Benchmarking de Maturidade da Auditoria Interna

(1)

Benchmarking de

Maturidade da Auditoria

Interna

Um Olhar de Alto Nível Sobre o Planejamento

e Processos de Auditoria do Mundo

Core Report PERSPECTIVA GLOBAL

Mohammad Abdolmohammadi

DBA, CPA

Giuseppe D’Onza

PhD

Gerrit Sarens

PhD, CIA

(2)

Sobre o CBOK

FATOS DA PESQUISA Participantes 14,518* Países 166* Idiomas 23* NÍVEIS DOS FUNCIONÁRIOS Chief audit executive (CAE) 26% Diretor 13% Gerente 17% 44% Equipe

*As taxas podem variar por pergunta.

Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582 respostas).

Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras.

Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. 8% 6% 14% 19% 5% 25% 23% América do Norte América Latina & Caribe África Subsaariana Oriente Médio & África do Norte Europa & Ásia Central Sul da Ásia Leste Asiático & Pacífico

Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes

era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas

parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográﬁcas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas especíﬁcas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

O

(3)

Conteúdos

Sumário Executivo

4 Introdução

6

1 Alinhamento da Auditoria Interna com o Plano

Estratégico da Organização

7

2 Avaliação de Riscos

12

3 Competência da Auditoria Interna

16

4 Planejamento de Auditoria Interna

23

5 Procedimentos de Auditoria

27

6 Uso da Tecnologia

31

7 Programa de Garantia de Qualidade e Melhoria

35 Sumário, Conclusões e Reﬂexões Adicionais

39

Áreas de Conhecimento do CBOK Futuro Governança Gestão Risco Normas & Certiﬁcações Talento Perspectiva Global

(4)

Q

● ● ● ● ● ● ●

Sumário Executivo

ual o nível de maturidade de seu departamento de auditoria interna (ou qual poderia ser)? Esse assunto é explorado usando respostas de mais de 2.500 chief

audit executives (CAEs) do banco de dados do CBOK (Common Body of Knowledge) do

The IIA. As descobertas foram complementadas por entrevistas, com uma pequena amostra de CAEs de diferentes regiões do mundo, que comentaram sobre a maturidade do departamento de auditoria interna.

A avaliação da maturidade do departamento de auditoria interna é importante, porque ajuda a elaborar estratégias para estreitar as lacunas entre a qualidade esperada da auditoria interna e a real. Indicadores de maturidade são apresentados, para auxliar as principais partes interessadas a decidir se e como eles podem depender dos serviços do departamento de auditoria interna e a orientar os CAEs no desenvolvimento de departamentos mais maduros de auditoria interna.

Esse relatório engloba diversas indústrias, de diversas regiões do mundo. Também reporta sobre as influências de idade e porte dos departamentos de auditoria interna, porte da organização e nível de conformidade com as Normas Internacionais para a

Prática Profissional de Auditoria Interna (Normas) do The IIA, entre outras. O relatório

é organizado em sete seções. São disponibilizados dados para mensurar a maturidade do departamento de auditoria interna quanto aos seguintes indicadores:

Está quase totalmente alinhado ao plano estratégico da organização

Demonstra agilidade e flexibilidade para adaptar o planejamento e as prioridades da auditoria interna às mudanças importantes dos objetivos estratégicos da organização Conta com uma avaliação de riscos holística, para desenvolver conhecimento e entendimento suficientes sobre o negócio da organização nos níveis micro e macro Tem uma equipe de auditoria interna de histórico combinado, com habilidades tradicionais de auditoria e conhecimento da indústria, complementados por competência geral para negócios, raciocínio crítico e habilidades de liderança

Oferece programas de treinamento estruturados, documentados e diversificados para a equipe de auditoria interna

Documenta e monitora continuamente os procedimentos de auditoria, para adaptá-los ao ambiente em evolução

Explicita a estratégia de auditoria interna e traduz a estratégia em indicadores principais de desempenho (key performance indicators – KPIs), o que permite o monitoramento contínuo do cumprimento com a estratégia de auditoria interna

(5)

●

Usa tecnologia avançada (como mineração de dados, análise de dados e auditoria contínua/em tempo real) em todo o processo de auditoria, para aumentar a eficiência e a eficácia da auditoria interna

Tem um programa de garantia de qualidade e melhoria (quality assurance and

improvement program – QAIP) para o departamento de auditoria interna, alinhado

com a estratégia de auditoria interna e apoiado por uma cultura de garantia e melhoria contínuas da qualidade

Além dessas descobertas principais, itens de ação essenciais estão inclusos em cada seção, para ajudar a estabelecer orientações para a melhoria da maturidade do departamento de auditoria interna.

(6)

U

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.

Introdução

ma série de pesquisas CBOK conduzidas pelo The IIA criou um rico conjunto de dados sobre diversos tópicos de interesse de profissionais e acadêmicos. Por exemplo, a Pesquisa Global do Praticante CBOK 2015 fez 11 perguntas sobre os indicadores em potencial da maturidade do departamento de auditoria interna. Nesse relatório, os indicadores são analisados em uma variedade de situações, como regiões globais, idade e porte do departamento de auditoria interna,1_{porte da organização,}2_e

nível de conformidade com as Normas. O relatório oferece um sumário de discussão e representação gráfica das principais descobertas quanto a essas variáveis.

Especificamente, 11 indicadores de maturidade são analisados, quanto a: Região geográfica

Idade do departamento de auditoria interna Porte do departamento de auditoria interna Porte da organização

Tipos diferentes de organizações Pública versus privada3

Escopo da organização Indústria

Se o departamento de auditoria interna é regido por lei estatutária

Se as atividades de auditoria interna servem de base de treinamento de gestão Conformidade com as Normas

O relatório oferece análise, informações descritivas e dados de nove entrevistados4_–

CAEs muito experientes, que oferecem suas opiniões e insights. Diversas conclusões também estão inclusas ao final do relatório.

1_{O porte do departamento de auditoria interna é mensurado de acordo com os funcionários}

equivalentes a período integral (full-time equivalent – FTE).

2_{O porte da organização é definido de acordo com os funcionários equivalentes a período}

integral (full-time equivalent – FTE), ativos totais e receita total.

3_{Organizações públicas referem-se às empresas listadas. Organizações privadas não são listadas.} 4_{A palavra “entrevistados” é usada amplamente. Uma série de perguntas abertas foram}

enviadas por e-mail para CAEs, perguntando se gostariam de ser entrevistados ou responder por e-mail. Todos eles preferiram responder por e-mail.

(7)

E

1

Alinhamento da Auditoria

Interna com o Plano Estratégico

da Organização

Documento 1-1 Alinhamento do Departamento de Auditoria Interna com o Plano Estratégico da Organização

19%

36% 34%

6%

Minimamente alinhado Alinhado até certo ponto Quase totalmente alinhado Totalmente alinhado

m média, 55% dos CAEs participantes indicam que seu departamento de auditoria interna está quase ou totalmente alinhado com o plano estratégico de sua organização (veja o Documento 1-1). Esse é um indicador

de maturidade da auditoria interna. O alinhamento do departamento de auditoria interna com o plano estratégico da organização é uma estratégia para garantir a sinergia entre o departamento e a organização como um todo. Diversos CAEs entrevistados confirmam que apoiar os objetivos estratégicos do negócio e ter um contato frequente com o negócio é importante para garantir a maturidade da auditoria interna. As respostas à pesquisa indicam diferenças entre as diversas regiões do

mundo, com a maior proporção de departamentos de auditoria interna totalmente alinhados com o plano estratégico da organização na América Latina e Caribe (70%) e na África Subsaariana (65%) (veja o Documento 1-2). A menor proporção é encontrada

no Sul da Ásia (42%) e no Leste Asiático e Pacífico (44%). Esses resultados são interessantes, talvez indicando que os países que adotaram mais recentemente a prática ocidental da auditoria interna tenham escolhido o alinhamento com o plano estratégico. No entanto, o resultado pode ser devido às pequenas amostras, indicando uma necessidade de pesquisa adicional.

