Pilares Fundamentais de
uma Auditoria Interna em
Ambiente de Grande
Incerteza
XVIII Conferência Anual do IPAI
Disclaimer
A informação contida neste documento é de natureza geral e não se aplica a nenhuma entidade ou
situação particular. Apesar de fazermos todos os possíveis para fornecer informação precisa e
actual,
não
podemos
garantir
que
tal
informação
seja
precisa
na
data
em
que
for
recebida/conhecida ou que continuará a ser precisa no futuro. Ninguém deve actuar de acordo com
essa informação sem aconselhamento profissional apropriado para cada situação específica.
Enquadramento
1
Pilares Fundamentais da função de Auditoria Interna
2
AGENDA
Pilar I - Posicionamento
3
Pilar II - Pessoas
4
Pilar III - Processos
5
1.
Enquadramento
Ambiente de Grande Incerteza
Face ao ambiente de grande incerteza em que hoje vivemos, considerando …
O desafio que se nos coloca
enquanto Auditores Internos
é “colossal”
“A complexidade crescente e a forte instabilidade
económica e social …”
“ … os receios das consequências financeiras e
económicas das crises de dívida pública …”
e a consequente “…revisão em baixa das
perspectivas para o crescimento … ”
… sendo o desafio “colossal”, é natural que nos questionemos:
Se a nossa função de Auditoria Interna (AI) estará capacitada para apoiar a Organização a
enfrentar este desafio?
… mas quais os Pilares Fundamentais que devem suportar a actividade de AI?
… e quais as questões que nós Auditores Internos temos de colocar para avaliar dessa maior
ou menor capacitação da função de AI ao nível desses Pilares?
1.
Enquadramento
Objectivos da Sessão
Os objectivos que estabelecemos para esta Sessão são os de sensibilização e partilha de
conhecimento com a família de Auditores Internos no âmbito:
Apresentação geral dos Pilares Fundamentais de uma função de AI para que cada um de nós tenha uma noção mais aproximada do que deverá ser uma AI robusta neste clima de maior incerteza.
Pilares Fundamentais
de uma função de Auditoria
Interna robusta
Experiências sobre debilidades
identificadas, ao nível dos Pilares,
com impacto relevante na
actividade de Auditoria Interna
Partilha de experiências e das questões que
deveremos colocar, no sentido de reforçarmos a nossa sensibilidade e competência para aferir do grau de capacitação actual da nossa função AI.
Enquadramento
1
Pilares Fundamentais da função de Auditoria Interna
2
AGENDA
Pilar I - Posicionamento
3
Pilar II - Pessoas
4
Pilar III - Processos
5
2. Pilares Fundamentais da função de Auditoria Interna
STAKEHOLDERS INTERNOS INFLUÊNCIA EXTERNA PERSPECTIVA DA AUDITORIA INTERNA AUDITORIA INTERNAUma função de Auditoria Interna robusta é aquela que apresenta um optimum balance entre os
seus Pilares Fundamentais que são o Posicionamento, as Pessoas e os Processos.
Pessoas
1) Missão e Drivers 2) Clientes e Serviços 3) Organização e Estrutura 4) Funding 5) Critérios de SucessoPara aferirmos a capacitação da nossa função de Auditoria Interna deveremos analisar em
detalhe, para cada Pilar Fundamental,5 aspectos principais que abaixo descrevemos.
1) Planeamento e Entrega 2) Tecnologia 3) Gestão Administrativa 4) Avaliação da Performance 5) Gestão da Relação 1) Competências 2) Estratégia de RH 3) Desenvolvimento de Carreira 4) Cultura 5) Retribuição
Posicionamento
Processos
Enquadramento
1
Pilares Fundamentais da função de Auditoria Interna
2
AGENDA
Pilar I - Posicionamento
3
Pilar II - Pessoas
4
Pilar III - Processos
5
3. Pilar I – Posicionamento
#
Posicionamento
A função de Auditoria Interna encontra-se posicionada na organização de forma a poder contribuir para a boa performance do negócio?
1 Missão e Drivers Os drivers da função de Auditoria Interna encontram-se alinhados com os objectivos da organização e com as necessidades dos seus principais stakeholders.
