AUDITORIA INTERNA:
Avaliação de Controles Internos e
Gestão de Riscos.
Renato Trisciuzzi, CIA, CCSA, CRMA, QAR, Contador, MSc.
Presidente do Conselho de Administração – IIA BRASIL
Membro do Conselho de Administração – IIA GLOBAL
Sede – IIA Global
Altamonte Springs – Florida - USA
IIA Global – Visão 2013
O IIA foi fundado em 1941 em New York – USA
• 187.436 - Associados
• 190 países - 109 Institutos (+ USA, Canadá, Caribe)
• 603 empregados
IIA Global – Visão 2013
Exame CIA – Início em Agosto de 1974.
Auditores Certificados
• CIA
=
118.435
• CRMA
=
13.348
• CCSA
=
6.043
• CFSA
=
5.897
• CGAP
=
3.358
Alguns Institutos – IIA Global
Existem 109 Institutos ao redor do mundo, alguns exemplos
IIA UK & Ireland
8,982
IIA Sri Lanka
82
IIA South Africa
7,131
IIA El Salvador
81
IIA India
4,455
IIA Kazakhstan
78
IIA France
4,139
IIA Nigeria
77
IIA Brazil
3,800
IIA Zambia
77
IIA Chinese Taiwan
3,573
IIA Mauritius
74
IIA Australia
3,408
IIA Honduras
73
IIA Philippines
3,380
IIA Ukraine
50
IIA Japan
3,012
IIA Saudi Arabia
48
IIA Mexico
2,889
IIA Montenegro
28
IIA BRASIL
• O Instituto dos Auditores Internos do Brasil foi
fundado em 20 de novembro de 1960.
• O IIA Brasil possui atualmente cerca de 3.800
associados com presença em todos os Estados.
• Exame CIA – Início em 2001 no Brasil.
450 Profissionais Certificados!!!
Histórico – AUDIBRA – IIA Brasil
• Demonstrações Contábeis AUDITADAS
Organização IIA Brasil
• Conselho e Diretoria composta por Voluntários
• 12 Conselheiros – 3 membros Comitê de Auditoria
• 3 membros independentes – Comitê de Ética
• Superintendente + 13 colaboradores
SEM FINS LUCRATIVOS !!!
Missão IIA Brasil
Ser reconhecido como a “voz” da profissão de auditoria
interna trabalhando na:
– Defesa do “valor” da profissão
– Promoção das melhores práticas, e
– Prestação de serviço a seus associados
Valor da Auditoria Interna
Valor da Auditoria Interna
EXAME - Gestão | Governança
15/03/2013 - Pág.: 96
As Normas servem como um benchmark e fundamentos do desempenho
dos serviços de auditoria interna e são parte de uma estrutura consistente
que fornece um “mapa do caminho” para o profissionalismo da auditoria
interna através do mundo.
Allan Goldstein, CIA, CFSA
IPPF OVERSIGHT
COUNCIL
IFAC – NACD – INTOSAI –
The World Bank – OECD
O propósito das IPPF é:
a) Estabelecer princípios básicos que
representam a prática da AI na forma
em que esta deveria ser;
b) Fornecer um modelo para a
Execução e promoção de um amplo
leque de atividades de AI que
representem valor agregado;
c) Servir de base para avaliação da AI;
d) Incentivar a melhoria dos processos e
operações da organização.
Independência e Objetividade
• Independência: A liberdade de condições que ameaçam a
capacidade da atividade de auditoria interna de cumprir
suas responsabilidades de forma imparcial.
• Objetividade: Atitude mental imparcial que permite aos
auditores internos executar os trabalhos de auditoria de
maneira a ter confiança no resultado de seu trabalho e que
não haja nenhum comprometimento da qualidade. A
objetividade requer que os auditores internos não
subordinem a outras pessoas o seu julgamento em assuntos
de auditoria.
1100 – Independência e Objetividade
A atividade de auditoria interna deve ser independente e
os auditores internos devem ser objetivos ao executar
seus trabalhos.
