Auditoria interna uma função em processo de consolidação e ...€¦ · de negócio As organizações realizam investimentos significativos em atividades de gerenciamento de riscos,

Não existe recompensa sem riscos

Auditoria interna – uma função em

processo de consolidação e em

transformação

Confidencial – Todos os direitos reservados – EY 2014

Página 2

Power and utilities um setor em transformação

Geração

Comercialização

Transmissão

Distribução

Medição

Varejo

Hoje Cenário de amanhã Mudanças Chaves

Gas productionHydro-

electric

power

Nuclear

power

station

Onshore and

offshore wind

SolarCCS plant (coal/gas)

CO2 transport and storage

Coal/gas-fired

power station

Business unit trading

businesses — local marketsRegional markets grow

Energy flows to usersMicro wind

Smart

metering“Dumb’’ meter

Solar PVSolar water

heating

Micro CHP

► Decentralized generation

► New sources of energy

production, changes in

generation mix

► Sustainable, secure sources

of supply

► Need for innovative funding

mechanisms and partnerships

► Increasing complexity and

sophistication required

► Flexible and fluid infrastructure

► Two-way flow

► Smart meters and grids

enable flow of energy to and

from customers

► Applications and solutions

utilizing Smart technologies

offer new sources of revenue

► Customers generate their

own energy

► Customer has more control;

no longer just about price and

reliability

► Rising energy prices

Micro wind


Página 3

Interação com Outras Áreas

Produto Final

Escopo e FocoDireção Certa

Pessoas Certas

Investimentos Certos

Definição

Facilitação

Execução

Objetivo

e Missão

Desenvolvimento

de Competências

e Carreiras

Dotação

de Recursos

Sustentaçãoda Excelênciadas Pessoas

Ferramentas

e Tecnologia

Gestão das

Operações

Metodologia Gestão do

ConhecimentoQualidade

Fundamentalmente uma área de auditoria interna depende de suas pessoas para ser bem

sucedida, mas alguns elementos podem auxiliar na definição de um modelo funcional com

maiores chances de sucesso que motivam e aumentam o nível de comprometimento de

seus colaboradores. A visão abaixo demonstra esses elementos:

Propósito


Página 4

Unidades

de negócio

Unidades

de negócio

Unidades

de negócio

Unidades

de negócio

As organizações realizam investimentos significativos em atividades de gerenciamento de riscos, porém, em alguns casos, não

atuam para conectar processos e funções relacionados a este tema. Na maioria dos casos, silos foram criados e,

consequentemente, o nível de interação é limitado podendo acarretar em sobreposições, redundâncias e custos elevados.

