentos substanciais da produtividade e melhoria na documentação. Esses progressos continuam ocorrendo até hoje, com tablets e smartphones. Conforme a computadorização dos sistemas financeiro, operacionais e outros sistemas corporativos expandiu, a auditoria interna reagiu, expandindo o treinamento de TI para auditores e a construção de funções de auditoria de TI dentro dos departamentos de auditoria interna. Os auditores aprenderam a examinar os controles de data centers e a auditar aplicativos de software. Eles elaboraram testes de dados e empregaram novas ferramentas para examinar dados usando softwares gerais de auditoria, softwares de análise de dados com foco em auditoria e programas de gerenciamento de auditoria. Esses avanços tecnológicos continuam criando desafios para as funções corporativas e de avaliação fornecerem segurança e controles de TI. No início do desenvolvimento da auditoria de TI, alguns líderes de auditoria acreditavam que todos os auditores se tornariam auditores de TI, porque o computador era muito dominante. Em vez disso, conforme as complexidades da TI continuaram aumentando e outras prioridades de auditoria foram se desenvolvendo, a auditoria de TI transformou-se em um departamento dentro da auditoria interna, ou uma área principal de terceirização. Com a expansão do uso inicial das CAATs, um dos maiores avanços no uso da TI na auditoria interna foi o maior uso da mineração de dados 1, da auditoria contínua e das métricas para auditoria de dados. Conforme mostram os resultados da pesquisa, essa tendência continua aumentando a cobertura e eficiência da auditoria interna. 1 A mineração de dados é a prática de buscar, entre grandes quantidades de dados computadorizados, padrões ou tendências úteis (Merriam-Webster s English Dictionary, versão online).

6 1 Capacitando Processos de Auditoria com Tecnologia PASSOS DE AÇÃO 1. Identificar e listar os processos manuais de auditoria. 2. Identificar oportunidades próximas de automatizar processos, para melhorar a eficiência e a eficácia. 3. Implementar a tecnologia apropriada. 4. Avaliar a eficácia. 5. Identificar a próxima oportunidade. M uitos CAEs sentem que seus departamentos poderiam fazer melhor uso da tecnologia, no geral. No mundo todo, apenas 4 entre 10 disseram usar a tecnologia em nível apropriado ou maior, indicando um claro espaço para melhoria (veja o Documento 1). Na realidade, 2 entre 10 CAEs disseram que seus departamentos dependem primariamente de técnicas manuais. Parte do motivo pode ser uma falta de expertise de TI na equipe. Outro fator contribuinte pode ser que a busca por novas formas de usar a tecnologia pode exigir assumir mais riscos e usar de mais criatividade do que as atividades gerais de auditoria interna. O Documento 1 também mostra que há grandes diferenças regionais no uso da tecnologia. CAEs na América do Norte relatam o uso mais extensivo da tecnologia (50% em uso apropriado ou maior), seguidos pelos do Sul Asiático, com 45%. O grande uso tecnológico no Sul Asiático está provavelmente relacionado à maior porcentagem de participantes com maior formação em tecnologia (veja o Documento 8). Documento 1 Uso Geral da Tecnologia em Processos de Auditoria Interna América do Norte 50% 37% 13% Uso apropriado ou extensivo de tecnologia para processos de auditoria Pouco uso de papéis de trabalho eletrônicos ou outras ferramentas corporativas de tecnologia da informação Dependência primária dos sistemas e processos manuais Europa e Ásia Central Oriente Médio e África do Norte Sul da Ásia América Latina e Caribe África Subsaariana Leste Asiático e Pacífico Média Global 39% 43% 18% 35% 44% 21% 45% 33% 21% 36% 39% 25% 37% 31% 32% 27% 37% 36% 38% 39% 23% 0% 20% 40% 60% 80% 100% Observação: Q44: Como você descreveria o uso da tecnologia para apoiar os processos de auditoria interna em sua organização? CAEs apenas. A categoria uso apropriado ou extensivo de tecnologia para processos de auditoria interna inclui aqueles que escolheram uso extensivo de tecnologia em todo o processo de auditoria, incluindo mineração e análise de dados ou metodologia de auditoria apoiada por tecnologia apropriada. Devido ao arredondamento, alguns totais podem não somar 100% participantes.