1110 – Independência Organizacional
1111 – Interação Direta com o Conselho
1120 – Objetividade Individual
1130 – Prejuízo à Independência ou à Objetividade
1110 – Independência Organizacional
Alguns exemplos de Independência implicam que:
O diretor executivo de auditoria deve reportar a um nível dentro
da organização que permita à atividade de auditoria interna
cumprir suas responsabilidades.
O diretor executivo de auditoria deve confirmar junto ao
conselho, pelo menos anualmente, a independência
organizacional da atividade de auditoria interna.
1110 – Independência Organizacional
Alguns exemplos de Independência implicam que:
• Aprove o estatuto de auditoria interna;
• Aprove o planejamento de auditoria baseado em riscos;
• Aprove o orçamento de auditoria e o plano de recursos;
• Receba comunicações do executivo chefe de auditoria sobre o
desempenho do plano de auditoria interna e outros assuntos;
• Aprove as decisões referentes à nomeação e demissão do
executivo chefe de auditoria;
• Aprove a remuneração do executivo chefe de auditoria; e
• Formule questionamentos adequados à administração e ao
executivo chefe de auditoria para determinar se existem
escopos inadequados ou limitações de recursos. .
1111 – Interação Direta com o
Conselho
1120 – Objetividade Individual
Os auditores internos devem adotar uma atitude
imparcial e isenta
E
evitar qualquer conflito de interesses.
1120 – Objetividade Individual
O conflito de interesses é uma situação na qual um
auditor interno, que esteja em uma posição de
confiança, tenha um interesse profissional ou pessoal
conflitante. Tais interesses conflitantes podem tornar
difícil a ele ou ela executar suas funções com
imparcialidade. Um conflito de interesses existe mesmo
que não se resulte em nenhum ato antiético ou
impróprio.
1120 – Objetividade Individual
Um conflito de interesses pode criar uma aparência de
impropriedade que pode abalar a confiança no auditor
interno, na atividade de auditoria interna e na
profissão.
Um conflito de interesses pode prejudicar a habilidade
do indivíduo de executar suas funções e
responsabilidades objetivamente.
1130 – Prejuízo à Independência ou à
Objetividade
Caso a independência ou a objetividade sejam
prejudicadas de fato ou na aparência, os detalhes de
tal prejuízo devem ser divulgados às partes
apropriadas. A natureza da divulgação dependerá do
tipo de prejuízo.
1130 – Prejuízo à Independência ou à
Objetividade
Pode incluir:
• Conflito de interesses pessoal; (Não se limita)
• Limitações de escopo;
• Restrição de acesso aos registros;
• Restrição de acesso a pessoas;
• Restrições de acesso às propriedades ou localidades;
• Limitações de recursos; (Position Paper)
• Etc...
O Reporte depende de quais “prejuízo à independência ou à
objetividade” e deve ser avaliado com base no estatuto de
auditoria interna.
AVALIAÇÃO - dos processos organizacionais de governança,
gerenciamento de riscos e controle, para auxiliar a organização a
alcançar seus objetivos estratégicos, operacionais, financeiros e
de conformidade; e
INSIGHT – ao agir como um catalisador para melhorar a eficácia
e a eficiência de uma organização, fazendo recomendações com
base em análises e avaliações objetivas de dados e processos de
negócio.
Normas de Desempenho
2100 – Natureza do Trabalho
A atividade de auditoria interna deve avaliar e contribuir para
a melhoria dos processos de governança, gerenciamento de
riscos e controles, utilizando uma abordagem sistemática e
disciplinada.
2110 – Governança
A atividade de auditoria interna deve avaliar e propor
recomendações apropriadas para a melhoria do processo de
governança no seu cumprimento dos seguintes objetivos:
• Promover a ética e os valores apropriados dentro da organização;
• Assegurar o gerenciamento eficaz do desempenho
organizacional e a prestação de contas;
• Comunicar as informações relacionadas aos riscos e aos
controles às áreas apropriadas da organização; e
• Coordenar as atividades e a comunicação das informações entre
o conselho, os auditores externos e internos e a administração.
