PULSO GLOBAL DA AUDITORIA INTERNA 2015 Aproveitando Oportunidades em um Ambiente Dinâmico JULHO DE 2015 Este relatório é promovido pelo The IIA Research Foundation Common Body of Knowledge (CBOK )
Aproveitando Oportunidades em um Ambiente Dinâmico DISCLAIMER Copyright 2015 The Institute of Internal Auditors (IIA), localizado em Maitland Ave., 247, Altamonte Springs, FL, 32701, E.U.A. Todos os direitos reservados. Publicado nos Estados Unidos da América. A não ser para os propósitos desta publicação, os leitores deste documento não podem reproduzir, redistribuir, exibir, alugar, emprestar, revender, explorar comercialmente ou adaptar os dados estatísticos e demais dados aqui contidos sem permissão do The IIA. SOBRE ESTE DOCUMENTO As informações incluídas neste relatório são gerais em natureza e não têm o objetivo de abordar qualquer indivíduo, função de auditoria interna ou organização em particular. O objetivo deste documento é compartilhar informações e outras práticas, tendências e questões de auditoria interna. No entanto, nenhum indivíduo, função de auditoria interna ou organização deve atuar com base nas informações deste documento sem consulta ou avaliação apropriada. Para baixar uma versão digital deste relatório, visite www.theiia.org/goto/globalpulse. SOBRE O CBOK ÍNDICE Introdução...4 Metodologia e Dados Demográficos...5 Reagindo a Riscos Emergentes...6 Alcançando uma Visão Corporativa de Riscos...9 Reporte Holístico Expande as Oportunidades da Auditoria Interna...13 Gerenciando a Pressão...16 Conclusão...21 Anexo... 22 O Global Internal Audit Common Body of Knowledge (CBOK) é o maior estudo contínuo, no mundo todo, sobre a profissão da auditoria interna. Apoiado por institutos do IIA em todo o mundo, o CBOK inclui estudos abrangentes dos praticantes de auditoria interna e suas partes interessadas. Para mais informações sobre o CBOK, visite www.theiia.org/goto/cbok. SOBRE O THE AUDIT EXECUTIVE CENTER O The IIA s Audit Executive Center é o recurso essencial para empoderar CAEs para se tornarem mais bem sucedidos. A suite de informações, produtos e serviços do Center permite que CAEs reajam aos desafios únicos e riscos emergentes da profissão. Para mais informações sobre o Center, visite www.theiia.org/cae. 3
INTRODUÇÃO Hoje, mais do que nunca, o desafio de definir o papel da auditoria é complicado por um ambiente de negócio dinâmico. Riscos emergentes nunca parecem diminuir, partes interessadas querem e precisam de uma visão de riscos abrangente, novos modelos de reporte estão surgindo e executivos chefes de auditoria (chief audit executives - CAEs) são frequentemente incomodados por pressões políticas. Para lidar com essas preocupações neste ano, o The IIA s Audit Executive Center colaborou com a The IIA Research Foundation (IIARF) para incluir as perguntas da pesquisa Pulso da Auditoria Interna na Pesquisa do Praticante do Common Body of Knowledge (CBOK) Global de Auditoria Interna de 2015. Ao fazer isso, alcançamos um número recorde de CAEs para informar o relatório de 2015 do Pulso Global da Auditoria Interna. Quatro grandes temas foram explorados neste relatório: Os riscos continuam emergindo rapidamente para as organizações. Uma avaliação de riscos anual já não é suficiente. Os CAEs precisam entender os riscos emergentes rapidamente, revisar frequentemente seus planos de auditoria em resposta a essas novas informações e comunicar essas mudanças às suas partes interessadas com eficácia. O risco não pode ser visto em silos, mas deve ser considerado amplamente. A auditoria interna precisa ter a mesma visão de amplitude. Isso significa que a auditoria interna deve trabalhar de perto com outras funções de risco na definição, estudo e prestação de avaliação sobre os riscos. O reporte externo para organizações inclui mais do que o reporte financeiro. O uso do reporte de sustentabilidade e do reporte integrado aumentou. Ambos os tipos de relatórios seriam beneficiados pela expertise e pelo insight da auditoria interna. Os CAEs podem aproveitar essa oportunidade para agregar maior valor às suas organizações. As pressões políticas podem ser gerenciadas com sucesso. Para fazê-lo, os CAEs precisam otimizar suas linhas de reporte, considerar o impacto de suas escolhas sobre a objetividade na condução das atividades de auditoria interna, insistir em obter acesso a todas as informações de que precisam e garantir que seu trabalho seja de alta qualidade para superar desafios. Por meio do relatório Pulso Global da Auditoria Interna, esperamos apoiar seus esforços de melhorar suas organizações e a profissão. Richard F. Chambers, CIA, QIAL, CGAP, CCSA, CRMA Presidente e CEO The Institute of Internal Auditors 4 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico METODOLOGIA E DADOS DEMOGRÁFICOS Em esforços coordenados com a The IIARF, o Audit Executive Center do The IIA incorporou as perguntas da pesquisa do Pulso da Auditoria Interna na Pesquisa do Praticante do CBOK Global de Auditoria Interna de 2015. Isso resultou em mais de 14.500 respostas utilizáveis, de 166 países, para inclusão nos relatórios CBOK. Todas as respostas foram anônimas. A pesquisa ficou disponível entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído