Garantia de Qualidade e Melhoria da Auditoria Interna

Transcrição

1 Garantia de Qualidade e Melhoria da Auditoria Interna NORMAS E CERTIFICAÇÃO Closer Look Um Chamado à Ação Christie J. O Loughlin CGAP, CRMA Jodi Swauger

2 Sobre o CBOK FATOS DA PESQUISA Participantes Países Idiomas 14,518* 166* 23* NÍVEIS DOS FUNCIONÁRIOS Chief audit executive (CAE) 26% Diretor 13% Gerente 17% Equipe 44% *As taxas podem variar por pergunta. O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 ( respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais Europa & Ásia Central América 19% do Norte Oriente Médio 8% & África do Norte América 14% Latina & Caribe 6% África Subsaariana 23% Sul da Ásia 5% Leste Asiático 25% & Pacífico Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange. 2 Garantia de Qualidade e Melhoria da Auditoria Interna

3 Áreas de Conhecimento do CBOK Conteúdos Futuro Sumário Executivo 4 Introdução 5 Perspectiva Global Governança Gestão 1 Ampla Não Conformidade: Impactos e Consequências 7 2 Taxas Globais de Conformidade: Muitas Inconsistências 9 3 A Diferença da Qualidade: Funções de AI em Conformidade Comparadas com as Demais 14 4 Qualidade e Supervisão da Função de Auditoria Interna 15 Conclusão 17 Risco Normas & Certificações Requisitos de Qualidade das Normas Internacionais para a Prática Profissional de Auditoria Interna 18 Anexo B: Recursos Adicionais 25 Talento Tecnologia

4 Sumário Executivo E ste relatório oferece uma visão geral dos resultados da Pesquisa do Praticante do Common Body of Knowledge (CBOK) Global de Auditoria Interna, quanto aos programas de garantia de qualidade e melhoria (QAIPs) da auditoria interna e avalia a conformidade da profissão de auditoria interna com as normas profissionais relativas aos QAIPs. A pesquisa do praticante CBOK 2015 revelou diferenças significantes e preocupantes entre as normas profissionais aprovadas e as práticas reais de auditoria interna. Embora as Normas Internacionais para a Prática Profissional de Auditoria Interna exijam o desenvolvimento e manutenção de QAIPs que cubram todos os aspectos da atividade de auditoria interna, apenas 34% dos chief audit executives (CAEs) participantes declararam total conformidade com esse requisito. Muitos CAEs que reportaram não conformidade com esse requisito também não divulgam sua não conformidade a seus comitês de auditoria ou outros órgãos de governança. O fracasso da profissão de auditoria interna em cumprir com suas próprias normas de qualidade pode ter consequências profundas, porque as funções de auditoria interna com QAIPs totalmente desenvolvidos tendem a ser diferentes de outras funções de auditoria interna. Comparados a outros CAEs do estudo CBOK, aqueles que reportam conformidade com as normas profissionais relativas à qualidade da auditoria interna: Tiveram maior probabilidade de reportar funcionalmente ao conselho, comitê de auditoria ou equivalente Tiveram maior probabilidade de ter acesso completo e irrestrito às informações, conforme apropriado para o desempenho das atividades de auditoria Trabalharam em organizações com processos de gerenciamento de riscos melhor desenvolvidos Usaram uma maior variedade de recursos para desenvolver os planos de auditoria Fizeram maior uso da tecnologia em processos de auditoria interna Tiveram maior probabilidade de ter procedimentos documentados em um manual de auditoria interna Receberam mais horas de treinamento e tiveram maior probabilidade de ter programas de treinamento formalizados Tiveram maior probabilidade de reportar que o financiamento da função de auditoria interna era completamente suficiente 4 Garantia de Qualidade e Melhoria da Auditoria Interna

5 Introdução U m QAIP é um programa contínuo desenvolvido para avaliar a eficiência e eficácia de uma função de auditoria interna e identificar oportunidades para melhoria. QAIPs têm o objetivo de aumentar a qualidade e o valor dos serviços de auditoria interna. Eles oferecem avaliações da conformidade da função de auditoria interna com políticas relevantes, procedimentos, normas, valores fundamentais e códigos de ética. Este relatório oferece uma visão geral dos resultados da pesquisa do praticante CBOK 2015 sobre QAIPs e avalia a conformidade da profissão de auditoria interna com as normas profissionais relativas aos QAIPs. A pesquisa CBOK 2015 identificou diferenças significantes e preocupantes entre as normas aprovadas e as práticas reais de auditoria interna. O Chamado pela Qualidade Em toda a profissão de auditora interna, há um forte apoio a programas de qualidade ao menos, em teoria. Os requisitos mínimos para QAIPs de auditoria interna são definidos pelas Normas das Normas.* Esses requisitos foram aprovados por toda a profissão, por meio de um processo rigoroso de rascunho de exposição, no qual comentários foram solicitados por parte de auditores internos e suas partes interessadas do mundo todo. O processo de exposição determinou que os auditores internos e principais grupos de partes interessadas apoiaram as normas obrigatórias relativas à qualidade da auditoria interna. Ponto Chave: A maioria dos auditores internos apoia os requisitos obrigatórios para QAIPs. Grupos de partes interessadas de auditoria interna também apoiam esses requisitos. Deve-se notar que 11% dos CAEs que participaram da pesquisa do praticante CBOK 2015 declararam não usar as Normas. Em muitos casos, no entanto, os auditores internos que não usam as Normas seguem normas alternativas e tais normas alternativas geralmente incluem provisões relativas aos QAIPs. Por exemplo, na Índia, as Standards on Internal Audits exigem avaliações de qualidade independentes ao menos uma vez a cada três anos, em vez do requisito de cinco anos encontrado nas Normas. Nos Estados Unidos, CAEs em conformidade com as Government Auditing Standards também devem se submeter a avaliações externas ao menos uma vez a cada três anos. No Reino Unido, as Public Sector Internal Audit Standards são baseadas nas Normas e incluem todos os requisitos de qualidade encontrados nas Normas, mas vão além, especificando requisitos de qualidade adicionais não encontrados nas Normas. Independentemente das normas profissionais usadas pelos diversos grupos de auditores internos no mundo, a profissão de auditoria interna e suas partes interessadas determinaram claramente que QAIPs devem existir em todas as funções de auditoria interna, não importando a indústria, porte do departamento ou localidade. * Para o conteúdo completo das Normas , veja o Anexo A.