Quando o alinhamento com o plano estratégico da organização é analisado

(8)

Documento 1-2 Alinhamento do Departamento de Auditoria Interna com o Plano Estratégico da Organização por Região Global

0% 20% 40% 60% 80% 100% 42% 44% 53% 55% 55% 65% 70% 48% 42% 39% 29% 34% 23% 21% 8% 10% 6% 9% 7% 6% 7% 1% 4% 2% 6% 4% 5% 3%

O plano da organização não está claramente deﬁnido Não ou minimamente alinhado

Alinhado até certo ponto Quase ou totalmente alinhado Sul da Ásia Leste Asiático e Pacíﬁco América do Norte Oriente Médio e África do Norte Europa África Subsaariana América Latina e Caribe

pela idade do departamento de auditoria interna, quanto mais “velho” o

departamento, maior a probabilidade de que ele esteja quase totalmente alinhado. Quando é analisada a relação entre o alinhamento com o plano estratégico da organização e o porte do departamento de auditoria interna, um U invertido é encontrado. Essa descoberta indica que a proporção de departamentos de auditoria interna quase totalmente alinhados com o plano estratégico cresce de forma linear até certo ponto (299 funcionários equivalentes a período integral no departamento de auditoria interna) e,

então, diminui para departamentos de porte muito grande, com mais de 300 funcionários equivalentes a período integral (veja o Documento 1-3_).5

A proporção dos departamentos de auditoria interna que estão quase totalmente alinhados com o plano estratégico da organização não varia entre organizações públicas e privadas ou entre organizações locais/nacionais e

5_{Notamos que 1.000 funcionários}

equivalentes a período integral (full-time

equivalent – FTE) ou mais indicam

departamentos de auditoria interna de porte extremamente grande. Ainda assim, incluímos essa categoria em nossa análise, porque houve um número relativamente grande desses departamentos no banco de dados do CBOK (56) e as diferenças entre as diversas categorias de porte por FTE foram altamente significantes para o resultado do teste estatístico Chi-quadrado (p = 0,001).

Observação: Q57: Até que ponto você acredita que seu departamento de auditoria interna esteja alinhado com o plano

(9)

❝

Organizações

do mundo todo

estão cada vez

mais passando

por uma

transformação

e os mercados

não estão mais

restritos a

limitações

geográﬁcas ou

legais. Muitas

dessas

transformações

ocorrem em

grande escala

e ao longo de

muitos anos.

A ‘agilidade’

surgiu como

um grande

propulsor da

melhoria do

valor para o

acionista e

para garantir

sustentabilidade.

Portanto, o

‘pequeno

demais’ pode

não se encaixar,

enquanto o

‘grande demais’

pode não ser

Documento 1-3 Alinhamento do Departamento de Auditoria Interna com o Plano Estratégico da Organização por Porte da Auditoria Interna 1.000 ou mais 50 a 299 25 a 49 10 a 24 4 a 9 1 a 3 0% 20% 40% 60% 80% 72% 62% 58% 64% 64% 58% 46% 100% 300 a 999

multinacionais. Ao analisar os dados de acordo com a indústria, a proporção de departamentos quase totalmente alinhados com o plano estratégico da organização é de 55%, com a mais alta nas indústrias de serviços (67%) e de finanças e seguros (63%). A menor proporção pode ser encontrada nos serviços administrativos, de suporte e de gestão e remediação de resíduos (12%). As indústrias de manufatura (40%) e de artes, entretenimento e recreação (40%) também estão baixas. No entanto, o

alinhamento com o plano estratégico da organização não difere de acordo com o porte da organização ou em organizações em que o departamento de auditoria interna seja exigido por lei.6

6_{Embora não tenha havido diferença}

significante no alinhamento estratégico quanto a se o departamento de auditoria interna é exigido por lei ou não, indústrias reguladas, como a de serviços financeiros, têm probabilidade tipicamente maior de ter departamentos de auditoria interna exigidos legalmente do que indústrias menos reguladas.

Observação: Q57 e Q24. Q57: Até que ponto você acredita que seu departamento de

auditoria interna esteja alinhado com o plano estratégico da organização? e Q24: Aproximadamente, quantos funcionários equivalentes a período integral compõem seu departamento de auditoria interna? CAEs apenas. 2.769 participantes.

(10)

Documento 1-5 23% 13% 14% 39% 35% 26% Não 0% 20% 40% 60% 80% Documento 1-4 17% 20% 35% 34% 41% 39% Totalmente alinhada Quase totalmente alinhada Sim, processo formal 0% 20% 40% 60% 80% Auditoria não é base de treinamento de gestão Sim, um processo informal Sim, todas as Normas Sim parcial, algumas das Normas Totalmente alinhada Quase totalmente alinhada

A Função de AI Está Alinhada com o Plano Estratégico da Organização e é Usada Como Base de Treinamento de Gestão

A Função de AI Está Alinhada com o Plano Estratégico da Organização e em Conformidade com as Normas do IIA

Observação: Combinação da Q57 e Q35.

Q57: Até que ponto você acredita que seu departamento de auditoria interna esteja alinhado com o plano estratégico da organização? e Q35: Sua organização tem um processo em prática para rotacionar a equipe no departamento de auditoria interna como parte de seu treinamento para gerenciar outras partes da organização? CAEs apenas. 2.814 participantes.

Observação: Combinação da Q57 e Q98.

Q57: Até que ponto você acredita que seu departamento de auditoria interna esteja alinhado com o plano estratégico da organização? e Q98: Sua organização usa as Normas Internacionais para a Prática

Proﬁssional de Auditoria Interna (Normas)?

CAEs apenas. 2.495 participantes.

O Documento 1-4_{ilustra uma}

descoberta interessante. Os

departamentos de auditoria interna com processo formal de rotação da equipe no departamento, como parte de

treinamento de gestão, estão

significativamente mais alinhados com o plano estratégico da organização (74%) do que aqueles sem um programa formal de treinamento.

Por fim, conforme detalhado no

Documento 1-5_{, encontramos uma}

relação significante entre a conformidade com as Normas do IIA e o alinhamento com os planos estratégicos.

Especificamente, os departamentos de auditoria interna que estão em total conformidade com as Normas também estão alinhados com o plano estratégico de sua organização (62%), em

comparação com aqueles que estão apenas em conformidade parcial (48%) ou que não estão em conformidade com as Normas (40%).

(11)

Itens de Ação



Crie um relacionamento sólido com o C-Suite e garanta que você seja informado regularmente sobre a estratégia da organização.

Esteja pronto para adaptar o planejamento e as prioridades da auditoria interna às mudanças

importantes dos objetivos estratégicos da organização. Agilidade e ﬂexibilidade são importantes para se tornar/continuar sendo um departamento de auditoria interna maduro.

(12)

O

2

Avaliação de Riscos

Documento 2-1 Tipo de Avaliação de Riscos de que sua Função de Auditoria Interna Depende, por Região Global

80% 76% 74% 74% 73% 62% 59% 71% 20% 24% 26% 26% 27% 38% 41% 29%

Avaliação focada de riscos Avaliação abrangente de riscos

0% 20% 40% 60% 80% 100% Sul da Ásia Leste Asiático e Pacíﬁco América do Norte Oriente Médio e África do Norte Europa Média Global África Subsaariana América Latina e Caribe

CBOK usa a terminologia “avaliação abrangente de riscos” e “avaliação focada de riscos” (veja a Q41) para a coleta de dados. Isso tem o objetivo de indicar uma avaliação holística de diversos riscos, em

comparação com o foco na avaliação de diversos riscos, um por vez.