Auditoria

Interna

Gestão de

RiscosCompliance

Controles

Internos

Tecnologia da

Informação

Legal e

Regulatório

Auditoria

Externa

Conselho de Administração / Diretoria Executiva

Comitê de Auditoria Comitê de Risco Outros Comitês

Gestão de RiscosRedundância, sobreposições

duplicações na identificação e avaliação,

analise, priorização, controle,

quantificação, monitoramento,

mitigação, testes e reportes de riscos

GovernançaIneficaz e com oversight de

riscos sem responsabilidades

definidas

Performance no nível

operacionalSobrecarregados, sem valor agregado

no nível da operação do negócio

Funções não

integradasIneficazes, ineficientes,

descoordenadas, ou

isoladas em silos

Influências Externas – Reguladores, Analistas, Investidores

Visão atual


Página 5

Auditoria

Interna

Co

ntr

ole

s

Inte

rno

s

Auditoria

Externa

Unidades deNegócio

Unidades deNegócio

Unidades deNegócio

Unidades deNegócio

Escopo e Direcionamento Alinhado

Pessoas e Infraestrutura operando de forma Coordenada

Métodos e Práticas Consistentes

Informação e Tecnologia Comum

Conselho de Administração

Comitê de

Auditoria

Comitê de

Remuneração Comitês de Risco

Outros

Comitês

Diretoria Executiva

CEO CFO CRO General Counsel

Aumento do valor, custos reduzidos e melhoria na performance dos negócios

GovernançaEficaz, atuante,

responsabilidades

definidas

Gestão Integrada

de RiscosReduzir ou eliminar a

redundância, sobreposição

e duplicação de esforços na

identificação e avaliação,

análise, controle,

quantificação,

monitoramento, mitigação,

testes e reportes de risco

Performance no

nível operacionalOtimizada, melhoria na

performance de riscos

operacionais

As organizações almejam alinhamento e coordenação entre suas atividades de risco e controle. A chave para o funcionamento

desta abordagem pode ser resumida da seguinte forma: escopo e direcionamento alinhados, pessoas e infraestrutura operando

de forma coordenada, métodos e práticas consistentes e informação e tecnologia comum.

Visão estruturada


Página 6

Universos de Riscos


Página 7

Custo

ValorRisco Risco Valor

Custo

► Conhecemos nossos principais riscos?

► Efetuamos um reporte adequado sobre

riscos para a gerência executiva e Board da

empresa?

► Estamos aceitando o nível adequado de

risco?

► Nossos riscos são gerenciados

adequadamente?

► Temos implementada uma estrutura de

riscos abrangente?

► Os riscos são avaliados, priorizados e

monitorados adequadamente?

► Estamos mantendo o foco nos riscos mais

significativos?

► Possuímos funções de risco duplicadas ou

sobrepostas?

► Estamos utilizando controles automatizados

ao invés de controles manuais?

► Possuímos uma correta combinação de

habilidades a um custo adequado?

► Estamos otimizando o uso de tecnologia para

gerenciar riscos?

► Podemos utilizar fontes e estratégias

alternativas para reduzir custos?

► Conseguimos mapear, quantificar, controlar,

monitorar e definir respostas aos riscos de

negócio de forma sistemática?

► O nível e natureza dos riscos assumidos estão

alinhados com as estratégias e objetivos do

negócio e da indústria?

► Estamos obtendo o retorno adequado de nossos

investimentos em risco?

► Estamos compartilhando estratégias e técnicas

para monitorar e responder aos riscos?

► O modelo de gerenciamento de riscos propicia

velocidade adequada aos processos de negócio?

Custo

Risco Valor

A gestão integrada de riscos e sua respectiva otimização deve buscar o equilíbrio entre os pilares Risco, Custo e Valor, conforme demonstrados abaixo.

Na busca por este equilíbrio, algumas questões devem ser respondidas como forma de reflexão e auto-avaliação sobre o estágio em que a Companhia

se encontra e como vem atuando na gestão dos riscos corporativos.

Balanço equilibrado


Página 8

Monitorar

Baseado na avaliação, funções de risco realizam o monitoramento das atividades para assegurar que os processos são realizados de

acordo com o projetado, controles são eficazes e riscos são gerenciados.

Estratégias

Companhias dispõem de múltiplas estratégias –desde a criação das mesmas até o alinhamento com mudanças regulatórias e de mercados.

Riscos

As múltiplas estratégias geram riscos e continuamente uma redefinição do perfil de riscos.

Executando Processos Sustentáveis

Companhias desenvolvem localmente uma série de processos para gerenciar o seu perfil de risco em constante mudança e suportar suas atividades.

Avaliar

Funções de Risco, em conjunto com a gerência, continuamente avaliam o desenvolvimento dos

riscos e processos.

Aprimorar

Gerência, trabalhando com as funções de risco, implementam as melhorias

identificadas.

Estratégia

Riscos

Processos

Aprimorar

Abordagem de riscos


Página 9

Objetivos de Negócio

Aumento de Lucros e Margem Operacional

Como vai o Resultadoda Organização?

Melhoria na Gestão de Ativos e de Capital

O quanto a Organização é eficiente?