6 OS TRÊS COMPONENTES DOS QAIPs Um QAIP cobre todo o espectro do trabalho de avaliação e consultoria conduzido pela atividade de auditoria interna. Os QAIPs incluem três componentes: Monitoramento contínuo é uma parte fundamental da supervisão, revisão e mensuração diárias da atividade de auditoria interna. O monitoramento contínuo é incorporado às políticas e práticas de rotina usadas para gerenciar a atividade de auditoria interna e utiliza processos, ferramentas e informações considerados necessários para avaliar a conformidade com o Código de Ética e as Normas. Autoavaliações periódicas são conduzidas para avaliar se a atividade de auditoria interna opera ou não com eficácia e eficiência e para avaliar a conformidade com o Código de Ética e as Normas. Essas avaliações também examinam o estatuto, planos, políticas, procedimentos e práticas da atividade de auditoria interna, além dos requisitos legislativos e regulatórios aplicáveis. Avaliações externas devem ser conduzidas ao menos uma vez a cada cinco anos por um avaliador qualificado, ou equipe independente de avaliação, externo à organização. 6 Garantia de Qualidade e Melhoria da Auditoria Interna

7 1 Ampla Não Conformidade: Impactos e Consequências O s dados da pesquisa do praticante CBOK 2015 indicam que, na prática, a conformidade dos auditores internos com as normas profissionais é consistente e não pode ser desvalorizada especialmente no que tange aos requisitos de qualidade. Apesar do amplo apoio aos QAIPs, apenas 34% dos CAEs participantes da pesquisa declararam que seus departamentos de auditoria interna estão em total conformidade com a Norma 1300, que exige que os CAEs desenvolvam e mantenham QAIPs que cubram todos os aspectos da atividade de auditoria interna (veja o Documento 1). Já 29% dos CAEs participantes reportaram que seus QAIPs eram inexistentes ou ad hoc e outros 37% declararam que seus programas estavam em processo de desenvolvimento. Só um terço dos CAEs participantes do estudo CBOK descreveu seu QAIP como bem definido e em total conformidade com a Norma Ponto Chave: Apesar do amplo suporte aos requisitos obrigatórios, a maioria dos departamentos de auditoria interna não está em conformidade com as normas profissionais relativas à qualidade da auditoria interna.. Documento 1 Desenvolvimento do QAIP Desenvolvimento do QAIP % Bem definido, incluindo revisão externa de qualidade + bem definido, incluindo revisão externa de qualidade e ligação formal com 34% atividades de melhoria contínua e treinamento da equipe No processo de desenvolvimento 37% Inexistente ou ad hoc 29% TOTAL 100% Observação: Q47: Qual o nível de desenvolvimento do QAIP em sua organização? CAEs apenas participantes. Possíveis Consequências da Não Conformidade O fracasso da profissão de auditoria interna em cumprir e reforçar suas próprias normas de qualidade pode ter consequências significantes. A inexistência ou ineficácia dos QAIPs pode aumentar o risco de fracasso das auditorias internas em identificar e lidar com questões significantes. Também pode levar ao uso ineficiente ou ineficaz de recursos, não apenas dentro da função de auditoria interna, mas como resultado da auditoria ineficaz em toda a organização. Em algumas jurisdições, conselhos de administração estão começando a encarar uma maior responsabilidade quando auditores internos não estão em conformidade com as normas profissionais. Alguns acreditam que a auditoria interna não será considerada universalmente como uma real profissão até que os auditores internos não só tenham normas profissionais obrigatórias, mas também comecem a aplicar e seguir essas normas consistentemente. O Quality Assessment Manual for the Internal Audit Activity do The IIA aponta que um dos maiores ativos da auditoria interna é sua credibilidade perante suas partes interessadas. De acordo com o manual: Para oferecer assistência de credibilidade e um desafio construtivo à administração, os auditores internos devem ser percebidos como profissionais. O profissionalismo exige conformidade com um conjunto de normas profissionais. Ponto Chave: O fracasso em cumprir com as normas de qualidade pode ter repercussões severas, tanto para a profissão quanto para as organizações atendidas pelos auditores internos. * Copeland, Patrick, Donald Espersen, Martha Catherine, Judith Grobler e James Roth, Quality Assessment Manual for the Internal Audit Activity of Internal Auditors Research Foundation.

8 O Desafio da Conformidade Em um primeiro momento, a porcentagem de auditores internos que não implementaram suas próprias normas profissionais pode parecer surpreendente. Além da inclusão de normas específicas relativas à qualidade da auditoria interna, há uma ênfase crescente sobre a qualidade da auditoria em outras partes do International Professional Practices Framework (IPPF). Em 2015, após o encerramento da pesquisa do praticante CBOK, o IPPF foi atualizado para incluir uma nova declaração de missão e um conjunto de princípios fundamentais para a prática profissional de auditoria interna.* Os 10 princípios * Veja guidance/pages/core-principles-for-the-professional-practice-of- Internal-Auditing.aspx (acessado em Setembro de 2016). fundamentais, como um todo, têm o objetivo de articular a eficácia da auditoria interna. Um dos novos princípios fundamentais do IPPF simplesmente declara, demonstrar qualidade e melhoria contínua. A maioria das profissões possui regras que estabelecem os níveis mínimos aceitáveis de desempenho e, em campos como contabilidade, medicina e direito, não cumprir com as normas profissionais é considerado incomum. Mas, nesse quesito, a auditoria interna é diferente da maioria das outras profissões. A prática de auditoria interna varia consideravelmente entre organizações. Um motivo para isso é que a profissão é amplamente autorregulada e a maioria das partes interessadas da auditoria interna é interna à organização. 8 Garantia de Qualidade e Melhoria da Auditoria Interna