A avaliação abrangente de riscos, como sinal de maturidade do

departamento de auditoria interna, em comparação com a avaliação focada de riscos, é confirmada pela maioria de CAEs entrevistados. Por exemplo, alguns

entrevistados comentaram que a avaliação abrangente de riscos deve ser

suficientemente proativa e orientada ao futuro. Mary Ludford, CAE da Exelon, na América do Norte, disse, “O ‘não negociável’ da prestação de avaliação das áreas de maior risco na companhia deve ser feito. Ainda assim, uma organização amadurecida também deve olhar para frente e entender o negócio e os riscos emergentes, onde a eficácia dos controles se torna crítica para o sucesso.”

Observação: Q41: De que tipo de avaliação de riscos a auditoria interna depende em sua

organização? CAEs apenas. Aqueles que responderam “Outras/Não se aplica” foram excluídos dos cálculos. 2.869 participantes.

(13)

Avaliação focada de riscos Avaliação abrangente de riscos

0% 20% 40% 60% 80% 67% 70% 77% 80% 85% 77% 59% 33% _30% 23% _20% 15% 23% 41% 100% 1.000 ou mais 50 a 299 25 a 49 10 a 24 4 a 9 1 a 3 300 a 999

Conforme exibido no Documento 2-1, uma média global de 71% dos CAEs

participantes indica usar a avaliação abrangente de riscos. O ambiente de negócio complexo atual exige que departamentos de auditoria interna adotem a avaliação abrangente de riscos, se ainda não o tiverem feito. Isso é importante, para que se tenha uma visão abrangente dos riscos que a organização enfrenta. Essa visão ampla mitiga as chances de riscos não considerados quando a avaliação focada de riscos é utilizada. Isso, porque as organizações que usam a avaliação focada de riscos se concentram apenas em certos riscos específicos.

O Documento 2-1 também mostra

algumas diferenças importantes entre as regiões globais. O Oriente Médio e África do Norte (80%) e a América do Norte (76%) têm as maiores proporções de utilização da avaliação abrangente de riscos, enquanto o Leste Asiático e Pacífico (59%) e o Sul da Ásia (62%) a utilizam menos.

Também há um relacionamento positivo entre o uso da avaliação abrangente de riscos e a idade do departamento de auditoria interna: departamentos de mais idade têm maior probabilidade de usar a avaliação abrangente de riscos.

Tipo de Avaliação de Riscos de que o Departamento de Auditoria Interna Depende e Porte do

Departamento de Auditoria Interna

Documento 2-2

Observação: Combinação de Q41 e Q24. Q41: De que tipo de avaliação de riscos a auditoria

interna depende em sua organização? e Q24: Aproximadamente, quantos funcionários equivalentes a período integral compõem seu departamento de auditoria interna? CAEs apenas. 2.835 participantes.

(14)

Documento 2-3 22% 35% 40% 78% 65% 60%

Avaliação focada de riscos Avaliação abrangente de riscos 0% 50% 100% Não Sim parcial, algumas das Normas Sim, todas as Normas

Tipo de Avaliação de Riscos que a Auditoria Interna Usa e

Conformidade com as Normas do IIA

Conforme exibido no Documento 2-2, a relação entre a avaliação

abrangente de riscos e o porte do departamento de auditoria interna é em uma forma de U invertido.

Especificamente, para departamentos de auditoria com até 299 equivalentes a período integral, o uso da avaliação abrangente de riscos aumenta e, então, cai além de 299. Portanto, enquanto departamentos de auditoria interna de porte médio têm uma relação positiva com a avaliação abrangente de riscos, departamentos de auditoria interna menores e maiores têm um menor uso da avaliação abrangente de riscos, o que é uma descoberta interessante.

O tipo de organização (pública versus privada; local/nacional versus

multinacional) não parece estar relacionado ao uso de avaliações abrangentes de riscos, mas diferenças entre indústrias são indicadas pelos dados, que apontam que avaliações abrangentes de riscos são mais comumente usadas na indústria de finanças e seguros (81%) e na indústria de serviços de hotelaria e alimentação (75%). Por outro lado, as indústrias de manufatura (60%) e atacado e comércio (63%) têm o menor uso de avaliações abrangentes de riscos. No entanto, o porte da organização ou se o

departamento de auditoria interna é ou não exigido por lei não indicam diferenças significantes.

Observação: Combinação de Q41 e Q98.

Q41: De que tipo de avaliação de riscos a auditoria interna depende em sua organização? e Q98: Sua organização usa as Normas

Internacionais para a Prática Proﬁssional de Auditoria Interna (Normas)? CAEs apenas.

2.320 participantes.

O Documento 2-3 mostra a relação

positiva entre o uso da avaliação abrangente de riscos e a conformidade com as Normas.

Também é interessante e importante reportar que há uma relação positiva entre o uso do departamento de auditoria interna como base de treinamento de gestão e a avaliação abrangente de riscos. Especificamente, avaliações abrangentes de riscos são mais comumente usadas em departamentos de auditoria interna que têm um processo formal em prática para rotacionar a equipe no departamento, como parte de um programa de treinamento para cargos gerenciais em outras partes da organização.

(15)

Itens de Ação



Promova discussões entre as linhas de negócio, para elaborar uma visão holística da organização.

Certiﬁque-se de que a avaliação de riscos seja tão holística quanto for possível, para evitar pontos cegos.

Desenvolva conhecimento e entendimento suﬁcientes sobre o negócio, nos níveis micro e macro, para gerar conscientização quanto aos “desconhecidos desconhecidos.”7

7_{Desconhecidos são os eventos futuros que não podem ser previstos, porque não há}

(16)

3

Competência da Auditoria Interna

Documento 3-1

Conhecimento do negócio e da indústria da organização Uma mistura equilibrada de

habilidades tradicionais de auditoria e conhecimento da indústria Habilidades tradicionais de contabilidade e auditoria 0% 20% 40% 60% 80% 23% 23% 29% 32% 47% 41% 41% 34% 62% 62% 59% 54% 45% _44% _43% 53% 15% 15% 12% 14% 9% 16% 16% _14% O Histórico da Equipe de AI

O histórico relevante do departamento de auditoria interna é um indicador da maturidade do departamento. Conforme o Documento 3-1 _{mostra, uma média}

global de 53% dos CAEs reporta que sua equipe tem uma mistura equilibrada de habilidades tradicionais de auditoria e de conhecimento sobre a indústria. Em 34% dos casos, a equipe tem um perfil mais tradicional de contabilidade e auditoria. Diversos CAEs entrevistados confirmam

que os membros da equipe com históricos variados são indicadores importantes de maturidade.

Conhecimento do negócio em primeira mão e um entendimento dos drivers das operações são vantagens fundamentais para um entrante do departamento de auditoria interna. Essa combinação de históricos é mais comum no Oriente Médio e África do Norte (62%) e Europa (62%) e menos comum na África

Subsaariana (44%) e no Leste Asiático e Pacífico (43%).

Histórico Mais Comum da Equipe de Auditoria Interna por Região Global

Sul da Ásia Leste Asiático e Pacíﬁco América do Norte Oriente Médio e África do Norte Europa Média Global África Subsaariana América Latina e Caribe

Observação: Q40: Qual histórico de habilidades é mais comum na equipe de auditoria interna de sua organização? CAEs apenas.

(17)

Documento 3-2 Sem ﬁns lucrativos Setor público Setor ﬁnanceiro Organização de capital aberto (listada) Organização privada (não listada) 0% 20% 40% 60% 80% 33% 41% 22% 35% 41% 52% 48% 62% 53% 45% 16% 12% 16% 12% 14%

Histórico Mais Comum da Equipe de Auditoria Interna por Tipo de Organização

Habilidades tradicionais de contabilidade e auditoria

Uma mistura equilibrada de habilidades tradicionais de auditoria e conhecimento da indústria Conhecimento do negócio e da indústria da organização

Quanto mais idade o departamento de auditoria interna tem, mais comum é essa combinação equilibrada de

habilidades tradicionais de auditoria e conhecimento da indústria, variando entre 47% para os mais novos e 60% para os mais antigos. Uma mistura

equilibrada de históricos geralmente se torna mais provável com o porte do departamento, mas significativamente menos provável para a última categoria (os maiores departamentos de auditoria interna).