2110 – Governança
2110.A1 – A atividade de auditoria interna deve avaliar o desenho,
implantação e a eficácia dos objetivos, programas e atividades da
organização relacionados à ética.
2110.A2 – A atividade de auditoria interna deve avaliar se a
governança de tecnologia da informação da organização dá suporte
às estratégias e objetivos da organização.
2120 – Gerenciamento de riscos
A atividade de auditoria interna deve avaliar a eficácia e contribuir para a
melhoria dos processos de gerenciamento de riscos.
Interpretação: Determinar se os processos de gerenciamento de riscos são
eficazes é um julgamento que resulta da avaliação do auditor interno
quanto a se:
• Os objetivos da organização dão suporte e estão alinhados com a missão
da organização;
• Os riscos significativos são identificados e avaliados;
• Respostas apropriadas aos riscos são selecionadas de forma a alinhar os
riscos com o apetite de risco da organização; e
• Informações de riscos relevantes são capturadas e comunicadas de
forma oportuna através da organização, permitindo que colaboradores,
administração e conselho cumpram com suas responsabilidades.
2120 – Gerenciamento de riscos
A atividade de auditoria interna reúne informações para apoiar esta
avaliação através de múltiplos trabalhos de auditoria. O resultado destes
trabalhos, visto em conjunto, proporciona uma compreensão dos
processos de gerenciamento de riscos das organizações e sua eficácia.
Os processos de gerenciamento de riscos são monitorados através de
atividades contínuas de gerenciamento, de avaliações específicas ou de
ambos.
2120 – Gerenciamento de riscos
2120.A1 – A atividade de auditoria interna deve avaliar as exposições a
riscos relacionadas à governança, às operações e aos sistemas de
informação da organização, em relação a:
• Alcance dos objetivos estratégicos da organização;
• Confiabilidade e integridade das informações financeiras e operacionais;
• Eficácia e eficiência das operações e programas;
• Salvaguarda dos ativos; e
• Conformidade com leis, regulamentos, políticas, procedimentos e
contratos.
2120.A2 – A atividade de auditoria interna deve avaliar o potencial de
ocorrência de fraude e como a organização gerencia o risco de fraude.
2130 – Controle
A atividade de auditoria interna deve auxiliar a organização a manter
controles efetivos a partir da avaliação sua eficácia e eficiência e da
promoção de melhorias contínuas.
2130.A1- A atividade de auditoria interna deve avaliar a adequação e a
eficácia dos controles em resposta aos riscos, abrangendo a governança, as
operações e os sistemas de informação da organização, com relação a:
• Alcance dos objetivos estratégicos da organização;
• Confiabilidade e integridade das informações financeiras e operacionais;
• Eficácia e eficiência das operações e programas;
• Salvaguarda dos ativos; e
• Conformidade com leis, regulamentos, políticas e procedimentos e
contratos.
4 Princípios Chave aplicáveis a todas as
Organizações
1. Devem ter um Comitê de Auditoria, ou equivalente, forte e
eficaz.
2. Precisam ter uma Responsabilidade CLARA quanto ao
gerenciamento de riscos e controle.
3. Ter uma Auditoria Interna DEVIDAMENTE estruturada,
operar em conformidade com as NORMAS e ser exigência
para a maioria das Organizações.
4. AS linhas de reporte da AI devem AUMENTAR a
independência organizacional.
Controle
Risco
Governança
Auditoria
Interna
Em situações em que as funções de
diferentes linhas forem combinadas,
o órgão de governança deve ser
aconselhado a respeito da estrutura
e seu impacto.
PRÁTICAS RECOMENDADAS:
1. Os processos de riscos e controle devem ser estruturados
de acordo com o modelo de Três Linhas de Defesa.
