Norma 2110 Governança

Transcrição

1 Norma 2110 Governança A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para a melhoria do processo de governança no seu cumprimento dos seguintes objetivos: Promover a ética e os valores apropriados na organização; Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de contas; Comunicar as informações relacionadas aos riscos e aos controles às áreas apropriadas da organização; Coordenar as atividades e a comunicação das informações entre o conselho, os auditores externos, internos e a administração. Começando Para cumprir esta norma, o diretor executivo de auditoria (Chief Audit Executive - CAE) obtém um claro entendimento de governança e sobre o que os processos típicos desta atividade podem auxiliar na execução de seu trabalho. A definição de governança no glossário das Normas deve ser considerada, assim como as estruturas e modelos de governança publicados globalmente. Estruturas, modelos e requisitos de governança variam de acordo com o tipo de organização e jurisdição regulatória. A forma como uma organização desenvolve e pratica os princípios da governança eficaz também depende de fatores como seu porte, complexidade, maturidade do ciclo de vida, estrutura das partes interessadas, e dos requisitos legais e culturais aos quais a organização está sujeita. A abordagem do CAE à avaliação apresenta variações com base na estrutura ou modelo que a organização utiliza. 1

2 Em seguida, o CAE contempla se o plano de auditoria interna atual engloba os processos de governança da organização e aborda seus riscos associados. A governança não existe como um conjunto de processos e estruturas independentes. Em vez disso, a governança, o gerenciamento de riscos e o controle interno estão correlacionados. Por exemplo, atividades eficazes de governança consideram o risco na determinação de sua estratégia. Da mesma forma, o gerenciamento de riscos depende de uma governança eficaz (exemplo: o tom no topo; apetite, tolerância e cultura de risco; e a supervisão do gerenciamento dos riscos). Por sua vez, uma governança eficaz depende de controles internos e da comunicação com o conselho sobre a eficácia deles. O CAE pode querer ler os estatutos do conselho e do comitê, além das pautas e minutas de reuniões, para ter um insight sobre o papel que o conselho desempenha na governança da organização. Falar com outras pessoas em papéis principais de governança na empresa pode melhorar o conhecimento do CAE sobre os processos e atividades de avaliação específicos da organização e que já estejam em prática. Exemplos desses papéis incluem o presidente do conselho (ou chefe eleito, nomeado em uma entidade governamental), o diretor de ética, o diretor de recursos humanos, o auditor externo independente, o diretor de compliance e o diretor de riscos. Se a organização for regulada, o CAE pode querer revisar quaisquer preocupações de governança identificadas pelos reguladores. Um entendimento de governança, definido pela Norma 2110 e pelas características específicas da organização, é a base para uma discussão com o conselho e a alta administração sobre: A definição de governança e a natureza dos seus processos na organização. Os requisitos da norma. O papel da atividade de auditoria interna. Quaisquer mudanças na abordagem e no plano da atividade de auditoria interna que possam melhorar sua conformidade com a norma (caso esteja em conformidade ainda). Essa discussão pode ajudar a garantir um acordo e alinhamento das expectativas com o conselho e a alta administração sobre o que constitui governança, para que um plano e abordagem apropriados de auditoria interna possam ser executados. 2

3 Considerações para Implantação Os processos de governança são considerados durante a avaliação de riscos e no desenvolvimento do plano de auditoria de forma que o CAE identifique os que apresentam maior risco à organização. Esses processos serão abordados por meio de projetos de avaliação e consultoria descritos no plano final de auditoria. Além disso, a Norma 2110 identifica especificamente a responsabilidade da atividade de auditoria interna de avaliação e faz recomendações para melhorar o processo de governança na conquista de quatro objetivos principais: Para avaliar como uma organização promove ética e valores, tanto internamente quanto entre seus parceiros externos de negócio, a atividade de auditoria interna revisa os objetivos, programas e ações relativas à organização. Pode haver a inclusão de declarações de missão e valores, código de conduta, processos de contratação e treinamento, política antifraude e de denúncias, e um processo de canal de denúncia e investigação. Declarações de reconhecimento, assinadas pela equipe e pelos parceiros de negócio, demonstram os esforços da organização em promover a conscientização de sua ética e valores. Pesquisas e entrevistas podem ser usadas para avaliar se os esforços estão estabelecendo conscientização suficiente. Para avaliar como uma organização garante a gestão de desempenho e prestação de contas eficazes, a atividade de auditoria interna poderia examinar as políticas e processos da organização relativos à compensação da equipe, estabelecendo objetivos e avaliação de desempenho. Existe ainda a revisão de métricas associadas (exemplo: principais indicadores de desempenho key performance indicators) e programas de incentivo (exemplo: bônus) para determinar se foram desenvolvidos e executados corretamente no intuito de prevenir ou detectar comportamentos inapropriados (ou a aceitação excessiva de riscos) e para apoiar as ações alinhadas com os objetivos estratégicos do negócio. Os materiais das reuniões com o conselho servem como evidência de que ele foi apropriadamente informado sobre os pacotes de compensação e incentivo, e que monitorou o desempenho dos executivos de nível sênior. Para avaliar quão bem uma organização comunica informações de risco e controle às áreas apropriadas, a atividade de auditoria interna poderia acessar relatórios internos, newsletters, memorandos, s relevantes e minutas das reuniões da equipe para determinar se os comunicados são distribuídos oportunamente e se contêm dados completos e precisos. Pesquisas e entrevistas podem ser utilizadas para avaliar o entendimento, por parte da equipe, de suas responsabilidades pelos riscos e controles e do impacto sobre a organização caso essas responsabilidades não sejam cumpridas. 3