Observação: Combinação de Q40 e Q15. Q40: Qual histórico de habilidades é mais comum na

equipe de auditoria interna de sua organização? e Q15: Qual o tipo de organização onde você trabalha atualmente? CAEs apenas. 2.806 participantes.

Quanto ao tipo organizacional, note que os departamentos de auditoria interna no setor financeiro têm significativamente mais equipes de

não parece estar relacionado ao histórico da equipe de auditoria interna. Na indústria de finanças e seguros (60%) e na indústria de serviços (58%), essa

(18)

Formalização de Programas de Treinamento

❝

Em minha opinião, o conhecimento e o alinhamento com as práticas de auditoria interna são requisitos básicos para um departamento de auditoria

interna que queira ser considerado amadurecido, mas a principal diferença é quando a expertise está alinhada com o conhecimento do negócio da organização.

❞

—Cesar Santos Brunetto,

ex-Auditor Interno das Lojas Renner, América Latina e Caribe

Documento 3-3 Histórico Mais Comum da Equipe de AI e

Conformidade com Normas do IIA

Conhecimento do negócio e da indústria da organização Habilidades tradicionais de contabilidade e auditoria 0% 10% 20% 30% 40% 50% 60% 70% 57% 51% 44% 33% 33% 41% 11% 16% _14% Sim, todas as Normas Não Sim parcial, algumas das Normas Mistura equilibrada de habilidades tradicionais de auditoria e conhecimento da indústria

Departamentos de auditoria interna em total conformidade com as Normas do The IIA parecem ter uma proporção bem maior da equipe (57%) com uma mistura equilibrada de habilidades tradicionais de auditoria e conhecimento da indústria, em comparação com aqueles que não estão em conformidade (44%) ou que têm apenas conformidade parcial (51%) (veja o Documento 3-3).

De forma parecida, os departamentos de auditoria interna que servem de base para treinamento de gestão também têm uma proporção significativamente maior da equipe com essa mistura equilibrada de históricos (61%).

Outro indicador de maturidade relativo aos recursos humanos é a existência de um programa de treinamento estruturado e documentado para auditores internos. O Documento 3-4 mostra uma média

global de 47% de CAEs que indicam que seu programa de treinamento é

estruturado e documentado. Em outros 53% dos casos, o programa de

treinamento não foi desenvolvido ou foi criado apenas ad hoc. Quanto aos programas de treinamento, um entrevistado enfatiza a importância de um programa de certificação profissional. A proporção de departamentos de auditoria interna em que o programa de treinamento é estruturado e

documentado é maior no Sul da Ásia (55%) e no Oriente Médio e África do Norte (53%) e menor na América do Norte (40%).

Há uma relação significante e linear com a idade do departamento de auditoria interna. Quanto mais idade o departamento tem, maior a

probabilidade de ter um programa de treinamento estruturado e documentado para a equipe de auditoria interna (33% para departamentos mais novos, contra 66% para mais antigos). O mesmo padrão é encontrado no que tange ao porte do departamento. Nos maiores departamentos, é menos comum a existência de um programa de

treinamento estruturado e documentado para a equipe de auditoria interna. O tipo de organização está altamente correlacionado à natureza do programa de treinamento. Especificamente, os departamentos de auditoria interna em empresas listadas (48%) e no setor público (50%) têm mais programas de treinamento estruturados e

documentados para suas equipes, em comparação com aqueles em

organizações sem fins lucrativos (30%).

Q40: Qual histórico de habilidades é mais comum na equipe de auditoria interna de sua organização? e Q98: Sua organização usa as Normas Internacionais para a Prática

Proﬁssional de Auditoria Interna (Normas)?

(19)

Documento 3-4 Nível de Formalização do Programa de Treinamento da Auditoria Interna por Região Global

45% 47% 50% 53% 53% 55% 60% 53% 55% 53% 50% 47% 47% 45% 40% 47%

Não desenvolvido ou ad hoc Estruturado e documentado 0% 20% 40% 60% 80% 100% Documento 3-5 49% 60% 51% 40% Estruturado e documentado Não Sim 0% 50% 100% Sul da Ásia Leste Asiático e Pacíﬁco América do Norte Oriente Médio e África do Norte Europa Média Global África Subsaariana América Latina e Caribe

Observação: Q45: Qual o nível de formalização do programa de treinamento da auditoria

interna em sua organização? CAEs apenas. Aqueles que responderam “Não se aplica” foram excluídos dos cálculos. 2.866 participantes.

No entanto, o escopo geográfico da organização não está relacionado a esse indicador de maturidade. Quanto à indústria, departamentos de auditoria interna nas indústrias de serviços (53%) e de administração pública (52%) têm mais programas de treinamento estruturados e documentados para sua equipe. Departamentos de auditoria interna nas indústrias de saúde e assistência social (38%) e atacado e comércio (38%) têm menos programas de treinamento estruturados e

Nível de Formalização do Programa de Treinamento da Auditoria Interna e Departamento de AI Exigido por Lei

(20)

Conteúdo dos Programas de Treinamento Documento 3-6 Nível de 60% 41% 25% 40% 59% 75% 0% 50% 100% Não desenvolvido ou ad hoc Estruturado e documentado Não Sim, um processo informal Sim,um processo formal Formalização do Programa de Treinamento da Auditoria Interna e Departamento de AI como Base de Treinamento de Gestão

Departamentos de auditoria interna exigidos por lei têm significativamente mais programas de treinamento estruturados e documentados do que aqueles que não são (51% contra 40%) (veja o Documento 3-5).

A conformidade com as Normas também está altamente relacionada à natureza dos programas de treinamento. Os departamentos de auditoria interna em total conformidade com as Normas têm significativamente mais programas de treinamento estruturados e

documentados (56%), em comparação com aqueles que não estão (27%) ou que estão em conformidade parcial (39%).

Q45: Qual o nível de formalização do programa de treinamento da auditoria interna em sua organização? e Q35: Sua organização tem um processo em prática para rotacionar a equipe no departamento de auditoria interna como parte de seu treinamento para gerenciar outras partes da organização? CAEs apenas.

Uma relação parecida é encontrada quanto ao uso de departamentos de auditoria interna como base de treinamento. Aqueles usados para esse

fim têm mais programas de treinamento estruturados e documentados para a equipe de auditoria interna (75%), em comparação com aqueles que não são (40%) (veja o Documento 3-6).

De acordo com os dados, a maioria dos programas de treinamento ainda se concentra no desenvolvimento de habilidades de auditoria interna (68%). Pouco mais da metade dos CAEs indica que seus departamentos de auditoria interna também oferecem treinamento para desenvolver conhecimento sobre o negócio (53%). Em 46% dos casos, são organizadas orientações para novos funcionários de auditoria interna. Cerca de um terço oferece treinamento de competências gerais de negócio (34%). Menos de um terço oferece treinamento para desenvolver habilidades de

raciocínio crítico (30%) e liderança (27%). Um programa de treinamento mais diversificado para a equipe de auditoria interna é considerado um indicador de maturidade. Portanto, uma variável aditiva que contabiliza o número de treinamentos diferentes (entre 0 e 6) foi criada para esse relatório. No geral, apenas 17% dos departamentos de auditoria interna oferecem cinco ou seis tipos diferentes de treinamento para sua equipe. O Sul da Ásia (27%) e a África Subsaariana (24%) tiveram maior pontuação. A Europa (11%) e o Leste Asiático e Pacífico (15%) são as regiões de menor pontuação.

