Edição 5 GLOBAL PERSPECTIVES AND INSIGHTS · que as funções de auditoria interna aumentem o tempo dedicado a áreas críticas, como avaliação de gerenciamento de risco, riscos

Edição 5

GLOBAL PERSPECTIVES AND INSIGHTS: Tendências Emergentes

De Acordo com o Global Pulse of Internal Audit

Índice

Metodologia e Dados Demográficos ......................................... 3

Introdução ............................................................................ 4

Auditando a Cultura .............................................................. 6 Conclusão ...................................................................... 12

Acompanhando a Tecnologia .................................................. 13 Cibersegurança ................................................................ 13 Big Data ......................................................................... 18 Conclusão ....................................................................... 22

Atingindo o Status de Conselheiro Confiável ............................. 23 Conclusão ........................................................................ 28

Reflexões de Encerramento .................................................... 29

Para Mais Informações .......................................................... 30

Conselho Consultivo

Nur Hayati Baharuddin, CIA, CCSA, CFSA, CGAP, CRMA – IIA–Malásia

Lesedi Lesetedi, CIA, QIAL – IIA Federação Africana

Hans Nieuwlands, CIA, CCSA, CGAP – IIA–Holanda

Karem Toufic Obeid, CIA, CCSA, CRMA – Membro do IIA–Emirados Árabes Unidos

Carolyn Saint, CIA, CRMA, CPA – IIA–América do Norte

Ana Cristina Zambrano Preciado, CIA, CCSA, CRMA – IIA–Colômbia

Feedback dos Leitores

Envie perguntas ou comentários [email protected].

Copyright © 2016 The Institute of Internal Auditors, Inc.,

(“The IIA”) direitos estritamente reservados. Qualquer

reprodução do nome ou marca The IIA deverá contar com

o símbolo de registro federal de marca registrada ®.

Nenhuma parte deste material pode ser reproduzida de

qualquer forma sem permissão por escrito do The IIA.

globaliia.org

2

Global Perspectives:Tendências Emergentes

Metodologia e Dados Demográficos

1 Para um número limitado de perguntas, os participantes norte-americanos foram consultados entre 20 de Outubrode 2015 e 10 de Novembro de 2015.

39%

7%

25%

17%8%

4%

globaliia.org

Global Perspectives: Tendências Emergentes

3

A pesquisa “2016 Global Pulse of Internal Audit” (Pulso Global) do The IIA foi conduzida online entre 9 de Maio e 27 de Maio de 2016.1 O The IIA coletou dados de 2.254 participantes de todo o mundo que se identificaram como atuais profissionais de auditoria interna. Cinquenta e dois por cento dos participantes são o membro de maior nível de seu departamento de auditoria interna, ou diretores/gerentes sênior que reportam ao CAE. Neste relatório, este grupo é denominado“líderes de auditoria interna”. Os participantes também incluem gerentes quereportam aos diretores (16%), membros da equipe de auditoria interna queconduzem auditorias (28%) e outros, incluindo prestadores de serviços (4%).

Participantes de 111 países ou territórios representam a ampla variedade da auditoria interna em termos de tipo de organização, indústria, receita, número de funcionários e porte do departamento de auditoria interna.

Os participantes trabalham predominantemente em organizações de capital aberto (34%), do setor público (27%) e privadas (25%).

As indústrias com maior representação incluem as de serviços financeiros (32%),manufatura (12%), administração pública (11%), saúde (6%) e serviços (6%).

Os resultados foram ajustados (normalizados) para representar a distribuiçãoglobal dos membros do IIA por região:

Introdução

Documento 1 – Projeção de estruturação da auditoria interna

Observação: Q49: Para os próximos doze meses, você espera que o número de membros da equipeequivalentes ao período integral em sua função de auditoria interna:

Documento 2 – Projeção do orçamento de auditoria interna

Aumente

Diminua

Permaneça o mesmo

26%

6%68%

Aumente

Diminua

Permaneça o mesmo

35%

9%

56%

globaliia.org

Global Perspectives: Tendências Emergentes

4

No mundo todo, os líderes de auditoria interna trilham o caminho à excelência— demonstrando tino comercial, expertise técnica e habilidades derelacionamento que os tornam recursos valiosos para a melhoria da governança,gerenciamento de riscos e objetivos estratégicos da organização. Aumentosantecipados no porte e orçamento das equipes de auditoria interna em muitaspartes do mundo refletem o reconhecimento e o apoio ao valor elevado daauditoria interna por parte da gerência executiva e dos conselhos e permitemque as funções de auditoria interna aumentem o tempo dedicado a áreas críticas,como avaliação de gerenciamento de risco, riscos estratégicos do negócio e TI.Mas, de acordo com muitos relatos, precisamos melhorar continuamente.

Aumentos antecipados noporte e orçamento dasequipes de auditoria internaem muitas partes do mundorefletem o reconhecimentoe o apoio ao valor elevadoda auditoria interna porparte da gerência executivae dos conselhos.

Observação: Q50: Para os próximos doze meses, você espera que o orçamento de sua função deauditoria interna:

globaliia.org


5

Em busca de passos a tomar a caminho da excelência, o Pulso Global avaliou oestado da auditoria interna, avaliando as questões e práticas emergentes degerenciamento da auditoria interna no nível global.

Este relatório explora duas questões emergentes: a auditoria da cultura e oacompanhamento tecnológico (cibersegurança e big data). Também exploramoscomo a auditoria interna pode, e discutivelmente deve, atingir o nível deconselheiro confiável.

Acreditamos que este relatório apoie o chamado para que a auditoria internacontinue a se concentrar nas principais questões e práticas emergentes. Agora,mais do que nunca, as expectativas quanto à auditoria interna continuam aaumentar. Sim, tivemos amplo progresso como profissão... Mas também aindatemos muito trabalho a fazer. É isso que torna a auditoria interna uma profissãotão desafiadora e recompensadora.

Auditando a Cultura

Dr. Ian Peters, Chief Executive,

Chartered Institute of Internal

Auditors, (IIA–UK e Irlanda)2

2 CCH Daily, “FRC calls for greater emphasis on corporate culture”, 20 de Julho de 2016, https://www.cchdaily.co.uk/frc-calls-greater-emphasis-corporate-culture (acessado em 24 de Agosto de 2016).

globaliia.org


6

A História mostra que a cultura pode afetar direta e adversamente as finanças, operações e reputação de uma organização. Conselhos, executivos e outras partes interessadas devem ser capazes de recorrer à auditoria interna para avaliações e serviços de consultoria que ajudem a organização a monitorar e fortalecer sua cultura, e para soar o alarme se as coisas estiverem incorretas.

Reconhecidamente, a auditoria interna vem auditando controles informais há um bom tempo e, ao menos informalmente, avaliando o tom no topo de muitas organizações desde que “tone at the top” se tornou um termo comum. No entanto, embora alguns estejam tomando o próximo passo de auditar a cultura organizacional formalmente, a maioria indica uma variedade de fatores que impedem sua habilidade de progredir.

A cultura incorpora as crenças e valores de uma organização, conforme refletidos através das ações e comportamentos de todos os seus funcionários. Ou seja, é a forma como as coisas são feitas na organização.

A cultura desejada é estabelecida no topo, aparece nos valores fundamentais e no código de ética da organização e dita o comportamento aceitável e inaceitável. Comportamentos inaceitáveis, ou até antiéticos — a forma de NÃO fazer as coisas —, colocam a organização em risco e, em extremos, contribuem para culturas organizacionais tóxicas, associadas a fraudes, corrupção e outros tipos de malfeitorias. Alguns eventos importantes levaram até a crises econômicas e à erosão da confiança pública. Em 2015, o mundo testemunhou uma série de incidentes de alto destaque que são potencialmente indicadores de grandes erros de cultura, incluindo um escândalo de contabilidade na Toshiba, alegações de suborno e corrupção na FIFA, evidências de testes de emissões modificados na Volkswagen e relatórios questionáveis da ExxonMobil sobre o impacto das mudanças climáticas, citando apenas alguns. Só esses exemplos já deviam servir para despertar os auditores internos para a prestação de avaliação sobre a consistência da cultura das organizações com os valores fundamentais divulgados e se ela encoraja ou não a conduta ética e a conformidade com as leis e regulamentos. No entanto, 72 por cento dos líderes de auditoria interna dizem não auditar a cultura atualmente (Documento 3).