2. Cada linha de defesa deve ser apoiada por políticas e
definições de papéis apropriadas.
3. Deve haver a coordenação apropriada entre as diferentes
linhas de defesa para promover a eficiência e a eficácia.
4. Modelo de Maturidade Organizacional da Auditoria
Interna. (Ex.: Internal Audit Capability Model for the
Public Sector, publicação do IIA - TC-023.242/2013-2).
PRÁTICAS RECOMENDADAS:
5. As funções de riscos e controle em operação nas
diferentes linhas devem compartilhar conhecimento e
informações apropriadamente, para auxiliar todas as
funções a desempenhar melhor seus papéis de forma
eficiente.
6. As linhas de defesa não devem ser combinadas ou
coordenadas de uma forma que comprometa sua eficácia.
7. Executar uma Revisão de Avaliação de Qualidade e
Melhoria, pelo menos, a cada 5 anos nas Áreas de
Auditoria Interna.
AVALIAÇÃO DAS AUDITORIAS INTERNAS
Seguir o Manual de Avaliação de Qualidade do IIA Global – 7 ed.
Ferramentas de Avaliação de Qualidade (MANUAL)
• Planejamento e preparação (F-1 a F-5)
• Orientações para Entrevistas (F-6 a F-11)
• Programas de avaliação (F-12 a F-17)
• Avaliação, conclusões e reporte de resultados do
QA (F-18 a F-20)
AVALIAÇÃO DAS AUDITORIAS INTERNAS
 Entidade externa e independente.
 Acordo de Sigilo.
 Profissionais gabaritados, experientes e atualizados de
nível internacional.
 Certificado conjunto IIA Brasil e IIA Global.
O serviço de Q.A. é realizado desde 1986
Em organizações que ainda não tenham uma
atividade de auditoria interna estabelecida, deve-se
exigir que a gerência e/ou o órgão de governança
EXPLIQUE E DIVULGUE às suas partes interessadas
que consideraram como será obtida a avaliação
adequada da eficácia das estruturas de governança,
gerenciamento de riscos e controle da organização.
Principais resultados sobre o reporte funcional e hierárquico
da auditoria interna:
A grande maioria dos executivos-chefes de auditoria
interna reporta funcionalmente direto ao conselho de
administração ou ao seu comitê de auditoria,
especialmente na América do Norte e África.
O Brasil segue a tendência mundial com 51% reportando a
estas estâncias de governança – mais alto nível dentro das
organizações. Por fim, no Brasil, 76,6% prefeririam reportar
para estes níveis.
Principais resultados sobre o reporte funcional e hierárquico
da auditoria interna:
No Brasil, 48% dos respondentes, como na maioria dos
países da América Latina, Europa, África e a região ÁsiaPacífico, o executivos-chefes de auditoria interna reportam
administrativamente ao CEO. Adversamente na América do
Norte quando apenas cerca de um terço dos executivoschefes de auditoria interna reporta para CEO e mais de um
terço reporta ao CFO.
Principais resultados que impactam a função de auditor
interno:
13% dos executivos-chefes de auditoria interna do Brasil
(5% América do Norte - NA) relataram que já sofreram
algum tipo de influência para alterar indevidamente os
resultados do trabalho da auditoria interna, destes 21,5%
(7% NA) vieram do CFO e 23,1% (15% NA) dos gerentes de
operações das organizações.
Principais resultados que impactam a função de auditor interno:
Em contrapartida, 43% relatam que melhoraram a
independência e a objetividade da auditoria interna quando
alteraram a linha de reporte de seu departamento para um mais
alto nível hierárquico dentro da estrutura de governança na
organização.
No Brasil, quase 30% relatam que o CEO tem a maior influência
sobre a forma como a função de auditoria interna é gerenciada,
contra 24% e 19% do comitê de auditoria e do conselho de
administração, respectivamente.
OBRIGADO!
Renato Trisciuzzi, CIA, CCSA, CRMA, QAR, Contador, MSc.
[email protected]