A diversificação do programa de treinamento está significante e positivamente relacionada à idade do departamento de auditoria interna. Daqueles que oferecem diferentes tipos de treinamento, 11% dos mais novos oferecem ao menos cinco tipos diferentes de treinamento para suas equipes, em comparação com 27% dos

departamentos mais antigos. A relação entre a diversificação do programa de

(21)

Documento 3-7 Diversiﬁcação do Programa de Treinamento e Porte Organizacional (Ativos Totais)

Mais de $1 trilhão $1 bilhão ou menos 0% 10% 20% 30% 40% 14% 24% 18% 28% 33% Mais de $1 bilhão até $10 bilhões Mais de $10 bilhões até $50 bilhões Mais de $50 bilhões até $1 trilhão

treinamento e o porte do departamento de auditoria interna é significante e positiva (quanto maior o departamento, mais diversificado o programa de treinamento).

O tipo de organização não está relacionado à diversificação do programa de treinamento de auditoria interna. Quanto ao escopo geográfico, os programas de treinamento de organizações internacionais/

multinacionais são significativamente mais diversificados (18%), em comparação com aqueles em

organizações locais (13%). As indústrias de departamentos de auditoria interna com programas de treinamento mais diversificado são agricultura, silvicultura, pesca e caça (25%) e mineração,

pedreiras e extração de petróleo e gás (23%). O menor nível de diversificação é

encontrado nas indústrias da informação (9%) e manufatura (12%). A exigência legal do departamento não faz diferença significante.

Os departamentos de auditoria interna em organizações de maior porte também têm um programa de

treinamento mais diversificado para sua equipe, em comparação com

organizações menores (veja o

Documento 3-7_).

A conformidade com as Normas também tem seu papel. Muito mais departamentos de auditoria interna em total conformidade com as Normas têm um programa de treinamento altamente diversificado para sua equipe (22%), em comparação com aqueles que não estão em conformidade (7%) ou que têm conformidade parcial (14%).

Observação: Combinação de Q46 e Q20. Q46: O que está incluído no programa de

treinamento da auditoria interna? e Q20: Quais os ativos totais aproximados de sua organização em dólares americanos? CAEs apenas. 2.141 participantes.

(22)

Documento 3-8 Diversiﬁcação do Programa de Treinamento e Departamento de AI como Base de Treinamento de Gestão Não 0% 10% 20% 30% 14% 25% 34%

Itens de Ação



40%

Construa uma equipe de auditoria interna com históricos variados (habilidades tradicionais de auditoria e

conhecimento da indústria) por meio do recrutamento apropriado e de treinamento prático.

Treinamento e desenvolvimento contínuos são fundamentais para desenvolver a maturidade do

departamento de auditoria interna. Para esse ﬁm, garanta que haja um programa de treinamento estruturado e documentado em prática para a equipe. Torne o

treinamento uma prática persistente do departamento de auditoria interna.

Garanta que o programa de treinamento seja

suﬁcientemente diversiﬁcado para oferecer o treinamento certo para as pessoas certas.

Garanta que a equipe seja capaz de realizar treinamentos externos ao setor normal de auditoria interna, para

desenvolver ainda mais as habilidades de raciocínio crítico e liderança.

Por fim, os departamentos de auditoria interna que servem de base de treinamento de gestão têm maior probabilidade de oferecer um programa de treinamento diversificado para sua equipe do que aqueles que não são obrigatórios (34% deles oferecem ao menos cinco tipos diferentes de

treinamentos, em comparação com 19% dos outros) (veja o Documento 3-8_).

Sim, um processo formal Sim, um processo informal Observação: Combinação de Q46 e Q35.

Q46: O que está incluído no programa de treinamento da auditoria interna? e Q35: Sua organização tem um processo em prática para rotacionar a equipe no departamento de auditoria interna como parte de seu treinamento para gerenciar outras partes da organização? CAEs apenas. 2.853 participantes.

(23)

Frequência da Atualização da Avaliação de Riscos

4

Planejamento de Auditoria Interna

Documento 4-1 Frequência de Atualização da Avaliação de Riscos por Região Global

39% 31% 21% 9% 30% 30% 33% 6% 29% 32% 31% 8% 23% 34% 26% 17% 22% 36% 34% 7% 18% 36% 34% 11% 14% 44% 37% 4% Sul da Ásia Leste Asiático e Pacíﬁco América do Norte Oriente Médio e África do Norte Europa África Subsaariana América Latina e Caribe

Os ambientes dinâmicos de negócio exigem atualizações periódicas das avaliações de riscos, para que fiquem alinhadas com as melhorias

organizacionais. Portanto, a atualização contínua das entradas de risco seria um indicador da maturidade do

departamento de auditoria interna. O Documento 4-1 oferece detalhes

sobre a atualização da avaliação de riscos por região global. Em suma, mais da metade dos CAEs participantes (59%)

indicam conduzir avaliações anuais de riscos com atualizações formais periódicas (36%) ou avaliações de riscos contínuas (23%). Essa avaliação de riscos pode ser parte de uma atualização do plano (alto nível) e atualização de riscos específicos (entrada/baixo nível). É incrível que, no geral, 9% dos CAEs participantes de diversas regiões globais nunca atualizem suas avaliações de riscos. Há diferenças entre as regiões globais. Por exemplo, a África Subsaariana tem a maior

pontuação para avaliação contínua (39%) e a América do Norte tem a menor (14%).

(24)

Documento 4-2 Frequência da Atualização de Avaliação de Riscos Pela Idade do Departamento de AI

30% 40% 50% 60% 70% 80% Contínua e anual com atualização Nunca e anual sem atualização 52% 58% 62% 63% 66% 48% 42% _38% _37% 34% Documento 4-3 Atualização da Avaliação de Riscos e Exigência Legal do Departamento de AI 37% 54% 63% 46% Nunca e anual sem atualização Contínua e anual com atualização Não Sim 0% 50% 100% 35 anos ou mais 25 a 34 anos 15 a 24 anos 5 a 14 anos Menos de 5 anos Observação: Combinação de Q42 e Q23.

Q24: Com que frequência a auditoria interna conduz avaliações de riscos? e Q23: Aproximadamente, há quantos anos o departamento de auditoria interna existe em sua organização? CAEs apenas. 2.791 participantes.

O Documento 4-2 mostra uma

relação significante linear entre as atualizações formais periódicas ou avaliações de riscos contínuas e a idade do departamento de auditoria interna. Departamentos de grande porte geralmente atualizam suas avaliações de riscos mais continuamente do que departamentos menores.

Um padrão semelhante foi encontrado para o porte do departamento de auditoria interna. Departamentos maiores geralmente atualizam suas avaliações de riscos mais continuamente do que departamentos menores.

Análises adicionais indicam que os departamentos de auditoria interna em empresas listadas atualizam suas

avaliações de riscos muito mais do que a média, enquanto aqueles de organizações do setor público fazem isso muito menos

que a média. O escopo geográfico da organização (local/regional versus multinacional) não parece estar relacionado a esse fator de maturidade. Considerando as diferenças entre as indústrias, empresas financeiras e seguradoras (66%) e empresas que oferecem serviços profissionais, científicos e técnicos (64%) tiveram maior

pontuação e serviços educacionais (50%) e varejo/comércio (51%) tiveram a menor pontuação de atualizações de avaliações de riscos. No entanto, a relação com o porte organizacional não está clara.

Q24: Com que frequência a auditoria interna conduz avaliações de riscos? e Q68: A existência do departamento de auditoria interna é exigida por lei para sua organização? CAEs apenas. 2.583 participantes.

Conforme exibido no Documento 4-3, a obrigatoriedade legal do

departamento de auditoria interna faz diferença. Aqueles exigidos por lei atualizam suas avaliações de riscos mais continuamente (63%) do que aqueles não exigidos por lei (54%).

