quem é o proprietário do risco? - global.theiia.org · 4 abordagens e competências para o risco...

Quem é o Proprietáriodo Risco?Analisando o Papel em Mudança daAuditoria Interna

CBOKThe Global Internal Audit Common Body of Knowledge

Core Report

RISCO

Paul J. SobelCIA, QIAL, CRMA

●

Sobre o CBOK

FATOS DA PESQUISA

Participantes 14,518*

Países 166

Idiomas 23

NÍVEIS DOS FUNCIONÁRIOS*

Chief audit executive (CAE) 26%

Diretor 13%

Gerente 17%

44%Equipe

*As taxas podem variarpor pergunta.

Pesquisa do Praticante CBOK 2015 Participação das Regiões Globais

8%

6%

14%

19%

5%

25%

23%

Américado Norte

AméricaLatina & Caribe

ÁfricaSubsaariana

Oriente Médio& Áfricado Norte

Europa& ÁsiaCentral

Sul daÁsia

Leste Asiático& Pacífico

Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a pro�ssão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela �e IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582 respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações pro�ssionais, �liais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia especí�ca. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.

O

●

Conteúdos

Sumário Executivo 4

Introdução 5

1 Tendências de Gerenciamento de Riscos 6

Processos Formais de Gerenciamento de Riscos 6

As Tendências ao Longo do Tempo 6

2 O Posicionamento da AI no Gerenciamento de Riscos 11

Relação com o ERM 11

As Três Linhas de Defesa 11

3 Responsabilidades de Gerenciamento de Riscos da AI 15

Avaliação Geral do Gerenciamento de Riscos 15

Avaliação de Riscos Individuais 18

Assessoria e Consultoria de Riscos 18

Foco no Plano de Auditoria de 2015 19

Avaliação Combinada 20

4 Abordagens e Competências para o Risco 23

Principais Áreas de Risco 23

Fontes de Avaliação de Riscos 23

Frequência da Avaliação de Riscos 24

Arquivos de Dados de Riscos 24

Planos de Auditoria com Base em Riscos 25

Níveis de Competência para o Risco 26

Conclusão 29

Recomendações para o Gerenciamento de Riscos 29

Áreas deConhecimento

do CBOK

Futuro

Governança

Gestão

Risco

Normas & Certificações

Talento

Tecnologia

PerspectivaGlobal

●

Q

● As práticas de riscos da sua organização

● Sua interação com o enterprise risk management (ERM)

● Seu nível de responsabilidade pela avaliação de riscos em sua organização

● Seu nível de maturidade de riscos

●

Sumário Executivo

uem é o verdadeiro proprietário do risco? A resposta literal é “não é a auditoria interna”. No entanto, a auditoria interna, sem dúvidas, ajudou organizações a entender e gerenciar melhor seus riscos no passado e, indubitavelmente, terá um papel fundamental no futuro. Este relatório não apenas fornece insights quanto ao status do gerenciamento de riscos e quanto ao papel da auditoria interna no mundo todo, mas também relata 13 ações principais que podem ajudar chief audit executives (CAEs) e auditores internos a garantir que sua função de auditoria interna esteja posicionada apropriadamente para lidar com os desa�os de riscos em um mundo em constante mudança. Utilizando as descobertas das pesquisas desse relatório, você poderá comparar suas práticas de riscos a outras do mundo todo e de diferentes indústrias. Você terá novos insights sobre:

Sua pro�ciência em avaliação de riscos

Este relatório foi elaborado por Paul Sobel, presidente de 2013-2014 do Conselho de Administração do IIA, e autor e palestrante renomado sobre tópicos de riscos e auditoria interna. Informações atualizadas sobre práticas de riscos foram obtidas a partir da Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, a maior pesquisa contínua de auditores internos do mundo. Essas descobertas foram complementadas por entrevistas com líderes globais de auditoria interna e riscos, para obter um contexto regional.

●

A

Introdução

MISSÃO DAAUDITORIA INTERNA

“Aumentar e proteger o valor organizacional, fornecendo às partes interessadas avaliações, assessoria e conhecimentos confiáveis, objetivos e baseados em risco.

—Trecho do IPPF revisado, The Institute of InternalAuditors, Julho de 2015

Estrutura Internacional de Práticas Pro�ssionais (IPPF) recentemente atualizada inclui uma nova missão para a auditoria interna: “Aumentar e proteger o valor organizacional, fornecendo às partes interessadas avaliações, assessoria e conhecimentos con�áveis, objetivos e baseados em risco”. Para cumprir com essa missão, as funções de auditoria interna do mundo todo precisam focar no risco como a base do que deve ser auditado, de como deve ser auditado e do que deve ser reportado. A Pesquisa Global do Praticante de Auditoria Interna CBOK 2015 fornece dados e insights que ajudaram os auditores internos a entender as práticas globais relativas a riscos. Depois de, primeiro, entender até que ponto o gerenciamento de riscos formal está em prática (capítulo 1), este relatório examina o posicionamento da auditoria interna dentro do gerenciamento de riscos (capítulo 2). O Modelo das Três Linhas de Defesa ajuda a entender esse posicionamento, porque separa as responsabilidades administrativas de gestão de riscos (primeira linha de defesa) do papel de outras funções no apoio e supervisão do gerenciamento de riscos (segunda linha) e do papel da auditoria interna em prestar avaliação objetiva (terceira linha).*