às listas de e-mail do instituto, aos sites do IIA, newsletters e mídias sociais. Pesquisas parcialmente respondidas foram consideradas utilizáveis, desde que as perguntas demográficas tivessem sido respondidas completamente. As respostas de 3.344 CAEs ou equivalentes e 1.630 diretores ou alta administração à pesquisa foram analisadas para o relatório do Pulso Global da Auditoria Interna de 2015. Neste relatório, esses dois grupos são chamados de CAEs e diretores. A não ser quando indicado, os dados fornecidos neste relatório vêm da análise das respostas de CAEs e diretores. Em alguns casos, participantes CAEs foram analizados rigorosamente. Por favor, note que os dados relatados aqui representam médias entre os que responderam a Pesquisa e não podem ser generalizados para a população geral de auditores interno de qualquer região em particular. CAEs e diretores responderam a Pesquisa de organizações que variam amplamente em localização, tipo, porte e setor da indústria. A maioria desses participantes (28 porcento) relatou que trabalha principalmente na Europa e Ásia Central seguida pelo Leste Asiático e Pacífico, e América do Norte, com 20 porcento cada. Adicionalmente, 14 porcento responderam da América Latina e Caribe, 8 porcento do Oriente Médio e África do Norte, 6 porcento da África Subsaariana e 3 porcento do Sul da Ásia. Veja o Anexo para detalhes sobre o número de participantes CAEs e diretores por país ou território. CAEs e diretores que responderam a Pesquisa vieram de diferentes tipos de organizações: 35 porcento identificaram sua organização como privada; 33 identificaram como de capital aberto; e 23 porcento como do setor público. Apesar de muitos CAEs e diretores (34 porcento) reportarem uma receita anual de mais de US$1 bilhão para suas organizações individuais, a maioria dos participantes estimou a receita total como substancialmente menor. Na verdade, 34 porcento reportaram uma receita anual de US$100 milhões ou menos. Similarmente, os portes da equipe de auditoria também variaram muito entre CAEs e diretores, com a maioria (61 porcento) reportando equipes de um a nove funcionários apesar de significantes 12 porcento reportarem equipes de 50 ou mais. Selecionando a partir de 20 respostas possíveis, 29 porcento dos CAEs e diretores identificaram sua indústria como finanças e seguros. Outras indústrias representadas em altos números foram manufatura (13 porcento) e administração pública (8 porcento). 5
REAGINDO A RISCOS EMERGENTES Em um momento em que o mundo tem acesso instantâneo à informação, os riscos capazes de destruir décadas de valor acumulado podem se materializar da noite para o dia e sem qualquer aviso prévio. Surpresas geopolíticas, macroeconômicas e ciberrelacionadas tornaram-se quase rotineiras. Raramente se passa um dia sem uma referência a uma nova ameaça global ou ciberataque. Seja a tensão política, terremotos ou uma pandemia crescente, todos têm um impacto sobre o negócio. A volatilidade de tais riscos emergentes e em evolução está colocando uma pressão enorme sobre as funções de auditoria interna, o que entra em conflito com uma grande variedade de questões, da identificação e gerenciamento de riscos relativos à globalização e interdepedência, até a proliferação dos canais de comunicação global interconectados. As Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) do The IIA exigem que os auditores internos tenham um plano com base em riscos. Dessa forma, nosso foco deve estar sobre as áreas de uma organização que provavelmente serão mais afetadas por fatores que impeçam a organização de atingir seus objetivos as áreas de maior risco. Riscos tradicionais, de rotina, são facilmente identificados, bem conhecidos e prontamente avaliados. Riscos emergentes, aqueles não identificados até mês passado ou ano passado, são os riscos mais difíceis de identificar e avaliar. Mas, justamente por esse motivo, também podem ser os mais críticos nos quais a auditoria interna deva focar. Descobertas Relativas aos Riscos Emergentes PLANEJAMENTO DE AUDITORIA. Os participantes CAEs indicaram maior foco nos riscos estratégicos do negócio (48 porcento), TI (42 porcento) e governança corporativa (32 porcento) áreas especialmente suscetíveis aos riscos emergentes. Ao mesmo tempo, CAEs reportaram que atualizam suas avaliações de riscos em intervalos que podem ser menos frequentes do que o necessário. Apenas 23 porcento relataram que conduzem avaliações de riscos contínuas (veja o Documento 1). Esse pode ser o motivo pelo qual a maioria dos CAEs também reportou que atualizam seu plano de auditoria no máximo uma ou duas vezes ao ano (veja o Documento 2). Apesar da alta velocidade na qual os riscos mudam, apenas 16 porcento dos CAEs indicaram que seu processo de planejamento de auditoria é flexível o suficiente para reagir aos riscos emergentes imediatamente. Esses dados indicam que 77 porcento dos CAEs pode não identificar os riscos de forma oportuna e 84 porcento demorariam a responder com um plano de auditoria atualizado durante uma crise, como um problema no upgrade do sistema de planejamento de recursos corporativos, um grande ciberataque em um concorrente próximo ou uma tomada do governo em um país no qual a organização atue. O CAE pode estar pensando que tais itens não têm impacto sobre a organização, mas o histórico dos maiores eventos de riscos sugere que as organizações, frequentemente, estão despreparadas para responder rapidamente, por conta da superconfiança em sua habilidade de evitar tais riscos. 