Análises adicionais mostram que os departamentos em total conformidade com as Normas e aqueles que são usados

(25)

Adaptação dos Planos de Auditoria para Apoiar Mudanças Organizacionais

Documento 4-4 Competência Autoavaliada de Adaptar os Planos de Auditoria para Apoiar Mudanças Organizacionais (CAEs Apenas)

1% 9% 2% 4% 4% 3% 17% 16% 19% 19% 25% 36% 40% 35% 44% 42% 38% 29% 42% 40% 35% 35% 31% 30% Sul da Ásia América do Norte Oriente Médio e África do Norte Europa África Subsaariana América Latina e Caribe

como base de treinamento de gestão atualizam suas avaliações de riscos mais continuamente (66% e 71%,

respectivamente), em comparação com aqueles de baixa conformidade com as

Normas e aqueles não usados como base

de treinamento de gestão.

Complementando a atualização das avaliações de riscos, essa seção mostra como os CAEs avaliam a si mesmos quanto à adaptação dos planos de auditoria para apoiar mudanças organizacionais. Conforme exibido no

Documento 4-4_{, uma média global de}

73% dos CAEs se avalia como avançada ou especialista, no que tange à adaptação dos planos de auditoria para apoiar mudanças organizacionais. Essa

porcentagem é significativamente maior na Europa (82%) e na América do Norte (79%) e menor no Sul da Ásia (59%) e Leste Asiático e Pacífico (53%).

Análises adicionais também mostram que os CAEs que trabalham em

organizações multinacionais (77%) se avaliam significativamente mais

competentes na adaptação dos planos de auditoria para apoiar as mudanças organizacionais, em comparação com os CAEs que trabalham em organizações locais (63%). Ao analisar indústrias diferentes, CAEs que trabalham na indústria de serviços (82%) e na indústria de atacado e comércio (79%) se

classificam como bem mais competentes, enquanto os CAEs das indústrias de agricultura (54%) e da informação (59%) se classificam como bem menos

competentes para lidar com as mudanças organizacionais.

(26)

Itens de Ação



Garanta que a avaliação de riscos seja atualizada e dinâmica, de acordo com o necessário para a organização.

Construa conhecimento suﬁciente sobre o negócio em todos os níveis dentro do departamento de auditoria interna e uma relação forte com o C-Suite, para garantir conscientização quanto a mudanças importantes no perﬁl de riscos da organização.

Atualize a avaliação de riscos quando houver mudanças importantes no perﬁl de riscos da organização. A agilidade e a ﬂexibilidade do departamento de auditoria interna são importantes para apoiar mudanças organizacionais relevantes.

(27)

Documentação e Monitoramento de Procedimentos Operacionais de Auditoria Interna

5

Procedimentos de Auditoria

Documento 5-1 Documentação e Monitoramento dos Procedimentos Operacionais de Auditoria Interna por Região Global

23% 17% 15% 15% 13% 12% 10% 15% 33% 32% 40% 39% 43% 41% 40% 39% 26% 34% 27% 30% 33% 27% 28% 29% 18% 17% 18% 16% 11% 20% 23% 17% Sul da Ásia Leste Asiático e Pacíﬁco América do Norte Oriente Médio e África do Norte Europa Média Global África Subsaariana América Latina e Caribe

Conforme exibido no Documento 5-1_,

uma média global de 54% dos CAEs indica que os procedimentos de auditoria em seus departamentos são

documentados em um manual de auditoria interna e monitorados. A documentação e seu monitoramento contínuo são indicadores de maturidade

da auditoria interna. No outro extremo do continuum, 17% dos CAEs

reportaram que seus procedimentos de auditoria são de natureza ad hoc e não estão claramente documentados, e 29% disseram que seus procedimentos de auditoria são documentados em um manual, mas não são monitorados. Há algumas diferenças regionais, sendo que o Leste Asiático e Pacífico (56%) e a África Subsaariana (55%)

(28)

Documento 5-2 Documentação e Monitoramento de Procedimentos Operacionais de Auditoria Interna por Porte do Departamento de Auditoria Interna

0% 20% 40% 60% 80% 100%

Procedimentos de auditoria são documentados e monitorados manualmente ou por software Procedimentos de auditoria são ad hoc ou documentados em um manual de auditoria interna

50 a 299 25 a 49 10 a 24 4 a 9 1 a 3 42% 44% 33% 26% 21% 26% 48% 58% _56% 67% 74% 79% 74% 52% 1.000 ou mais 300 a 999

tiveram maior pontuação. As menores frequências são encontradas no Oriente Médio e África do Norte (49%) e no Sul da Ásia (50%). Não foi notada diferença suficiente para qualquer tipo de

conclusão. Os dados regionais parecem ser úteis apenas em alguns poucos casos. Ao analisar as relações entre a

documentação e o monitoramento dos procedimentos de auditoria e a idade do departamento de auditoria interna, uma relação significante e linear é encontrada: quanto mais antigo o departamento de auditoria interna, maior a probabilidade de que os procedimentos de auditoria sejam documentados e monitorados (73% para os departamentos de auditoria interna mais antigos, em comparação com 42% para mais recentes).

Ao plotar a relação com o porte do departamento de auditoria interna, uma forma de U invertido é indicada (veja o

Documento 5-2). Essa descoberta indica

que a proporção de departamentos de auditoria interna que têm procedimentos

Observação: Combinação de Q39 e Q24. Q39: Como você descreveria os procedimentos

operacionais de auditoria interna de sua organização? e Q24: Aproximadamente, quantos funcionários equivalentes a período integral compõem seu departamento de auditoria interna? CAEs apenas. 2.976 participantes.

de auditoria documentados e

monitorados aumenta de forma linear até certo ponto (299 equivalentes a período integral no departamento de auditoria interna) e, então, reduz para

departamentos extremamente grandes, com mais de 300 equivalentes a período integral.

Uma relação parecida é encontrada quanto ao porte da organização ao usar os ativos totais, em que os departamentos de auditoria interna em organizações muito grandes (ativos totais > $50 bilhões) têm menos procedimentos de auditoria documentados e monitorados do que organizações de porte médio. Esse resultado interessante é discutido mais a fundo ao final do relatório.

Quanto ao tipo da organização, observamos que os procedimentos de auditoria documentados e monitorados são muito mais comuns em empresas listadas (59%) e muito menos comuns em organizações sem fins lucrativos (49%). Além disso, procedimentos de

(29)

❝

As Normas do The IIA são uma referência boa e útil para a condução de serviços de auditoria interna competentes e eu esperaria que departamentos de auditoria interna de alto desempenho as utilizassem como base principal para seus requisitos operacionais de auditoria interna.

❞

—Carl Bleecher, Vice-Presidente Sênior e

CAE, Aon Corporation, América do Norte Políticas e Documentos de Auditoria Interna Documento 5-3 Documentação e Monitoramento de Procedimentos Operacionais de AI e Conformidade com as Normas do IIA

30% 40% 50% 60% 70% 80% Não 65% 54% 66% 35% 46% _34% Sim parcial, algumas das Normas Sim, todas as Normas

Procedimentos de auditoria são documentados e monitorados manualmente ou por software

auditoria em departamentos de auditoria interna de organizações nacionais e internacionais (multinacionais) são muito mais documentados e monitorados (57% e 56%, respectivamente), em comparação com aqueles em organizações locais (44%). Em termos de diferenças entre as indústrias, a indústria financeira e de seguros tem a maior pontuação (62%) e as indústrias da agricultura (42%) e das artes, entretenimento e recreação (42%) têm as menores pontuações. Os

departamentos de auditoria interna exigidos por lei também têm mais procedimentos documentados e

monitorados (58%), em comparação com os que não são exigidos por lei (49%).

