AUDITORIA INTERNA: Avaliação de Controles Internos e Gestão de Riscos. Renato Trisciuzzi, CIA, CCSA, CRMA, QAR, Contador, MSc. Presidente do Conselho de Administração – IIA BRASIL Membro do Conselho de Administração – IIA GLOBAL Sede – IIA Global Altamonte Springs – Florida - USA IIA Global – Visão 2013 O IIA foi fundado em 1941 em New York – USA • 187.436 - Associados • 190 países - 109 Institutos (+ USA, Canadá, Caribe) • 603 empregados IIA Global – Visão 2013 Exame CIA – Início em Agosto de 1974. Auditores Certificados • CIA = 118.435 • CRMA = 13.348 • CCSA = 6.043 • CFSA = 5.897 • CGAP = 3.358 Alguns Institutos – IIA Global Existem 109 Institutos ao redor do mundo, alguns exemplos IIA UK & Ireland 8,982 IIA Sri Lanka 82 IIA South Africa 7,131 IIA El Salvador 81 IIA India 4,455 IIA Kazakhstan 78 IIA France 4,139 IIA Nigeria 77 IIA Brazil 3,800 IIA Zambia 77 IIA Chinese Taiwan 3,573 IIA Mauritius 74 IIA Australia 3,408 IIA Honduras 73 IIA Philippines 3,380 IIA Ukraine 50 IIA Japan 3,012 IIA Saudi Arabia 48 IIA Mexico 2,889 IIA Montenegro 28 IIA BRASIL • O Instituto dos Auditores Internos do Brasil foi fundado em 20 de novembro de 1960. • O IIA Brasil possui atualmente cerca de 3.800 associados com presença em todos os Estados. • Exame CIA – Início em 2001 no Brasil. 450 Profissionais Certificados!!! Histórico – AUDIBRA – IIA Brasil • Demonstrações Contábeis AUDITADAS Organização IIA Brasil • Conselho e Diretoria composta por Voluntários • 12 Conselheiros – 3 membros Comitê de Auditoria • 3 membros independentes – Comitê de Ética • Superintendente + 13 colaboradores SEM FINS LUCRATIVOS !!! Missão IIA Brasil Ser reconhecido como a “voz” da profissão de auditoria interna trabalhando na: – Defesa do “valor” da profissão – Promoção das melhores práticas, e – Prestação de serviço a seus associados Valor da Auditoria Interna Valor da Auditoria Interna EXAME - Gestão | Governança 15/03/2013 - Pág.: 96 As Normas servem como um benchmark e fundamentos do desempenho dos serviços de auditoria interna e são parte de uma estrutura consistente que fornece um “mapa do caminho” para o profissionalismo da auditoria interna através do mundo. Allan Goldstein, CIA, CFSA IPPF OVERSIGHT COUNCIL IFAC – NACD – INTOSAI – The World Bank – OECD O propósito das IPPF é: a) Estabelecer princípios básicos que representam a prática da AI na forma em que esta deveria ser; b) Fornecer um modelo para a Execução e promoção de um amplo leque de atividades de AI que representem valor agregado; c) Servir de base para avaliação da AI; d) Incentivar a melhoria dos processos e operações da organização. Independência e Objetividade • Independência: A liberdade de condições que ameaçam a capacidade da atividade de auditoria interna de cumprir suas responsabilidades de forma imparcial. • Objetividade: Atitude mental imparcial que permite aos auditores internos executar os trabalhos de auditoria de maneira a ter confiança no resultado de seu trabalho e que não haja nenhum comprometimento da qualidade. A objetividade requer que os auditores internos não subordinem a outras pessoas o seu julgamento em assuntos de auditoria. 1100 – Independência e Objetividade A atividade de auditoria interna deve ser independente e os auditores internos devem ser objetivos ao executar seus trabalhos. 1110 – Independência Organizacional 1111 – Interação Direta com o Conselho 1120 – Objetividade Individual 1130 – Prejuízo à Independência ou à Objetividade 1110 – Independência Organizacional Alguns exemplos de Independência implicam que: O diretor executivo de auditoria deve reportar a um nível dentro da organização que permita à atividade de auditoria interna cumprir suas responsabilidades. O diretor executivo de auditoria deve confirmar junto ao conselho, pelo menos anualmente, a independência organizacional da atividade de auditoria interna. 1110 – Independência Organizacional Alguns exemplos de Independência implicam que: • Aprove o estatuto de auditoria interna; • Aprove o planejamento de auditoria baseado em riscos; • Aprove o orçamento de auditoria e o plano de recursos; • Receba comunicações do executivo chefe de auditoria sobre o desempenho do plano de auditoria interna e outros assuntos; • Aprove as decisões referentes à nomeação e demissão do executivo chefe de auditoria; • Aprove a remuneração do executivo chefe de auditoria; e • Formule questionamentos adequados à administração e ao executivo chefe de auditoria para determinar se existem escopos inadequados ou limitações de recursos. . 1111 – Interação Direta com o Conselho 1120 – Objetividade Individual Os auditores internos devem adotar uma atitude imparcial e isenta E evitar qualquer conflito de interesses. 