6 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico Documento 1 Frequência das Avaliações de Riscos Observação: Q42: Com que frequência a auditoria interna conduz uma avaliação de riscos? CAEs apenas. 2.941 participantes. Por conta de arredondamento, os totais de algumas regiões podem não ser iguais a 100 porcento. Documento 2 Frequência de Atualização do Plano de Auditoria Observação: Q38: Como você descreveria o desenvolvimento do plano de auditoria em sua organização? CAEs apenas. 3.014 participantes. Por conta de arredondamento, os totais de algumas regiões podem não ser iguais a 100 porcento. 7
A maior atenção da auditoria interna às áreas mais suscetíveis aos riscos emergentes sugere progresso, mas o progresso é lento. A auditoria interna precisa auditar na velocidade do risco, não na velocidade de seu processo interno tradicional. Olhando à Frente Considerando a ameaça, escopo e importância dos riscos emergentes e em evolução, é imperativo que as funções de auditoria interna e organizações que elas atendem avaliem os riscos de forma capaz e contínua e respondam rapidamente a esses riscos. Auditar na velocidade do risco significa que os CAEs precisam desenvolver a capacidade, em sua equipe, de alinhar ou realinhar continuamente sua cobertura de auditoria, para abordar os principais riscos e evitar surpresas prejudiciais. Empresas globais, especificamente, precisam recalibrar seus planos de auditoria constantemente, com base no que está acontecendo em suas organizações, em suas indústrias e no mundo. Os Imperativos para o CAE O mandato de abordar riscos emergentes e em evolução é claro. Riscos estão surgindo em um ritmo sem precedentes e a impaciência das partes interessadas perante surpresas é evidente. As ações sugeridas a seguir foram adaptadas da publicação Imperatives for Change: The IIA s Global Internal Audit Survey in Action 1 : DESENVOLVA processos dentro da auditoria interna, para identificar e reportar a respeito dos riscos emergentes: Torne a identificação e avaliação de questões emergentes uma competência chave da auditoria interna. Coordene com o negócio e as funções da organização, para compartilhar informações e visões sobre as questões emergentes. Use fontes externas de dados, conhecimentos e questões de negócios para auxiliar na identificação de questões emergentes externas. AVALIE o processo existente de revisão do plano de auditoria interna; desenvolva uma abordagem para agir mais rapidamente e fazer mudanças mais frequentes no plano de auditoria, conforme os riscos da organização mudam. COMUNIQUE-SE com as principais partes interessadas (gerência executiva e o conselho) sobre riscos em mudança e a necessidade de revisar o plano de auditoria oportunamente. Busque concordância quanto a um equilíbrio adequado entre a necessidade da auditoria de completar o plano de auditoria e a necessidade da auditoria interna de reagir a riscos emergentes e em mudança. REPORTE às partes interessadas quanto aos riscos em mudança e relacione essas mudanças diretamente às mudanças no plano de auditoria. 1. Richard J. Anderson e J. Christopher Svare, Imperatives for Change: The IIA s Global Internal Audit Survey in Action, (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2011). 8 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico ALCANÇANDO UMA VISÃO CORPORATIVA DE RISCOS Quando se trata da mitigação de riscos, uma das principais metas do conselho é atingir uma visão corporativa da grande variedade de riscos que a organização enfrenta. Apesar de as funções de auditoria interna serem bem posicionadas para auxiliar os conselhos com sua supervisão do gerenciamento de riscos e governança, isso vai variar de acordo com a natureza, porte e tipo de organização, assim como os mercados que ela atende. Em organizações menores, por exemplo, auditores internos podem fornecer ao conselho insights independentes, objetivos e informados, necessários para ter um entendimento abrangente dos riscos organizacionais. Em comparação, uma organização de grande porte pode ter um diretor de riscos encarregado de auxiliar o conselho em suas responsabilidades de supervisão regularmente. Em tais casos, o papel da auditoria interna é claramente mais auxiliar e colaborativo, em apoio às atividades de identificação de riscos da administração. Atividades regulatórias relativas à legislação do mercado de capitais também guiam as responsabilidades de supervisão do conselho e contribuem com a maturidade relativa das atividades de gerenciamento de riscos de uma empresa. Por exemplo, de acordo com o U.K. Corporate Governance Code 2 (U.K. Code), que governa as empresas listadas na London Stock Exchange, o conselho de administração tem a responsabilidade de determinar a natureza e extensão dos principais riscos que está disposto a aceitar na busca por atingir seus objetivos estratégicos