“Auditar a cultura não éuma ciência exata. Muitas organizações lutam paradefinir sua cultura, quantomais para incorporá-la comeficácia em seus processosde estudo de risco e avaliação.Mas é essencial que o façam.”

Documento 3 – Porcentagem de departamentos de auditoriainterna que auditam a cultura

Observação: Q5: Seu departamento de auditoria interna audita a cultura?

Não

Sim

28%

72%

globaliia.org


7

Embora o tom da organização normalmente seja definido no topo e, independentemente do porte ou complexidade da organização, a cultura desejada seja emanada por sua liderança, a cultura não é necessariamente uma mentalidade homogênea em toda a organização. Uma cultura ampla e top-down — uma “macrocultura” — é o ponto de partida quando se trata de definir o comportamento desejado. Mas toda organização tem muitas pequenas culturas separadas, ou “microculturas”, refletidas em locais específicos, departamentos, divisões e outras unidades ou grupos de funcionários com algo em comum. Essa proliferação de microculturas pode dificultar a auditoria da cultura. Mas, com sua visão abrangente e objetiva da organização, a auditoria interna tem o potencial de examinar cada uma das microculturas, seu impacto sobre a macrocultura da organização e os riscos potenciais associados para a organização. Primeiro, a auditoria interna precisa entender profundamente a macrocultura desejada, para que, então, avalie subculturas e examine as diferenças entre o que é desejado pelo topo e o que está realmente acontecendo em toda a organização.

Felizmente, uma forte maioria dos líderes de auditoria interna (89%) concorda que seu departamento de auditoria interna entende os riscos associados à cultura organizacional, mas apenas cerca da metade (53%) indica que seu departamento de auditoria interna entende como auditar a cultura. Curiosamente, 18% relataram não auditar a cultura, porque outra área conduz essa avaliação, enquanto as principais razões para não auditar a cultura incluem a falta de competências (25%) e/ou não ter o apoio organizacional necessário (23%) ou tempo (21%), conforme exibido no Documento 4.

Com sua visão abrangente eobjetiva da organização, aauditoria interna tem opotencial de examinar cadauma das microculturas, seuimpacto sobre a macroculturada organização e os riscospotenciais associados para aorganização.

Documento 4 – Motivos pelos quais os departamentos de auditoriainterna não auditam a cultura

1.

2.

3.

A cultura é avaliada por um prestador externo.

A auditoria interna não tem o apoio do conselho/comitêde auditoria para auditar a cultura.

A cultura é avaliada por outra função dentro da organização.(recursos humanos, gerenciamento de riscos, ética e compliance, ou outra).

A auditoria interna não tem tempo para auditar a cultura.

A auditoria interna não tem o apoio da gerência executiva para auditar a cultura.

A auditoria interna não tem as competências (habilidades e conhecimentos) necessárias. 25%

23%

21%

18%

17%

5%

3 Declaração de Posicionamento do The IIA, “The Three Lines of Defense in Effective Risk Management and Control” 2013, www.theiia.org/positionpapers (acessado em 29 de Setembro de 2016).

4 The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, 5 www.theiia.org/gpi (acessado em 24 de Agosto de 2016).

Nur Hayati Baharuddin,

Diretora Executiva, IIA–Malásia

globaliia.org


8

Observação: Q6: Qual das opções a seguir descreve por que seu departamento de auditoria interna nãoaudita a cultura? Os participantes puderam escolher mais de uma resposta. (Pergunta àqueles que nãoauditam a cultura.)

De acordo com Nur Hayati Baharuddin, diretora executiva do IIA-Malásia, “os departamentos de auditoria interna que não possuam habilidades e conhecimento de auditoria da cultura podem começar fazendo o que seus auditores internos fazem bem — que é trazer uma abordagem sistemática e disciplinada à avaliação e melhoria das atividades da organização relativas à cultura”. Por exemplo, conforme descrito no 2016 Global Perspectives and Insights: Auditando a Cultura – Um Olhar Formal Sobre o Informal, “entender o modelo das três linhas de defesa (ou outro modelo adequado que delineie deveres/responsabilidades de riscos e controle e linhas de reporte)3 é tão eficaz na avaliação da cultura, quanto no apoio aos trabalhos de auditoria comum. Quando se trata da auditoria da cultura, as obrigações esperadas para cada linha podem incluir:

“Os departamentos deauditoria interna que nãopossuam habilidades econhecimento de auditoria dacultura podem começarfazendo o que seus auditoresinternos fazem bem – que étrazendo uma abordagemsistemática e disciplinada àavaliação e melhoria dasatividades da organizaçãorelativas à cultura”

A primeira linha de defesa — a gestão em linha do negócio — é responsável por determinar, comunicar e aplicar como modelo os valores e condutas desejados.

A segunda linha é uma função de supervisão, como um departamento de ética, que desenvolve programas de ética, monitora riscos relativos à cultura e a conformidade com políticas e procedimentos relativos à cultura, além de fornecer orientações à primeira linha.

A terceira linha — a auditoria interna — avalia a aderência às normas declaradas e esperadas da organização e avalia se a cultura corporativa apoia o propósito, a estratégia e o modelo de negócios da organização. A auditoria interna avalia a cultura geral e identifica áreas nas quais a cultura seja fraca”.4

Documento 5 – Por que os departamentos de auditoria internaauditam a cultura (três principais motivos)

Observação: Q7: Por favor, indique por que seu departamento de auditoria interna audita a cultura.Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que auditam a cultura.)

Em resposta a um evento relativo à cultura(ex., conduta antiética que resultou em dano financeiro, operacional ou reputacional à organização)

Solicitação do conselho/comitê de auditoria

A cultura foi classificada como alto risco pela auditoria interna 40%

30%

29%

5 The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at the Soft Stuff,” 2016, 3 www.theiia.org/gpi (acessado em 24 de Agosto de 2016).

Angela Witzany,

Presidente Global do The IIA

globaliia.org

9


No entanto, tendo ou não as competências, a auditoria da cultura está no radar da auditoria interna. De acordo com a pesquisa de 2016 da Protiviti, Internal Audit Capabilities Survey, a auditoria da cultura está entre as cinco principais prioridades para os líderes da auditoria interna. E lembre-se que 89% da liderança de auditoria interna que participou da pesquisa do Pulso Global do The IIA indicaram entender os riscos associados à cultura. As principais motivações para auditar a cultura incluem a classificação da cultura como um alto risco por parte da auditoria interna, solicitação do conselho/comitê de auditoria e resposta a um evento relativo à cultura (Documento 5).

Atuando a partir disso, por meio de sua liderança no desenvolvimento de um plano de auditoria interna com base em riscos e de seus relacionamentos com o conselho/comitê de auditoria, os CAEs devem desempenhar um papel principal em ajudar suas organizações a manter as culturas saudáveis e desejadas necessárias para que a organização atinja sua missão estratégica e implemente os objetivos comerciais e operacionais relacionados.

Aqueles que auditam a cultura estão adotando uma abordagem progressiva. Conforme declarado pela Presidente Global do The IIA de 2016-2017, Angela Witzany, “auditar a cultura deve ser algo incorporado em cada auditoria, dando à organização uma base para o monitoramento contínuo e permitindo que os auditores internos procurem por sinais adiantados de alerta.”5

Há ao menos três formas de auditar a cultura: uma avaliação única de toda a organização; trabalhos individuais como parte de muitas (se não todas) auditorias; e/ou reportando sobre um conjunto de auditorias de microculturas conduzidas ao longo do tempo. Essas abordagens não são mutuamente exclusivas. Talvez como uma reflexão da cultura da organização em si, há uma variedade de abordagens diferentes citadas pela minoria que audita a cultura atualmente (Documento 6).