O capítulo 3 examina as responsabilidades de gerenciamento de riscos da auditoria interna, com foco especial em suas responsabilidades de avaliação. Por �m, o capítulo 4 cobre uma variedade de tópicos relativos ao uso de riscos por parte da auditoria interna, incluindo os atributos da avaliação de riscos, o que ajuda a moldar o plano de auditoria interna, outros recursos para o plano de auditoria, e níveis de competência em gerenciamento de riscos para os auditores internos. Está claro que o progresso obtido no gerenciamento de riscos, assim como o papel da auditoria interna, continua evoluindo. No entanto, há muitas oportunidades para os CAEs e outros auditores internos de garantir que suas funções de auditoria interna possam abordar com e�cácia os desa�os de riscos em um mundo em constante mudança. As principais ações identi�cadas nesse relatório devem ajudar a usar essas oportunidades.

* Para informações adicionais, consulte a Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle E�cazes, Janeiro de 2013, e “Leveraging COSO Across the �ree Lines of Defense”, desenvolvido em parceria pelo IIA e COSO, Janeiro 2015.

●

O

Processos Formais deGerenciamento de Riscos

As Tendências ao Longo do Tempo

1 Tendências deGerenciamento de Riscos

0% 10% 20% 30% 40% 50%

Nenhum

Informal/em desenvolvimento

Gerenciamento de riscos formal

Gerenciamento de riscos formale chief risk officer (CRO)

24%

29%

37%

10%

Documento 1 Práticas de Gerenciamento de Riscos

Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas. 2.709 participantes.

gerenciamento de riscos continua crescendo e evoluindo em todo o mundo. A crise �nanceira global que começou em 2008 demonstrou o valor e importância de boas práticas de gerenciamento de riscos. Desde então, foram promulgadas regulações que exigem o gerenciamento de riscos, ou componentes dele, e muito já foi escrito sobre formas de gerir riscos em uma economia global em rápida mudança.

Os resultados da pesquisa CBOK 2015 mostram que mais da metade de CAEs do mundo todo acredita que processos e procedimentos formais de gerenciamento de riscos estejam em prática em suas organizações (veja o Documento 1). Conforme mostrado nesta tabela, mais da metade (53%) indica que “processos e procedimentos formais de gerenciamento de riscos estão em prática” (29%) ou “a organização tem um processo formal de

gerenciamento de riscos corporativos com um chief risk o�cer ou equivalente” (24%). Embora uma pequena maioria acredite que suas organizações tenham processos formais de gerenciamento de riscos, é necessário pensar se há um crescimento contínuo no gerenciamento de riscos ao longo do tempo.

Embora haja poucas pesquisas que façam as mesmas perguntas sobre os riscos ao longo do tempo, alguns recursos podem oferecer insights sobre o crescimento do gerenciamento de riscos:

O Report on ERM, de 2010, do Committee of Sponsoring Organizations of the Treadway Commission (COSO), identi�cou que pouco mais de um quarto dos 460 participantes considera seu programa de gerenciamento de riscos um “processo sistemático, robusto e replicável com reporte

●

●

●

●

Visão Regional

❝ As regulações Basel e

Solvency II Directive

foram condutores

importantes do

desenvolvimento de

funções independentes

de gerenciamento de

riscos e conformidade

nos bancos e empresas

de seguros na Europa.❞

—Charlotta Löfstrand-Hjelm, Chief Internal Auditor,

Länsförsakringar (LFAB), Estocolmo, Suécia

regular, ao conselho, do conjunto das principais exposições a riscos”. Esse estudo foi baseado quase totalmente na América do Norte e incluiu 20% do setor de serviços �nanceiros.

Em 2011, a Risk Management Society (RIMS) publicou resultados de sua Risk Benchmark Survey™ de 2011, que incluiu respostas de 1.431 gerentes de riscos, sendo 94% da América do Norte e 15% do setor de serviços �nanceiros. Os resultados da pesquisa mostraram que mais da metade (54%) tinha um programa de gerenciamento de riscos total ou parcialmente integrado, em comparação com apenas um terço na pesquisa de 2009.

A International Federation of Accountants (IFAC) publicou um information paper em 2011, chamado Global Survey on Risk Management and Internal Control, no qual reportou que dois terços dos 586 participantes indicaram ter um sistema formal de gerenciamento de riscos (mais de três quartos eram externos à América do Norte e um quarto era do setor de serviços �nanceiros).