e manter sistemas razoáveis de gerenciamento de riscos e controle interno. O U.K. Code também dá ao conselho a responsabilidade de estabelecer acordos relativos à aplicação dos princípios de reporte corporativo, gerenciamento de riscos e controle interno. Técnicas usadas pela auditoria interna para prestar assistência aos conselhos em suas responsabilidades de riscos vão de simples planilhas de trabalho a sistemas elaborados. O objetivo dessas técnicas é dar uma visão do gerenciamento de riscos corporativos (enterprise risk management ERM) e avaliação combinada. Descobertas Relativas a uma Visão Corporativa de Riscos Considerando que o ERM é um método comum usado para traçar o perfil de riscos em uma organização, a Pesquisa buscou um cenário preciso das responsabilidades atuais da auditoria interna no ERM. Conforme reportado na Pesquisa, 47 porcento dos participantes CAEs e diretores prestam avaliação quanto a riscos individuais, 46 porcento prestam avaliação quanto ao gerenciamento de riscos como um todo e 56 porcento prestam aconselhamento e consultoria quanto às atividades de gerenciamento de riscos. Quando solicitados a descrever a maturidade relativa dos processos de gerenciamento de riscos de sua 2. The U.K. Corporate Governance Code, (Londres: Financial Reporting Council, 2014), 17. 9
Documento 3 Maturidade dos Processos de Gerenciamento de Riscos Observação: Q58: Qual é o nível de desenvolvimento dos processos de gerenciamento de riscos de sua organização? CAEs apenas. 2.675 participantes. Por conta de arredondamento, os totais de algumas regiões podem não ser iguais a 100 porcento. organização, 37 porcento dos participantes CAEs descreveram seus processos de gerenciamento de riscos como informais ou apenas em desenvolvimento, 29 porcento relataram que têm processos e procedimentos de gerenciamento de riscos em prática e 24 porcento disseram que sua organização tem um processo formal de ERM, com um diretor de riscos ou equivalente (veja o Documento 3). AUDITORIA INTERNA E ERM. Os participantes da pesquisa também reportaram sobre o relacionamento entre a auditoria interna e o ERM em sua organização. Doze porcento dos participantes CAEs e diretores relataram que a auditoria interna e o ERM são funções separadas, sem interação. Outros 66 porcento reportaram que, apesar de serem funções separadas, a auditoria interna e o ERM são mais colaborativas, com as duas equipes coordenando e compartilhando conhecimento. Uma porcentagem significantemente maior (72 porcento), na Europa e Ásia Central, afirmou que esse acordo colaborativo descreve a relação entre as duas funções em suas organizações. Por outro lado, 15 porcento dos participantes CAEs e diretores indicaram que a auditoria interna é responsável pela função de ERM da organização e outros 7 porcento declararam que a auditoria interna é atualmente responsável pelo ERM, mas que a organização planeja transferir a responsabilidade do ERM para outra área. Independência e objetividade são considerações fundamentais para os 22 porcento que estão atualmente responsáveis pelo ERM. A auditoria interna não pode auditar processos pelos quais seja responsável. 10 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico Documento 4 Planejamento para Implementar Avaliação Combinada Observação: Q61: Sua organização implementou um modelo formal de avaliação combinada? Apenas respostas de CAEs e diretores estão reportadas. Sim ou planeja implementar avaliação combinada no futuro inclui aqueles que responderam sim, já está implementada ; sim, mas ainda não foi aprovada pelo conselho ou comitê de auditoria ; e não, mas planeja adotar um nos próximos 2 a 3 anos. 3.795 participantes. Por conta de arredondamento, os totais de algumas regiões podem não ser iguais a 100 porcento. AUDITORIA INTERNA E AVALIAÇÃO COMBINADA. A Pesquisa também mensurou as atividades dos participantes na área da avaliação combinada, que, conforme King III 3 observa, busca otimizar a cobertura de avaliação obtida pela gerência, prestadores de avaliação interna e prestadores de avaliação externa quanto às áreas de risco que afetam a empresa. Especificamente, os CAEs e diretores responderam se suas organizações implementaram um modelo formal de avaliação combinada: 49 porcento reportaram que já têm um modelo ou plano de implementação para o futuro; 26 porcento reportaram que não têm planos de adotar tal modelo; e outros 25 porcento indicaram que não estão familiarizados com o modelo (veja o Documento 4). Vale notar que 57 porcento dos CAEs e diretores também relataram que suas funções de auditoria interna emitem uma avaliação escrita de avaliação combinada. Apesar de a avaliação combinada prestada pela auditoria interna oferecer uma variedade de benefícios óbvios, Ernesto Martínez Gómez, vice-diretor corporativo de auditoria interna no Banco Santander e global director at large do IIA, observou que poderia prejudicar a independência de uma atividade de auditoria interna e 3. King Code of Governance Principles, (Parklands, África do Sul: Institute of Directors in Southern Africa, 2009). 11