“Auditar a cultura deve seralgo incorporado em cadaauditoria, dando à organizaçãouma base para o monitoramentocontínuo e permitindo que osauditores internos procurempor sinais adiantados de alerta.”

Documento 6 – Abordagens para auditar a cultura

Observação: Q8: Por favor, indique qual das opções a seguir melhor descreve sua abordagem àauditoria da cultura. (Pergunta àqueles que auditam a cultura.)

31%

27%

18%

13%

11%

globaliia.org

10


Cultura incorporada em diversos trabalhos,sem trabalho específico de cultura

Trabalho específico, além da incorporaçãoda cultura em todos os demais trabalhos

Apenas trabalho específico de cultura

Trabalho específico, além da incorporaçãoda cultura em diversos trabalhos

Cultura incorporada em todos os trabalhos,sem trabalho específico de cultura

Às vezes, um trabalho específico de cultura faz sentido — em situações em que um retrato do momento se faz necessário, como após um grande escândalo, em preparação para uma fusão ou aquisição para avaliar a compatibilidade das organizações, ou para identificar as causas raízes de uma questão específica de não-conformidade. No entanto, trabalhos específicos de cultura provavelmente não são suficientes. Quando a auditoria interna considera a cultura em todos os trabalhos aplicáveis, ela pode ajudar mais a gerência executiva e os conselhos a detectar e lidar com uma microcultura que esteja se distanciando da cultura organizacional geral desejada, ou que esteja até, possivelmente, se tornando tóxica. Então, há lugar tanto para avaliações da macrocultura, quanto para diversas e distintas microculturas.

Trabalhos de cultura são mais eficazes quando uma lista abrangente de fatores relativos à cultura é considerada — e a auditoria interna pode muito bem ter oportunidades de melhoria nessa área. Cerca de metade dos líderes de auditoria indicou considerar ao menos quatro de sete fatores identificados na pesquisa (Documento 7). Questões de conformidade, práticas de recursos humanos e o alinhamento do comportamento organizacional com os valores fundamentais declarados pela organização são os fatores mais frequentemente considerados em qualquer trabalho relativo à cultura.

Questões de conformidade,práticas de recursos humanose o alinhamento docomportamento organizacionalcom os valores fundamentaisdeclarados pela organizaçãosão os fatores maisfrequentemente consideradosem qualquer trabalho relativoà cultura.

Documento 7 – Fatores relativos à cultura considerados nostrabalhos de auditoria interna

Documento 8 – Departamentos com os quais a auditoria internacoordena esforços para auditar a cultura (três principais)

Estruturas de hotline, helpline ou denúncias(ex., taxa de uso, tipos de questões, resoluções)

Habilidades informais(ex., competência, confiança, honestidade, transparência e liderança)

Satisfação/opiniões das partes interessadas(ex., percepção das partes interessadas sobre o tom no topo, resultados das pesquisascom funcionários e clientes, feedback dos clientes ou opinião pública)

Treinamento relativo à cultura(ex., treinamento sobre os valores da organização)

Alinhamento do real comportamento da organização com os valoresfundamentais declarados pela organização

Práticas de Recursos Humanos(ex., incentivos e aplicação, como entrevistas de desligamento e consistência de penalidade para violações)

Questões de conformidade(ex., regras de proteção ao denunciante ou frequência com a qual a organização encarou problemas jurídicos) 70%

58%

56%

53%

52%

52%

34%

63%

57%

48%Gerenciamento de Riscos

Compliance

Recursos Humanos

globaliia.org

11

Observação: Q11: Com quais departamentos a auditoria interna coordenou esforços para auditar acultura? Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que coordenamesforços com outros departamentos.)

Observação: Q12: Quais dos seguintes fatores relativos à cultura, se tanto, foram consideradosem qualquer trabalho de auditoria interna? Os participantes puderam escolher mais de umaopção. (Pergunta àqueles que auditam a cultura.)


Interessantemente, um total de 60 por cento daqueles que auditam a cultura coordena esforços com outros departamentos para fazê-lo. Com maior frequência, a auditoria interna coordena esforços com recursos humanos, compliance e/ou gerenciamento de riscos para auditar a cultura (Documento 8). A coordenação com outras áreas principais da organização parece prudente e é possivelmente uma prática de liderança. No entanto, considerando o papel independente e importante da auditoria interna, é a auditoria interna que deve considerar liderar os esforços, chegar a suas próprias conclusões e reportar suas opiniões e observações independentemente.

Sessenta por cento daquelesque auditam a culturacoordenam esforços comoutros departamentos parafazê-lo. No entanto, aauditoria interna deveriaconsiderar liderar os esforços,chegar a suas própriasconclusões e reportar suasopiniões e observaçõesindependentemente.

Conclusão

globaliia.org

12


As evidências começam a sugerir que a auditoria interna está se tornando mais profundamente ciente das questões culturais como uma causa potencial inerente de danos de longo prazo às organizações. Embora quase três quartos dos departamentos de auditoria interna participantes da pesquisa tenham indicado que não auditam a cultura, um grupo menor de líderes de auditoria interna deu passos em direção à excelência nessa área. A profissão da auditoria interna como um todo é orientada a seguir esses líderes, da seguinte forma:

Conjecturamos que podem ser os aspectos intangíveis da auditoria da cultura que explicam por que pode ser mais difícil para a auditoria interna reportar resultados de trabalhos relativos à cultura do que em outros trabalhos. De fato, daqueles que auditam a cultura, apenas cerca da metade dos líderes de auditoria reporta que seu departamento de auditoria interna entende como reportar sobre a cultura e um em cinco indica não ter reportado resultados de trabalhos relativos à cultura em momento algum. Quando os resultados são reportados, o formato mais comum é o relatório escrito, às vezes também acompanhado de um relatório verbal.

Embora seja de se entender, os auditores internos não devem hesitar em adotar as auditorias da cultura. Quando a auditoria interna incorporar a cultura em todos os trabalhos aplicáveis, a cultura pode se tornar mais um fator a considerar em cada conjunto individual de conclusões e no relatório final.

Entendendo completamente a macrocultura da organização.

Aplicando estruturas estabelecidas de risco/governança, para avaliar macro e microculturas.

Tendo em mente os múltiplos fatores relativos à cultura, considerando a cultura em todos os trabalhos.

Reportando continuamente sobre a cultura.

Apenas cerca da metade doslíderes de auditoria reportaque seu departamento deauditoria interna entendecomo reportar sobre acultura e um em cincoindica não ter reportadoresultados de trabalhosrelativos à cultura emmomento algum.

Acompanhando a Tecnologia

Cibersegurança

6 The IIA, “Global Perspectives and Insights: Internal Audit as Trusted Cyber Adviser,” 2016, 5, www.theiia.org/gpi (acessado em 24 de Agosto de 2016).

globaliia.org

13


Embora a auditoria interna tenha progredido em acompanhar a dinâmica em evolução da tecnologia rapidamente mutante e complexa, os resultados da pesquisa do Pulso Global indicam que ela ainda parece ter dificuldade de abordar abrangentemente os riscos tecnológicos. A auditoria interna não está sozinha nessa luta. Na verdade, de acordo com o relatório global de 2016 State of Security Operations, da Hewlett Packard Enterprise (HPE), houve um declínio ano-a-ano na maturidade de security operation center (SOC) em 2015. A HPE atribui esse declínio às pressões sobre a ciberdefesa por parte da computação na nuvem, mobile, social e big data e à maior sofisticação da comunidade de ciberataques. Ainda assim, quase todas as pesquisas de membros do conselho classificam os riscos tecnológicos, principalmente o cibernético, como altos (se não os principais) na lista de suas preocupações.

Como a auditoria interna pode ajudar? Um número crescente de líderes de auditoria interna bem-informados está tomando atitudes para posicionar a auditoria interna como conselheira confiável de cibernética para a organização, construindo competências e demonstrando proficiência em questões de TI, como cibersegurança e big data, e fornecendo uma grande variedade de serviços de auditoria interna (diretamente ou por meio de cosourcing) relativos a essas questões. Mas, para outros, os dados da pesquisa do Pulso Global sugerem que diversos obstáculos inibem que a auditoria interna atinja a excelência nessa área.