9 2 Taxas Globais de Conformidade: Muitas Inconsistências D e acordo com a pesquisa do praticante CBOK, os níveis de conformidade com as normas de qualidade variam entre regiões geográficas e são afetados por diversos fatores, como porte do departamento, adequação do orçamento de auditoria interna, indústria e até mesmo o tempo de experiência do CAE. Os resultados da pesquisa indicam que a conformidade pode ser especialmente desafiadora para departamentos muito pequenos de auditoria interna. A Conformidade ao Redor do Mundo Os CAEs têm, geralmente, maior probabilidade de reportar que seus QAIPs estão em total conformidade com a Norma 1300 na América do Norte (43%) e Europa (41%) do que em outras regiões. Os QAIPs tiveram menor probabilidade de total conformidade com a Norma 1300 nas regiões do Oriente Médio e África do Norte (33%), Leste Asiático e Pacífico (32%) e América Latina e Caribe (29%) (veja o Documento 2). Documento 2 Conformidade com a Norma 1300: Diferenças Regionais América do Norte 43% 30% 16% 10% Europa 41% 37% 13% 9% África Subsaariana 36% 41% 19% 4% Sul da Ásia 35% 35% 5% 24% Oriente Médio e África do Norte 33% 43% 15% 8% Leste Asiático e Pacífico 32% 38% 9% 21% América Latina e Caribe 29% 35% 23% 12% Média Global 37% 36% 15% 12% 0% 20% 40% 60% 80% 100% Total conformidade Conformidade parcial Não conformidade Não usa as Normas; não sei Observação: Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes.

10 Ponto Chave: A conformidade com requisitos de qualidade é inconsistente e só cerca de um terço dos CAEs reporta um QAIP bem definido. A pesquisa do praticante CBOK revelou variações significativas na existência e maturidade dos QAIPs, não apenas entre regiões definidas, mas também entre países específicos dentro dessas regiões. Por exemplo, na região do Leste Asiático e Pacífico, os países do Pacífico, incluindo Austrália e Nova Zelândia, reportaram 42% de total conformidade com a Norma 1300, enquanto apenas 16% dos CAEs no Leste Asiático (Japão e Coreia) reportaram total conformidade. Conforme exibido no Documento 3, as taxas de conformidade com requisitos específicos das normas de qualidade também variam significativamente entre regiões. Na Europa, por exemplo, 51% dos CAEs reportaram que seus QAIPs incluem avaliações internas periódicas e, então, avaliações externas são conduzidas ao menos uma vez a cada cinco anos. No Sul da Ásia, 43% incluem avaliações internas periódicas, mas apenas 27% passam por uma avaliação externa ao menos uma vez a cada cinco anos. De acordo com Judy Grobler, diretora administrativa da IA Professionals e um dos autores do Quality Assessment Manual for the Internal Audit Activity, sua experiência como revisora independente na África do Sul revelou a Documento 3 Componentes Implementados do QAIP (Entre Aqueles que Usam as Normas) Componente Europa América do Norte África Subsaariana Oriente Médio e África do Norte Leste Asiático e Pacífico Sul da Ásia América Latina e Caribe Média Global Avaliação interna contínua (Norma 1311) 44% 43% 48% 36% 39% 35% 30% 40% Avaliação interna periódica (Norma 1311) Avaliação externa ao menos uma vez a cada cinco anos (Norma 1312) Reporte do programa ao conselho ao menos anualmente (Norma 1320) Divulgação de não conformidade (Norma 1322) 51% 47% 44% 44% 40% 43% 33% 44% 51% 48% 42% 39% 27% 27% 26% 39% 46% 47% 40% 36% 39% 27% 27% 40% 28% 33% 28% 20% 22% 18% 13% 25% Nenhum/Não sei/ Não se aplica/não usa as Normas 26% 31% 25% 33% 37% 44% 46% 33% Observação: Q100: Quais componentes de um programa de garantia de qualidade e melhoria (QAIP) foram implementados em seu departamento de auditoria interna? (Escolha todos os aplicáveis.) participantes. 10 Garantia de Qualidade e Melhoria da Auditoria Interna

11 ênfase da maioria das organizações em conduzir avaliações de risco e produzir seu plano anual de auditoria. Nesses processos, elas se concentram nas Normas de Desempenho (série 2000) e não nas Normas de Atributos (série 1000). Portanto, o processo não inclui ou tem foco sobre a conformidade com a série 1300 das Normas. O monitoramento contínuo ocorre de alguma forma, mas avaliações internas periódicas não são conduzidas e reportadas na maioria dos casos. Grobler e Andrew Cox, gerente de Serviços de Qualidade do IIA-Austrália, acreditam que a série 1300 das Normas é a menos compreendida das Normas. De acordo com Grobler, não há motivo para não conduzir um programa de qualidade contínuo e periódico em cada atividade de auditoria interna. O QAIP deveria ser inerente, não incorporado, aos processos de auditoria interna. Cox recomenda que autoavaliações periódicas anuais sejam feitas internamente e que um relatório escrito seja produzido para comunicar os resultados do QAIP à alta administração e ao conselho de administração. Com base em sua experiência global, conduzindo validações e revisões externas, Cox reporta que poucos CAEs produzem documentação relativa a QAIPs. Tal documentação frequentemente não existe no manual de procedimentos da atividade de auditoria interna. of the 1300 series of the Standards, the document may not be O specifically que precisa tailored mudar to the são internal as percepções audit function. sobre os recursos necessários para conduzir um QAIP, quando os três componentes são implementados e executados rotineiramente. Alguns CAEs e suas partes interessadas [administração, conselhos, comitês de auditoria, et al.] presumem que um QAIP seja um exercício burocrático, que demanda tempo e gastos desnecessários. Judy Grobler, Diretora Administrativa, IA Professionals, África do Sul Variações na Conformidade Entre Indústrias CAEs na indústria de serviços financeiros e organizações do setor público tiveram maior probabilidade do que outros CAES de reportar que suas funções de auditoria interna estão em conformidade com a Norma Mesmo com esses grupos de indústria, a maioria dos CAEs não avaliou seus QAIPs como bem definidos. Os participantes da pesquisa CBOK que trabalham em empresas privadas (exceto setor financeiro) e organizações sem fins lucrativos tiveram menor probabilidade de reportar conformidade do que seus colegas de outras indústrias (veja o Documento 4). Documento 4 Conformidade com a Norma 1300 e Tipo de Organização Setor financeiro (privadas e capital aberto) 42% 37% 14% 7% Setor público 39% 37% 13% 11% Capital aberto (exceto setor financeiro) 37% 35% 12% 16% Sem fins lucrativos 35% 32% 18% 15% Privadas (exceto setor financeiro) 32% 38% 18% 12% 0% 20% 40% 60% 80% 100% Total conformidade Conformidade parcial Não conformidade Não usa as Normas; não sei Observação: Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes.