Crescimento de Receita eParticipação de Mercado

Como é o crescimento da Organização?

Melhoria da Reputação, Imagem e Marca

“Stakeholders” têm uma visãofavorável?

Demonstrar excelência em Governança Corporativa

Melhorar Relacionamento com Stakeholders

Conduzir Práticas Avançadas de Gestão de Riscos

Implementar novas Estratégias e Desenvolvimento

de Produtos e Serviços

Aperfeiçoar Produtos & Serviços Existentes

Gerenciamento e Aquisições (M&A)Conquistar Clientes

Otimização dos Ativos

Otimizar a Estrutura de Gerenciamento de Capital

Alinhamento RegulatórioAumento da Margem Bruta

Aumento da Margem Operacional

Aumento do Lucro Líquido

Aumento na Geração de Caixa (EBITDA)

Alinhamento com Planejamento Estratégico

ERM Alinhado aos Direcionadores de Negócios -- O ERM deve estar alinhado com os principais direcionadores de negócio de forma a permitir que osobjetivos empresariais sejam alcançados, conforme ilustrado abaixo:

Visão geral sobre estratégia


Página 10

As práticas de Governança, Risco e Compliance (GRC) tornaram-se prioridade e fonte de pressão por parte dos investidores. E

passaram a ser regulamentadas e formalizadas por diversos agentes do mercado, como se vê a seguir.

1999Publicação do primeiro código sobre governança corporativa, elaborado pelo Instituto

Brasileiro de Governança Corporativa (IBGC).

2000Criação dos segmentos especiais de listagem com requisitos adicionais de governança

corporativa para as companhias listadas na BM&FBOVESPA.

2001 Reformulação da Lei das Sociedades Anônimas.

2002

Assinatura da lei Sarbanes-Oxley que visa garantir a criação de mecanismos de auditoria e

segurança confiáveis nas empresas, mitigar riscos aos negócios, evitar a ocorrência de

fraudes e transparência na gestão das empresas.

2006 Falência de empresas desencadeou maior foco regulatório.

2009 Crise do mercado global levou a redução de custos e mudança do modelo de negócios.

2011Gestão de riscos alinhada com os objetivos estratégicos para Reduzir a imprevisibilidade

transformando ameaças em oportunidades.

2013 Lei Anticorrupção, nº 12.846/2013, que pune empresas por atos de corrupção contra a

administração pública.

Histórico de gestão de riscos


Página 11

Gestão de Riscos¹ é um processo conduzido pelo conselho de administração, diretoria e demais gestores,

aplicado no estabelecimento de estratégias e procedimentos, visando identificar, avaliar e priorizar, em toda a

organização, os eventos que potencialmente podem comprometer o alcance dos principais objetivos

estratégicos. A gestão de riscos deve administrar os riscos de modo a mantê-los compatível com o apetite a

risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.

Gestão de

Riscos

Controle Interno² é um processo desenhado para prover segurança quanto à existência e funcionamento de

atividades de controles em toda a organização, assegurando: (i) Eficácia e eficiência das operações; (ii)

Confiabilidade nos Demonstrativos Financeiros; e (iii) Cumprimento de legislações e regulamentações.

Compliance³ é o dever de cumprir regulamentos internos e externos impostos às atividades da instituição, indo

além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética.

Controles

Internos e

Compliance

A atividade de auditoria interna tem como função identificar e dar razoável garantia que os controles internos

existentes são suficientes para mitigar os riscos, os processos de governança são eficazes e eficientes, as

normas e políticas internas são observadas e cumpridas, e as metas e objetivos organizacionais sejam

atingidos. A auditoria interna tem atuação independente e está vinculada ao Conselho de Administração.

Auditoria

Interna

A função de Gestão de Riscos é comumente confundida com as funções de Controles Internos e Auditoria

Interna embora existam diferenças significativas entre elas:

Funções de GRC


Página 13

O futuro da auditoria

interna é agora.