7 2 Ferramentas de Tecnologia Usadas pela Auditoria Interna PASSOS DE AÇÃO 1. Avalie seu uso geral de ferramentas de tecnologia. Desenvolva uma visão para o uso dessas ferramentas ao longo dos próximos 2-3 anos. Desenvolva um plano estratégico para concretizar sua visão. Comunique a visão e o plano ao grupo de auditoria interna. Implemente o plano e avalie periodicamente o desempenho. Documento 2 O estudo CBOK também pediu aos participantes que avaliassem seu uso de ferramentas e técnicas tecnológicas específicas. As respostas mostram claramente que o uso extensivo da tecnologia é uma exceção, não a regra. Para cerca da metade dos participantes do mundo todo, o uso da maioria das ferramentas tecnológicas é nenhum ou mínimo (veja o Documento 2). A única exceção é no caso dos papéis de trabalho eletrônicos, que têm uma taxa muito maior de uso do que as outras categorias (7 entre 10 participantes). Uma explicação pode ser que os participantes tenham interpretado a pergunta como referência às ferramentas gerais de software (como processamento de palavras e planilhas), em vez de softwares especializados em papéis de trabalho eletrônicos. Embora se possa questionar se o uso da tecnologia por parte da auditoria interna deve ser maior, vale lembrar que nem todo trabalho de auditoria interna pode ser feito de forma tecnológica e que há muitos desafios em processos automatizados, assim como prioridades concorrentes. Uso Atual de Ferramentas e Técnicas de TI pela Auditoria Interna Papéis de trabalho eletrônicos 14% Ferramenta automatizada para monitorar e avaliar as ações corretivas e o acompanhamento da auditoria 14% 28% Ferramenta automatizada para gerir as informações coletadas pela auditoria interna 30% 31% 20% 24% 23% Software ou ferramenta para mineração de dados 24% 23% Software de fluxograma ou mapeamento de processo 22% 26% 28% Computer-assisted audit technique (CAAT) 30% Ferramenta automatizada para planejamento e agendamento da auditoria interna 31% Auditoria contínua/em tempo real 31% 28% 21% Ferramenta automatizada para análise de dados Software ou ferramenta para avaliação de riscos da auditoria interna 41% 24% 29% 19% 33% 19% 34% 19% 34% 22% 18% 33% 22% 17% 31% 17% 29% 17% 1-Nenhum 2-Mínimo 3-Moderado 4-Extensivo Avaliações internas de qualidade usando ferramenta automatizada 23% 25% 39% 0% 20% 30% 24% 40% 26% 60% 80% 14% 11% 100% Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes ferramentas e técnicas de tecnologia da informação (TI)? a participantes.

8 PASSO DE AÇÃO Os resultados no Documento 3 podem ser usados para comparar o uso tecnológico de seu departamento de auditoria interna com o de outras organizações em sua região, assim como comparar com a média global. Diferenças Regionais para Ferramentas Tecnológicas Há insights interessantes na categoria de uso global tecnológico. Os participantes do Sul Asiático e América Latina/Caribe relataram atividade maior que a média em todas as ferramentas tecnológicas. Um motivo para isso pode ser que essas duas regiões também têm a maior porcentagem de participantes com formação em ciência da computação ou TI como parte de seu histórico educacional (cerca de 20%, veja Documento 8). Do outro lado da balança, os participantes na África Subsaariana e no Leste Asiático/Pacífico relataram uso menor que a média de quase todas as tecnologias (veja Documento 3). Documento 3 Uso, por Parte da Auditoria Interna, de Ferramentas e Técnicas (Diferenças Regionais) Observação: O azul indica respostas que foram significativamente maiores que a média global e o vermelho indica as respostas que foram significativamente menores que a média global. América Latina e Caribe Sul da Ásia Europa América do Norte Oriente Médio e África do Norte África Subsaariana Leste Asiático e Pacífico Média