12 Apesar dos dados da pesquisa CBOK indicarem a existência de variações específicas à indústria na maturidade do QAIP, o estudo não abordou por que essas variações ocorrem. Dois fatores principais levam a essas variações. Primeiro, QAIPs parecem ser mais comuns em indústrias altamente reguladas, em que regulamentos específicos ou o apoio de grupos regulatórios podem melhorar as taxas de conformidade. Em segundo lugar, programas de revisão por pares específicos à indústria podem ter um impacto direto benéfico sobre a qualidade da auditoria interna. Em muitas áreas, auditores internos que trabalham com serviços financeiros, seguros, universidades e no governo criaram programas de revisão de auditoria interna por pares, para ajudar a garantir que suas avaliações de qualidade independentes sejam facilmente obtidas, até para departamentos de auditoria interna com recursos limitados. O estudo CBOK não examinou o impacto de programas de revisão por pares específicos às indústrias sobre os QAIPs, mas pode não ser coincidência que os CAEs nessas indústrias tenham maior probabilidade de considerar seus QAIPs bem definidos. Pesquisas adicionais podem ser necessárias para determinar se a presença de programas acessíveis de revisão por pares específicos à indústria tende a aumentar a maturidade dos QAIPs ou melhorar a conformidade com as normas de qualidade relacionadas. Desafio de Qualidade do Pequeno Departamento Conforme exibido no Documento 5, apenas 28% dos CAEs que trabalham em departamentos de auditoria interna de uma a três pessoas reportam total conformidade com a Norma Por outro lado, 58% dos CAEs em departamentos de auditoria interna de 50 ou mais pessoas estão em total conformidade. Embora espere-se que todas as atividades de auditoria interna estejam em conformidade com a Norma 1300, a conformidade é indiscutivelmente mais desafiadora para departamentos de menor porte. Muitos CAEs de pequenos departamentos que atingiram conformidade dizem que organizações menores podem implementar um QAIP de forma eficaz e acessível, mas que abordagens diferentes podem ser necessárias para funções menores de AI. Felizmente, estão disponíveis hoje diversos recursos que podem facilitar o desafio da qualidade para departamentos menores de AI (veja o Anexo B). Ponto Chave: As Normas foram desenvolvidas para adequação a todos os departamentos de auditoria interna, não importando o porte; mas departamentos menores têm probabilidade bem menor de estar em conformidade. Documento 5 Conformidade com a Norma 1300 e Porte do Departamento 50 ou mais 58% 24% 8% 10% 10 a 49 50% 32% 8% 10% 4 a 9 36% 39% 15% 10% 1 a 3 28% 39% 19% 14% 0% 20% 40% 60% 80% 100% Total conformidade Conformidade parcial Não conformidade Não usa as Normas; não sei Observação: Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes. 12 Garantia de Qualidade e Melhoria da Auditoria Interna

13 VOZES DO CAMPO: A PERSPECTIVA DE QUALIDADE DO PEQUENO DEPARTAMENTO Os comentários a seguir representam as observações feitas por CAEs de pequenos departamentos, que implementaram QAIPs com sucesso. QAIPs. Tivemos sorte que outros auditores internos próximos de nós estiveram dispostos a participar de revisões de pares, porque isso tornou muito mais fácil obter a aprovação para nossa avaliação independente. É difícil, para pequenos departamentos, encontrar os recursos necessários para implementar Claro que precisamos de um QAIP. Temos apenas três auditores internos na equipe, mas, se não usarmos os procedimentos definidos e não tivermos processos documentados, como podemos esperar que nossas partes interessadas tenham confiança em nossos relatórios? Nunca conseguíamos encontrar tempo para uma avaliação de qualidade independente, até que adicionamos o departamento de auditoria interna ao nosso universo de auditoria e fizemos da avaliação independente uma parte formal do plano anual de auditoria. Afinal, somos uma parte importante do sistema de controle interno de nossa empresa e nunca permitiríamos que qualquer outro componente essencial do sistema de controle ficasse sem auditoria por mais de cinco anos. As avaliações de qualidade independentes são especialmente importantes para pessoas de departamentos de auditoria interna de uma pessoa, porque trabalhamos isolados, sem feedback de outros auditores experientes. Para mim, ter uma validação independente foi como uma confirmação de sanidade, que provou que eu estava no caminho certo.