A missão e o papel da função de Auditoria Interna encontram-se formalmente definidos integrados numa framework de Corporate Governance mais vasta e têm sido comunicadas de forma eficaz.
2 Clientes e Serviços
Os Stakeholders e serviços da função de Auditoria Interna foram formalmente identificados e definidos para endereçar as necessidades do negócio/ organização. 3 Organização e
Estrutura
A estrutura da função de Auditoria Interna promove a objectividade, consistência e conhecimento do negócio.
4 Funding A função de Auditoria Interna é financiada de forma a promover a objectividade e consistência na qualidade dos serviços que presta a toda a Organização.
5 Critérios de Sucesso
Encontram-se definidos critérios de sucesso para a função de AI e é avaliada de acordo com os mesmos.
Issue #1
Principais Questões
Existe uma reduzida articulação e comunicação da AI com o Senior Management (Comissão Executiva e Direcção) e com a área de planeamento, limitando o conhecimento sobre a estratégia, objectivos e riscos da organização e, consequentemente, a sua eficácia e eficiência.
1) A AI tem uma visão holística da organização, da sua estratégia e dos riscos?
2) Existe uma participação ou consulta dos Stakeholders (e.g. Comité de Auditoria, CA, Direcções) na definição e revisão do papel da função de AI?
3) A AI possui o devido empowerment na organização para cumprir
adequadamente o seu papel?
Não existe um processo estruturado de envolvimento dos Stakeholders na definição do papel da função de AI com base nas necessidades dos mesmos.
Embora a AI reporte hierarquicamente a um elemento da CE, aquela não tem o empowerment necessário para que as recomendações mais críticas que emana, sejam
implementadas na organização em tempo útil.
Posicionamento
1) Missão e Drivers
Issue #2
Issue #3
Issue #1
Principais Questões
O universo auditável não se encontra formalizado e existe um conjunto de áreas, entidades e processos críticos da organização que nunca foram auditados ou foram
auditados há mais de 3 anos. 1) A AI serve uma base de clientes
apropriada? Encontra-se formalizado o universo auditável? Não ficam de fora desse universo determinadas áreas ou processos relevantes? 2) A AI disponibiliza um conjunto de
serviços apropriado?
3) Existe uma valorização por parte dos Stakeholders relativamente aos serviços prestados? Os
Stakeholders solicitam trabalhos
adicionais, para além daqueles que estão definidos no Plano de
Auditoria?
Sendo as principais actividades dos processos de negócio da organização suportados em diversas aplicações
informáticas, não são realizadas quaisquer auditorias de sistemas.
Para além do feedback informal, não existem canais de comunicação instituídos que permitam obter feedback sobre o add value dos serviços prestados pela AI, dificultando o próprio processo de melhoria contínua.
Posicionamento
2) Clientes e Serviços
Issue #2
Issue #3
Issue #1
Principais Questões
A AI não é gerida de forma totalmente independente considerando que embora reporte a um elemento da CE (hierarquica e funcionalmente) que não o Presidente, esse elemento possui, ao mesmo tempo, um conjunto de
pelouros como a área financeira e comercial. 1) Até que ponto a AI é gerida
independentemente das outras áreas?
2) Existe uma comunicação formal instituída entre a AI e o Comité de Auditoria / Comissão Executiva ? Os Planos de Auditoria são aprovados por aqueles órgãos? Existem
reportes regulares àqueles órgãos? 3) O modelo organizativo do
Departamento encoraja a
consistência e a qualidade dos serviços prestados?
Embora os planos de auditoria sejam aprovados pela CE, não se encontram formalizadas a forma e a frequência das comunicações com o Administrador do Pelouro e com a própria CE.
Existe um conjunto de funções que não se encontra internamente definido (auditoria de sistemas, serviços de consultoria, avaliação da performance, auditoria a áreas de negócio e de suporte, auditoria contínua), dificultando o foco e a responsabilização das equipas.