Uma comparação desses estudos não pode ser considerada uma pesquisa de�nitiva sobre o crescimento do gerenciamento de riscos; no entanto, com base em seu timing e descobertas,

parece ter havido um crescimento notável no gerenciamento de riscos formal na saída da crise �nanceira global, o que é, de certa forma, intuitivo. No entanto, o ritmo do crescimento pode ter diminuído nos últimos anos. Também é notável que a publicação da IFAC, que inclui uma proporção muito maior de participantes externos à América do Norte, tenha mostrado um número maior de processos formais de gerenciamento de riscos do que os outros dois estudos.

A pesquisa CBOK 2015 também mostra diferenças nas práticas de gerenciamento de riscos por região (veja o Documento

2). Em especial, uma porcentagem bem maior de CAEs da Europa indicam ter um processo formal de gerenciamento de riscos em prática (67%), o que replica os resultados da IFAC de 2011. Por outro lado, apenas 35% dos participantes do Oriente Médio e da África do Norte, e 42% dos participantes da América Latina e Caribe indicaram ter um processo formal de gerenciamento de riscos em prática. Uma resposta às descobertas na Europa foi dada por Charlotta Löfstrand-Hjelm, chief internal auditor da Länsförsakringar (LFAB), em Estocolmo, na Suécia, que tem experiência na indústria de seguros. Ela observou que as regulações no setor de serviços �nanceiros aceleraram o desenvolvimento de funções independentes de gerenciamento de riscos na Europa. No entanto, tais regulações são menos predominantes nas regiões do Oriente Médio e na África do Norte, assim como na América Latina e Caribe; daí os números menores nessas regiões. Os entrevistados dessas regiões enfatizaram que o gerenciamento de riscos formal tende a existir apenas em empresas muito grandes, no setor de serviços �nanceiros e nas subsidiárias de empresas estrangeiras.

●

Visão por Indústria

Visão por Porte

0% 20% 40% 60% 80% 100%

Média Global

Oriente Médio &África do Norte

América Latina & Caribe

Leste Asiático & Pacífico

Sul da Ásia

América do Norte

África Subsaariana

Europa

Gerenciamento de Riscos Formal

Informal/desenvolvimento

Nenhuma em prática

7%

10%

4%

4%

14%

17%

20%

10%

27%

36%

44%

45%

38%

40%

45%

37%

33%

32%

25%

37%

31%

25%

23%

29%

34%

21%

27%

14%

17%

17%

12%

24%

Documento 2 Práticas de Gerenciamento de Riscos (Visão Regional)

AÇÃO PRINCIPAL 1

Seja defensor do progresso dos

processos formais de gerenciamento

de riscos, independentemente

da indústria.

Gerenciamento de Riscos Formal e chief risk officer (CRO)

Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas. 2.675 participantes. Devido ao arredondamento, alguns totais regionais podem não somar 100%.

Variações entre indústrias também são, provavelmente, relacionadas ao nível de regulação. Por conta das regulações promulgadas após a crise �nanceira global, é possível conjecturar que uma porcentagem maior de empresas �nanceiras e de seguros teriam implementado o gerenciamento de riscos. Os dados provam que isso é correto, já que quase três quartos das empresas �nanceiras e de seguros têm processos formais de gerenciamento de riscos em prática (veja o Documento 3). Não é de surpreender que uma indústria altamente regulada tenha uma porcentagem maior de processos formais de gerenciamento de riscos em prática, principalmente porque, em muitos países, é exigido que empresas �nanceiras

e de seguros tenham um certo nível de gerenciamento de riscos. Vale notar que, somando-se as respostas de todas as indústrias não �nanceiras, apenas uma média de 45% tem processos formais de riscos, indicando que, na ausência da regulação, a maioria das empresas ainda não migrou para um estado formal de gerenciamento de riscos (veja o Documento 4).

Por �m, pode-se esperar que empresas de maior porte tenham processos mais formais de gerenciamento de riscos do que empresas menores. Essa expectativa existe por dois motivos: 1) empresas maiores têm mais recursos para dedicar ao gerenciamento de riscos e 2) a maioria das instituições �nanceiras são maiores. Os dados comprovam isso, com processos

●

Documento 3 Práticas Formais de Gerenciamento de Riscos (Visão por Indústria)

Finanças e seguros 74%

Mineração, pedreiras e extração de petróleo e gás 56%

Setor de serviços públicos 56%

Serviços profissionais, científicos e técnicos 55%

Imobiliária, aluguel e leasing 50%

Construção 49%

Venda por atacado 47%

Administração pública 46%

Saúde e assistência social 45%

Manufatura 44%

Outros serviços (exceto administração pública) 43%

Transporte e armazenamento 42%

Informação 42%

Venda por varejo 42%

Outras 37%

Serviços educacionais 31%

Média 53%

Documento 4 Práticas de Gerenciamento de Riscos (Visão por Indústria Financeira X Não Financeira)

0%

20%

40%

60%

80%

100%

Gerenciamento de riscos formalestá em prática.

Processos de gerenciamento de riscos informais ou em desenvolvimento.

Nenhum processo de gerenciamentode riscos em prática.

