nome fátima geada - bportugal.pt · questões de reflexão futura 37 Índice . 3 ... gestão de...

Nome Fátima Geada 7 outubro 2014 | Lisboa

Auditoria Interna Como Reforçar a Objetividade e Independência

2 • 2

ÍNDICE I Enquadramento Atual

1.Definição de Auditoria Interna 3

2.Normativo Regulamentar da Profissão de Auditoria Interna 6

3.Linhas de Defesa das Organizações 17

4.Auditores Externos, Reguladores e Outros Órgãos Externos 28

5.Coordenação das Três Linhas de Defesa 29

II Posicionamento Futuro

6. Princípios-Chave na Atuação da Auditoria Interna 33

7. Questões de Reflexão Futura 37

Índice

3 • 3

Definição de Auditoria Interna A Estrutura Internacional de Práticas Profissionais (IPPF) do IIA define a auditoria interna como:

“uma atividade independente e objetiva de avaliação e consultoria, desenvolvida para agregar valor e melhorar as operações de uma organização. Auxilia a organização a alcançar os seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gestão de riscos, controlo e governação.”

1. Definição de Auditoria Interna

4 • 4

Definição de Auditoria Interna Independência e Objetividade:

• Independente dentro de uma organização

• Posicionamento hierárquico

• “out of the operational services”

• Condução da auditoria suportada numa sponsorização ancorada numa governação forte

• Entendimento detalhado dos sistemas e processos do negócio e que têm um estímulo fundamental de ajudar as suas organizações na gestão mais eficaz dos riscos

• Agregando valor promovendo proactivamente uma avaliação objetiva sobre a eficácia e a eficiência dos processos de governação, gestão de riscos e controlo interno


5 • 5

Definição de Auditoria Interna Independência e Objetividade:

• Auxiliando a organização a alcançar seus objetivos estratégicos, operacionais, financeiros e de conformidade

• Agindo como um catalisador para melhorar a eficácia e a eficiência de uma organização, fazendo recomendações com base em análises e avaliações objetivas de dados e processos do negócio


6 • 6

Normativo Regulamentar da Profissão de Auditoria Interna 1000 – Objetivo, Autoridade e Responsabilidade

O objetivo, autoridade e responsabilidade da atividade de auditoria interna têm que ser formalmente definidos no estatuto da auditoria interna, em conformidade com a Definição de Auditoria Interna, o Código de Ética e as Normas. O Responsável pela Auditoria tem que rever periodicamente o estatuto da auditoria interna e apresentá-lo aos gestores superiores e ao Conselho para aprovação. Interpretação:

O estatuto da auditoria interna é um documento formal que define o objetivo da auditoria interna, a sua autoridade e responsabilidade. O estatuto da auditoria interna define a posição da atividade de auditoria interna no seio da organização; autoriza o acesso aos registos, pessoal e ativos da organização, que seja necessário para o desempenho dos trabalhos; e define o âmbito das atividades de auditoria interna. A aprovação final do estatuto da auditoria interna compete ao Conselho.

2. Normativo Regulamentar da Profissão de Auditoria Interna

7 • 7

Normativo Regulamentar da Profissão de Auditoria Interna 1100 – Independência e Objetividade A atividade de auditoria interna tem que ser independente, e os auditores internos têm que ser objetivos no desempenho do seu trabalho. Interpretação - Organização A independência representa a não sujeição a condições que ameacem a capacidade da atividade de auditoria interna ou do responsável pela auditoria de cumprir com as responsabilidades da auditoria interna de forma imparcial. Para alcançar o grau de independência necessário para cumprir de forma eficaz com as suas responsabilidades, o responsável pela auditoria deverá ter acesso direto e ilimitado ao Conselho. Tal pode ser conseguido através de uma dupla relação de reporte:

• Funcional – à Comissão de Auditoria • Hierárquica – ao CAE

As ameaças à independência têm de ser geridas a diferentes níveis: do auditor individual, do compromisso de auditoria, funcional e organizacional.


8 • 8

Normativo Regulamentar da Profissão de Auditoria Interna - Perfil

A objetividade é uma atitude mental imparcial que permite aos auditores internos realizar o seu trabalho de forma tal que acreditem no produto desse trabalho e que não sejam praticados quaisquer compromissos de qualidade.