Global Papéis de trabalho eletrônicos 80% 76% 78% 77% 71% 64% 58% 72% Ferramenta automatizada para monitorar e avaliar as ações corretivas e o acompanhamento da auditoria Ferramenta automatizada para gerir as informações coletadas pela auditoria interna 62% 57% 60% 53% 51% 41% 41% 52% 61% 56% 49% 49% 50% 42% 42% 49% Ferramenta automatizada para análise de dados 62% 67% 49% 56% 55% 48% 47% 53% Software ou ferramenta para mineração de dados 56% 63% 53% 58% 56% 48% 46% 53% Software de fluxograma ou mapeamento de processo 68% 65% 51% 52% 51% 42% 46% 52% Software ou ferramenta para avaliação de riscos da auditoria interna 57% 62% 52% 47% 54% 48% 44% 50% Computer-assisted audit technique (CAAT) 59% 60% 38% 48% 51% 48% 48% 48% Ferramenta automatizada para planejamento e agendamento da auditoria interna 56% 54% 47% 42% 52% 44% 43% 46% Auditoria contínua/em tempo real 54% 61% 38% 35% 45% 39% 50% 44% Avaliações internas de qualidade usando ferramenta automatizada 45% 52% 34% 29% 41% 34% 37% 36% Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes ferramentas e técnicas de tecnologia da informação (TI)? O documento mostra os participantes que escolheram 3-Moderado ou 4-Extensivo. O texto azul indica números significativamente acima da média global. O texto vermelho indica números significativamente abaixo da média global a participantes.

9 3 Tendências de 10 Anos A profissão da auditoria interna deve estar satisfeita em ver que o uso tecnológico reportado pela auditoria interna parece estar crescendo bem em comparação com pesquisas anteriores. Apesar dos números continuarem menores do que muitos gostariam, ao longo dos anos mais departamentos de auditoria interna adotaram o uso produtivo das métricas, incluindo formas de auditoria contínua e monitoramento de riscos, para melhorar o valor e eficiência de seu trabalho. Norman Marks, CAE aposentado e autor das obras World-Class Internal Audit e World-Class Risk Management O uso da tecnologia por parte dos auditores internos cresceu ao longo da última década e essa tendência precisa se manter e se acelerar. Uma comparação entre as respostas das pesquisas CBOK 2006 e CBOK 2015 mostra aumentos no uso das ferramentas tecnológicas para quase todos os propósitos, principalmente no uso da mineração de dados (aumento de 14%). Atualmente, 53% dos participantes dizem que estão envolvidos moderada ou extensivamente na mineração de dados (veja Documento 4). Ao mesmo tempo, 80% dos CEOs dizem que a mineração e análise de dados é de importância estratégica para suas Documento 4 Auditoria contínua/ em tempo real Computer-assisted audit technique (CAAT) Software ou ferramenta para mineração de dados Software de fluxograma ou mapeamento de processo Papéis de Trabalho Eletrônicos organizações, de acordo com a pesquisa CEO global 2015 conduzida pela PwC. 1 Com base nas prioridades dos CEOs, os auditores internos devem acelerar seu uso de mineração de dados. Conforme mostrado no Documento 4, os auditores internos também aumentaram a atividade para a maioria das outras ferramentas tecnológicas, exceto para as computer-assisted audit techniques (CAATs), o que pode ser explicado por uma mudança no escopo e no uso do termo CAAT na última década. 1 A Marketplace Without Boundaries: Responding to Disruption (18ª Annual Global CEO Survey da PwC, 2015). Aumento no Uso, por Parte da Auditoria Interna, de Ferramentas Tecnológicas 0% 20% 40% 60% 80% 100% % 44% 39% 52% 48% 53% 43% 52% 65% 72% 2015 Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes ferramentas e técnicas de tecnologia da informação (TI)? Este documento compara aqueles que escolheram 3-Moderado ou 4-Extensivo em 2015 (9.953 a participantes) com aqueles que escolheram Uso Médio, Muito Usado ou Usado Extensivamente em 2006 (Q50, a participantes).