afetar seu posicionamento como verdadeiro prestador de avaliações global. A avaliação prestada pela administração não é idêntica à avaliação prestada pelos auditores internos ou externos, que têm níveis diferentes de independência e objetividade em relação aos da administração. Os Imperativos para o CAE Aumentar a colaboração entre funções e promover um foco coordenado sobre o risco com funções adjacentes são formas principais pelas quais a auditoria interna pode servir sua organização. Para otimizar oportunidades na arena do gerenciamento de riscos: COLABORE com funções adjacentes, para atingir uma abordagem corporativa eficaz ao gerenciamento de riscos. Na prática, a auditoria interna pode focar nos riscos mitigados por meio de controles internos, enquanto outras funções podem olhar além desses riscos para dar uma perspectiva adicional. Unir todas as funções engajadas em identificar, gerenciar e reportar riscos resulta em um cenário mais abrangente do gerenciamento de riscos para a organização como um todo. DETERMINE como a auditoria interna e suas funções adjacentes podem apoiar melhor a supervisão das atividades de gerenciamento de riscos e governança. Leve em conta a maturidade das operações de gerenciamento de riscos e a habilidade da auditoria interna, e das funções relacionadas a riscos, de trabalhar em coordenação ao abordar o ERM. ESFORÇOS DE AVALIAÇÃO DE LIGAÇÕES. Para uma função de auditoria interna, a maior meta é prestar avaliações independentes e objetivas quanto ao gerenciamento de riscos, incluindo as atividades da primeira e segunda linhas de defesa do Modelo de Três Linhas de Defesa 4. Se uma organização tem uma variedade de funções separadas na segunda linha de defesa, conduzindo avaliações de riscos e prestando avaliações de algum tipo tais como de TI e gerenciamento de riscos, além de auditoria interna, a organização deve desenvolver uma visão abrangente de todas as atividades para o conselho. DESAFIE o processo de gerenciamento de riscos, para garantir que todos os riscos significantes sejam identificados e avaliados apropriadamente para o conselho. Considere os métodos usados para identificar e mensurar os riscos. SEJA CRIATIVO. Nenhum único modelo de abordagem ao ERM funciona para todas as organizações. Identifique, explore e critique diferentes abordagens ao ERM para determinar a melhor para sua organização. 4. The IIA Position Paper: The Three Lines of Defense in Effective Risk Management and Control, (Altamonte Springs, FL: The Institute of Internal Auditors, 2013). 12 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico O REPORTE HOLÍSTICO EXPANDE AS OPORTUNIDADES DA AUDITORIA INTERNA A indústria bancária e outras crises fizeram com que as partes interessadas questionassem as decisões estratégicas e o verdadeiro valor de uma organização. O valor de uma organização vai além da análise e reporte financeiro quanto à alocação de recursos e tomada de decisões. A habilidade das organizações de comunicar uma visão abrangente e holística da geração de valor se tornou mais importante. Historicamente, algumas empresas publicam relatórios financeiros, de sustentabilidade e outros relatórios internos e externos. O movimento atual é em direção a um reporte que incorpore resultados de diversos relatórios, para criar uma história holística sobre o valor de uma organização. Esse método é conhecimento como reporte integrado, que é simplesmente um documento conciso que descreve como uma organização planeja gerar valor a curto, médio e longo prazo, focando em seis capitais organizacionais 5. Apesar de relativamente novo, é esperado que o uso do reporte integrado cresça significantemente. Ao mesmo tempo, o uso do reporte de sustentabilidade, que vem sendo usado há anos para melhorar estratégias de marketing e tomada de decisões, também está crescendo. Para os dois tipos de relatório, há uma forte demanda por expertise e insight por parte da auditoria interna. Descobertas Relativas ao Reporte Holístico REPORTE INTEGRADO. Os participantes CAEs e diretores da Pesquisa responderam se suas organizações estavam planejando criar um relatório integrado anual com base da International Integrated Reporting <IR> Framework, publicada no final de 2013. Em suas respostas, 30 porcento dos CAEs e diretores declararam que planejar emitir um relatório integrado este ano ou no futuro próximo com 63 porcento deles participando da África Subsaariana 6, indicando que estão adotando a estrutura (veja o Documento 5). REPORTE DE SUSTENTABILIDADE. Enquanto isso, quase metade (48 porcento) dos participantes CAEs e diretores disseram que suas organizações planejar emitir um relatório de sustentabilidade neste ano ou no futuro (veja o Documento 5). De acordo com essas respostas, a América do Norte fica por último, com apenas 28 porcento planejando emitir um relatório de sustentabilidade. 5. The International <IR> Framework, (Londres: The International Integrated Reporting Council, 2013). 6. Trinta e três porcento dos participantes da África Subsaariana indicaram que estavam localizados na África do Sul. Em 2010, a Bolsa de Johannesburg adotou os princípios de King III, que recomendam o uso do reporte integrado. 13