14 3 A Diferença da Qualidade: Funções de AI em Conformidade Comparadas com as Demais F unções de auditoria interna em conformidade com a Norma 1300 parecem ser diferentes de outras funções de auditoria interna de muitas formas. Comparados com outros departamentos de auditoria interna, aqueles que reportam total conformidade com a Norma 1300: Tiveram maior probabilidade de ter acesso completo e irrestrito às informações, conforme apropriado para o desempenho das atividades de auditoria (veja o Documento 7) Trabalharam em organizações com processos de gerenciamento de riscos melhor desenvolvidos, especialmente processos de gerenciamento de riscos corporativos (veja o Documento 8) Usaram uma maior variedade de recursos para desenvolver os planos de auditoria (veja o Documento 9) Fizeram maior uso da tecnologia em processos de auditoria interna (veja o Documento 10) Tiveram maior probabilidade de ter procedimentos documentados em um manual de auditoria interna (veja o Documento 11) Receberam mais horas de treinamento e tiveram maior probabilidade de ter programas de treinamento formalizados (veja os Documentos 12 e 13) Tiveram maior probabilidade de reportar que o financiamento da função de auditoria interna era completamente suficiente (veja o Documento 14) Deve-se notar que não foi determinado até que ponto essas diferenças resultam de QAIPs. Qualquer uma dessas diferenças poderia resultar de ter um QAIP eficaz; por outro lado, ter um QAIP eficaz poderia resultar de algumas dessas diferenças. Parece provável que ambos sejam fatores na correlação. De qualquer forma, as evidências são claras: funções de auditoria interna em total conformidade com a Norma 1300 tendem a ser diferentes de outras funções de auditoria interna. 14 Garantia de Qualidade e Melhoria da Auditoria Interna

15 4 Qualidade e Supervisão da Função de Auditoria Interna O s dados da pesquisa CBOK indicam que há uma forte ligação entre as linhas de reporte da auditoria interna e a conformidade com a Norma Mais de 40% dos CAEs que disseram estar em total ou parcial conformidade com a Norma 1300 reportam funcionalmente a um conselho, comitê de auditoria ou equivalente. Em organizações em que essas linhas de reporte funcional não existem, apenas 14% dos CAEs disseram estar em total ou parcial conformidade (veja o Documento 6). A ligação entre a supervisão do comitê de auditoria e a conformidade com as Normas não deveria ser de surpreender. Em uma pesquisa CBOK separada, as partes interessadas da auditoria interna responderam se tinham conhecimento das Normas; e, se sim, se acreditavam no valor das Normas para o desempenho da auditoria interna. Cerca da metade (53%) sabia das Normas e quase todos acreditavam haver valor na conformidade com as Normas Documento 6 Conformidade com a Norma 1300 e Reporte Funcional ao Conselho, Comitê de Auditoria ou Equivalente Total conformidade Conformidade parcial 41% 37% Não conformidade 14% Não usa as Normas; não sei 8% 0% 10% 20% 30% 40% 50% Observação: Q74: Qual é a primeira linha de reporte funcional para o chief audit executive (CAE) ou equivalente em sua organização? em comparação com Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes. (94%).* Como um membro do conselho dos Estados Unidos disse, a conformidade com as Normas é esperada e deve ocorrer. Ponto Chave: Mais de 40% dos CAEs em total conformidade com a Norma 1300 reportam funcionalmente a um conselho, comitê de auditoria ou equivalente, em comparação com 14% dos CAEs em não conformidade. Acredito que a auditoria interna seja de grande importância para o fortalecimento da estrutura de governança corporativa de qualquer empresa. No entanto, não é suficiente ter uma função de auditoria interna; deve ser uma boa função de auditoria interna e o QAIP ajuda a garantir isso. Jorge Badillo Ayala, Gerente de AI da Sierra Gorda SCM Santiago, Chile, e Presidente do Conselho da Latin American Federation of Internal Auditors (FLAI) Divulgação de Não Conformidade A supervisão ativa da função de auditoria interna é essencial para garantir a qualidade da auditoria interna, mas a supervisão ativa é impossível, se órgãos de supervisão não receberem as informações necessárias para cumprir com suas responsabilidades. Os dados da pesquisa CBOK 2015 indicam que, em um número incrível de organizações, em que os CAEs não estão em * Angela Witzany e Larry Harrington, Voice of the Customer Stakeholders Messages for Internal Audit: A Component of the CBOK Study Foundation, 2016).

16 conformidade com as normas de qualidade, sua não conformidade pode não ser divulgada ao comitê de auditoria ou qualquer outro órgão de supervisão. Na região da América Latina e Caribe, por exemplo, 74% dos CAEs declararam não ter implementado o requisito da avaliação externa ao menos uma vez a cada cinco anos. A maioria dos CAEs também indicou não ter implementado requisitos relativos às avaliações internas contínuas e periódicas. Apesar desses baixos níveis de conformidade, apenas 13% dos CAEs que disseram usar as Normas indicaram ter implementado a Norma 1322, de divulgação da não conformidade (veja o Documento 3). A Norma 1322 declara que, quando a não conformidade com as Normas impacta o escopo geral ou operação da atividade de auditoria interna, o executivo chefe de auditoria deve divulgar a não conformidade e os impactos à alta administração e ao conselho. Conforme exibido nas Seções 2 e 4, não implementar um QAIP pode ter impacto significante sobre o escopo geral ou operação da atividade de auditoria interna. Após o encerramento da pesquisa do praticante CBOK, a Prática Recomendada : Divulgação da Não Conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas), do The IIA, foi revisada para oferecer exemplos específicos de não conformidade que devem ser reportados sob a Norma A Prática Recomendada revisada lista especificamente não conduzir uma avaliação externa de qualidade uma vez a cada cinco anos como um exemplo típico de não conformidade que deve ser reportado à alta administração e ao conselho.* Ponto Chave: Mesmo quando reportam usar as Normas, muitos CAEs em não conformidade não divulgam sua não conformidade ao comitê de auditoria ou conselho. * Prática Recomendada do International Professional Practices Framework, The Institute of Internal Auditors, revisada em Maio de Garantia de Qualidade e Melhoria da Auditoria Interna