Página 14

►75% das empresas acreditam que a gestão de riscos mais efetiva tenha um impacto positivo no

desempenho financeiro de longo prazo e aumenta a relevância da AI.

►75% das empresas acreditam que a área de AI tenha um impacto positivo nos

esforços de gestão de risco de forma geral.

►Entretanto, 80% das empresas reconhecem que sua área de AI ainda pode melhorar –

ainda não possui o nível de maturidade desejado.

►Dessas organizações, 80% acreditam que deveriam realizar melhorias nos próximos 24

meses.

►83% das empresas já receberam uma solicitação para melhorar a cobertura de risco pela AI e

aumentar seu envolvimento com essa atividade.

►As organizações estão se esforçando para fazer

com que as áreas de risco melhorem sua

coordenação em 35% em relação a hoje.

►80% das empresas pesquisadas acreditam que a

terceirização colaborativa (co-sourcing) é uma opção

viável de negócios para o departamento de AI.

Pesquisa global sobre Auditoria Interna


Página 15

As principais prioridades para a área de Auditoria Interna hoje são:

1. Melhorar o processo de avaliação do risco.

2. Aprimorar a capacidade de monitoramento de riscos emergentes.

3. Tornar-se mais relevante para que a organização cumpra os seus objetivos de negócio.

4. Reduzir os custos da área de AI sem comprometer a cobertura dos riscos.

5. Identificar oportunidades para redução de custos em seus negócios, criar valor.

6. Desenvolver habilidades técnicas específicas.

Pesquisa global sobre Auditoria Interna


Página 16

Estratégia: Alinhar a Auditoria Interna com estratégia organizacional e os

principais riscos de negócio

“Ineficiente, sem prioridade”

Captura o nível do risco do processo, mas

não consegue priorizar de forma estratégica

“Negócios de AI otimizados”

Alinhado estrategicamente e com base em

riscos

“Negócio da AI desestruturados”

Questões identificadas ao acaso, não por

meio de planejamento

“Alinhado, mas não objetivo”

Estrategicamente alinhado, mas sem

avaliação de risco independente

Sem estratégia Alinhado estrategicamente

Abordagem com

base no risco

Abordagem

rotativa

Baixa probabilidade de sucesso Risco moderado de falha Bem posicionado para o êxito

Posição

aspirada pela

AI


Página 17

O plano de Auditoria Interna deve ser baseado em riscos e incluir

revisões temáticas e específicas

Avaliação de Riscos

Compliance com a SOX 404

Expectativas da gestão e do comitê de

auditoria

Rotação e acompanhamento

Priorizar projetos

Projetos especiais ou auditorias não

planejadas

Reco

nciliar co

m o

com

itê de au

dito

ria

Nem todos os riscos

estão cobertos pelo

plano

Alocá-los em relação aos

recursos disponíveis

Finalizar os projetos do

plano de auditoria

Financeira

Conformidade

Operacional

Temática

Estratégica

Selecionar a

combinação de

auditorias

Com base em

questões


Página 18

As expectativas dos acionistas e demais stakeholders sobre a função

de Auditoria Interna direcionam para sua efetiva otimização, buscando

o equilíbrio entre os pilares Risco, Custos e Valor (retorno).

Algumas questões devem ser respondidas para reflexão e

auto-avaliação:

► Nossos riscos são gerenciados adequadamente?

► Possuímos uma estrutura otimizada e atuamos de forma eficiente?

► Estamos agregando valor ao negócio?

A figura ao lado exemplifica a busca o equilíbrio entre as três variáveis

mencionadas e os principais pontos de atenção relacionados a cada

uma delas.

Quais são as expectativas dos acionistas sobre a auditoria interna?