10 4 Closer Look: Mineração e Análise de Dados PASSOS DE AÇÃO 1. Identifique e liste todos os testes de auditoria conduzidos manualmente. 2. Avalie cada teste, para determinar se ele pode ser conduzido usando mineração/análise de dados. 3. Desenvolva um plano para transformar testes manuais específicos em rotinas automatizadas de mineração de dados, com base no benefício organizacional. 4. Implemente o plano para um teste manual específico. 5. Avalie sua eficácia. 6. Identifique a próxima oportunidade de transformar um teste manual em uma rotina automatizada. C om a expansão contínua dos dados - tanto estruturados (a partir de aplicativos de software) quanto não estruturados (a partir de textos e da explosão das mídias sociais) -, o termo big data se tornou comum. Embora a maioria dos departamentos de auditoria interna faça apenas o básico da mineração de dados, alguns estão começando a usar métricas avançadas para detectar padrões relevantes e prever tendências e comportamentos futuros. Com relação a seus objetivos de análise de dados, cerca de 5 entre 10 participantes dizem que usam a mineração e análise de dados para identificação de fraude, monitoramento de riscos e controle ou testes de Documento 5 Leste Asiático e Pacífico Porcentagem de Análise de Dados Conduzida Fora do Departamento de Auditoria Interna Sul da Ásia populações inteiras (em vez de amostras). Cerca de 4 entre 10 testam em busca de conformidade regulatória e cerca de 3 entre 10 procuram por oportunidades de melhoria do negócio (Q96, participantes). Nem todos os projetos de mineração e análise de dados são realizados pela equipe de auditoria interna. Em média, cerca de um quarto da análise de dados é realizada externamente ao departamento de auditoria interna, embora isso varie por região. Uma proporção menor da atividade é feita fora dos departamentos de auditoria interna na Europa e América do Norte, e uma proporção maior no Leste Asiático/Pacífico e Sul da Ásia (veja Documento 5). 36% 36% África Subsaariana Oriente Médio e África do Norte 33% 33% América Latina e Caribe 28% Europa América do Norte 15% 18% Média Global 26% 0% 10% 20% 30% 40% 50% Observação: Q97: Qual porcentagem das atividades de análise de dados para a auditoria interna é conduzida fora de seu departamento de auditoria interna? participantes).

11 5 Closer Look: Auditoria Contínua PASSOS DE AÇÃO 1. Revise seu inventário de rotinas de CAAT que sejam conduzidas atualmente como parte de auditorias periódicas. 2. Considere quais dessas rotinas podem ser retiradas de uma auditoria periódica e conduzidas separadamente como rotinas de auditoria contínua. 3. Identifique também rotinas de auditoria que possam ser compartilhadas ou transferidas para a gerência, para permitir que a gerência conduza o monitoramento contínuo de alguns de seus controles. Para mais informações, veja o Global Technology Audit Guide (GTAG) 3 do IIA: Coordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, 2ª Edição, O uso da auditoria contínua (continuous auditing CA) é uma das tendências mais importantes da tecnologia para auditoria interna. O trabalho de auditoria contínua começou anos atrás como uma melhoria substancial, mas logo se tornaria uma necessidade para a avaliação de sistemas modernos, diz Miklos Vasarhelyi, diretor do Laboratório de Continuous Auditing & Reporting do curso de Administração da universidade Rutgers (New Jersey). No entanto, a auditoria contínua é usada extensivamente apenas por 14% dos participantes da pesquisa, tornando-a uma das técnicas tecnológicas menos usadas na pesquisa (veja Documento 2 para detalhes). A auditoria contínua oferece aos auditores internos uma oportunidade excelente de agregar valor às organizações. Em especial, os auditores internos devem buscar oportunidades de migrar suas rotinas automatizadas ou de auditoria contínua para a gerência, para que esta, como primeira linha de defesa, assuma maior responsabilidade pela condução de suas próprias atividades de monitoramento contínuo. Dessa forma, a auditoria interna ajuda a gerência a melhorar processos e também melhora o ambiente geral de controle de suas organizações. Essa atividade está bem alinhada com a forma como CAEs percebem o valor que a auditoria interna agrega às suas organizações. De acordo com 8 entre 10 CAEs no mundo todo, a avaliação dos controles internos é uma das principais formas de agregar valor, enquanto 5 entre 10 citam também a melhoria do negócio (Q89, participantes). Usando a Auditoria Contínua nas Três Linhas de Defesa É útil usar o modelo das Três Linhas de Defesa para entender a relação entre a auditoria contínua e o monitoramento contínuo em uma organização. No modelo das Três Linhas de Defesa, a gerência operacional é considerada a primeira linha de defesa; a conformidade e o gerenciamento de riscos fazem parte da segunda; e a auditoria interna é a terceira. 1 A primeira e a segunda linhas de defesa usam o monitoramento contínuo como um processo apoiado tecnologicamente pela análise de dados, para identificar exceções a políticas, falhas de controle, fraude e panes nos processos de negócio ou para melhorar a integridade das informações e a qualidade das transações. A terceira linha de defesa (auditoria interna) usa a auditoria contínua como processo apoiado tecnologicamente para ajudar a fornecer avaliações objetivas e independentes, sobre a eficácia da governança, gerenciamento de riscos e controle interno. A diferença importante é que os sistemas de auditoria contínua devem ser implementados de modo independente dos sistemas de monitoramento contínuo. 1 Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles, Janeiro de 2013, páginas 3-5.