A cibersegurança refere-se às medidas adotadas para proteger de perdas, destruição, acesso não autorizado ou uso impróprio por partes indesejadas os dados da empresa em sistemas baseados em computadores. Conforme explicado no Global Perspectives and Insights: A Auditoria Interna Como Conselheira Confiável de Cibernética, de 2016, “a cibersegurança deve ser considerada de forma holística e sistêmica, já que os efeitos do fracasso podem variar de uma incapacidade de conduzir transações básicas, à perda de propriedades intelectuais, ao dano reputacional. Não é apenas um risco tecnológico; é um risco do negócio e, portanto, os auditores internos têm um papel crítico a desempenhar”.6

Felizmente, a grande maioria (93%) dos líderes de auditoria interna reporta que seus departamentos de auditoria interna entendem os riscos associados à cibersegurança. Em contraste com esse otimismo, em seu relatório de 2016, Creating trust in the digital world, a EY alerta que os riscos da cibersegurança foram subestimados e que organizações demais estão exacerbando suas vulnerabilidades, adotando uma abordagem ad hoc ao risco. O Pulso Global confirma isso, com pouco mais da metade (55%) dos líderes de auditoria interna declarando que suas organizações usam uma estrutura desenvolvida para abordar a cibersegurança. Esse é quase o mesmo número (58%) que diz oferecer serviços de auditoria interna relativos à cibersegurança às suas organizações, exclusivamente (16%) ou via cosourcing (42%), conforme exibido no Documento 9.

“A cibersegurança deve serconsiderada de forma holísticae sistêmica, já que os efeitosdo fracasso podem variar deuma incapacidade deconduzir transações básicas,à perda de propriedadesintelectuais, ao danoreputacional.”

Documento 9 – Quem presta serviços de auditoria interna relativosà cibersegurança para as organizações

Observação: Q25: Qual afirmação melhor descreve quem presta serviços de auditoria interna relativosà cibersegurança para sua organização? Favor notar: os números não totalizam 100% devido aoarredondamento.

16%

16%

25%

42%

7 James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA Research Foundation, 2016) p 2, http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.

globaliia.org

14


Então, embora a maioria dos departamentos de auditoria interna possa declarar que entende os riscos de cibersegurança, apenas alguns traduzem plenamente esse entendimento em ação, oferecendo abrangentemente todos os serviços de auditoria interna de cibersegurança necessários às suas organizações. Mas é ainda mais alarmante, considerando o entendimento expresso dos líderes de auditoria interna sobre os riscos de cibersegurança, a alta visibilidade e os danos causados por eventos cibernéticos amplamente divulgados, que um em quatro (25%) líderes de auditoria interna indique que nenhum serviço de auditoria interna relativo à cibersegurança é prestado à organização. Os restantes, 16 por cento, reportam que todos os serviços de auditoria interna relativos à cibersegurança são totalmente terceirizados (Documento 9).

Todos os serviços de auditoria interna relativosà cibersegurança são prestados pelodepartamento de auditoria interna.

Serviços de auditoria interna relativos àcibersegurança são prestados em cosourcingentre a auditoria interna e prestadores externos.

Todos os serviços de auditoria interna relativosà cibersegurança são terceirizados.

Nenhum serviço de auditoria interna relativo àcibersegurança é prestado para minhaorganização.

Os principais motivos para que nenhum serviço de auditoria interna seja prestado à organização incluem a falta de competências (habilidades e conhecimentos) e ferramentas, por parte da auditoria interna, para auditar a cibersegurança (Documento 10). Os CAEs estão tomando atitudes para corrigir essas deficiências. De acordo com o relatório CBOK de 2016 da IIARF,7 a tecnologia da informação e mineração/análise de dados são duas das sete habilidades que os CAEs estão recrutando ou desenvolvendo em seus departamentos de auditoria interna. Os CAEs também compensam a falta de competências e ferramentas por meio de estruturas de cosourcing e terceirização.

Um em quatro líderes deauditoria interna indica quenenhum serviço de auditoriainterna relativo àcibersegurança é prestadoà organização.

Documento 10 – Motivos pelos quais os departamentos de auditoriainterna não auditam a cibersegurança

A auditoria interna avaliou o risco relativo à cibersegurança como um baixo risco à organização.

A cibersegurança é avaliada por outro prestador interno de avaliação.

A auditoria interna não tem o apoio do conselho/comitê de auditoria paraauditar a cibersegurança.

A cibersegurança é avaliada por um prestador externo de avaliação.

A auditoria interna não tem o apoio da gerência executiva para auditara cibersegurança.

A auditoria interna não tem tempo para auditar a cibersegurança.

A auditoria interna não avaliou o risco relativo à cibersegurança.

A auditoria interna não tem as ferramentas para auditara cibersegurança.

A auditoria interna não tem as competências (habilidades e conhecimentos)necessárias para prestar serviços de auditoria relativos à cibersegurança. 65%

55%

26%

22%

19%

16%

16%

14%

7%

8 PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey,” Julho de 2015, http://www.pwc.com/us/cybercrime (acessado em 24 de Agosto de 2016).

globaliia.org

15

Observação: Q26: Qual das opções a seguir descreve por que seu departamento de auditoria internanão presta serviços de auditoria interna especificamente relativos à cibersegurança atualmente? Osparticipantes puderam escolher mais de uma opção. (Pergunta àqueles que não prestaram àorganização qualquer serviço de auditoria interna relativo à cibersegurança.)


O que um auditor interno pode fazer para progredir nessa área? Primeiro, deve-se ter ou adquirir as competências e ferramentas necessárias para auditar a cibersegurança. Claramente, a partir dos resultados da pesquisa, esses são dois dos principais impedimentos para auditar com sucesso essa área crítica. Então, reconheça a necessidade de apoio por parte do topo. Conforme declarado no A Auditoria Interna Como Conselheira Confiável de Cibernética, em praticamente todas as organizações, para todo grande projeto, é crítico o apoio do topo. No entanto, os conselhos podem não estar lidando com suas principais preocupações relativas à cibersegurança com ações proporcionais ao risco. Por exemplo, de acordo com um estudo recente dos Estados Unidos, 26 por cento dos indivíduos entrevistados indicaram que seu chief information security officer (CISO) ou chief security officer (CSO) faz uma apresentação de segurança ao conselho apenas uma vez ao ano; praticamente o mesmo número (28%) reportou que nenhuma apresentação é feita. Adicionalmente, quase um terço disse que nenhum membro ou comitê do conselho está envolvido no risco cibernético, com apenas 15% indicando envolvimento do comitê de auditoria no risco cibernético.8

9 Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019,” http://www.forbes.com/sites/

stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0

globaliia.org

16


Possivelmente como resultado de alguma combinação de percepção e realidade de que a auditoria interna não tem competência suficiente para avaliar a cibersegurança, a confiança de que a auditoria interna vai suprir essa deficiência também está em falta. Por exemplo, no Pulso Global, apenas 56 por cento dos líderes de auditoria interna disseram que têm diretrizes para que o conselho/comitê de auditoria audite a cibersegurança. Então, o que precisa ser feito? Primeiro, com seu acesso privilegiado ao conselho/comitê de auditoria e seu entendimento dos riscos de cibersegurança, os líderes de auditoria interna devem manter a cibersegurança em pauta, discutir as vulnerabilidades cibernéticas e oferecer auxílio em um processo que estabeleça o apetite de risco da organização quanto à cibersegurança. Para aqueles que não entendem a gravidade dos riscos de cibersegurança, entenda que esse é um grande fator de risco, que certamente se tornará mais grave conforme a tecnologia continua a evoluir cada vez mais rapidamente do que os esforços de gerenciar e controlar o risco com eficácia. Na verdade, a Forbes reportou no início de 2016 uma projeção de que os custos do cibercrime estão previstos para atingir $2 trilhões até 2019.9

Em segundo lugar, perceba que a cibersegurança exige um esforço colaborativo dependente do tino de liderança demonstrado pelo CAE. Como explica Hans Nieuwlands, diretor executivo do IIA–Holanda, “os CAEs devem estabelecer parcerias de confiança com a gerência executiva, oferecendo conselhos e soluções que gerenciem ou reduzam os riscos de cibersegurança a um nível aceitável e desenvolvendo relacionamentos colaborativos com o chief information officer (CIO), chief information security officer (CISO) e executivos sênior de privacidade/jurídico”.