Como nas seções anteriores, uma relação positiva e significante é encontrada com a conformidade com as Normas. Os departamentos de auditoria interna em total conformidade com as Normas têm pontuação consideravelmente maior quanto à existência de procedimentos de auditoria documentados e monitorados (65%), em comparação com aqueles que não estão em conformidade (34%) ou apenas em conformidade parcial (46%) (veja o Documento 5-3_).

Outro padrão consistente com os capítulos anteriores é a relação positiva e significante com o uso da auditoria interna como base de treinamento de gestão. Especificamente, os departamentos de auditoria interna que têm um processo formal em prática para rotacionar a equipe dentro do departamento como parte de seu treinamento para cargos de gestão também têm mais procedimentos de auditoria documentados e monitorados (71%), em comparação com os que não têm (50%).

De acordo com os dados, uma grande maioria de CAEs indica que seus departamentos de auditoria interna têm um estatuto de auditoria interna (85%), manuais operacionais de auditoia interna (71%) e códigos de conduta/ética (70%). No entanto, apenas metade dos CAEs participantes (52%) indica ter uma declaração de missão separada para seu departamento de auditoria interna. Por fim, indicadores principais de processos (40%) e a descrição da estratégia de

(30)

Itens de Ação



Isto é, para essas políticas e documentos de auditoria, a probabilidade cresce em departamentos de auditoria interna de até 299 equivalentes a período integral. Além dos 299, a probabilidade reduz.

Algumas dessas políticas e documentos de auditoria interna são consideravelmente mais comuns em organizações listadas— estatuto de auditoria interna, código de conduta/ética e key performance indicators (KPIs). Considerando as diferenças entre as indústrias, a maioria das políticas e documentos de auditoria interna está mais

comumente presente na indústria de mineração, pedreiras, e extração de petróleo e gás, na indústria financeira e de seguros, e na indústria do varejo e comércio. A obrigatoriedade legal do departamento de auditoria interna não faz muita diferença para a maioria dessas políticas e documentos. No entanto, é mais comum encontrá-los em

departamentos de auditoria interna usados como base de treinamento de gestão e em departamentos de auditoria interna em total conformidade com as Normas.

Garanta que os procedimentos de auditoria sejam documentados e continuamente monitorados, para que possam ser adaptados ao contexto de mudança, se

necessário. O aspecto de monitoramento deve ser integrado ao Programa de Garantia de Qualidade e Melhoria (QAIP) (veja a seção 7).

Dedique tempo para reﬂetir quanto à estratégia de auditoria interna e garantir que seja explícita, documentada e

comunicada em toda a organização.

Traduza a estratégia de auditoria interna em KPIs, o que permite o monitoramento contínuo do atingimento da estratégia. Esses KPIs devem ser uma parte central do QAIP. Revise anualmente o catálogo de procedimentos de auditoria e os alinhe ao perﬁl atual de riscos da entidade e aos riscos emergentes.



(31)

Uso da Tecnologia para Apoiar Atividades de Auditoria Interna

6

Uso da Tecnologia

Documento 6-1 Uso da Tecnologia para Apoiar os Processos de Auditoria Interna por Região Global

0% 20% 40% 60% 80% 100% 36% 32% 25% 21% 21% 18% 13% 23% 37% 31% 39% 44% 33% 43% 37% 39% 17% 27% 23% 20% 33% 28% 33% 26% 11% 10% 13% 15% 12% 11% 17% 13%

O uso da tecnologia é um indicador de maturidade do departamento de auditoria interna. O Documento 6-1

mostra que 39% dos CAEs participantes dizem que seus departamentos de auditoria interna são apoiados pela tecnologia apropriada, ou que usam tecnologia extensa em todo o processo de

auditoria, incluindo mineração e análise de dados. Quase um quarto (23%) dos CAEs participantes indica usar apenas sistemas e processos manuais. O uso da tecnologia mais avançada permite identificar, de forma objetiva, as causas raízes das falhas de controle (citado por dois dos entrevistados). Analisando por região global, descobrimos que a América do Norte (50%) e o Sul da Ásia (45%)

(32)

Documento 6-2 Uso da Tecnologia para Apoiar Processos de Auditoria Interna por Idade do Departamento de Auditoria Interna 0% 20% 40% 60% 80% 100% 33% 26% 19% 13% 8% 43% 40% 37% 34% 34% 17% 23% 28% 37% 38% 7% 11% 15% 16% 21%

Dependência principal de sistemas e processos manuais Metodologia de auditoria apoiada pela tecnologia apropriada Uso extenso de tecnologia em todo o processo de auditoria, incluindo mineração e análise de dados

35 anos ou mais 25 a 34 anos 15 a 24 anos 5 a 14 anos Menos de 5 anos

Certo uso de papéis de trabalho eletrônicos ou outras ferramentas de tecnologia da informação para escritório

são as regiões em que os departamentos de auditoria interna usam um nível significativamente maior de tecnologia, enquanto Leste Asiático e Pacífico pontuam bem abaixo (28%).

Esse indicador de maturidade tem uma relação significante e linear com a idade do departamento de auditoria interna. Quanto mais idade tiver o departamento, mais extenso é seu uso da tecnologia para apoiar os processos de auditoria interna (veja o Documento 6-2_{). De fato, as porcentagens de uso}

extenso da tecnologia e de uso da tecnologia apropriada aumentam com a idade do departamento de auditoria interna. Consequentemente, a

dependência de sistemas manuais reduz. Uma relação relevante similar é indicada quanto ao porte do

departamento de auditoria interna, em

que o uso extenso da tecnologia para apoiar os processos de auditoria interna aumenta de forma linear, de acordo com o porte do departamento de auditoria interna. Quanto ao tipo de organização, a organização ser privada ou pública não faz diferença, mas departamentos de auditoria interna em organizações internacionais ou multinacionais usam consideravelmente mais tecnologia da informação (TI) para apoiar seus processos (43%), em comparação com organizações locais (33%).

O uso da TI está claramente relacionado ao porte da organização. Quanto maior a organização, mais o departamento de auditoria interna usa a TI para apoiar seus processos de auditoria interna (veja o Documento 6-3).

A análise por indústria mostra que os departamentos de auditoria interna na

Observação: Combinação de Q44 e Q23. Q44: Como você descreveria o uso de tecnologia

para apoiar os processos de auditoria interna em sua organização? e Q23: Aproximadamente, há quantos anos o departamento de auditoria interna existe em sua organização? CAEs apenas 2.735 participantes.

(33)

Uso de Ferramentas e Técnicas Especíﬁcas de Auditoria Interna

Documento 6-3 Uso da Tecnologia para Apoiar Processos de Auditoria Interna por Número de Funcionários da Organização

0% 10% 20% 30% 40% 500 a 1.500

Uso extenso de tecnologia em todo o processo de auditoria, incluindo mineração e análise de dados

Dependência principal de sistemas e processos manuais 29% 25% 17% 20% 37% 9% 12% 15% _14% 6% 100.001 a 2.250.000 10.001 a 100.000 1.501 a 10.000 Menos de 500

Esta seção terá foco sobre o uso de três ferramentas e técnicas específicas que os departamentos de auditoria interna podem usar para apoiar os processos de auditoria interna.

O uso da mineração de dados é um indicador da maturidade da auditoria interna. Conforme exibido no

Documento 6-4_{, uma média global de}

47% dos CAEs indica usar moderada ou extensamente ferramentas de mineração de dados em seus departamentos de auditoria interna. Além disso, a análise de dados é moderada ou extensamente usada por uma proporção semelhante de

Observação: Combinação de Q44 e Q19. Q44: Como você descreveria o uso de tecnologia

para apoiar os processos de auditoria interna em sua organização? e Q19: Para a

organização inteira em que você trabalha, qual o número total aproximado de funcionários equivalentes a período integral ao ﬁnal do último ano ﬁscal? CAEs apenas.

indústria financeira e de seguros (46%) e na indústria de serviços profissionais, científicos e técnicos (42%) usam muito mais a TI, em comparação com os departamentos de auditoria interna nas indústrias de construção (29%) e manufatura (29%). A obrigatoriedade legal do departamento de auditoria interna não parece estar relacionada ao uso da TI para apoiar os processos de auditoria interna.