1120 – Objetividade Individual O conflito de interesses é uma situação na qual um auditor interno, que esteja em uma posição de confiança, tenha um interesse profissional ou pessoal conflitante. Tais interesses conflitantes podem tornar difícil a ele ou ela executar suas funções com imparcialidade. Um conflito de interesses existe mesmo que não se resulte em nenhum ato antiético ou impróprio. 1120 – Objetividade Individual Um conflito de interesses pode criar uma aparência de impropriedade que pode abalar a confiança no auditor interno, na atividade de auditoria interna e na profissão. Um conflito de interesses pode prejudicar a habilidade do indivíduo de executar suas funções e responsabilidades objetivamente. 1130 – Prejuízo à Independência ou à Objetividade Caso a independência ou a objetividade sejam prejudicadas de fato ou na aparência, os detalhes de tal prejuízo devem ser divulgados às partes apropriadas. A natureza da divulgação dependerá do tipo de prejuízo. 1130 – Prejuízo à Independência ou à Objetividade Pode incluir: • Conflito de interesses pessoal; (Não se limita) • Limitações de escopo; • Restrição de acesso aos registros; • Restrição de acesso a pessoas; • Restrições de acesso às propriedades ou localidades; • Limitações de recursos; (Position Paper) • Etc... O Reporte depende de quais “prejuízo à independência ou à objetividade” e deve ser avaliado com base no estatuto de auditoria interna. AVALIAÇÃO - dos processos organizacionais de governança, gerenciamento de riscos e controle, para auxiliar a organização a alcançar seus objetivos estratégicos, operacionais, financeiros e de conformidade; e INSIGHT – ao agir como um catalisador para melhorar a eficácia e a eficiência de uma organização, fazendo recomendações com base em análises e avaliações objetivas de dados e processos de negócio. Normas de Desempenho 2100 – Natureza do Trabalho A atividade de auditoria interna deve avaliar e contribuir para a melhoria dos processos de governança, gerenciamento de riscos e controles, utilizando uma abordagem sistemática e disciplinada. 2110 – Governança A atividade de auditoria interna deve avaliar e propor recomendações apropriadas para a melhoria do processo de governança no seu cumprimento dos seguintes objetivos: • Promover a ética e os valores apropriados dentro da organização; • Assegurar o gerenciamento eficaz do desempenho organizacional e a prestação de contas; • Comunicar as informações relacionadas aos riscos e aos controles às áreas apropriadas da organização; e • Coordenar as atividades e a comunicação das informações entre o conselho, os auditores externos e internos e a administração. 2110 – Governança 2110.A1 – A atividade de auditoria interna deve avaliar o desenho, implantação e a eficácia dos objetivos, programas e atividades da organização relacionados à ética. 2110.A2 – A atividade de auditoria interna deve avaliar se a governança de tecnologia da informação da organização dá suporte às estratégias e objetivos da organização. 2120 – Gerenciamento de riscos A atividade de auditoria interna deve avaliar a eficácia e contribuir para a melhoria dos processos de gerenciamento de riscos. Interpretação: Determinar se os processos de gerenciamento de riscos são eficazes é um julgamento que resulta da avaliação do auditor interno quanto a se: • Os objetivos da organização dão suporte e estão alinhados com a missão da organização; • Os riscos significativos são identificados e avaliados; • Respostas apropriadas aos riscos são selecionadas de forma a alinhar os riscos com o apetite de risco da organização; e • Informações de riscos relevantes são capturadas e comunicadas de forma oportuna através da organização, permitindo que colaboradores, administração e conselho cumpram com suas responsabilidades. 2120 – Gerenciamento de riscos A atividade de auditoria interna reúne informações para apoiar esta avaliação através de múltiplos trabalhos de auditoria. O resultado destes trabalhos, visto em conjunto, proporciona uma compreensão dos processos de gerenciamento de riscos das organizações e sua eficácia. Os processos de gerenciamento de riscos são monitorados através de atividades contínuas de gerenciamento, de avaliações específicas ou de ambos. 2120 – Gerenciamento de riscos 2120.A1 – A atividade de auditoria interna deve avaliar as exposições a riscos relacionadas à governança, às operações e aos sistemas de informação da organização, em relação a: • Alcance dos objetivos estratégicos da organização; • Confiabilidade e integridade das informações financeiras e operacionais; • Eficácia e eficiência das operações e programas; • Salvaguarda dos ativos; e • Conformidade com leis, regulamentos, políticas, procedimentos e contratos. 2120.A2 – A atividade de auditoria interna deve avaliar o potencial de ocorrência de fraude e como a organização gerencia o risco de fraude. 2130 – Controle A atividade de auditoria interna deve auxiliar a organização a manter controles efetivos a partir da avaliação sua eficácia e eficiência e da promoção de melhorias contínuas. 