4 Para avaliar a habilidade de uma organização coordenar as atividades do conselho e de manter a comunicação entre auditores externos, internos, a administração e o conselho, a atividade de auditoria interna poderia identificar as reuniões que incluem esses grupos (exemplo: conselho, comitê de auditoria e comitê financeiro) e a frequência com a qual elas ocorrem. Os membros da atividade de auditoria interna podem comparecer às reuniões como participantes, observadores ou podem examinar as minutas das reuniões, planos de trabalho e relatórios distribuídos entre os grupos para aprender como eles coordenam as atividades e comunicam-se uns com os outros. Os auditores internos podem atuar em posições diferentes para avaliar e recomendar formas de melhorar as práticas de governança. Eles podem fornecer avaliações independentes e objetivas sobre o desenvolvimento e a eficácia dos processos de governança na organização. Além, ou em vez de realizar avaliação, os auditores internos também podem prestar consultoria, aplicando outros métodos, especialmente quando questões já conhecidas existem ou quando o processo de governança é imaturo. Seja como parte da consultoria ou da avaliação, o CAE pode decidir usar métodos de monitoramento contínuo, tais como designar auditores internos para observar as reuniões de órgãos relativos à governança e aconselhá-los de forma continuada. Normalmente, não se realiza uma única auditoria de governança. Em vez disso, a avaliação, por parte da auditoria interna, dos processos de governança provavelmente é baseada em informações obtidas em diversos trabalhos de auditoria ao longo do tempo. Se uma avaliação geral de governança for apropriada, ela leva em conta: Os resultados das auditorias dos processos específicos de governança identificados acima. Questões de governança que surjam de auditorias que não sejam focadas especificamente na governança, tais como: o Planejamento estratégico; o Processos de gerenciamento de riscos; o Eficiência e eficácia operacional; o Controle interno sobre o reporte financeiro; o Riscos associados à TI, fraude e outras áreas; o Conformidade com leis e regulamentos aplicáveis. Os resultados de avaliações da administração (exemplo: investigadores legais, escritórios gerais de auditoria do governo e firmas de contabilidade pública) e reguladores. Outras informações sobre questões de governança, tais como incidentes adversos que indiquem uma oportunidade de melhoria dos processos de governança. Durante as fases de planejamento, avaliação e reporte, os auditores internos consideram a natureza e consequências em potencial dos resultados e garantem as comunicações apropriadas com o conselho e a alta administração. O CAE pode querer buscar 4

5 orientações legais, tanto antes de iniciar avaliações de governança quanto antes de terminar os relatórios. Considerações para Demonstração de Conformidade A conformidade pode ser documentada por meio de relatórios de auditoria interna separados sobre os processos individuais de governança, assim como por meio de um relatório geral de governança que inclua análises com base em avaliações e recomendações de quaisquer serviços de consultoria. A documentação também pode incluir as minutas de uma reunião com o conselho na qual o CAE tenha discutido a análise geral das práticas de governança da atividade de auditoria interna. Sobre o Instituto Fundado em 1941, The Institute of Internal Auditors Inc. (IIA) é uma associação profissional internacional com sede global em Altamonte Springs, Flórida (Estados Unidos). O Instituto é voz global, autoridade e líder reconhecida, destacando-se como principal defensor e educador da profissão de Auditoria Interna. Sobre a Orientação de Implantação A Orientação de Implantação, como parte da Estrutura Internacional de Práticas Profissionais (International Professional Practices Framework IPPF), fornece guias recomendados (não obrigatórios) para a condução das atividades de auditoria interna. Ela é desenvolvida para auxiliar tanto auditores internos quanto atividades de auditoria interna a melhorarem sua habilidade de atingir a conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (as Normas). Isenção de Responsabilidade O IIA publica este documento para fins informativos e educacionais. Este material de orientação não tem como objetivo fornecer respostas definitivas a específicas circunstâncias individuais e, como tal, tem o único propósito de servir de guia. O IIA recomenda que sempre busque conselhos especializados independentes, relacionados diretamente a qualquer situação específica. O IIA não assume responsabilidade pela confiança depositada unicamente neste guia. Copyrights Copyright 2015 The Institute of Internal Auditors. Para permissão de reprodução, favor contatar [email protected]. 5