17 Conclusão H á um consenso geral na literatura e entre os praticantes envolvidos na produção deste relatório de que QAIPs contínuos agregam valor aos serviços de auditoria interna. Um QAIP robusto: Facilita a melhoria contínua Melhora e monitora a conformidade com as Normas Avalia o desempenho, mensurando e avaliando key performance indicators Facilita a supervisão eficaz dos processos de auditoria interna Oferece avaliações externas independentes e regulares do trabalho de auditoria interna Ajuda a garantir que o CAE, o comitê de auditoria e a alta administração tenham uma visão consistente do que a função de auditoria interna deve buscar conquistar Melhora a eficiência e eficácia da auditoria interna e melhora o valor dos serviços prestados pela auditoria interna Ajuda a garantir o sucesso da auditoria interna Apesar do amplo apoio às normas de qualidade obrigatórias, a pesquisa do praticante CBOK 2015 revelou diferenças significantes e preocupantes entre as práticas reais de auditoria interna e aquelas descritas nas Normas. Essas diferenças podem ter consequências profundas para a profissão de auditoria interna e suas partes interessadas. Este é o momento em que os auditores internos devem trabalhar juntos, para melhorar a conformidade com as Normas e a aplicação dessas expectativas essenciais. Apenas desta forma, poderemos avançar como uma profissão: Quando o monitoramento contínuo não estiver sendo conduzido, precisamos estabelecer processos de monitoramento. Quando avaliações internas periódicas não estiverem ocorrendo, precisamos acrescentá-las aos planos e cronogramas de auditoria. Quando estivermos cientes de departamentos de AI que não tenham sido submetidos a avaliação externa, precisamos nos voluntariar para ajudá-los a se preparar para uma avaliação ou validação independente, ou para ajudar a conduzir a avaliação ou validação para eles. Quando programas de revisão de auditoria interna por pares não estiverem disponíveis, precisamos trabalhar para melhorar sua disponibilidade. Precisamos abrir as linhas de comunicação com comitês de auditoria e outras partes interessadas e comunicar os resultados dos QAIPs, para garantir que estejam cientes de todas as áreas significantes de não conformidade.

18 Os praticantes que participaram da pesquisa CBOK 2015 confirmam a eficácia de um QAIP contínuo, que agrega valor e fortalece a função de auditoria interna em uma variedade de formas. Os Documentos 7 a 14 identificam áreas nas quais as funções de auditoria interna em conformidade com a Norma 1300 são construtivamente diferentes de outras funções de auditoria interna. Documento 7 Conformidade com a Norma 1300 e Acesso Irrestrito à Informação Total conformidade 68% Conformidade parcial Usa as Normas; não conformidade Não usa as Normas; não sei 43% 47% 51% 0% 20% 40% 60% 80% Observação: Q53: Em sua opinião, até que ponto o departamento de auditoria interna de sua organização tem acesso completo e irrestrito às propriedades e registros dos funcionários, conforme apropriado para o desempenho das atividades de auditoria? em comparação com Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes. Documento 8 Conformidade com a Norma 1300 e Desenvolvimento de Processos de Gerenciamento de Riscos Total conformidade Conformidade parcial Não conformidade Não usa as Normas; não sei 35% 30% 29% 6% 22% 30% 40% 8% 13% 22% 50% 15% 13% 26% 40% 21% 0% 20% 40% 60% 80% 100% A organização tem um processo formal de gerenciamento de riscos corporativos (ERM), com um chief risk officer ou equivalente Existem processos e procedimentos formais de gerenciamento de riscos. Processos de gerenciamento de riscos são informais ou em desenvolvimento. Não existem processos de gerenciamento de riscos. Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos de sua organização? CAEs apenas participantes. 18 Garantia de Qualidade e Melhoria da Auditoria Interna

19 Documento 9 Recursos Usados para Estabelecer o Plano de Auditoria Recurso do Plano de Auditoria Total conformidade Conformidade parcial Em não conformidade * Não usa as Normas; não sei Média Metodologia baseada em riscos 94% 88% 83% 69% Solicitações da administração 78% 74% 78% 61% Análise da estratégia/objetivos comerciais da organização Requisitos de conformidade/ regulatórios Consultas com chefes de divisão ou do negócio Solicitações do comitê de auditoria 76% 68% 58% 47% 70% 61% 59% 54% 70% 64% 64% 45% 66% 57% 59% 37% Plano de auditoria do ano anterior 64% 62% 60% 62% Consultas com auditores externos Solicitações de auditores externos 35% 26% 20% 18% 22% 18% 15% 20% Outro 6% 4% 6% 7% Observação: Q48: Quais recursos você usa para estabelecer seu plano de auditoria? (Escolha todos os aplicáveis.) em comparação com Q99: Sua organização está em conformidade com as Normas? (As opções de resposta foram: Sim, total conformidade; Sim, conformidade parcial; Eu não sei.) participantes. *Mas usando as Normas.

20 Documento 10 Conformidade com a Norma 1300 e Uso de Tecnologia Total conformidade Conformidade parcial Não conformidade Não usa as Normas; não sei 52% 35% 13% 36% 40% 24% 23% 49% 28% 24% 42% 35% 0% 20% 40% 60% 80% 100% Uso apropriado e extensivo de tecnologia Certo uso de papéis de trabalho eletrônicos ou outras ferramentas comerciais de TI Dependência primária de sistemas e processos manuais Observação: Q44: Como você descreveria o uso de tecnologia para apoiar os processos de auditoria interna em sua organização? (CAEs apenas.); em comparação com Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes. Documento 11 Conformidade com a Norma 1300 e Procedimentos Operacionais de Auditoria Interna Total conformidade Conformidade parcial Não conformidade com 1300, mas usa as Normas Não usa as Normas; não sei 93% 7% 84% 16% 72% 28% 64% 36% 0% 20% 40% 60% 80% 100% Documentados em um manual de AI Ad hoc e não claramente documentados Observação: Q39: Como você descreveria os procedimentos operacionais de auditoria interna em sua organização? em comparação com Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes. 20 Garantia de Qualidade e Melhoria da Auditoria Interna

21 Documento 12 Conformidade com a Norma 1300 e Formalização de Programas de Treinamento de AI Total conformidade Conformidade parcial Não conformidade Não usa as Normas; não sei 64% 36% 42% 58% 29% 71% 28% 72% Estruturados e documentados Não desenvolvidos ou ad hoc 0% 20% 40% 60% 80% 100% Observação: Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes. Documento 13 Conformidade do CAE com a Norma 1300 e Horas de Treinamento de AI por Ano % 48.0% 43.7% % Total conformidade Conformidade parcial Não conformidade, mas usa as Normas Não conformidade com as Normas; não sei Observação: Q14: Quantas horas de treinamento formal relativo à auditoria interna você recebe por ano? CAEs apenas participantes.