Indústria Financeirae de Seguros

IndústriasNão Financeiras

13%

3%

42%

23%

45%

74%

Observação: Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? O documento mostra os participantes que escolheram a opção “Processos e procedimentos formais de gerenciamento de riscos estão em prática” ou “A organização tem um processo formal de enterprise risk management (ERM) com chief risk officer ou equivalente”. CAEs apenas. 2.709 participantes.


●

Documento 5 Práticas Formais de Gerenciamento de Riscos (Visão por Receita)

0%

20%

40%

60%

80%

100%

$1 milhãoou menos

46% 43%51%

62%

73%

AÇÃO PRINCIPAL 2

Busque oportunidades de ajudar a acelerar a

implementação do gerenciamento de

riscos formal, e sustente-o quando

já estiver em prática.

Sumário

Mais de$1 milhão até$100 milhões

Mais de$100 milhõesaté $1 bilhão

Mais de$1 bilhão até$10 bilhões

Mais de$10 bilhões

Para resumir, as instituições �nanceiras e empresas de maior porte, muitas das quais são provavelmente a mesma, apresentam maior progresso no estabelecimento de processos formais de gerenciamento de riscos. Além disso, empresas na Europa têm maior porcentagem de processos formais de gerenciamento de riscos, provavelmente re�etindo regulações de governança mais avançadas do que em outras partes do mundo. É importante notar que regulações podem existir em outras partes do mundo, como a lei americana Sarbanes-Oxley de 2002. No entanto,

essas regulações não exigem o progresso do gerenciamento de riscos como um todo; em vez disso, o foco �ca sobre riscos relativos a certas áreas, tais como controles internos sobre o reporte �nanceiro. Isso pode explicar por que as regulações na Europa e em outras certas partes do mundo tendem a motivar mais o gerenciamento de riscos formal. Também é importante reconhecer que o gerenciamento de riscos formal ainda não está presente em uma média global de 47% das organizações. Com base em uma variedade de descobertas de pesquisas sobre riscos, isso pode re�etir uma redução no ritmo de proliferação da implementação do gerenciamento de riscos, após o período seguinte à recessão global, o que é, de certa forma, preocupante. No entanto, CAEs podem certamente impactar o progresso e a sustentabilidade do gerenciamento de riscos em suas organizações.


formais de gerenciamento de riscos em prática em cerca de 7 a cada 10 das empresas de maior porte, em comparação com 4 em cada 10 das empresas de menor porte (veja o Documento 5).

●

O

Relação com o ERM

As Três Linhas de Defesa

2 O Posicionamento da Auditoria Interna no Gerenciamento de Riscos

Documento 6 Relação Entre a Auditoria Interna e o Gerenciamento de Riscos Corporativos (Enterprise Risk Management - ERM)

A auditoria interna é responsável pelo ERM, mas a responsabilidade será transferida.

Auditoria interna e ERM são separadose não interagem.

Auditoria interna e ERM são separados, mascoordenam e compartilham informações.

66%

14%

6%

14%

6%

14%66%

Observação: Q59: Qual a relação entre a auditoria interna e o gerenciamento de riscos corporativos (enterprise risk management - ERM) em sua organização? 9.437 participantes.

Modelo das Três Linhas de Defesa posiciona o gerenciamento de riscos na segunda linha e a auditoria interna na terceira. Até que ponto as funções de auditoria interna ao redor do mundo estão alinhadas com esse modelo?

De todos os participantes globais, 66% indicaram que a auditoria interna e ERM são funções separadas que coordenam e compartilham conhecimento entre si, em suas empresas (veja o Documento 6). Outros 14% indicaram que a auditoria interna e o ERM são funções separadas, que não interagem. Isso signi�ca que 80% dos participantes dizem que suas funções de auditoria interna são separadas do gerenciamento de riscos, o que é uma tendência encorajadora, por ser um indicador da separação entre a segunda e terceira linhas de defesa. Por outro lado, um quinto dos participantes indicaram que a auditoria interna é

responsável pelo ERM e mais de dois terços deles não têm planos de transferi-lo; então, ainda há trabalho a fazer para separar esses papéis essenciais.

No entanto, para os 66% que coordenam e compartilham informação, pode haver um perigo de que tal coordenação possa borrar o limite entre a segunda e terceira linhas de defesa. Alguns participantes da pesquisa reconhecem essa situação em suas organizações. Entre os participantes da pesquisa que usam o Modelo das Três Linhas de Defesa, 13% dizem que a distinção entre a segunda e terceira linhas não é clara (Q63, 11.255 participantes). Para uma análise mais aprofundada das respostas da pesquisa sobre o Modelo das Três Linhas de Defesa, por favor consulte o relatório CBOK chamado Avaliação Combinada: Uma Língua, Uma Voz, Uma Visão.