Em terceiro lugar, siga aqueles que já progrediram nessa área. Como mencionado anteriormente, mais da metade (58%) dos líderes de auditoria interna disse prestar serviços de auditoria interna relativos à cibersegurança à sua organização, exclusivamente ou por meio de cosourcing. Os principais motivos para a auditoria da cibersegurança são que a classificação correta da cibersegurança como alto risco e o fato de que o CAE levantou a questão durante o processo de planejamento de auditoria, demonstrando que os líderes de auditoria interna podem precisar atuar como catalisadores para a organização, dando a devida ênfase à importância cada vez maior da cibersegurança (Documento 11).

É importante notar que os departamentos de auditoria interna que auditam a cibersegurança estão começando a oferecer uma grande variedade de serviços valiosos às suas organizações. Serviços citados mais frequentemente incluem a avaliação dos controles que abordam como os sistemas de conexão com a internet processam, armazenam e/ou transportam dados, a avaliação do plano de continuidade do negócio e a avaliação do processo de avaliação do risco da cibersegurança (Documento 12). Uma oportunidade potencialmente óbvia é que os líderes de auditoria interna se envolvam mais na linha de frente do processo, aconselhando quanto a equipes de projeto e oferecendo orientação sobre planos de implementação e de desempenho da cibersegurança.

Com seu acesso privilegiadoao conselho/comitê deauditoria e seu entendimentodos riscos de cibersegurança,os líderes de auditoria internadevem manter acibersegurança em pauta,discutir as vulnerabilidadescibernéticas e oferecer auxílioem um processo queestabeleça o apetite de riscoda organização quanto àcibersegurança.

Documento 11 – Por que a auditoria audita a cibersegurança

Observação: Q27: Por favor, indique por que seu departamento de auditoria interna prestou serviços deauditoria interna relativos à cibersegurança. Os participantes puderam escolher mais de uma opção.(Pergunta àqueles que prestam serviços relativos à cibersegurança exclusivamente ou por cosourcing.)

Documento 12 – Como os departamentos de auditoria internaauditam a cibersegurança

74%

63%

34%

28%

17%

10% Em resposta a mudanças nas métricas estabelecidas de cibersegurança(ex., maior número de alertas de software de proteção, maior número de violações de política de cibersegurança)

Em resposta a um evento relativo à cibersegurança(ex., violação de dados que resultou em dano financeiro, operacional ou reputacional à organização)

Solicitação da gerência

Solicitação do conselho/comitêde auditoria

O chief audit executive (CAE) ou chefe de auditoria interna levantou aquestão durante o processo anual de planejamento de auditoria.

A cibersegurança foi classificada como alto risco.

70%

68%

64%

59%

56%

47%

27%Participaram de uma equipe de projeto para oferecer orientaçõesquanto a planos de implementação e desempenho da cibersegurança

Avaliaram o plano de gerenciamento de crise

Avaliaram o plano de resposta a incidentes

Avaliaram a prevenção de cibersegurança

Avaliaram o processo de avaliação do risco de cibersegurança

Avaliaram o plano de continuidade do negócio

Avaliaram controles que abordam como sistemas de conexão com a internetprocessam, armazenam e/ou transportam dados

globaliia.org

17


Observação: Q28: Por favor, indique como seu departamento de auditoria interna esteve envolvido nacibersegurança. Os participantes puderam escolher mais de uma opção. (Pergunta àqueles que prestamserviços relativos à cibersegurança exclusivamente ou por cosourcing.)

Big Data

Documento 13 – Organizações que investiram em big data

Observação: Q17: Qual declaração melhor descreve a abordagem de sua organização ao big data?

Não sei.

Minha organização investiu em arquitetura desistemas, ferramentas e práticas especialmentedesenvolvidas para lidar com big data.

49%

23%

21%

7%

10 New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://newvantage.com/wp-content/up -loads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (acessado em 24 de Agosto de 2016).

globaliia.org

18

Minha organização não investiu em arquiteturade sistemas, ferramentas e práticasespecialmente desenvolvidas para lidar combig data, mas tem uma estratégia em prática.

Minha organização não investiu em arquiteturade sistemas, ferramentas e práticasespecialmente desenvolvidas para lidar combig data e não tem planos de fazê-lo.


Big data significa mais do que apenas uma grande quantidade de dados. Big data refere-se aos dados (informações) em uma organização que atingem volume, variedade, velocidade e variabilidade tão altos que as organizações devem investir em arquiteturas de sistema, ferramentas e práticas especificamente desenvolvidas para lidar com esses dados. No nível global, quase metade (49%) dos líderes de auditoria interna indica que suas organizações fizeram tais investimentos (e, presume-se, implementaram sistemas para lidar com eficácia com o big data até certo ponto) e outros 23 por cento dizem que suas organizações têm uma estratégia em prática para fazê-lo (Documento 13). Como resultado, deve-se esperar que a auditoria interna esteja abordando ou venha a abordar o big data em seus planos de auditoria com base em riscos.

Uma pesquisa de 2016 da New Vantage Partners (NVP), com foco nos tomadores de decisões comerciais e tecnológicas de nível sênior das Fortune 1000 dos EUA, revelou que:

O big data atingiu a adoção geral.

Um novo papel organizacional, o de chief data officer, está se tornando bem-estabelecido.

A parceria comercial e tecnológica é vista como crítica para a adoção do big data.

Conhecimento e velocidade do negócio são os principais catalisadores comerciais de investimento no big data.

A variedade (de dados) continua ultrapassando volume e velocidade como catalisador técnico por trás dos investimentos em big data.10

No nível global, quasemetade dos líderes deauditoria interna indica quesuas organizações fizeraminvestimentos em big data eoutros 23 por cento dizemque suas organizações têmuma estratégia em práticapara fazê-lo. Deve-se esperarque a auditoria interna estejaabordando ou venha aabordar o big data em seusplanos de auditoria combase em riscos.

Documento 14 – Quem presta serviços de auditoria interna relativosa big data para as organizações

Observação: Q19: Qual declaração melhor descreve quem presta serviços de auditoria internarelativos a big data? (Pergunta àqueles que investiram em big data.) Favor notar: os númerosnão totalizam 100% devido ao arredondamento.

Nenhum serviço de auditoria interna relativoa big data é prestado à minha organização.

Todos os serviços de auditoria interna relativosa big data são terceirizados.

Os serviços de auditoria interna relativos a bigdata são prestados em cosourcing entrea auditoria interna e prestadores externos.

32%

32%

9%

26%

globaliia.org

19

Todos os serviços de auditoria interna relativosa big data são prestados pelo departamento deauditoria interna.


Quanto aos líderes de auditoria interna que trabalham em organizações que investiram no big data, 64 por cento dizem que seu departamento oferece à organização serviços de auditoria interna relativos ao big data, exclusivamente (32%) ou em cosourcing com um prestador externo (32%), conforme exibido no Documento 14. E, como com a cibersegurança, os líderes de auditoria interna muitas vezes direcionam a atenção da organização para as questões de gerenciamento de riscos e controle do big data. Entre os líderes de auditoria interna que auditam o big data, os dois principais motivos citados para fazê-lo estão relacionados a enxergar o risco. Conforme reportado, o CAE levantou a questão durante o processo de planejamento de auditoria anual ou o big data foi classificado como alto risco por parte da auditoria interna.

Os departamentos de auditoria interna que estão examinando o big data estão oferecendo uma grande variedade de serviços valiosos relativos ao big data para suas organizações. Os serviços citados mais frequentemente incluem a avaliação dos controles sobre a disponibilidade, usabilidade, integridade ou segurança dos dados; a avaliação dos riscos associados ao uso do big data; e a avaliação da precisão do big data (Documento 15).