1110 – Independência organizacional

O responsável pela auditoria tem de reportar a um nível no seio da organização que permita que a atividade de auditoria interna cumpra com as suas responsabilidades. O responsável pela auditoria tem que confirmar ao Conselho, pelo menos uma vez por ano, a independência organizacional da atividade de auditoria interna.


9 • 9

Normativo Regulamentar da Profissão de Auditoria Interna

1110.A1 – A atividade de auditoria interna tem que estar livre de interferências ao determinar o âmbito da auditoria interna, no desenvolvimento do trabalho e na comunicação dos resultados.

1111 – Interação Direta com o Conselho

O responsável pela auditoria tem que comunicar e interagir diretamente com o Conselho 1120 – Objetividade Individual

Os auditores internos têm que ter uma atitude de imparcialidade, livre de preconceitos e evitar conflitos de interesse.


10 • 10

Normativo Regulamentar da Profissão de Auditoria Interna 1130 – Impedimentos à Independência e Objetividade

Se houver impedimentos, reais ou aparentes, à independência ou objetividade, os detalhes de tais impedimentos têm que ser divulgados às entidades competentes. A natureza de tal divulgação dependerá do tipo de impedimento. Interpretação:

Os impedimentos à independência organizacional e à objetividade pessoal poderão incluir, mas não se limitam a, conflito de interesse pessoal, limitações de âmbito, restrições ao acesso de registos, pessoal, e ativos, e limitação de recursos, tais como financeiros.


11 • 11


1130.A1 – Os auditores internos têm que abster-se de avaliar operações específicas cuja responsabilidade lhes havia sido anteriormente confiada. Um auditor interno deve ter um período de carência na prestação de serviço relativamente a uma atividade pela qual o auditor interno foi responsável de, pelo menos, um ano.

1130.C2 – Caso os auditores internos sintam constrangimentos à independência ou objetividade relativamente a compromissos de consultoria propostos, tal facto tem que ser revelado antes da aceitação do compromisso.


12 • 12

Normativo Regulamentar da Profissão de Auditoria Interna - Objetividade 1200 – Proficiência e Cuidado Profissional Adequado

Os compromissos de auditoria têm que ser desempenhados com proficiência e cuidado profissional adequado. 1210 – Proficiência

Os auditores internos têm que possuir os conhecimentos, o domínio das técnicas e outras competências necessárias para cumprir com as suas responsabilidades individuais. A atividade de auditoria interna, tem que possuir, coletivamente, ou obter os conhecimentos das técnicas e das matérias necessárias para o desempenho da sua responsabilidade.


13 • 13

Normativo Regulamentar da Profissão de Auditoria Interna Interpretação

O conhecimento, técnicas e outras competências são termos abrangentes que se referem à capacidade profissional exigida dos auditores internos para que possam cumprir com as suas responsabilidades profissionais de forma eficaz. Os auditores internos são encorajados a demonstrar a sua proficiência obtendo certificações profissionais e qualificações adequadas, tais como a designação de Certified Internal Auditor e outras certificações oferecidas pelo Institute of Internal Auditors e outras organizações profissionais apropriadas.

1210.A1 – O responsável pela auditoria tem que obter aconselhamento e assistência competentes, se os auditores internos carecerem dos conhecimentos, das técnicas e outras competências necessárias para realizar parte ou a totalidade do seu trabalho.


14 • 14

Normativo Regulamentar da Profissão de Auditoria Interna 1210.A2 – Os auditores internos têm que possuir o conhecimento adequado para avaliar o risco de fraude e a forma como ele é gerido pela organização, mas não se espera que disponham da perícia de uma pessoa cuja responsabilidade principal seja a deteção e a investigação da fraude.

1210.A3 – Os auditores internos têm que ter conhecimento dos riscos e controlos-chave das tecnologias da informação e das técnicas de auditoria de base tecnológica, para o desempenho do seu trabalho. Contudo, não se espera que todos os auditores internos tenham a perícia de um auditor interno cuja responsabilidade principal seja a de efetuar auditorias das tecnologias da informação.

1210.C1 – O responsável pela auditoria tem que declinar a realização de um compromisso de consultoria ou obter aconselhamento e apoio competente quando os auditores internos não disponham dos conhecimentos, técnicas ou competências necessárias para executar todo ou parte do compromisso.


15 • 15

Normativo Regulamentar da Profissão de Auditoria Interna 1220 – Cuidado Profissional Adequado

Os auditores internos têm que utilizar o cuidado e a técnica que se espera de um auditor interno razoavelmente prudente e competente. Um cuidado profissional adequado não implica infalibilidade.