●

Visão Regional

Visão Industrial

0% 20% 40% 60% 80% 100%

Média Global

África Subsaariana

Sul da Ásia



América do Norte

Leste Asiático & Pacífico

Europa 86%

84%

79%

79%

70%

69%

68%

80%

Documento 7 Organizações com as Funções de Auditoria Interna e ERM Separadas (Visão Regional)

A separação entre a auditoria interna e o ERM varia entre as regiões globais de formas inesperadas. A Europa tem a maior porcentagem de organizações que separam a auditoria interna do ERM (86%), o que é consistente com o maior nível de gerenciamento de riscos formal na região (conforme discutido no capítulo 1). No entanto, a segunda maior porcentagem foi a do Leste Asiático e Pací�co (84%) (veja o Documento 7), mas essa região estava, na verdade, abaixo da média global de gerenciamento de riscos formal em suas organizações. Naohiro Mouri, diretor executivo corporativo/chief internal auditor na AIG Japan Holdings, em Tóquio, Japão, especula que, embora o gerenciamento de riscos formal possa não prevalecer tanto

em todo o Leste Asiático e Pací�co, há forte ênfase, na região, na conformidade com as Normas Internacionais para a Prática Pro�ssional de Auditoria Interna (Normas) do IIA e outras orientações, o que pode levar à maior porcentagem de separação entre a auditoria interna e o gerenciamento de riscos.

Observação: Q59: Qual a relação entre a auditoria interna e o gerenciamento de riscos corporativos (enterprise risk management - ERM) em sua organização? O documento mostra os participantes que escolheram a opção “A auditoria interna e o ERM são funções separadas e não interagem” ou “A auditoria interna e o ERM são funções separadas, mas coordenam e compartilham conhecimento”. 9.314 participantes.

Examinando essa questão a partir da visão industrial, vemos que 93% dos participantes do setor de �nanças e seguros disseram que suas organizações separam a auditoria interna do ERM (veja o Documento 8). Como empresas �nanceiras e de seguros compõem 33% do total de participantes, essa indústria claramente in�uencia os resultados em direção à média global de 80%.

●

Visão por Porte

Sumário

AÇÃO PRINCIPAL 3

Trabalhe com a gerência e outros prestadores internos de avaliação para garantir a clareza dos papéis dentro das três linhas de defesa.

Documento 8 Organizações com Funções de Auditoria Interna eERM Separadas (Visão por Indústria)


Mineração, pedreiras e extração de petróleo e gás 80%



Outros serviços (exceto administração pública) 75%


Informação 75%

Serviços profissionais, científicos e técnicos 74%

Construção 72%




Manufatura 68%


Venda por varejo 64%

Outras 63%

Média 80%

❝

❞

—Naohiro Mouri, Diretor Executivo

Corporativo/Chief

AIG Japan Holdings, Tóquio, Japão


Internal Auditor,

Normalmente, os

reguladores na região

do Leste Asiático e

Pacífico seguem ou

consultam as Normas

do IIA e orientações

para estruturas

de governança

corporativa; portanto,

é predominante que

a auditoria interna

seja separada do

gerenciamento de

riscos.

Inclusive, nenhum outro setor ultrapassou 80%. Isso indica que, em outras indústrias, a distinção entre a segunda e terceira linhas de defesa pode não ser tão clara.

Empresas maiores tiveram porcentagens mais altas de separação entre a auditoria interna e o gerenciamento de riscos do que as menores (veja o Documento 9).

No geral, parece que há uma separação entre as funções de auditoria interna e

gerenciamento de riscos, especialmente nas regiões de maior regulação, e mais notavelmente entre as empresas do setor �nanceiro. Além disso, empresas maiores tendem a ter uma separação maior entre as duas, o que está provavelmente relacionado. No entanto, há alguns indicadores de possível desfoque entre a segunda e terceira linhas de defesa, o que também foi notado na pesquisa Pulso da Pro�ssão de 2014. Vale acompanhar essa questão nos próximos anos, para garantir que os papéis valiosos dessas duas linhas de defesa não se tornem tão embaçados a ponto de diminuir a qualidade e con�abilidade da avaliação.

●

Documento 9 Organizações com as Funções de Auditoria Interna eERM Separadas (Visão por Receita)

0%

20%

40%

60%

80%

100%

70%75% 77% 80%

86%

$1 milhãoou menos

Mais de$1 milhão até$100 milhões

Mais de$100 milhõesaté $1 bilhão

Mais de$1 bilhão até$10 bilhões

Mais de$10 bilhões


●

U

* Characteristics of an Internal Audit Activity

Internal Auditors Research Foundation, 2010), 23–24.

3 Responsabilidades de Gerenciamento de Riscosda Auditoria Interna

AÇÃO PRINCIPAL 4

Esforce-se para prestar avaliação sobre o

gerenciamento de riscos como um todo,

não apenas quanto aos riscos individuais.

Documento 10 Responsabilidades de Gerenciamento de Riscosda Auditoria Interna

0% 20% 40% 60% 80% 100%

Outra

Não segue uma abordagemcom base em riscos

Assessoria e Consultoria

Avaliação de riscos individuais

Avaliação do gerenciamentode riscos como um todo

47%

44%

57%

7%

6%

Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação ariscos, em sua organização? (Escolha todas as aplicáveis.) 11.935 participantes.