Documento 5 Comparação do Reporte Integrado e de Sustentabilidade Observação: Q69: Sua organização planeja criar um relatório integrado anual com base na International Integrated Reporting (< IR >) Framework? Q70: Sua organização planeja publicar um relatório sobre sustentabilidade? inclui quem respondeu sim, este ano ; sim, em algum momento nos próximos 2 a 3 anos ; e sim, em um momento não específico no futuro. Apenas respostas de CAEs e diretores estão reportadas. 3.746; 3.346 participantes. A Auditoria Interna Está Bem Posicionada para Apoiar o Reporte Integrado e de Sustentabilidade A auditoria interna é unicamente qualificada para apoiar a implementação do reporte integrado. Conforme observado em um estudo publicado pelos institutos europeus de auditoria interna, CAEs interagem rotineiramente com os principais envolvidos, centrais ao processo de reporte integrado de uma organização 7. Com a independência organizacional apropriada e um entendimento razoável do negócio, a auditoria interna pode prestar a avaliação necessária para aumentar a credibilidade do reporte integrado e pode ajudar a fortalecer a consistência da comunicação em todas as unidades de negócio. O mesmo pode ser aplicado ao reporte de sustentabilidade. Apesar de, historicamente, a auditoria interna não se envolver no reporte de sustentabilidade, a auditoria interna pode agregar valor, comunicando o impacto sobre os processos do negócio. Ninguém pode fornecer um reporte integrado significante sem um forte entendimento de seus impactos de sustentabilidade e como os processos de negócio incorporam os dados de sustentabilidade, observou Eric Hespenheide, presidente do Technical Advisory Committee da Global Reporting Initiative e ex-sócio da Deloitte. 7. Enhancing Integrated Reporting Internal Audit Value Proposition, (IIA France, IIA Netherlands, IIA Norway, IIA Spain, IIA UK and Ireland, 2015). 14 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico O interesse crescente nesses relatórios cria uma oportunidade para os CAEs se engajarem mais em sua organização, para oferecer insights com relação ao impacto dos riscos de sustentabilidade e para prestar avaliação sobre a confiabilidade dos dados de sustentabilidade. Além disso, a popularidade dos relatórios integrados e de sustentabilidade dá à auditoria interna a oportunidade de permitir uma melhor tomada de decisões, conforme declarado na declaração de missão de uma grande empresa de tecnologia. Os Imperativos para o CAE Conforme os requisitos integrados e de sustentabilidade crescem no mundo todo, CAEs podem demonstrar liderança por meio das seguintes medidas: DESENVOLVER um forte entendimento do reporte integrado e de sustentabilidade, avaliando a cultura da organização e entrando em contato com as partes interessadas para entender o impacto da sustentabilidade sobre o negócio. IDENTIFICAR dados relevantes não financeiros, processos e procedimentos para lidar com esses dados e oportunidades para a auditoria interna prestar serviços de aconselhamento para melhoria. COLABORAR com as principais partes interessadas para determinar onde a auditoria interna pode prestar avaliação com relação à qualidade dos sistemas de dados e gerenciamento existentes, ex., auditorias da cadeia de fornecimento. CRIAR uma estratégia abrangente de auditoria para serviços de aconselhamento a processos e sistemas que apoiem o reporte integrado e de sustentabilidade. Inclua um mecanismo de feedback para ajudar a garantir o alinhamento das partes interessadas. 15
GERENCIANDO A PRESSÃO Para serem bem sucedidos, CAEs precisam da coragem de lidar com as pressões políticas com eficácia, para que possam abordar uma grande variedade de questões delicadas que suas organizações enfrentam. Conforme aponta um relatório recente da The IIA Research Foundation 8, alguns CAEs demonstram a coragem e diplomacia necessárias para transitar pelos campos minados políticos com eficácia. Notícias evidenciam outros líderes de auditoria interna que parecem ter falhado neste quesito. Múltiplos fatores contribuem para o sucesso nesta área: linhas de reporte, metas pessoais e organizacionais e o apoio do conselho assim como a conformidade com as Normas. As respostas à Pesquisa enfatizam certas áreas às quais CAEs devem dar sua atenção, para lidar, com eficácia, com a pressão política. Descobertas Relativas a Pressões sobre o CAE LINHAS DE REPORTE. O posicionamento de uma função de auditoria interna dentro de sua organização mãe tem muito a ver com sua habilidade de cumprir com sua missão eficazmente. Quando respoderam sobre a principal linha de reporte funcional para o CAE ou equivalente em sua organização, 72 porcento dos participantes CAEs disseram que reportam ao comitê de auditoria (ou equivalente) ou ao conselho de administração (veja o Documento 6). Essa estrutura de reporte é ideal, porque permite ao CAE buscar conselhos, orientações e apoio de partes interessadas chave que, provavelmente, não serão fontes de pressão indevida sobre o processo de auditoria. Ao mesmo tempo, no entanto, 19 porcento dos participantes disse que reporta funcionalmente ao CEO, presidente ou chefe de agência governamental e outros 4 porcento disseram reportar ao CFO. Para auditar com sucesso, CAEs devem ser livres do controle daqueles que eles precisam auditar. Por esse