22 Documento 14 Conformidade com a Norma 1300 e Suficiência do Financiamento Total conformidade Conformidade parcial Não conformidade Não conformidade com as Normas; não sei 41% 49% 10% 27% 57% 16% 26% 57% 17% 26% 52% 22% 0% 20% 40% 60% 80% 100% Completamente suficiente Suficiente até certo ponto Nem um pouco suficiente Observação: Q28: Em sua opinião, qual a suficiência do financiamento de seu departamento de auditoria interna, quanto à extensão de suas responsabilidades de auditoria? CAEs apenas; em comparação com Q99: Sua organização está em conformidade com as Normas? Tópico: Norma 1300: Programa de Garantia de Qualidade e Melhoria. CAEs apenas participantes. 22 Garantia de Qualidade e Melhoria da Auditoria Interna

23 Anexo A Requisitos de Qualidade das Normas Internacionais para a Prática Profissional de Auditoria Interna 1300 Programa de Garantia de Qualidade e Melhoria O executivo chefe de auditoria deve desenvolver e manter um programa de garantia de qualidade e melhoria que compreenda todos os aspectos da atividade de auditoria interna. Interpretação: Um programa de garantia de qualidade e melhoria é desenvolvido para permitir uma avaliação da conformidade da atividade de auditoria interna com as Normas e uma avaliação quanto a se os auditores internos observam o Código de Ética. O programa também avalia a eficiência e a eficácia da atividade de auditoria interna e identifica oportunidades de melhoria Requisitos do Programa de Garantia de Qualidade e Melhoria O programa de garantia de qualidade e melhoria deve incluir tanto avaliações internas quanto externas Avaliações Internas As avaliações internas devem incluir: Monitoramento contínuo do desempenho da atividade de auditoria interna; e Autoavaliações ou avaliações periódicas realizadas por outras pessoas da organização com conhecimento suficiente das práticas de auditoria interna. Interpretação: O monitoramento contínuo é uma parte integrante da rotina diária de supervisão, revisão e avaliação da atividade de auditoria interna. O monitoramento contínuo está incorporado às políticas e práticas rotineiras utilizadas para gerenciar a atividade de auditoria interna e utiliza os processos, as ferramentas e as informações consideradas necessárias para avaliar a conformidade com o Código de Ética e com as Normas. As avaliações periódicas são conduzidas para avaliar a conformidade com o Código de Ética e com as Normas. O conhecimento suficiente das práticas de auditoria interna requer, pelo menos, a compreensão de todos os elementos do International Professional Practices Framework Avaliações Externas As avaliações externas devem ser realizadas ao menos uma vez a cada cinco anos, por um avaliador, ou equipe de avaliação, qualificado e independente, externo à organização. O executivo chefe de auditoria deve discutir com o conselho: A forma e a frequência da avaliação externa; e A qualificação e independência do avaliador externo, ou equipe de avaliação, incluindo qualquer potencial conflito de interesses.

24 Interpretação: Avaliações externas aperfeiçoam programas de garantia de qualidade e melhoria e podem ser realizadas por meio de uma avaliação externa completa ou uma autoavaliação com validação externa independente. O avaliador externo deve concluir quanto à conformidade com as Normas; a avaliação externa também pode incluir comentários operacionais ou estratégicos. Um avaliador ou equipe de avaliação qualificada demonstra sua competência em duas áreas: a prática profissional de auditoria interna e o processo de avaliação externa. A competência pode ser demonstrada por meio de uma combinação de experiência e aprendizado teórico. A experiência obtida em organizações de mesmo porte, complexidade, setor ou indústria e de conteúdo técnico similar é mais importante do que a experiência em outras áreas menos relevantes. No caso de uma equipe de avaliação, não é necessário que todos os membros da equipe possuam todas as competências; mas sim que a equipe, em conjunto, esteja qualificada. O executivo chefe de auditoria utilizará seu julgamento profissional para avaliar se um avaliador ou equipe de avaliação apresenta competência suficiente para ser considerado qualificado. Um avaliador, ou equipe de avaliação, independente significa não ter qualquer conflito de interesses real ou percebido, e não fazer parte ou estar sob o controle da organização à qual a atividade de auditoria interna pertence. O executivo chefe de auditoria deveria encorajar a participação do conselho no programa de garantia de qualidade e melhoria, para reduzir conflitos de interesses percebidos ou em potencial Reporte do Programa de Garantia de Qualidade e Melhoria O executivo chefe de auditoria deve comunicar os resultados do programa de garantia de qualidade e melhoria à alta administração e ao conselho. A divulgação deveria incluir: auditoria, como disposto no estatuto de auditoria interna. Para demonstrar a conformidade com o Código de Ética e com as Normas, os resultados de avaliações externas e internas periódicas são comunicados tão logo estas avaliações forem completadas e os resultados do monitoramento contínuo são comunicados pelo menos anualmente. Os resultados incluem a avaliação do avaliador, ou da equipe de avaliação, com relação ao grau de conformidade Uso de Em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna Indicar que a atividade de auditoria interna está em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna é apropriado, somente se os resultados do programa de garantia de qualidade e melhoria sustentarem tal declaração. Interpretação: A atividade de auditoria interna está em conformidade com as Normas quando alcança os resultados descritos no Código de Ética e nas Normas. Os resultados do programa de garantia de qualidade e melhoria incluem os resultados tanto das avaliações internas como das externas. Todas as atividades de auditoria interna terão os resultados das avaliações internas. Aquelas atividades cuja existência ultrapasse cinco anos também terão os resultados de avaliações externas Divulgação de Não Conformidade Quando a não conformidade com o Código de Ética ou com as Normas impactar o escopo geral ou a operação da atividade de auditoria interna, o executivo chefe de auditoria deve divulgar a não conformidade e os impactos à alta administração e ao conselho. Interpretação: A forma, o conteúdo e a frequência da comunicação dos resultados do programa de garantia de qualidade e melhoria são estabelecidos através de discussões com a alta administração e o conselho e consideram as responsabilidades da atividade de auditoria interna e do executivo chefe de 24 Garantia de Qualidade e Melhoria da Auditoria Interna