12 6 Educação e Certificações de Tecnologia Documento 6 Maior Educação Entre Auditores Internos 1% 1% 6% 92% 6% 1% 1% 92% Bacharelado ou mais Diploma de Undergraduate ou Associate (menos de quatro anos) Segundo Grau/ Ensino Médio Nenhuma das anteriores Observação: Q5: Qual é seu maior nível de educação formal (não certificação) concluída? participantes. C omo alguém se prepara para uma carreira em auditoria interna? De acordo com a pesquisa do praticante CBOK 2015, um diploma universitário é o mais comum, com mais de 90% dos participantes da pesquisa no mundo todo tendo concluído cursos de quatro anos ou mais (veja Documento 6). A educação superior de um auditor interno normalmente inclui estudos de contabilidade, auditoria (interna ou externa), finanças ou administração (veja Documento 7). Apenas 1 entre 10 participantes da pesquisa estudou ciência da Documento 7 computação ou tecnologia da informação. Surpreendentemente, há pouca mudança nessa porcentagem desde 2006 (12% em 2006, em comparação com 13% em 2015). Uma explicação possível para a falta de aumento na formação tecnológica é que a tecnologia esteja sendo incorporada em outras áreas de estudo. Por exemplo, programas de auditoria interna normalmente incluem um curso de sistemas da informação em seu currículo e programas de contabilidade frequentemente apresentam componentes de accounting information systems (AIS). Formações e Áreas Significantes de Estudo (Tendências) Contabilidade 58% 57% Auditoria (Interna) 13% 43% Finanças 25% 31% Administração Geral/de Negócios 28% 35% ESTUDO DA AUDITORIA INTERNA CRESCE O estudo da auditoria interna aumentou de uma média global de 13% em 2006 para 43% em 2015 (veja Documento 7). As respostas por região em 2015 foram: América Latina e Caribe 70% Sul da Ásia 69% África Subsaariana 56% Leste Asiático/Pacífico 53% Oriente Médio e Norte da África 46% Europa 33% América do Norte 13% Auditoria (Externa) 19% 23% Economia 21% 22% Ciência da Computação ou Tecnologia da Informação (TI) 12% 13% Direito 7% 10% Matemática/Estatística 6% 7% Engenharia 4% 6% Outras 8% 5% Artes ou humanas 4% 4% Outra ciência ou campo técnico 3% 2% Observação: Q5: Qual(is) foi(ram) sua(s) formação(ões) acadêmica(s) ou área(s) mais significante(s) de estudo? (Escolha todas as aplicáveis.) O total não somará 100%, porque os participantes puderam escolher mais de uma opção participantes em participantes em 2015.