Entre os líderes de auditoriainterna que auditam o bigdata, os dois principaismotivos citados para fazê-loestão relacionados a enxergaro risco. Conforme reportado,o CAE levantou a questãodurante o processo deplanejamento de auditoriaanual ou o big data foiclassificado como alto riscopor parte da auditoria interna.

Documento 15 – Como a auditoria interna audita o big data

Observação: Q22: Por favor, indique como seu departamento de auditoria interna esteve envolvidono big data. Os participantes puderam escolher mais de uma opção. (Pergunta àqueles queprestaram serviços relativos ao big data exclusivamente ou por cosourcing.)

80%

66%

54%

51%

38%

24%

10% Auxiliou na análise de custo-benefício

Avaliou o valor das métricas de big datapara a organização

Avaliou a validade do big data (adequação dos dadospara o uso pretendido)

Avaliou a precisão do big data

Avaliou os riscos associados ao uso do big data

Avaliou controles sobre disponibilidade, usabilidade, integridade ou segurança do big data

Carolyn Saint, CAE,

University of Virginia

globaliia.org

20

Participou de uma equipe de projeto de big data para oferecerorientações quanto a planos de implementação e desempenhodo big data


Discutivelmente, esses serviços de auditoria interna podem ser relacionados a cada uma das principais descobertas da pesquisa da NVP. Por exemplo, conforme explicado por Lesedi Lesetedi, diretora de auditoria interna da Botswana International University of Science and Technology, “a pesquisa NPV revela que o gasto com big data está crescendo. A assistência da auditoria interna com a análise de custo-benefício pode ajudar a garantir à gerência executiva e ao conselho que os dólares gastos estejam justificados com base nos benefícios em potencial para a organização”. Carolyn Saint, CAE da University of Virginia, acrescenta que, “ao participar de equipes de projeto, a auditoria interna pode estimular conversas que promovam o raciocínio e que abordem as perspectivas comercial e tecnológica sobre tópicos como integridade dos dados, segurança e requisitos de privacidade”.

No entanto, apesar de 92 por cento dos líderes de auditoria interna reportarem que seus departamentos de auditoria interna entendem os riscos associados ao big data, e apesar da miríade de formas como a auditoria interna pode contribuir para as iniciativas de big data de suas organizações, um em quatro (26%) líderes de auditoria interna trabalhando em organizações que investiram em big data diz que nenhum serviço de auditoria interna relativo ao big data é prestado à organização. Esses líderes de auditoria interna citam uma variedade de motivos, embora a maioria cite a falta de ferramentas e competências (habilidades e conhecimentos) como sendo o que embarreira a auditoria nesse quesito (Documento 16).

“Ao participar de equipes deprojeto, a auditoria internapode estimular conversasque promovam o raciocínioe que abordem asperspectivas comercial etecnológica sobre tópicoscomo integridade dos dados,segurança e requisitos deprivacidade”

Documento 16 – Motivos pelos quais os departamentos deauditoria interna não auditam o big data

Observação: Q20: Quais das opções a seguir descreve por que seu departamento de auditoriainterna não presta serviços de auditoria interna relativos ao big data atualmente? Os participantespuderam escolher mais de uma opção. (Pergunta àqueles que não prestaram à organizaçãoqualquer serviço de auditoria interna relativo ao big data.)

61%

46%

34%

22%

17%

14%

13%

8%

5% O big data é avaliado por outro prestador interno de avaliação.

A auditoria interna não tem o apoio do conselho/comitê de auditoria paraauditar o big data.

O big data é avaliado por um prestador externo de avaliação.

A auditoria interna não tem o apoio da gerência executivapara auditar o big data.

A auditoria interna não tem tempo para auditar o big data.

A auditoria interna não avaliou osriscos relativos ao big data.

A auditoria interna não tem as competências (hablidadese conhecimento) necessárias para auditar o big data.

A auditoria interna não tem as ferramentas para auditar o big data.

globaliia.org

21

A auditoria interna avaliou o risco relativo ao big data como um baixo risco àorganização.


Conclusão

globaliia.org

22


Embora os riscos tecnológicos relativos à cibersegurança e ao big data sejam top-of-mind para muitos conselhos, o número de departamentos de auditoria interna que estão prestando serviços relativos de auditoria interna para suas organizações parece não estar no nível necessário, considerando os riscos. No entanto, os departamentos de auditoria interna que de fato prestam esses serviços estão frequentemente ajudando a direcionar a atenção da organização para as questões críticas de riscos e controle de cibersegurança e big data. O desafio será que os auditores internos garantam o acesso às habilidades, conhecimentos, recursos e ferramentas em um ambiente de riscos dinâmico e em constante mudança. Aproveitar estruturas de cosourcing para trazer os especialistas apropriados pode se provar imperativo para muitas funções de auditoria interna daqui para a frente.

Passos que ajudarão a auditoria interna a progredir à excelência nessa área incluem:

Entender plenamente os riscos relativos à tecnologia e seu possível impacto sobre o atingimento dos objetivos operacionais e estratégicos.

Aproveitar os investimentos da organização em tecnologia para obter as ferramentas necessárias para auditar a cibersegurança e big data.

Desenvolver as competências necessárias de auditoria interna.

Ajudar a promover a cooperação entre as operações de tecnologia e negócios.

Oferecer um conjunto abrangente de serviços de auditoria interna relativos à tecnologia, incluindo da participação em equipes de gestão de projetos até oferecer ao conselho avaliações do gerenciamento de riscos e controles internos relativos à tecnologia.

O número de departamentosde auditoria interna que estãoprestando serviços relativosde auditoria interna para suasorganizações parece não estarno nível necessário,considerando os riscos.

Atingindo o Status deConselheiro Confiável

11 Deloitte, “Evolution or irrelevance? Internal audit at a crossroads,” 2016, 5, http://www2.deloitte.com/global/en/pages/audit/solutions/global-chief-audit-executive-survey.html (acessado em 24 de Agosto de 2016).

globaliia.org

23


Por mais elusivo e desafiador que seja, a auditoria interna tem continuado a fazer progresso em acompanhar com as expectativas sempre crescentes das partes interessadas. Para muitos, esse será um desafio duradouro, enquanto, para outros, será uma questão de ao menos tentar ficar um ou dois passos à frente das demandas e expectativas crescentes.

Continuar a evolução de um foco discutivelmente antiquado sobre os controles de contabilidade para a verdadeira auditoria, com base em riscos e de toda a organização, tem sido um grande salto adiante para a profissão. Da mesma forma, a próxima evolução da profissão tem sido o progresso dos CAEs para garantir um alinhamento do plano de auditoria interna com as prioridades estratégicas da organização, e o oferecimento de insights sobre a habilidade (ou falta de habilidade) de uma organização de atingir com eficácia seus objetivos estratégicos.

Então, qual o próximo passo? Muitos estão dizendo, agora, que a auditoria interna precisa se elevar ainda mais, ser vista na organização como “conselheira confiável” para ser realmente eficaz. Ainda assim, em muitos casos, a auditoria interna ainda está pedindo para ter o cobiçado “lugar à mesa” (se conseguí-lo) — onde a maioria das questões organizacionais urgentes está sendo discutida e onde as decisões executivas são tomadas. Por sua vez, um verdadeiro conselheiro confiável tem lugar à mesa por conta do valor que todos aceitam como garantido. Eles não pedem para se envolver... Eles são convidados. Um conselheiro confiável, então, deve ter o pleno complemento do tino comercial, do conhecimento técnico e das habilidades de relacionamento para ser percebido pelas partes interessadas como um recurso valioso para auxiliar com os objetivos da organização. Para o CAE e sua equipe, isso significa consistentemente ter algo de significante para contribuir.