2130.A1- A atividade de auditoria interna deve avaliar a adequação e a eficácia dos controles em resposta aos riscos, abrangendo a governança, as operações e os sistemas de informação da organização, com relação a: • Alcance dos objetivos estratégicos da organização; • Confiabilidade e integridade das informações financeiras e operacionais; • Eficácia e eficiência das operações e programas; • Salvaguarda dos ativos; e • Conformidade com leis, regulamentos, políticas e procedimentos e contratos. 4 Princípios Chave aplicáveis a todas as Organizações 1. Devem ter um Comitê de Auditoria, ou equivalente, forte e eficaz. 2. Precisam ter uma Responsabilidade CLARA quanto ao gerenciamento de riscos e controle. 3. Ter uma Auditoria Interna DEVIDAMENTE estruturada, operar em conformidade com as NORMAS e ser exigência para a maioria das Organizações. 4. AS linhas de reporte da AI devem AUMENTAR a independência organizacional. Controle Risco Governança Auditoria Interna Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governança deve ser aconselhado a respeito da estrutura e seu impacto. PRÁTICAS RECOMENDADAS: 1. Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três Linhas de Defesa. 2. Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriadas. 3. Deve haver a coordenação apropriada entre as diferentes linhas de defesa para promover a eficiência e a eficácia. 4. Modelo de Maturidade Organizacional da Auditoria Interna. (Ex.: Internal Audit Capability Model for the Public Sector, publicação do IIA - TC-023.242/2013-2). PRÁTICAS RECOMENDADAS: 5. As funções de riscos e controle em operação nas diferentes linhas devem compartilhar conhecimento e informações apropriadamente, para auxiliar todas as funções a desempenhar melhor seus papéis de forma eficiente. 6. As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa sua eficácia. 7. Executar uma Revisão de Avaliação de Qualidade e Melhoria, pelo menos, a cada 5 anos nas Áreas de Auditoria Interna. AVALIAÇÃO DAS AUDITORIAS INTERNAS Seguir o Manual de Avaliação de Qualidade do IIA Global – 7 ed. Ferramentas de Avaliação de Qualidade (MANUAL) • Planejamento e preparação (F-1 a F-5) • Orientações para Entrevistas (F-6 a F-11) • Programas de avaliação (F-12 a F-17) • Avaliação, conclusões e reporte de resultados do QA (F-18 a F-20) AVALIAÇÃO DAS AUDITORIAS INTERNAS Entidade externa e independente. Acordo de Sigilo. Profissionais gabaritados, experientes e atualizados de nível internacional. Certificado conjunto IIA Brasil e IIA Global. O serviço de Q.A. é realizado desde 1986 Em organizações que ainda não tenham uma atividade de auditoria interna estabelecida, deve-se exigir que a gerência e/ou o órgão de governança EXPLIQUE E DIVULGUE às suas partes interessadas que consideraram como será obtida a avaliação adequada da eficácia das estruturas de governança, gerenciamento de riscos e controle da organização. Principais resultados sobre o reporte funcional e hierárquico da auditoria interna: A grande maioria dos executivos-chefes de auditoria interna reporta funcionalmente direto ao conselho de administração ou ao seu comitê de auditoria, especialmente na América do Norte e África. O Brasil segue a tendência mundial com 51% reportando a estas estâncias de governança – mais alto nível dentro das organizações. Por fim, no Brasil, 76,6% prefeririam reportar para estes níveis. Principais resultados sobre o reporte funcional e hierárquico da auditoria interna: No Brasil, 48% dos respondentes, como na maioria dos países da América Latina, Europa, África e a região ÁsiaPacífico, o executivos-chefes de auditoria interna reportam administrativamente ao CEO. Adversamente na América do Norte quando apenas cerca de um terço dos executivoschefes de auditoria interna reporta para CEO e mais de um terço reporta ao CFO. Principais resultados que impactam a função de auditor interno: 13% dos executivos-chefes de auditoria interna do Brasil (5% América do Norte - NA) relataram que já sofreram algum tipo de influência para alterar indevidamente os resultados do trabalho da auditoria interna, destes 21,5% (7% NA) vieram do CFO e 23,1% (15% NA) dos gerentes de operações das organizações. Principais resultados que impactam a função de auditor interno: Em contrapartida, 43% relatam que melhoraram a independência e a objetividade da auditoria interna quando alteraram a linha de reporte de seu departamento para um mais alto nível hierárquico dentro da estrutura de governança na organização. No Brasil, quase 30% relatam que o CEO tem a maior influência sobre a forma como a função de auditoria interna é gerenciada, contra 24% e 19% do comitê de auditoria e do conselho de administração, respectivamente. OBRIGADO! Renato Trisciuzzi, CIA, CCSA, CRMA, QAR, Contador, MSc. [email protected]