13 Diferenças Regionais na Educação e Certificação Tecnológicas Auditores internos obtêm suas habilidades tecnológicas de formas muito diferentes, dependendo de onde vivem. Na maior parte do mundo, as habilidades tecnológicas são mais provavelmente obtidas em estudos acadêmicos, em vez de por meio de certificações em sistemas da informação como parte da educação continuada do cargo. No entanto, na América do Norte, as certificações desempenham um papel mais forte do que os estudos acadêmicos (veja Documento 8). No geral, em regiões nas quais a educação tecnológica é maior, as certificações em tecnologias de sistemas da informação são menos frequentes (e vice versa). Ulrich Hahn, que ministrou cursos de auditoria interna e da TI em toda a Europa, comentou: Mais faculdades e universidades deveriam ter programas de auditoria da TI, com cursos especializados e treinamento real em computadores, além do trajeto educacional tradicional de auditoria financeira. Uma área na qual todas as regiões estão igualmente baixas é a de certificações de segurança da TI (veja Documento 8). Em média, apenas 3% dos participantes do mundo todo possuem certificações em segurança da TI. Com os riscos de cibersegurança aumentando em todo o mundo, uma porcentagem muito maior de auditores internos provavelmente precisarão obter certificações em segurança da TI, para que a auditoria interna forneça, com eficácia, avaliações sobre esta área. Documento 8 Educação Tecnológica em Comparação com Certificação Tecnológica 25% 20% 20% 19% 17% 15% 10% 10% 15% 15% 14% 8% 8% 12% 9% 11% 10% 13% 10% 5% 2% 3% 2% 5% 6% 3% 3% 3% 3% 0% Sul da Ásia América Latina e Caribe África Subsaariana Oriente Médio e África do Norte Europa América do Norte Leste Asiático e Pacífico Média Global Estudos acadêmicos em Ciência da Computação ou TI Certificação em auditoria de sistemas da informação (tais como CISA, QICA, CRISC) Certificação em segurança da TI (tais como CISM, CISSP, CSP, CDP) Observação: Q5a: Qual foi sua formação acadêmica ou áreas mais significantes de estudo? (Escolha todas as aplicáveis.) Tópico: Ciência da Computação ou Tecnologia da Informação (TI) participantes. Q13: Quais certificações profissionais você tem em áreas que não sejam auditoria interna? (Escolha todas as aplicáveis.) participantes.

14 7 Aumentando as Habilidades Tecnológicas no Departmento de Auditoria Interna PASSOS DE AÇÃO 1. Conduzir uma avaliação de riscos separada dos riscos tecnológicos da organização. 2. Avaliar as habilidades tecnológicas necessárias para a auditoria interna abordar os riscos tecnológicos da organização. 3. Implementar um plano para adquirir as habilidades necessárias, incluindo as que possam ser desenvolvidas dentro da equipe de auditoria interna e as que precisarão ser adquiridas por meio da terceirização periódica. 4. Orientar a gerência e o comitê de auditoria sobre como você está lidando com os riscos tecnológicos da organização. O uvimos frequentemente a analogia: você não precisa entender como um motor funciona para dirigir um carro. Este também é o caso para usuários de sistemas de computador. Quando um auditor interno usa um computador para atingir um objetivo de auditoria, como quando usa um programa de planilhas ou processador de palavras, essa analogia pode ser válida. No entanto, habilidades adicionais e compreensão são necessárias para auditar um sistema de computador. A linha entre o auditor generalista e o especialista em TI e os benefícios de terceirizar projetos de auditoria de TI são definidos em cada indústria e departamento. Um desafio contínuo para agregar mais tecnologia ao processo de auditoria interna é que as habilidades fundamentais dos auditores internos giram em torno da contabilidade e da auditoria. No entanto, ao longo das décadas, as universidades acrescentaram (e continuam a acrescentar) cursos de TI a seus currículos de contabilidade e auditoria, incluindo cursos de auditoria da TI, em alguns casos. Além disso, programas universitários continuam agregando mais cursos tecnológicos gerais e exigem que os alunos usem ferramentas de software em geral. Consequentemente, os recém-formados estão significativamente mais familiarizados com o computador do que as gerações passadas. Embora continuem desenvolvendo conhecimento técnico e habilidades de TI, muitos auditores internos não têm tempo ou interesse em se tornar programadores. No caso mais comum, auditores internos do novo milênio precisam entender o básico dos sistemas computadorizados, incluindo os componentes chave de hardware de um sistema de computador e o conceito básico de cada programa de computador (entrada processo saída). Ao mesmo tempo, há muito mais a entender para se saber de tecnologia, incluindo o básico do desenvolvimento de sistemas, ciclos de vida dos sistemas, fluxograma de processos, lógica de programação e programação de scripts para métricas. Essas habilidades devem existir em algum nível na estruturação da equipe ou devem ser terceirizadas. Mesmo quando o conhecimento e habilidades de TI estão disponíveis, também podem haver impedimentos menos aparentes à expansão do uso da tecnologia por parte da auditoria interna. Eles incluem a necessidade de ser criativo (em especial, pensando no que pode ser automatizado na fase de design). Além disso, porque o desenvolvimento ou aquisição de um sistema exige um investimento inicial, os auditores internos precisam sair de sua zona de conforto e assumir riscos normais de negócio para obterem aprovações e serem responsáveis pela eficácia do projeto e seu retorno sobre o investimento.