Posicionamento
3) Organização e Estrutura
Issue #2
Issue #3
Issue #1
Principais Questões
Existe um conjunto de entidades, áreas critícas e
processos que não são auditados por falta de recursos e por inexistência “in house” de competências específicas e da sua não sub-contratação.
Adicionalmente, o investimento em formação específica por auditor interno é residual.
1) Em que medida o orçamento da função de AI permite uma adequada alocação de recursos e
competências, face aos trabalhos de auditoria identificados como
necessários decorrente de um risk
assessment previamente realizado?
2) Em que medida é que o
financiamento da função de AI promove que os principais issues identificados são levados ao mais alto nível da organização?
Posicionamento
4) Funding
Issue #2
3. Pilar I – Posicionamento
O orçamento da AI é aprovado pela Direcção Financeira sendo o reporte da AI também efectuado àquela Direcção, limitando a capacidade da função de AI de colocar os issues identificados ao mais alto nível da organização.
Issue #1
Principais Questões
Não existem quaisquer critérios de performance definidos para a AI, para além do grau de cumprimento das
auditorias executadas vs planeadas e o grau de cumprimento do orçamento aprovado.
1) Como é que os Critérios de
Sucesso da Auditoria Interna foram
definidos? Estão formalizados e foram aprovados superiormente?
2) Como é que a performance da Auditoria Interna é avaliada
considerando os critérios de sucesso definidos? Como é que o processo de monitorização é evidenciado? Qual a frequência das avaliações realizadas?
A avaliação é apenas informal e é relizada ad-hoc, ou seja, aquando da realização dos inquéritos de satisfação sobre as diversas áreas da organização.
Posicionamento
5) Critérios de Sucesso
Issue #2
Enquadramento
1
Pilares Fundamentais da função de Auditoria Interna
2
AGENDA
Pilar I - Posicionamento
3
Pilar II - Pessoas
4
Pilar III - Processos
5
#
Pessoas
A função de Auditoria Interna tem uma estratégia de recursos humanos que permita responder de forma adequada aos objectivos que se encontram definidos?
1 Competências As competências core da função de Auditoria Interna são adequadas à sua missão, função e âmbito de trabalho.
2 Estratégia de Recursos Humanos
A estratégia de recrutamento da função de Auditoria Interna reflecte a sua missão, papel e competências core necessárias, sendo suficientemente flexível para fazer face a mudanças na Organização.
3 Desenvolvimento Carreira
A função de Auditoria Interna tem um programa de desenvolvimento de carreiras definido, o qual incorpora formação e desenvolvimento de competências.
4 Cultura A cultura em que opera a função de Auditoria Interna promove e protege o bem-estar dos colaboradores, assim como a consecução dos seus objectivos.
5 Retribuição Os colaboradores da função de Auditoria Interna são recompensados de forma adequada e com base na sua performance.
Issue #1
Principais Questões
As principais competências que estão definidas para a AI não são regularmente revistas, de acordo com as
exigências do plano de auditoria. 1) De que forma as principais
competências são determinadas?
2) Encontram-se definidas as competências necessárias para desenvolver os trabalhos de
auditoria integrados num plano de auditoria orientado ao risco?
3) Em caso de necessidade de competências adicionais, de que forma as mesmas são supridas?
Necessidade de maior desenvolvimento de competências na função de AI ao nível de produtos e serviços, sistemas de informação, qualidade e segurança.
Por falta de competências adequadas, determinados processos, áreas ou entidades não são auditados na sua plenitude, aumentando os factores de risco na organização em várias dimensões.
Pessoas
1) Competências
Issue #2 Issue #34. Pilar II – Pessoas
Principais Questões
1) A estratégia de recrutamento para a função de AI baseia-se nos perfis e competências definidos?
2) A AI é considerada uma área de formação para futuros cargos
directivos? Existe um mix óptimo de auditores de carreira versus
auditores com origem no negócio? 3) De que forma as actividades-chave
são cobertas, em caso de ausência ou perda de colaboradores-chave?
Pessoas
2) Estratégia de Recursos Humanos
4. Pilar II – Pessoas
Issue #1
A estratégia de recrutamento para a função de Auditoria Interna não se baseia em perfis/competências definidos para o desenvolvimento correcto da actividade.