1220.A1 – Os auditores internos têm que exercer um cuidado profissional adequado tendo em consideração:

• A extensão de trabalho necessária para alcançar os objetivos do compromisso;

• A relativa complexidade, materialidade, ou importância das matérias em que se aplicam os procedimentos de garantia;

• A adequação e eficácia dos processos de governação, de gestão do risco e de controlo;

• A probabilidade de erros materiais, fraude ou não conformidade;


16 • 16


1220.C1 – Os auditores internos têm que exercer um cuidado profissional adequado durante a realização de trabalho de consultoria, tendo em consideração o seguinte:

• As necessidades e expectativas do cliente, incluindo a natureza, o prazo e a comunicação dos resultados do compromisso;

• A relativa complexidade e a extensão do trabalho necessário para alcançar os objetivos do compromisso; e

• O custo do compromisso de consultoria em relação com os benefício potenciais.

1230 – Desenvolvimento Profissional Contínuo

Os auditores internos têm que aperfeiçoar os seus conhecimentos, técnicas e outras competências através de um desenvolvimento profissional contínuo.


17 • 17

Auditoria Interna - Modelo das 3 Linhas de Defesa

• Primeira linha de defesa

Controlo da gestão

• Segunda linha de defesa

Funções de controlo de riscos e supervisão

• Terceira linha de defesa

Avaliação independente – Auditoria Interna

3. Linhas de Defesa das Organizações

18 • 18

Auditoria Interna - Modelo das 3 Linhas de Defesa Fonte: IIA (Institute of Internal Auditors); FERMA (Federation of European Risk Management Associations)


Orgão de Governança / Conselho / Comité de Auditoria

2ª Linha de Defesa

Controlo Financeiro

Segurança

Gestão de Riscos

Qualidade

Inspeção

Conformidade

Re

gu

lad

or

3ª Linha de Defesa

Auditoria Interna

Alta Administração

1ª Linha de defesa

Medidas de

Controlo

Interno

Controlos da

Gestão

Au

dito

ria E

xte

rna

19 • 19

Auditoria Interna - Modelo das 3 Linhas de Defesa

• Os órgãos de governação e a alta administração não são considerados entre as três “linhas” deste modelo, mas detêm um papel crucial na sua eficácia e eficiência

• Os órgãos de governação e a alta administração são as principais partes interessadas e com quem os intervenientes no modelo das Três Linhas de Defesa interagem


20 • 20

1º Linha de Defesa: Gestão Operacional Como primeira linha de defesa, os gestores operacionais gerem os riscos e têm a responsabilidade direta sobre eles. Devem implementar as ações corretivas para resolver as deficiências dos processos e controlos. A gestão operacional é responsável por manter controlos internos eficazes e por conduzir os procedimentos de riscos e controlo. A gestão operacional identifica, avalia, controla e mitiga os riscos, e é a responsável pelo desenvolvimento e implementação de políticas e procedimentos internos, garantindo que as atividades estejam de acordo com as metas e objetivos. Através de uma estrutura de responsabilidades em cascata, os gestores do nível médio desenvolvem e implementam procedimentos detalhados que servem como controlos e supervisionam a execução desses procedimentos.


21 • 21

1º Linha de Defesa: Gestão Operacional A Gestão Operacional serve naturalmente como a primeira linha de defesa, porque os controlos são desenvolvidos como sistemas e processos sob a sua orientação. Os controlos de gestão e supervisão adequados permitem garantir a conformidade e impedir colapsos de controlo, processos inadequados e eventos inesperados.


22 • 22

2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance Incorpora:

• Uma função de gestão de riscos que facilita e monitoriza a implementação de práticas eficazes de gestão de riscos por parte da gestão operacional e auxilia os gestores dos riscos a definir a meta de exposição ao risco e a reportar adequadamente informações relacionadas com os riscos em toda a organização.

• Uma função de conformidade (compliance) que monitorize diversos riscos específicos, tais como a conformidade com as leis e regulamentos aplicáveis. Esta função específica deverá reportar diretamente à alta administração. Múltiplas funções de conformidade coexistem na mesma organização, com responsabilidade por tipos específicos de monitorização da conformidade, como a saúde e segurança, a cadeia de fornecimento, ambiental e de qualidade.


23 • 23

2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance

• Uma função de controlo que monitorize os riscos transversais financeiros e questões de reporte financeiro torna-se cada vez mais um “must” nas organizações.