O uso da TI também está altamente relacionado à conformidade com as

Normas. Os departamentos de auditoria

interna em total conformidade com as

Normas usam a TI muito mais (47%),

(34)

Documento 6-4 Uso de Software para Mineração de Dados, Análise de Dados e Auditoria Contínua/em Tempo Real para Apoiar Processos de Auditoria Interna (Uso Moderado ou Extenso)

Auditoria contínua/em tempo real Um software ou ferramenta

para análise de dados Um software ou ferramenta

para mineração de dados 0% 20% 40% 60% 80% 44% 50% 52% 35% 47% 48% 58% 47% 41% 48% 54% 34% 43% 53% _52% 45% 29% 33% 43% 37% 25% 45% 25% 31%

Itens de Ação



Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes

ferramentas e técnicas de tecnologia da informação (TI)? CAEs apenas. 2.437 participantes.

Use a tecnologia em todo o processo de auditoria, para aumentar sua eﬁciência e eﬁcácia, e para obter uma cobertura mais ampla da avaliação de riscos, incluindo ferramentas de mineração e análise de dados.

Adote alguns elementos da auditoria contínua ou em tempo real, para aumentar a eﬁciência e eﬁcácia até o ponto que o ambiente de controle e TI permitir.

(35)

E

7

Programa de Garantia

de Qualidade e Melhoria

Documento 7-1 Desenvolvimento do Programa de Garantia de Qualidade e Melhoria (QAIP) por Região Global

44% 36% 32% 33% 22% 30% 20% 30% 42% 40% 31% 49% 43% 49% 27% 19% 26% 27% 31% 34% 34%

sta última seção analisa o status de um QAIP, que é exigido pelas

Normas. Conforme reportado no

Documento 7-1_{, cerca de um terço dos}

CAEs (34%) indica ter um QAIP em prática, incluindo uma revisão externa de qualidade (alguns com uma ligação formal com a melhoria contínua e com atividades de treinamento da equipe), o que é um indicador de maturidade da auditoria interna. Todos os entrevistados confirmaram a importância de um QAIP para a maturidade do departamento de auditoria interna. Há um consenso entre os entrevistados, de que a melhoria contínua da abordagem, da metodologia

e das ferramentas é crucial para entregar serviços de alta qualidade.

Diversos dos indicadores de

maturidade são direta ou indiretamente mensurados e geridos por meio de um QAIP. Um sistema robusto de gestão de desempenho que inclua, por exemplo, KPIs multidimensionais (veja o capítulo 5), a comparação com referências (benchmarking) de forma regular e pesquisas de satisfação das partes

interessadas foi citado por diversos CAEs entrevistados como elemento importante para um QAIP. Um entrevistado declarou que a integração das revisões de qualidade à metodologia de auditoria é

Sul da Ásia Leste Asiático e Pacíﬁco América do Norte Oriente Médio e África do Norte Europa África Subsaariana América Latina e Caribe

(36)

Documento 7-2 Nível de Qualidade do Desenvolvimento do Programa de Garantia de Qualidade e Melhoria (QAIP) por Tipo de Organização

31% 42% 27% 38% 42% 20% 40% 33% 27% 33% 35% 32% 25% 38% 38% Sem ﬁns lucrativos Inexistente ou ad hoc No processo de desenvolvimento

Bem deﬁnido, com revisão externa de qualidade e ligação formal com atividades de melhoria contínua e treinamento da equipe Organização privada

(não listada) Organização de capital aberto (listada) Setor ﬁnanceiro Setor público

0% 20% 40% 60% 80% 100%

um passo importante à frente para a maturidade da auditoria interna. Outro entrevistado enfatizou os grandes esforços que o The IIA tem realizado para

promover QAIPs nos úiltimos anos. A Europa (42%) e a América do Norte (40%) são regiões em que o QAIP dos departamentos de auditoria interna participantes é bem mais desenvolvido. O Sul da Ásia (20%) e América Latina e Caribe (22%) estão no polo inferior do continuum.

O uso do QAIP aumenta significativamente com a idade do departamento de auditoria interna. Mais da metade dos departamentos mais antigos (56%) têm um QAIP em prática, incluindo revisões externas de qualidade, em comparação com apenas 15% dos departamentos de auditoria interna mais recentes. Quanto ao porte do

departamento, assim como para vários outros indicadores de maturidade cobertos nos capítulos anteriores, há uma relação positiva e relevante com o nível

de desenvolvimento do programa QAIP, a não ser nos maiores departamentos de auditoria interna. Apenas para ilustrar, 73% dos departamentos de auditoria interna entre 300 e 999 funcionários equivalentes a período integral têm um QAIP bem definido em prática, em comparação com apenas 34% dos departamentos de auditoria interna, com até 24 equivalentes a período integral. Consideravelmente mais

departamentos de auditoria interna nas organizações do setor financeiro (40%) e do setor público (38%) têm um QAIP bem definido em prática, incluindo revisões externas de qualidade, do que departamentos em outros tipos de organização (veja o Documento 7-2).

O escopo geográfico da organização não está relacionado à presença de um QAIP. No entanto, notavelmente mais departamentos de auditoria interna na indústria de serviços (48%) e na indústria financeira e de seguros (42%) têm um QAIP bem definido em prática.

Observação: Combrinação de Q47 e Q15. Q47: Qual o nível de desenvolvimento do Programa

de Garantia de Qualidade e Melhoria (quality assurance and improvement program - QAIP) em sua organização? e Q15: Qual o tipo de organização onde você trabalha atualmente? CAEs apenas. 2.875 participantes.

(37)

Documento 7-3 Nível de Qualidade do Desenvolvimento do Programa de Garantia de Qualidade e Melhoria (QAIP) e Conformidade com as Normas do IIA

16% 40% 57% 34% 44% 24% 50% 16% 19% No processo de Não 0% 50% 100% Sim parcial, algumas das Normas Sim, todas as Normas

Bem deﬁnido, com revisão externa de qualidade e ligação formal com atividades de melhoria contínua e treinamento

Departamentos de auditoria interna na indústria de varejo e comércio (23%), e de agricultura, silvicultura, pesca e caça (23%) não têm um QAIP bem definido. Além disso, um número bem maior de departamentos de auditoria interna exigidos por lei tem um QAIP bem definido em prática, em comparação com aqueles que não são exigidos por lei (31%). Há também uma relação relevante e positiva com o porte da organização. Quanto maior a organização se torna, mais comum fica a presença de um QAIP bem definido, incluindo revisões externas de qualidade.

A conformidade com as Normas está, também, fortemente relacionada ao desenvolvimento de um QAIP. Metade

dos departamentos de auditoria interna em total conformidade com as Normas (50%) tem um QAIP bem definido em prática, incluindo revisões externas de qualidade, em comparação com apenas 17% dos departamentos de auditoria interna que não estão em total conformidade ou apenas em parcial conformidade com as Normas (veja o

Documento 7-3_).

Similarmente, um número bem maior de departamentos de auditoria interna que atuam como base de treinamento de gestão tem um QAIP bem definido em prática, em comparação com aqueles que não servem de base de treinamento de gestão (29% comparados com 15%).

(38)

Itens de Ação



Desenvolva um QAIP para o departamento de auditoria interna, incluindo um sistema robusto de gestão de

desempenho, de acordo com as diretrizes oferecidas pelas

Normas e Práticas Recomendadas do The IIA.

Adapte o QAIP à estratégia de auditoria interna, tendo como base os KPIs que foram deﬁnidos (veja o capítulo 5).

Crie uma cultura, dentro do departamento de auditoria interna, que promova a garantia de qualidade e melhoria contínuas.