Avaliação Geral doGerenciamento de Riscos

ma boa separação entre a auditoria interna e o gerenciamento de riscos parece uma prática encorajadora e importante. No entanto, para colocar o tópico do capítulo 2 em contexto, é importante entender como as responsabilidades de riscos da auditoria interna são diferentes daquelas de uma função de ERM. Portanto, esse capítulo traz insights sobre como a auditoria interna presta avaliação e assessoria de riscos. A auditoria interna pode ter diversas responsabilidades de riscos (veja o Documento 10; note que era possível escolher múltiplas respostas).

Primeiro, é importante notar que 47% dos participantes indicam que prestam avaliação do gerenciamento de riscos

como um todo. Por um lado, o número parece bem alto, considerando as orientações limitadas disponíveis sobre como prestar tal avaliação. Por outro lado, o número pode ser baixo em relação aos resultados da pesquisa CBOK 2010. Embora as perguntas não tenham sido feitas da mesma forma, 57% dos participantes de 2010 indicaram que sua atividade de auditoria interna conduzia auditorias dos processos de ERM e 20% indicaram esperar que tais auditorias aumentassem nos 5 anos seguintes (isto é, até 2015).* Apesar da pergunta ter sido feita de forma diferente, o fato é que a porcentagem de avaliação do gerenciamento de riscos foi menor em

●

0%

20%

40%

60%

80%

100%

Assessoria eConsultoria

Avaliação dos riscosindividuais

Avaliação do gerenciamento de riscoscomo um todo


Américado Norte

Oriente Médio& África do Norte

Europa

Documento 11 Responsabilidades de Gerenciamento de Riscos da Auditoria Interna (Visão Regional)

60%57%

51%47%

44%39% 39%

47%

41%

52%

34% 35%

57%

38%

30%

44%

53% 54%

62%

45%

60% 61%

55% 57%

ÁfricaSubsaariana

Sulda Ásia


MédiaGlobal

Visão por Porte

Visão Regional

Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) 11.779 participantes.

em 2015 do que em 2010 sugere que os auditores internos não aumentaram sua avaliação do gerenciamento de riscos nos últimos cinco anos.

Examinando os resultados por região (veja o Documento 11), 60% dos participantes na África Subsaariana indicam que prestam avaliação do gerenciamento de riscos como um todo, a porcentagem mais alta de qualquer região do mundo. Isso ocorre por conta, provavelmente, dos fortes requisitos de governança na África do Sul, que tornam a avaliação do gerenciamento de riscos mais crítica (cerca de 40% dos participantes da região são da África do Sul). A Europa teve o segundo número mais alto (57%), provavelmente por conta do nível de foco da regulação e

governança na região. Por outro lado, apenas 39% dos participantes do Leste Asiático & Pací�co e da América Latina & Caribe, e 44% da América do Norte indicaram que prestam avaliação sobre o gerenciamento de riscos como um todo, então tal avaliação ainda não prevalece em muitas partes do mundo.

As respostas para empresas de diferentes portes são parecidas com as outras perguntas da pesquisa; isto é, empresas de maior porte têm porcentagens maiores de participantes indicando que avaliam o gerenciamento de riscos como um todo. No entanto, nenhum desses grupos demográ�cos foi maior do que dois terços, então até as grandes empresas podem aumentar seu foco na avaliação do gerenciamento de riscos.

●

Análise da Lacuna por Região

AÇÃO PRINCIPAL 5

Ao prestar avaliação do gerenciamento de riscos, garanta que os critérios

da avaliação sejam bem entendidos.


Gerenciamento de riscosformal em prática

Lacuna

0%

20%

40%

60%

80%

100%

67%

48%51%

43%

51%54%

35%

53%57%

39%44%

39%

51%

60%

47% 47%

10% 9% 8% 4% 0%

-6%-12%

7%

Documento 12 Lacuna Entre o Gerenciamento de Riscos Formal e a Avaliaçãodo Gerenciamento de Riscos (Visão Regional)


Américado Norte


Europa ÁfricaSubsaariana

Sulda Ásia


MédiaGlobal

Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) 11.935 participantes. Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas. 2.675 participantes

Uma forma diferente de examinar os dados é comparar as porcentagens das empresas que têm gerenciamento de riscos formal (capítulo 1) aos números das que prestam avaliação do gerenciamento de riscos. Como as duas perguntas parecem ser in�uenciadas pela regulação, pode-se conjecturar que haveria alguma relação entre as duas. No entanto, a análise das lacunas entre as duas perguntas da pesquisa não apoia necessariamente essa hipótese. As primeiras lacunas que examinaremos são baseadas na região mundial (veja o Documento 12). Lembre-se que, globalmente, 53% indicaram ter gerenciamento de riscos formal em prática (barra azul) e 47% indicaram prestar avaliação do gerenciamento de riscos como um todo

(barra verde), resultando em uma lacuna de 7% (barra dourada). Examinar essas porcentagens por região revela que algumas dessas lacunas são maiores do que 7%, indicando que a avaliação não atingiu o nível da implementação do gerenciamento de riscos formal. No entanto, também vale notar que a avaliação é mais comum na África Subsaariana e Oriente Médio & África do Norte do que o gerenciamento de riscos formal (motivo pelo qual a lacuna é negativa, em vez de positiva). Seria interessante entender como tal avaliação é prestada, se o gerenciamento de riscos não é formal. Colocando em outras palavras, a avaliação do gerenciamento de riscos deve ser baseada em critérios reconhecidos e razoáveis, o que seria difícil estabelecer sem um gerenciamento de riscos formal em prática.