A segunda linha de defesa tem um objetivo crucial, mas não oferece análises verdadeiramente independentes aos órgãos de governação acerca da gestão de riscos e dos controlos internos.


24 • 24

2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance As responsabilidades dessas funções variam com a sua natureza específica, mas podem incluir:

• Apoiar as políticas de gestão, definir papéis e responsabilidades e estabelecer metas para implementação.

• Fornecer estruturas de gestão de riscos.

• Identificar questões atuais e emergentes.

• Identificar alterações na perceção ao risco implícito da organização.

• Auxiliar a Gestão a desenvolver processos e controlos para a gestão de riscos.


25 • 25

2º Linha de Defesa: Sistema de Controlo Interno, Gestão de Risco e Compliance

• Fornecer orientações sobre os processos de gestão de riscos.

• Facilitar e monitorizar a implementação de práticas eficazes de gestão de riscos por parte da Gestão Operacional.

• Alertar a Gestão Operacional para questões emergentes e para as mudanças no cenário regulatório e de riscos.

• Monitorizar a adequação e a eficácia do controlo interno, a precisão e a integridade do reporte, a conformidade com leis e regulamentos e a resolução oportuna de deficiências.


26 • 26

3º Linha de Defesa: Auditoria Interna

• Os auditores internos fornecem ao órgão de governação e à gestão de topo avaliações abrangentes baseadas num maior nível de independência e objetividade dentro da organização. Esse alto nível de independência não está disponível na segunda linha de defesa

• A avaliação sobre a eficiência e a eficácia das operações; a salvaguarda de ativos; a confiabilidade e a integridade dos processos de reporte; e a conformidade com leis, regulamentos, políticas, procedimentos e contratos, é tão mais eficaz quanto maior for a independência com que a função é exercida

• Não é importante apenas para empresas de grande e média dimensão, mas também para negócios de menor dimensão que têm de enfrentar ambientes igualmente complexos com uma estrutura organizacional menos formal e robusta para garantir a eficácia dos seus processos de governação e gestão de riscos


27 • 27

3º Linha de Defesa: Auditoria Interna

A auditoria interna contribui ativamente para a governação organizacional eficaz, desde que as condições - que promovam a sua independência e profissionalismo - sejam consideradas. A melhor prática é estabelecer e manter uma função independente de auditoria interna, com uma equipa adequada e competente, que inclua:

• Atuar de acordo com as normas internacionais reconhecidas para a prática de auditoria interna.

• Reportar a um nível de topo na organização, de modo a cumprir com as suas responsabilidades de forma independente.

• Ter uma linha de reporte ativa e eficaz ao órgão de governação.

• Ter uma linha de reporte dupla a um órgão de supervisão não executivo


28 • 28

Auditores Externos, Reguladores e Outros Órgãos Externos

Auditores externos, reguladores e outros órgãos externos estão fora da estrutura da organização, mas desempenham um papel importante na sua estrutura geral de governação e controlo.

Os auditores externos, reguladores e outros grupos externos à organização podem ser considerados linhas adicionais de defesa, que fornecem avaliações às partes interessadas da organização, incluindo o órgão de governação e a administração.

4. Auditores Externos, Reguladores e Outros Órgãos Externos

29 • 29

Coordenação das Três Linhas de Defesa

Cada organização é única e evidencia situações específicas, não existindo uma forma “certa” de coordenar as Três Linhas de Defesa. Na divisão de responsabilidades específicas e na coordenação entre funções de gestão de riscos, pode ser útil ter em mente o papel inerente de cada grupo no processo de gestão de riscos.

5. Coordenação das Três Linhas de Defesa

1ª LINHA DE DEFESA 2ª LINHA DE DEFESA 3ª LINHA DE DEFESA

Proprietários/Gestores de Riscos Controle de Risco e Conformidade Avaliação de Riscos

• Gestão financeira • Independência limitada • Auditoria interna

• Gestão operacional • Reporta primariamente à Gestão • Independência da Organização

• Reporta ao órgão de governação

30 • 30

Coordenação das Três Linhas de Defesa Segundo as Normas Internacionais para Prática Profissional de Auditoria Interna, os diretores executivos de auditoria devem :

“compartilhar informações e coordenar atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços.”


31 • 31


Práticas Recomendadas

• Os processos de riscos e controle devem ser estruturados de acordo com o modelo de Três Linhas de Defesa.