motivo, linhas de reporte são críticas, mas são insuficientes para garantir liberdade do controle. Para os 72 porcento de CAEs que reportam a um grupo de supervisão, o reporte precisa ser robusto, aberto, colaborativo e honesto todos os fatores servem para reforçar uma abordagem corajosa à auditoria. Atingir tais caracterizações positivas exige construir e manter relacionamentos profissionais próximos com os principais supervisores. Além disso, 29 porcento indicaram que reportam tanto funcional quanto administrativamente à gerência. Estes CAEs podem achar muito mais difícil lidar com a pressão política. PLANEJAMENTO DE CARREIRA. De acordo com os resultados da pesquisa, 29 porcento dos CAEs reportam estar sujeitos à pressão política para mudar uma 8. Dr. Larry Rittenberg e Patricia K. Miller, The Politics of Internal Auditing, (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2015). 16 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico Documento 6 Linha de Reporte Funcional para o CAE Observação: Q74: Qual é a principal linha de reporte funcional para o executivo chefe de auditoria (CAE) ou equivalente em sua organização? Apenas CAEs. A pesquisa declarava que o reporte funcional refere-se à supervisão das responsabilidades da função de auditoria interna, incluindo a aprovação do estatuto de auditoria interna, o plano de auditoria, a avaliação do CAE, a compensação do CAE. 2.599 participantes. Por conta de arredondamento, os totais de algumas regiões podem não ser iguais a 100 porcento. descoberta ou relatório de auditoria. Obviamente, tais pressões podem ter consequências significantes, desde a perda do favor até à demissão ou demoção. Sobre o planejamento de carreira, 72 porcento dos CAEs disseram que planejam continuar na profissão da auditoria interna pelos próximos 5 anos, 9 porcento disseram que planejam se aposentar e o restante está incerto ou planeja assumir diferentes papéis (veja o Documento 7). Sem contar com os CAEs que planejam se aposentar da profissão, a maioria dos líderes de auditoria encara desafios advindos das pressões políticas. Os 72 porcento de CAEs que planejam permanecer na auditoria interna precisam explorar mudanças na carreira e opções externas, se sua organização não estiver disposta a respeitar sua resistência à pressão política. CAEs que planejem sair da auditoria interna, incluindo CAEs em rotação para os quais a auditoria interna seja apenas um passo em seu caminho profissional, precisam decidir se cumprir com suas responsabilidades como CAE é mais importante do que suas opções de carreira a longo prazo dentro de sua organização mãe. SUPORTE E ACESSO. Os resultados da pesquisa relativos ao apoio do conselho à auditoria interna sugerem que isso deve ser uma área de preocupação. Enquanto pouco mais da metade (57 porcento) dos CAEs reportaram ter o apoio completo do conselho para revisar políticas e procedimentos de governança 17
Documento 7 CAEs que Planejam Permanecer na Auditoria Interna Observação: Q36: Nos próximos cinco anos, quais são seus planos de carreira com relação à auditoria interna? Apenas respostas de CAEs estão relatadas. 3.108 participantes. Documento 8 CAEs Reportando Acesso Irrestrito Observação: Q53: Em sua opinião, até que ponto o departamento de auditoria interna tem acesso completo e irrestrito às propriedades e registros dos funcionários para a condução das atividades de auditoria? Apenas respostas de CAEs estão relatadas. 2.765 participantes. 18 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico organizacional, significantes 43 porcento reportaram pouco ou nenhum apoio. Políticas e procedimentos de governança, frequentemente, levam os auditores internos a áreas com impacto pessoal direto sobre a administração, tais como compensação executiva, programas relativos à ética, fluxo livre de informações entre a administração e o conselho, isenções da administração às políticas organizacionais, etc. O apoio do conselho é crítico caso um CAE se depare com descobertas delicadas que exijam coragem para lidar. Os participantes da pesquisa também responderam sobre o acesso da auditoria interna aos registros e propriedades necessários à condução das auditorias internas. Uma pequena maioria (54 porcento) de CAEs relatou que a auditoria interna tem acesso completo e irrestrito aos registros e propriedades dos funcionários na condução das auditorias internas (veja o Documento 8). Na realidade, isso significa que em pouco menos da metade das organizações, os CAEs podem ser impedidos de obter a documentação dos funcionários sobre questões relativas ao trabalho acesso irrestrito é essencial para os auditores internos. CONFORMIDADE COM AS NORMAS. CAEs que assumem posições não populares são desafiados pela administração e, portanto, precisam documentar seu trabalho com eficácia. A melhor defesa contra um trabalho de auditoria incompleto, inadequado e mal elaborado é uma forte aderência às Normas. A conformidade eficaz com as Normas exige um Programa de Melhoria e Certificação de Qualidade (Quality Assurance and Improvement Program - QAIP). Na pesquisa, apenas 34 porcento dos participantes CAEs reportaram ter um QAIP bem definido (veja o Documento 9). Outro terço dos CAEs disse que seu QAIP estava em desenvolvimento e o terço restante indicou que seu programa é ad hoc ou inexistente. Se os processos de auditoria não são capazes de resistir ao escrutínio das partes interessadas, os CAEs acharão difícil tomar uma postura corajosa. Documento 9 Nível de Maturidade do Programa de Melhoria e Certificação de Qualidade Observação: Q47: Qual o nível de desenvolvimento do programa de melhoria e certificação de qualidade (quality assurance and improvement program - QAIP) em sua organização? Apenas CAEs. Bem definido inclui os que responderam bem definido, incluindo revisão externa de qualidade e uma ligação forma com atividades de melhoria contínua e treinamento da equipe. 2.833 participantes. 19