As equipas de AI não se encontram complementadas com colaboradores provenientes das áreas de negócio ou em regime de co-sourcing, não dispondo de um mix
equilibrado entre auditores de carreira e auditores oriundos do negócio.
Não se encontra definido um plano de colaboradores que funcionem como backup para as funções –chave da AI.
Issue #2
Principais Questões
1) Existe um plano de formação e desenvolvimento profissional aprovado e alinhado com as competências exigidas para cada perfil?
2) A tipologia e abrangência da formação disponível são adequadas ao correcto
desenvolvimento da actividade? 3) Existe um plano de progressão e
desenvolvimento de carreiras definido e formalizado para os colaboradores da função de Auditoria Interna?
Pessoas
3) Desenvolvimento de Carreira
4. Pilar II – Pessoas
Issue #1Embora os colaboradores frequentem cursos de formação, não se encontra estabelecido um plano de formação base, global ou individualizado, orientado aos perfis e competências necessárias.
A participação em cursos de formação tem, por vezes, um carácter ad hoc e limitado aos recursos disponíveis,
inviabilizando o desenvolvimento correcto e contínuo de competências. Em paralelo, a partilha de conhecimento interna não é efectiva nem potenciada.
Não existe um plano de progressão e desenvolvimento de carreiras onde seja dada uma perspectiva de evolução sustentada e contínua, respeitando os níveis de
desempenho alcançados face aos objectivos definidos.
Issue #2
Principais Questões
1) Qual o impacto que a cultura de AI tem sobre a motivação dos seus colaboradores?
2) A cultura implementada fomenta o trabalho de equipa?
Pessoas
4) Cultura
4. Pilar II – Pessoas
Issue #1
Foi identificado um elevado turnover e absentismo que poderá indiciar uma fraca identificação dos colaboradores com a cultura existente na função de AI, contrastando com o resto da organização.
O reduzido número de iniciativas de partilha de conhecimentos e experiências por parte dos
colaboradores, não fomenta uma cultura de pertença e de entreajuda entre os Auditores Internos.
Principais Questões
1) A política de remuneração dos colaboradores de Auditoria Interna está correlacionada com o seu desempenho individual?
2) A política de remuneração estabelecida permite reter os profissionais de Auditoria Interna? 3) Os critérios de base à avaliação do
desempenho individual encontram-se definidos e formalizados?
Pessoas
5) Retribuição
4. Pilar II – Pessoas
Issue #1
A política de remuneração não reflecte adequadamente o diferencial de performance individual dos colaboradores.
A política de remuneração não permite atrair ou reter os melhores profissionais para a função de Auditoria
Interna.
Não se encontram definidos critérios objectivos de
avaliação de performance individual dos colaboradores da função de Auditoria Interna.
Issue #2
Enquadramento
1
Pilares Fundamentais da função de Auditoria Interna
2
AGENDA
Pilar I - Posicionamento
3
Pilar II - Pessoas
4
Pilar III - Processos
#
Processos
Os processos implementados permitem à função de Auditoria Interna atingir os seus objectivos e responder de forma adequada às constantes alterações das necessidades do negócio/ organização?
1 Planeamento e Entrega
A função de Auditoria Interna presta um serviço de qualidade e tem implementado uma metodologia de planeamento adequada.
2 Tecnologia A função de Auditoria Interna utiliza a tecnologia de forma adequada, com o objectivo suportar e melhorar a qualidade do serviço prestado.
3 Gestão
Administrativa
A função da Auditoria Interna tem implementados processos de suporte que permitem que as suas actividades core sejam efectuadas de forma adequada. 4 Avaliação
Performance
A função de Auditoria Interna possui um framework adequado para a avaliação do seu desempenho.
5 Gestão da Relação
A função de Auditoria Interna mantém um relacionamento adequado e efectivo com todos os principais stakeholders.
Issue #1
Principais Questões
Não existe uma matriz de riscos que abranja a globalidade da organização e/ou os diversos stakeholders não são consultados na identificação e avaliação dos principais riscos das suas áreas de negócio/suporte. Este facto condiciona a eficaz e eficiente elaboração do plano de auditoria.