• Cada linha de defesa deve ser apoiada por políticas e definições de papéis apropriados.

• Deve haver a coordenação entre as diferentes linhas de defesa para promover a eficiência e a eficácia.

• As funções de riscos e controlo na operação nas diferentes linhas devem partilhar conhecimento e informações de modo a auxiliar todas as funções a desempenhar melhor o seu papel e de forma mais eficiente.


32 • 32


Práticas Recomendadas

• As linhas de defesa não devem ser combinadas ou coordenadas de uma forma que comprometa a sua eficácia.

• Em situações em que as funções de diferentes linhas forem combinadas, o órgão de governação deve ser aconselhado a respeito da estrutura e o seu impacto.

• Em organizações que não tenham uma função de auditoria interna, deve exigir-se que a gestão e/ou o órgão de governação explique e divulgue às partes interessadas como será obtida a avaliação adequada da eficácia das estruturas de governação, gestão de riscos e controlo da organização.


33 • 33

Princípios-Chave na Atuação da Auditoria Interna - Independência O IIA considera que os três princípios chave da Independência são aplicáveis globalmente a todas as organizações, não sendo relevante o setor de atividade:

• As organizações devem ter uma comissão de auditoria, ou equivalente, forte e eficaz.

• As organizações precisam de uma responsabilidade clara quanto à gestão de riscos e controlo interno.

• A auditoria interna deve ser devidamente estruturada, operar em conformidade com as Normas e deve ser uma exigência, se possível por via regulamentar, para a maioria das organizações.

6. Princípios-Chave na Atuação da Auditoria Interna

34 • 34

Princípios-Chave na Atuação da Auditoria Interna - Independência As linhas de reporte do diretor executivo de auditoria devem aumentar a independência organizacional:

• O diretor executivo de auditoria deve reportar a um nível, na organização, que permita à atividade de auditoria interna cumprir, de forma independente, com suas responsabilidades.

• A contratação, remuneração e demissão do diretor executivo de auditoria devem ser decisões deixadas a cargo da comissão de auditoria ou seu equivalente.


35 • 35

Princípios-Chave na Atuação da Auditoria Interna - Independência

• O âmbito e orçamento da auditoria interna devem ser decisões deixadas a cargo da comissão de auditoria ou seu equivalente na recomendação do diretor executivo de auditoria

• As principais questões levantadas pela auditoria interna devem ser reportadas à comissão de auditoria ou seu equivalente

• A comissão de auditoria deve reunir-se com o diretor executivo de auditoria regularmente sem a presença da gestão executiva


36 • 36

Princípios-Chave na Atuação da Auditoria Interna - Eficácia e Eficiência Fatores de reforço da independência:

• A auditoria interna deve ter acesso total, livre e sem restrições a qualquer função ou atividade e informação/documentação

• Nenhuma função ou atividade organizacional deve ser considerada externa ao âmbito de análise da auditoria interna

• Sponsorização eficaz suportada na gestão de topo e na Comissão de Auditoria


37 • 37

Questões de Reflexão Futura - Independência

• Independência

Regulamentação por enquadramento legal

Dependência remuneratória externa à organização

• Responsabilidade pela definição de honorários para o Diretor de Auditoria – A quem?

• Contratualização da Auditoria: Quem o deve efetuar?

• Reportabilidade a organismo de supervisão exterior à Organização/Empresa

7. Questões de Reflexão Futura

38 • 38

Questões de Reflexão Futura - Objetividade

• Dificuldade de acesso à informação financeira – Melhoria da acessibilidade à informação, definindo procedimentos que ultrapassem:

Restrições Legais: destinadas a proteger a confidencialidade dos negócios

Afastamento geográfico: dificuldade no mundo globalizado atual em o investidor acompanhar o andamento das suas aplicações nos diferentes cantos do Mundo

Inviabilidade prática: multiplicidade de interessados


39 • 39

Questões de Reflexão Futura – Objetividade / Confiabilidade

• Melhorar a qualificação técnica para verificar e analisar a informação financeira

- Complexidade da Informação, através de:

Investimento em formação especializada

Definição do orçamento da auditoria prevendo a afetação de técnicos especializados

Qualificação como pedra basilar para a confiabilidade da informação produzida


40 • 40

Obrigado!

nome fátima geada - bportugal.pt · questões de reflexão futura 37 Índice . 3 ... gestão de...

Documents