Custos

• Melhoria do processo de

negócio

• Recuperação ou redução

de custos

• Eficiência e eficácia

Risco

• Gestão de riscos eficaz

• Governança corporativa

forte

• Compliance

• Garantia de confiança

Valor

• Melhoria no desempenho da

empresa

• Suporte ao M&A

• Alcance dos objetivos

estratégicos da empresa

• Assessoria nas iniciativas

que envolvem grandes

mudanças

Expectativas dos acionistas


Página 19

Direcionadores Estratégicos

Entrar em novos

mercados

Realizar alianças

Construir um relacionamento

com o consumidor

Inovar em produtos e

serviços

Otimizar operações de

rotina

Minimizar custos

Registrar e comunicar os

resultados

Melhorar os Resultados

Gerenciar ativos

Otimizar o capital

humano

Criação de valor

Gerenciar riscos e questões

regulatórias

Melhorar processos e

sistemas

Custos

ValorRisco

Perfil e estrutura da auditoria

interna

• Tamanho, composição e qualificação da

equipe

• Recursos especializados

• Localização

• Orçamento

• Equilíbrio entre trabalhos de assurance e

advisory

• Conhecimento do negócio/mercado

• Foco nos riscos mais relevantes

• Mandato e missão

• Uso da tecnologia

• Histórico de qualquer mudança/impacto

significativo na função

Alinhando a Auditoria Interna com os direcionadores estratégicos do negócio

A Auditoria Interna está estruturada e

capacitada para suportar e contribuir de forma

efetiva na melhoria dos negócios e no alcance

dos objetivos estratégicos?


Página 20

Business Insight

Controle e

compliance

Gap de competência• Profundo conhecimento do negócio, setor e mercado

• Falta de alinhamento com o plano estratégico e

iniciativas do negócio

• Rotação de recursos

• Falta de skills adequados em áreas como:

• TI, internacional, tesouraria, impostos, supply chain,

engenharia, ambiental

• Prevenção e detecção de fraudes

• Papel tradicional da auditoria interna limita o alcance

• Visão estratégica e executiva limitadas

Gap de capacitação• Abordagem tradicional para avaliação de riscos e

planejamento da Auditoria Interna

• AI não orientada pelos riscos do negócio

• Forte foco em unidades auditáveis e localidades

• Uso limitado de análise de dados e modelagem

• Limitação de treinamento e desenvolvimento

• Priorização inadequada (riscos e auditorias)

• Limitação da auditoria aos recursos disponíveis

• Resistência a mudanças

• Não é focado no aperfeiçoamento dos processos

chaves do negócio

O que gera

o gap?

Áreas críticasNão- negociável Relevância para

o negócio

Gap de capacitação

Gap de

transformaçãoConsultor

estratégico

O gap de transformação impede muitas auditorias internas de se tornarem um mecanismo de consulta estratégica para os executivos e para o Conselho de Administração. A fixação de metas que ajudem a preencher este gap permitirá um melhor desempenho.

Gap de competência

Eliminar os gaps pode ajudar a melhorar o desempenho

da AI e o serviço aos clientes.

Reduzindo os gaps da Auditoria Interna


Página 36

Questões complementares

► As atividades de gestão de riscos de sua organização estão alinhadas aos

objetivos estratégicos? Quanto?

► Qual o papel é desempenhado pelos profissionais de riscos no planejamento

estratégico de sua organização?

► Como você poderia integrar a participação dos profissionais de riscos no processo

de planejamento estratégico?

► Como são coordenadas as atividades das funções de GRC em sua organização?

► Sua organização compila e distribui um relatório sobre gestão de riscos? Se sim;

o Quais funções contribuem para ele?

o Quem compila isso?

o Para quem é distribuído?

o Com que frequência esse relatório é compilado e distribuído?

Obrigado

José Ricardo de Oliveirae-mail – [email protected]

Documents

Auditoria interna uma função em processo de consolidação e ...€¦ · de negócio As organizações realizam investimentos significativos em atividades de gerenciamento de riscos,