25 Anexo B Recursos Adicionais Bailey, James A, IIA Standards: Conformance and Trends: A Component of the CBOK Study (Al- 2016). Copeland, Patrick, Espersen, Donald, Grobler, Martha Catherine Judith e James Roth Quality Assessment Manual for the Internal Audit Activity. Auditors Research Foundation, 2013). Guia Prático do IIA, Assisting Small Internal audit activities in implementing the International Standards for the Professional Practice of Internal Auditing ( Auditors, 2011). Guia Prático do IIA, Quality Assurance and Improvement Program of Internal Auditors, 2012). International Professional Practices Framework (IPPF) (Altamonte Springs, FL: The Institute of Internal Auditors, 2013, edição atualizada: - Missão e Princípios Fundamentais adicionados em 1 º de Julho 2015). MacRae, Elizabeth, Internal Audit Capability Model (IA-CM) for the Public Sector (Altamonte Springs, FL: - tion, 2009). Pitt, Sally-Anne, Internal Audit Quality: Developing a Quality Assurance and Improvement Program (Wiley, 2014). Site do The IIA, Quality Toolkit de templates, orientações, apresentações, um modelo de política de qualidade, matriz de Modelo de Capacidade e outros materiais úteis para implantar um QAIP contínuo, Supplemental Guidance: Implementing a New Internal Audit Function in the Public Sector (Altamonte 2012). Acessado em -%20Implementing%20a%20New%20Internal%20 Audit%20Function.pdf. Site do The IIA, Quality Assurance, Setembro de 2016, Quality-Assurance.aspx. Programs: A Global Perspective (Altamonte Springs, Acessado em -Value-of-Quality-Assurance-and-Improvement-Programs.pdf.

26 Sobre as Autoras C hristie J. O Loughlin, CGAP, CRMA, é diretora da Christie O Loughlin & Associates. Desde 1999, atua como consultora privada de auditoria, conduzindo uma ampla variedade de consultorias de administração, consultorias de desempenho, revisões de garantia de qualidade e projetos de treinamento para clientes do governo federal, estadual e local e organizações sem fins lucrativos. Antes disso, trabalhou em programas e agências de todos os níveis do governo do estado de Washington por 30 anos. J odi Swauger é presidente e CEO da Swauger Consulting Services. Anteriormente, trabalhou como vice-presidente assistente do The IIA e como CAE de duas organizações de serviços financeiros. 26 Garantia de Qualidade e Melhoria da Auditoria Interna

27 Sobre a Equipe do Projeto Comitê de Revisão do Relatório e Entrevistados Jorge Badillo Ayala, Gerente de Auditoria Interna da Sierra Gorda SCM e Presidente do Conselho da Latin American Federation of Internal Auditors (FLAI) (Chile) Andrew Cox, Gerente de Serviços de Qualidade do The Institute of Internal Auditors (Austrália) Tracy Darakjian, Gerente de Serviços de Qualidade do The Institute of Internal Auditors (EUA) James J. Gourrah, Chefe de Auditoria Interna do Capitec Bank (África do Sul) Judy Grobler: Diretora Administrativa da IA Professionals (África do Sul) Pascal Guillet, Directeur de l Audit chez Veolia Environnement (França) Cindy Kailly-Smith, Serviços de Auditoria da British Columbia Lottery Corporation (BCLC); (Canadá) Elizabeth MacRae, Pesquisadora de AI, Autora e Consultora de Administração (Canadá) Mark Pearson, Diretor de Auditoria Interna e Segurança Corporativa, Packaging Corporation of America (EUA) Gualter Ramalho Portella, conselheiro de um dos juízes do Tribunal de Contas da União (TCU), o Departamento Superior de Auditoria do Brasil Debi Roth, Diretora Administrativa de Normas e Orientação do The IIA Global (EUA) Beatriz Sanz-Redrado, Diretora da European Commission Anti-Fraud Office (OLAF); Diretoria C, Suporte a Investigações (Bélgica) Hajime Yoshitake, Presidente do Conselho de Auditoria e Supervisão do Saitama Resonabank, Ltd. (Japão) Equipe de Desenvolvimento do CBOK Copresidentes - do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França) Presidente do Subcomitê da Pesquisa do Praticante: Michal Parkinson (Austrália) Vice-Presidente da IIARF: Bonnie Ulmer Analista de Dados Primários: Dr. - Po-ju Chen Gerente de Projeto: Selma Kuurstra e Kayla Manning Revisão de Qualidade e Análise de Dados: Tameca Alexander Comitê de Revisão do Relatório Andrew Cox (Austrália) Deborah Poulalion (Estados Unidos) Hajime Yoshitake (Japão) Judy Grobler (África do Sul) Mark J. Pearson (Estados Unidos) Tracy Darakjian (Estados Unidos) Debi Roth (Estados Unidos) Elizabeth Macrae (Canadá) Joyce Vassiliou (Estados Unidos)