Os Imperativos para o CAE Embora cada organização seja distinta, CAEs em todos os lugares do mundo precisam fortalecer sua habilidade de lidar eficazmente com questões delicadas. Para este fim, os CAEs devem: DESENVOLVER linhas e relacionamentos de reporte que posicionem a auditoria interna com a independência necessária para lidar com tópicos delicados diretamente com os membros da organização de supervisão (ex., o conselho). Evite depender demais dos organogramas organizacionais ou relacionamentos formais. CONTEMPLAR o impacto que as questões delicadas podem ter sobre o papel ou carreira do CAE. Em especial, isso se aplica ao CAE que planeja entrar em uma área externa à auditoria interna na mesma organização. GANHAR o apoio das partes interessadas e o acesso necessário para auditar altos riscos em toda a organização. GARANTIR que a auditoria interna tenha um QAIP robusto em prática para confirmar que o trabalho de auditoria esteja sendo conduzido com qualidade suficiente para suportar o escrutínio das partes interessadas. 20 THE INSTITUTE OF INTERNAL AUDITORS
Aproveitando Oportunidades em um Ambiente Dinâmico CONCLUSÃO No ambiente de negócios atual, com seus riscos emergentes e mudanças contínuas, a auditoria interna precisa ser mais receptiva e engenhosa. CAEs que aceitam sua responsabilidade de ajudar o conselho a cumprir com seus deveres de supervisão de riscos se posicionam para navegar neste ambiente dinâmico com sucesso. Portanto, o relatório Pulso Global da Auditoria Interna 2015 promove visões abrangentes do risco e o planejamento flexível de auditoria assim como a atitude de expandir o domínio da auditoria interna e a coragem para lidar com pressões políticas. Avaliando riscos emergentes, seja por meio de avaliações formais de riscos ou conversas informais, os CAEs devem ser capazes de usar essas informações para realizar ajustes no plano de auditoria. Quanto mais volátil o perfil de riscos de uma organização, mais flexível e receptivo o plano de auditoria deve ser. Conforme a auditoria interna expande sua visão para incluir riscos corporativos, os CAEs devem focar em prestar avaliação quanto às avaliações de riscos corporativos independentemente de quem gerencie esses riscos. Adicionalmente, a auditoria interna precisa garantir que seu envolvimento no ERM ou na avaliação combinada nunca ameace a independência e objetividade da função. Preocupações corporativas incluem dados financeiros e não financeiros utilizados na tomada de decisões. Mais especificamente, as partes interessadas estão dando mais atenção ao reporte não financeiro, tais como o reporte integrado ou de sustentabilidade. Isso apresenta oportunidades para a auditoria interna expandir seu domínio, prestando avaliação de áreas anteriormente não abordadas. O primeiro passo é entender os impactos da sustentabilidade sobre a organização e onde a auditoria interna pode apoiar medidas para avaliar os riscos relacionados. Para atender as demandas em mudança na profissão, os CAEs também precisam suportar as pressões políticas de seu papel. A auditoria interna exige mecanismos apropriados de defesa principalmente independência, apoio do conselho e uma função de auditoria interna de qualidade para combater essas pressões. Até o ponto em que um CAE pode influenciar essas áreas, eles também podem influenciar a extensão do acesso que a auditoria interna tem em uma organização e proteger sua própria tomada de decisões objetiva. Em suma, conforme observado por Douglas Anderson, ex-cae e atual líder de pensamento na profissão, Agora não é o momento para os CAEs serem complacentes. O mundo está mudando rapidamente ao nosso redor e não devemos apenas reagir, mas estar preparados também. Concentrem-se no risco, no escopo de seu trabalho e em como você garantirá que poderá lidar com as pressões políticas. 21
ANEXO Observação: Q6: Em qual região você está localizado(a) ou trabalha principalmente? Os participantes identificaram sua região e, então, selecionaram um país ou território específico. As respostas foram redistribuídas entre sete regiões, conforme definido pelo Banco Mundial. Apenas respostas de CAEs e diretores estão relatadas. Outro inclui países ou territórios dentro da região, com menos de 20 respostas. 4.883 participantes. Exclui participantes que não identificaram uma região global. 22 THE INSTITUTE OF INTERNAL AUDITORS
SEDE GLOBAL 247 Maitland Avenue Altamonte Springs, FL 3270 1-4201 www.globaliia.org 2015.0718