●

Análise da Lacuna por Indústria

Avaliação de Riscos Individuais

Assessoria e Consultoria de Riscos

AÇÃO PRINCIPAL 6

Na condução de uma auditoria com base em

riscos, relacione o escopo e os resultados

a riscos específicos do negócio.

❝ A América Latina

tem desempenho

menor do que o de

outras partes do

mundo na prestação

da avaliação do

gerenciamento de

riscos, já que muitas

funções de auditoria

interna ainda seguem

uma abordagem de

auditoria mais

tradicional. Contudo,

nos próximos anos,

acredito que os

auditores internos na

região expandirão

seu papel para

oferecer mais

avaliações sobre o

gerenciamento

de riscos. ❞

—Nahun Frett, Vice Presidente

de Auditoria Interna, Central Romana

Corporation, Ltd., La Romana,

República Dominicana

Documento 13 Lacuna Entre o


Construção 16%





Serviços profissionais, científicos e técnicos

8%



Manufatura 5%

Informação 4%

Mineração, pedreiras eextração de petróleo e gás

3%

Venda por varejo 2%

Outras 1%


Outros serviços (exceto administração pública)

1%

Média 7%

Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todas as aplicáveis.) 11.935 participantes. Q58: Qual o nível de desenvolvimento dos processos de gerenciamento de riscos em sua organização? CAEs apenas. 2.675 participantes

Gerenciamento de Risco Formale Avaliação do Gerenciamento de Riscos (Visão por Indústria)

Examinar as lacunas por indústria também traz variações interessantes (veja o Documento 13). Primeiro, vale notar que não há indústrias com lacunas negativas. Além disso, duas das indústrias com maior nível de gerenciamento de riscos formal - as indústrias �nanceira e de seguros, e de serviços públicos (veja o Documento 3) - têm duas das maiores lacunas, bem além da média global. No entanto, outras duas indústrias com grandes lacunas - construção e atacado - têm médias de gerenciamento de riscos formal menores do que 53%. Embora não pareçam existir motivos consistentes para as grandes lacunas entre o gerenciamento de riscos formal e a avaliação do gerenciamento de riscos, a existência de tais lacunas reforça que as funções de auditoria interna têm ótimas oportunidades de aumentar sua avaliação do gerenciamento de riscos como um todo.

Outra opção dessa pergunta da pesquisa foi “prestar avaliação de riscos individuais”. Com a auditoria com base em riscos tão predominante no mundo todo, é surpreendente que apenas 44% dos participantes indiquem que prestam tal avaliação (veja o Documento 10). As variações entre as regiões, indústrias e portes diferentes mostram padrões parecidos como antes, apesar de variações menores do que em outras perguntas da pesquisa.

Uma terceira opção dessa pergunta foi “prestar assessoria e consultoria sobre atividades de gerenciamento de riscos”. Embora uma porcentagem maior tenha escolhido essa opção (57%), as variações entre os diferentes grupos demográ�cos

●

Foco do Plano de Auditoria de 2015

*

Executive Center, 2012, 2013 e 2014).

AÇÃO PRINCIPAL 7

Continue aumentando a porcentagem do plano de auditoria focada no

gerenciamento de riscos.

Documento 14 Categorias do Plano de Auditoria de 2015

Operacional 24.5%

Conformidade/regulatório 15.0%

12.0%

Riscos estratégicos do negócio 10.8%

Tecnologia da Informação (TI), não coberta em outras auditorias 8.3%

Financeiros gerais 6.7%

Governança corporativa 6.2%

Fraude não coberta em outras auditorias 3.5%

Outros (em especial, solicitações, treinamento, etc.) 3.3%

Redução ou contenção de custos/gastos 3.2%

Teste ou apoio à Sarbanes-Oxley (Estados Unidos apenas) 2.8%

Relacionamentos com terceiros 2.4%

Gestão de crises 1.2%

Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde a cadauma das categorias gerais de riscos a seguir? CAEs apenas. 2.712 participantes.

Avaliação/eficácia do gerenciamento de riscos

não são tão grandes. Novamente, já que se pode esperar que a assessoria seja comum entre atividades de auditoria interna que conduzem auditorias com base em riscos, é surpreendente que os números das respostas não sejam maiores. É possível que alguns participantes vejam a avaliação dos riscos individuais e assessoria como partes da avaliação do gerenciamento de riscos como um todo, mas também é possível que as porcentagens não sejam maiores por conta de auditores internos não terem as habilidades e experiência para tal avaliação e assessoria. Isso é explorado mais a fundo no capítulo 4.