No relatório de 2016 chamado State of Internal Audit Profession Study, Leadership Matters: Advancing toward the true north as stakeholders expect more, a PwC revelou uma lacuna, consistente com as principais opiniões, entre as ambições da profissão e o que ela realmente está entregando hoje. Reconhecendo a expectativa, apenas 16 por cento dos participantes da PwC (CAEs e suas partes interessadas) disseram que a auditoria interna atualmente presta serviços de valor agregado e conselhos estratégicos proativos para o negócio, bem além da execução eficaz e eficiente do plano de auditoria, enquanto 62 por cento esperam que a auditoria interna o faça nos próximos cinco anos. De forma similar, a Deloitte reportou em sua pesquisa de 2016 Global Chief Executive Survey, Evolution or irrelevance? Internal Audit at a crossroads que “apenas 28 por cento dos CAEs acreditam que suas funções tenham forte impacto e influência sobre a organização. Um número chocante de 16 por cento notou que a Auditoria Interna tem pouco ou nenhum impacto e influência. Enquanto isso, quase dois terços acreditam que a força da Auditoria Interna nessas áreas será importante nos próximos anos.”11

Um verdadeiro conselheiroconfiável tem lugar à mesapor conta do valor que todosaceitam como garantido. Elesnão pedem para se envolver...Eles são convidados.

Documento 17 – Com que frequência a auditoria interna participadas iniciativas de mudança organizacional

Observação: Q38: Com que frequência a auditoria interna participa das principais iniciativas demudança organizacional? Os números não totalizam 100% devido ao arredondamento.

Raramente

Nunca

Às vezes

Frequentemente

Sempre

11%

26%

36%

17%

11%

globaliia.org

24

A maioria (66%) dos líderesde auditoria interna reportanão ser convidada frequentemente paraparticipar de grandesiniciativas de mudançaorganizacional e quase umterço dos líderes de auditoriainterna nunca é convidadopara participar de umareunião completa doconselho.


A auditoria interna pode fechar essas lacunas notáveis e progredir para se tornar uma conselheira confiável? Considerando as expectativas, passos proativos e agressivos podem ser necessários.

De acordo com Karem Toufic Obeid, CAE, Tawazun, “fechar a lacuna exige a construção de relacionamentos de confiança com a gerência executiva e com o conselho. A confiança é construída quando o trabalho da auditoria interna não é apenas confiável e não entrega apenas o que promete, mas é preventivo e esclarecedor.” Infelizmente, a maioria dos líderes de auditoria interna ainda se reúne com o CEO, com a gerência executiva e com o comitê de auditoria apenas em momentos predeterminados e definidos, em vez de com frequência e conforme necessário. E sobre a necessidade de relacionamentos sólidos com o topo, ter que considerar o tino comercial afiado e o conhecimento técnico, combinados com a necessidade de ser perspicaz, pode ser difícil. Mas parece que também está se tornando um óbvio necessário. No entanto, a maioria (66%) dos líderes de auditoria interna reporta não ser convidada frequentemente para participar de grandes iniciativas de mudança organizacional (Documento 17) e quase um terço dos líderes de auditoria interna nunca é convidado para participar de uma reunião completa do conselho (Documento 18). Como resultado, ao menos nesse momento para muitos, o status de conselheiro confiável permanece sendo uma ambição esperançosa “em andamento”.

Documento 18 – Com que frequência os CAEs são convidados acomparecer a reuniões completas do conselho

Documento 19 – Programas por meio dos quais auditores internosse reúnem com funcionários da organização

Observação: Q31: A auditoria interna tem um programa por meio do qual os auditores internos sereúnam com funcionários da organização de forma contínua?

Conforme solicitado pelo chief auditexecutive (CAE) ou chefe de auditoriainterna

Nunca

Conforme solicitado pelo conselho

Anualmente

A todas as reuniões

23%

4%

7%

31%

34%

Não, não temos um programa assim enão estamos considerando.

Não, não temos um programa assim,mas estamos considerando.

Sim, temos um programa informal.

Sim, temos um programa formal.

14%

35% 15%

36%

globaliia.org

25

Observação: Q37: Com que frequência o chief audit executive ou chefe de auditoria interna éconvidado a comparecer a uma reunião completa do conselho (separada do comitê de auditoria)?Os números não totalizam 100% devido ao arredondamento.


Além do CEO, da gerência executiva e do presidente do comitê de auditoria, os líderes e a equipe de auditoria interna precisam desenvolver relacionamentos com os gerentes sênior e intermediários também. Para muitos, isso é melhor feito por meio do planejamento intencional, usando interações estruturadas e repetitivas, trabalhando em direção a estabelecer relacionamentos profundos e contínuos. No entanto, 65 por cento dos líderes de auditoria interna indicam não ter um programa formal através do qual os auditores internos se reúnam com funcionários específicos da organização de forma contínua (Documento 19). Sem tal programa, será difícil, se não impossível, na maioria das organizações de qualquer porte, que os líderes de auditoria interna e sua equipe estabeleçam e sustentem uma base de relacionamentos necessária para se elevar à visão de conselheiros confiáveis.

Fechar a lacuna exige aconstrução de relacionamentosde confiança com a gerênciaexecutiva e com o conselho. Aconfiança é construída quandoo trabalho da auditoria internanão é apenas confiável e nãoentrega apenas o que promete,mas é preventivo eesclarecedor.”

Karem Toufic Obeid,

CAE, Tawazun

Documento 20 – Como o CAE é percebido

Observação: Q35: O chief audit executive (CAE) ou chefe de auditoria interna é percebidocomo membro de: (Dados oferecidos refletem as respostas dos CAEs apenas.) Os númerosnão totalizam 100% devido ao arredondamento.

Gerência média

Alta administração

Gerência executiva

26%

55%

20%

globaliia.org

26

Programas formais que aumentem a interação do auditor interno com os funcionários da organização ajudam a auditoria interna a se tornar mais visível, mais instruída e mais em sintonia com o que está realmente acontecendo na organização. Como explica Ana Cristina Zambrano Preciado, presidente e chief executive officer do IIA–Colômbia, “a forma como os CAEs se apresentam impacta como eles são percebidos na organização”. E todos nós sabemos que a percepção propulsiona a realidade. Ainda assim, os resultados da pesquisa indicam que apenas 26 por cento dos CAEs dizem acreditar que são percebidos como membros da gerência executiva. Claramente, os 74 por cento restantes não se sentem percebidos como colegas da equipe executiva (Documento 20). Considerando que tantos CAEs não acreditam ser percebidos como estando nos níveis mais altos da organização, isso pode ser visto como uma estatística perturbadora e uma barreira em potencial para atingir o status e a visibilidade do conselheiro confiável.

Outro fator que pode aumentar a visibilidade e o status dos líderes de auditoria interna na organização, embora não deixe de trazer desafios, é que eles sejam convidados a adotar mais responsabilidades externas à auditoria interna. Um em quatro líderes de auditoria interna (26%) indica ser responsável por funções além da auditoria interna (Documento 21). As funções mais frequentemente mencionadas são as funções de gerenciamento de riscos e compliance, voltadas para a segunda linha de defesa.

Apenas 26 por centodos CAEs acreditamser percebidos comomembros da gerênciaexecutiva.


Documento 21 – Porcentagem de CAEs responsáveis por outrasfunções

Observação: Q39: O chief audit executive (CAE) ou chefe de auditoria interna de suaorganização é responsável também por outra(s) função(ões) além da auditoria interna?

Não

Sim

26%

74%

Pedirem que expanda suaatuação além da auditoriainterna — assumindoresponsabilidade pelaconformidade ougerenciamento de riscos,por exemplo — pode serum indicador, para os CAEs,de que seus conhecimentos,habilidades e contribuiçõespodem ser e são significantespara toda a organização, emuma variedade de funções.

12 O reporte administrativo refere-se à supervisão de questões diárias, incluindo orçamento, administração de recursoshumanos, comunicação, políticas internas e procedimentos. O reporte funcional refere-se à supervisão dasresponsabilidades da função de auditoria interna, incluindo a aprovação do estatuto de auditoria interna, plano deauditoria, a avaliação do CAE e a compensação do CAE.

globaliia.org

27


Claro, os líderes de auditoria interna encaram desafios quanto a assumir responsabilidades externas à auditoria interna. Manter tanto a objetividade percebida quanto a real é de extrema importância, assim como os desafios da independência, que depende das linhas de reporte. Sim, há riscos no limite embaçado entre a segunda e a terceira linhas de defesa e o CAE deve fortemente proteger a auditoria interna de ser puxada em uma direção que minimize ou comprometa sua principal responsabilidade de qualquer forma. Mas pedirem que expanda sua atuação além da auditoria interna também pode ser um indicador, para os CAEs, de que seus conhecimentos, habilidades e contribuições podem ser e são significantes para toda a organização, em uma variedade de funções.