15 Conclusão A vanços tecnológicos estão criando oportunidades contínuas para que auditores internos inovem e melhorem a funcionalidade de seus sistemas atuais. Para garantir que seu departamento de auditoria interna fique um passo à frente, considere as perguntas a seguir: Quais novos aplicativos tecnológicos estão sendo usados em nossa organização? O departamento de auditoria interna empregou novas tecnologias próprias para garantir que possa auditar eficazmente os novos sistemas? O departamento de auditoria interna tem fundos para adquirir tecnologias necessárias para auditar apropriadamente os sistemas da organização? O departamento de auditoria interna tem habilidades técnicas de TI suficientes para abordar o nível tecnológico adotado pela organização? Quais os planos do departamento de auditoria interna para abordar o big data que é importante para a organização (tanto estruturado quanto não estruturado)? Há aplicativos ou processos organizacionais que sejam conduzidos inteiramente na black box (computador) (por exemplo, a computação de taxas de juros sobre empréstimos)? Se sim, como são auditados? Que tipos de software o departamento de auditoria interna usa para tornar as auditorias mais eficientes e eficazes? Quão extensivamente eles são usados, e com que frequência? Explorar questões como essas ajudará você e seu departamento de auditoria interna a encontrar soluções criativas para os novos desafios e se manter em dia com as habilidades necessárias para o desempenho eficaz. Por fim, a meta do uso tecnológico por parte da auditoria interna é evoluir em conjunto com o negócio, usando tecnologias que irão, no mínimo, permitir que você audite, com eficácia, as diversas infraestruturas do negócio, enquanto também começa a inovar criativamente para ficar um passo à frente do ritmo em tempo real do avanço tecnológico. Sobre o Autor M ichael P. Cangemi, coautor de Managing the Audit Function, é um ex-certified Public Accountant (CPA) e CAE que se tornou chief financial officer (CFO), chief executive officer (CEO), diretor e presidente do comitê de auditoria. Atualmente, trabalha como conselheiro sênior e diretor de diversas companhias, e como Senior Fellow do Continuous Auditing & Reporting (CAR) Lab da Rutgers. Ele atuou no Conselho de Administração do Committee of Sponsoring Organizations of the Treadway Commission (COSO), nos conselhos consultivos do Financial Accounting Standards Board (FASB) e do International Accounting Standards Board (IASB), em diversos papéis profissionais no IIA, IIARF e ISACA, e como editor-chefe do ISACA Journal por duas décadas.

16 Sua Doação Em Ação Os relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo. Doe Para o CBOK goto/cbok Contate-nos The Institute of Internal Auditors Global Headquarters 247 Maitland Avenue Altamonte Springs, Florida , Estados Unidos Sobre a The IIA Research Foundation O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão. Equipe de Desenvolvimento do CBOK Co-Presidentes do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França) Presidente do Subcomitê da Pesquisa do Praticante: Michael Parkinson (Austrália) Comitê de Revisão dos Relatórios Ulrich Hahn (Alemanha) Steve Hunt (Estados Unidos) Richard Martin (Estados Unidos) Limitação de Responsabilidade Vice Presidente da IIARF: Bonnie Ulmer Analista de Dados Primários: Dr. Po-ju Chen Desenvolvedora de Conteúdo: Deborah Poulalion Gerente de Projeto: Selma Kuurstra Editora Sênior: Lee Ann Campbell Michael Parkinson (Austrália) Kurt Reding (Estados Unidos) Dave Williams (Estados Unidos) A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida. Copyright 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar research@theiia.org. ID #