1) Existe um plano de auditoria
estratégico (3 anos) baseado numa avaliação de riscos formal e
sistematizada e que considere os inputs dos diversos stakeholders? 2) Os programas de auditoria são
orientados ao risco, especificando o nível de risco ou grau de exposição associado?
3) Encontra-se implementado um processo efectivo de follow-up das recomendações efectuadas pela função de Auditoria Interna?
Os programas de auditoria são orientados à simples verificação do cumprimento de procedimentos, não
existindo uma abordagem sistematizada orientada ao risco.
O processo de follow-up das recomendações é efectuado apenas quando da realização do trabalho de auditoria seguinte, não existindo desta forma um acompanhamento efectivo da implementação, por parte dos auditados, dos plano de acção acordados.
Processos
1) Planeamento e Entrega
Issue #2
Issue #3
Issue #1
Principais Questões
Não existe uma aplicação que suporte as diversas fases do trabalho de AI ou, quando existe, esta cobre apenas te algumas daquelas fases, o que resulta numa carga
administrativa forte e consequentemente num menos eficaz e eficiente desenvolvimento do trabalho da função de AI.
1) Encontra-se implementada uma aplicação de suporte que abranja as diversas fases do ciclo de AI
(Planeamento, alocação recursos, reporte, follow-up,…)?
2) Existe alguma ferramenta específica que permita efectuar auditarias de forma automática e à distância?
Não se encontra implementada nenhuma ferramenta / mecanismo de auditoria à distância não permitindo desta forma a monitorização continua de alguns
indicadores e, simultaneamente, o apoio de forma mais eficiente ao trabalho de auditoria realizado de forma presencial.
Processos
2) Tecnologia
Issue #2
Issue #1
Principais Questões
Não existem documentos formais relativos a politicas e procedimentos aplicáveis à função de AI, o que constitui um entrave ao cumprimento correcto e consistente, por parte dos colaboradores da função de AI, das actividades inerentes à função.
Nestas políticas e procedimentos devem ser considerados também o Audit Charter e o Código de Ética específico para a função de AI.
1) Encontram-se formalizadas políticas e procedimentos orientadores da actividade da função de Auditoria Interna?
Processos
3) Gestão Administrativa
Principais Questões 1) Encontra-se implementado um
procedimento formal de avaliação da performance da AI, baseado em factores críticos de sucesso aprovados superiormente?
2) Encontram-se definidos um conjunto de indicadores quantitativos que permitam demonstrar de forma clara o valor aportado pela função de AI?
Processos
4) Avaliação da Performance
5. Pilar III – Processos
Issue #1
A avaliação da performance da função de AI limita-se à monitorização do orçamento e número de auditorias executadas versus as planeadas, não se encontrando definidos factores críticos de sucesso que permitam uma avaliação efectiva da função e que, simultaneamente, promovam a melhoria contínua da função.
Os indicadores quantitativos existentes não permitem que a função de Auditoria Interna e todos os
stakeholders possam ter um conhecimento do valor que
é efectivamente aportado por aquela função.
Issue #1
Principais Questões
Não se encontra definido um procedimento formal de relacionamento com os principais stakeholders no sentido de perceber quais as suas principais preocupações e, simultanemente, “evangelizar” sobre o papel da função de Auditoria Interna e sobre o valor que pode aportar.
1) A função de AI estabelece contactos regulares com os seus stakeholders (sem ser no decorrer de trabalhos programados de AI)?
Processos
5) Gestão da Relação
Rui Branco
Senior Manager, Advisory Services
KPMG Advisory
Av. Praia da Vitória, 71 - 11º 1069-006 Lisboa
rbranco@kpmg.com
© 2011 KPMG & Associados - Sociedade de Revisores Oficiais de Contas, S.A., a firma portuguesa membro da rede KPMG, composta por firmas independentes afiliadas da KPMG International Cooperative (“KPMG International”), uma entidade suíça. Todos os direitos
reservados. Impresso em Portugal.
O nome KPMG, o logótipo e “cutting through complexity” são marcas registadas da KPMG International Cooperative (“KPMG International”).