Linhas de reporte ótimas — na visão emergente para muitas organizações do reporte administrativo ao CEO e funcional ao comitê de auditoria — ajudam os líderes de auditoria interna a manter a independência organizacional, aumentando seu potencial como conselheiros confiáveis. O Pulso Global revela que 45 por cento dos líderes de auditoria interna reportam administrativamente ao CEO (ou equivalente) e 73 por cento reportam funcionalmente ao conselho ou comitê de auditoria (ou equivalente).12 Essas porcentagens continuam a aumentar ao longo do tempo, conforme a auditoria interna continua a sair do papel estereotípico de estar primariamente focado apenas na contabilidade e em questões financeiras.

Conclusão

13 Chambers, Richard. 14 de Junho de 2016. Forensic Examination May Explain Why You Aren’t a Trusted Advisor. https://iaonline.theiia.org/blogs/chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trust-ed-Advisor.aspx (acessado em 24 de Agosto de 2016).

globaliia.org

28


Poucas solicitações (se tanto) de auditoria chegam a você ao longo do ano.

Contribuição mínima é recebida durante o processo anual de avaliação de riscos da auditoria interna.

Você não é convidado para reuniões em que a estratégia do negócio seja discutida ou formulada.

Os destinatários de seus relatórios são indiferentes ou resistentes às conclusões ou recomendações.

Quando um risco significante é identificado, a gerência não liga para você — eles buscam um consultor.13

Primeiro, da auditoria com base em controles para a auditoria com base em riscos, e agora das avaliações de risco bottom-up para o alinhamento das prioridades da auditoria interna com as prioridades estratégicas da organização, a próxima onda de evolução chegou... A que eleva a auditoria interna ao status de conselheira confiável. O caminho à frente exigirá esforço dedicado, assim como uma dinâmica flexível em termos das habilidades de valor e talentos desejados. Mas é um caminho que as partes interessadas da auditoria interna estão começando a esperar que seja trilhado... E um destino que poucos pioneiros já estão atingindo.

Um artigo do Presidente e CEO do IIA, Richard Chambers, no blog da revista Internal Auditor sugeriu sinais de que suas contribuições como CAE ou auditoria interna podem não estar sendo valorizados:

Reflexões de Encerramento

globaliia.org

29


Com a manutenção ou aumento, em sua maioria, dos níveis de orçamento e estruturação de equipe para apoiar as atividades críticas de auditoria interna, pode nunca haver oportunidade maior para que a auditoria interna dê os próximos passos necessários em direção a atender e exceder as expectativas das partes interessadas. Considerando o apoio à definição dos recursos, agora pode ser o melhor momento para aproveitar a oportunidade.

E, para continuar sua busca pela excelência e pelo status de conselheira confiável, a auditoria interna deve estar na linha de frente para lidar com as exposições organizacionais críticas. Conforme a pesquisa Global Pulse de 2016 indica, exposições urgentes, como cultura, cibersegurança e big data, estão entre as questões emergentes em que a auditoria interna precisa investir (ou até aumentar) tempo, energia e foco preciosos.

Os líderes de auditoria interna realizaram esforços para o progresso, mas a profissão como um todo pode muito bem precisar acelerar o ritmo e certamente não pode se dar o luxo de perder o embalo.

Para Mais InformaçõesAuditando a Cultura

Chartered Institute of Internal Auditors, “Organizational Culture: Evolving approaches to embedding and assurance,” Maio de 2016, https://iia.org.uk/policy/publications/culture-evolving-approaches-to-embedding-and-assurance-board-briefing/ (acessado em 24 de Agosto de 2016).

CCH Daily, “FRC calls for greater emphasis on corporate culture,” 20 de Julho de 2016 https://www.cchdaily.co.uk/frc-calls-greater-emphasis-corporate-culture (acessado em 24 de Agosto de 2016).

Financial Reporting Council, “Corporate Culture and the Role of Boards,” Julho de 2016, https://www.frc.org.uk/Our-Work/Corporate-Governance-Reporting/Corporate-governance/Corporate-Culture-and-the-Role-of-Boards.aspx (acessado em 24 de Agosto de 2016).

The IIA, “Global Perspectives and Insights: Auditing Culture – A Hard Look at theSoft Stuff,” 2016, www.theiia.org/gpi (acessado em 29 de Setembro de 2016).

Acompanhando a Tecnologia EY, “Creating trust in the digital world,” 2015 http://www.ey.com/Publication/

vwLUAssets/EY-creating-trust-in-the-digital-world/$FILE/EY-creating-trust-in-the-digital-world.pdf (acessado em 24 de Agosto de 2016).

KPMG, “Global profiles of the fraudster: Technology enables and weak controls fuel the fraud,” Maio de 2016, https://home.kpmg.com/xx/en/home/insights/2016/05/global-profiles-of-the-fraudster.html (acessado em 24 deAgosto de 2016).

New Vantage Partners LLC, “Big Data Executive Survey 2016,” 2016, http://newvantage.com/wp-content/uploads/2016/01/Big-Data-Executive-Survey-2016-Findings-FINAL.pdf (acessado em 24 de Agosto de 2016).

PwC, “US cybersecurity: Progress stalled, Key findings from the 2015 US State of Cybercrime Survey,” Julho de 2015, http://www.pwc.com/us/cybercrime (acessado em 24 de Agosto de 2016).

Steve Morgan, “Cyber Crime Costs Projected to Reach $2 Trillion by 2019,” http://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-2019/#6b96d1ae3bb0

The IIA, “Global Perspectives and Insights: Internal Audit as Trusted Cyber Adviser,” 2016, www.theiia.org/gpi (acessado em 29 de Setembro de 2016).

globaliia.org

30


Global Technology Audit Guide (GTAG) do The IIA, “Assessing Cybersecurity Risk: Roles of the Three Lines of Defense,” 2016, www.globaliia.org/standards-guidance (acessado em 29 de Setembro de 2016)

Conselheiro Confiável Chambers, Richard. 14 de Junho de 2016. Forensic Examination May Explain

Why You Aren’t a Trusted Advisor. https://iaonline.theiia.org/blogs/chambers/2016/Pages/Forensic-Examination-May-Explain-Why-You-Arent-a-Trusted-Advisor.aspx (acessado em 24 de Agosto de 2016).

Geral Deloitte, “Evolution or irrelevance? Internal Audit at a crossroads,” 2016,

http://www2.deloitte.com/global/en/pages/audit/solutions/global-chief-audit-executive-survey.html (acessado em 24 de Agosto de 2016).

Protiviti, Arriving at Internal Audit’s Tipping Point Amid Business Transformation, 2016, http://www.protiviti.com/en-US/Pages/IA-Capabilities-and-Needs-Survey.aspx (acessado em 25 de Agosto de 2016).

PwC, “2016 State of Internal Audit Profession Study, Leadership matters: Advancing toward true north as stakeholders expect more,” 2016, https://www.pwc.com/ca/en/risk/publications/pwc-state-of-internal-audit-profession-study-2016-03-en.pdf (acessado em 24 de Agosto de 2016).

James Rose, “The Top 7 Skills CAEs Want,” (Altamonte Springs: The IIA Institute of Internal Auditors Research Foundation, 2016) p 2, http://theiia.mkt5790.com/CBOK_2015_Top_Skills_CAEs_Want.

Declaração de Posicionamento do The IIA, “The Three Lines of Defense in Effective Risk Management and Control,” 2013, www.theiia.org/position-papers(acessado em 29 de Setembro de 2016).

globaliia.org

31


9/2016-1036

globaliia.org

Documents

Edição 5 GLOBAL PERSPECTIVES AND INSIGHTS · que as funções de auditoria interna aumentem o tempo dedicado a áreas críticas, como avaliação de gerenciamento de risco, riscos