A pesquisa também pediu aos CAEs que indicassem a porcentagem de seu plano de auditoria de 2015 relativa a auditorias de “avaliação/e�cácia do gerenciamento de riscos”. Na média, 12% dos planos de auditoria focaram nessa área, tornando-a

a terceira maior categoria de riscos no plano de auditoria (veja o Documento 14). Há fortes sinais de que o foco no gerenciamento de riscos está aumentando. Na pesquisa Pulso da Pro�ssão de 2012, os participantes indicaram que esperavam gastar 5% de seu próximo plano de auditoria na e�cácia do gerenciamento de riscos. Em 2013 e 2014, o número aumentou para 7%. Até 2015, já estava em 12%.* No geral, esses resultados indicam que, embora os auditores internos estejam prestando avaliação e assessoria conforme indicado nas perguntas anteriores, não estão dedicando grande parte de seu plano de auditoria diretamente a essas atividades. No entanto, é razoável presumir que o tempo gasto em outras áreas também é baseado

●

Avaliação Combinada

Documento 15 Categorias do Plano de Auditoria para 2015 (Visão Regional)S

ul

da Á

sia

Eu

rop

a

Áfr

ica

Su

bsa

ari

an

a

Le

ste

Asi

áti

co

& P

acífi

co

Am

éri

ca L

ati

na

& C

ari

be

Ori

ente

Méd

io &

Áfr

ica d

o N

ort

e

Am

éric

a do N

ort

e

Operacional 25.9% 24.4% 24.5% 24.7% 22.9% 26.4% 24.9%

Conformidade/regulatório 12.9% 14.3% 11.3% 20.0% 14.4% 9.2% 14.6%

15.9% 14.2% 13.0% 12.5% 12.4% 11.4% 8.1%

Riscos estratégicos do negócio 10.3% 10.9% 13.6% 7.6% 17.2% 12.1% 8.2%

Tecnologia da Informação (TI), não coberta em outras auditorias 7.2% 8.2% 8.3% 4.7% 8.5% 9.4% 11.5%

Financeiros gerais 8.4% 6.3% 8.3% 7.0% 5.6% 7.8% 6.5%

Governança corporativa 6.7% 6.9% 6.9% 8.1% 5.0% 7.1% 3.7%

Fraude não coberta em outras auditorias 3.7% 4.0% 3.5% 3.2% 4.4% 3.7% 2.5%

Outros (em especial, solicitações, treinamento, etc.) 1.4% 3.3% 3.3% 2.8% 3.6% 2.2% 4.2%

Redução ou contenção de custos/gastos 5.0% 3.2% 3.4% 4.5% 1.7% 5.9% 1.9%

Teste ou apoio à Sarbanes-Oxley (Estados Unidos apenas) 0.2% 0.6% 0.6% 0.8% 1.7% 0.4% 10.2%

Relacionamentos com terceiros 2.0% 2.7% 1.8% 2.0% 1.8% 2.0% 3.1%

Gestão de crises 0.5% 1.1% 1.4% 1.9% 0.8% 2.3% 0.7%

em riscos, de modo que a pequena porcentagem dedicada à avaliação/e�cácia do gerenciamento de riscos pode não ser tão alarmante assim. Vale notar também que, do ponto de vista regional, a América do Norte está notavelmente abaixo das outras partes do mundo (veja o Documento 15). Porém, isso é motivado principalmente pelo tempo investido em testes para a Sarbanes-Oxley nos Estados Unidos (10.2%). Embora os testes da Sarbanes-Oxley tenham foco apenas nos riscos do reporte �nanceiro, é razoável considerar que também prestam avaliação do gerenciamento de riscos.

Outro tópico relevante relacionado à avaliação é a avaliação combinada, um esforço coordenado de combinar as avaliações de diversas funções de avaliação interna. Ela pode ser uma das principais facilitadoras da prestação de avaliação do gerenciamento de riscos como um todo, porque essa avaliação é feita com assistência de outras áreas. No entanto, no geral, apenas 1 a cada 4 participantes implementou a avaliação combinada. Especi�camente, 19% indicam que sua organização implementou um modelo formal de avaliação combinada

Avaliação/eficácia do gerenciamento de riscos

Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde a cada uma das categorias gerais de riscosa seguir? CAEs apenas. 2.712 participantes.

●

AÇÃO PRINCIPAL 8

Explore formas de integrar a avaliação

com outros prestadores de avaliação interna;

a avaliação combinada e integrada pode ser

mais eficaz e eficiente.

100%

0%

20%

40%

60%

80%

Documento 16 Lacuna Entre a Avaliação Combinada Formale a Avaliação do Gerenciamento de Riscos (Visão Regional)

60%57%

51%47%

44%39% 39%

47%

41%

27%22% 20%

13%

30%

22% 24%19%

30% 29% 27%31%

9%

17%23%


Américado Norte


EuropaÁfricaSubsaariana

Sulda Ásia


MédiaGlobal


Gerenciamento de riscosformal em prática

Lacuna

Observação: Q60: Quais são as áreas de responsabilidade da auditoria interna, com relação a riscos, em sua organização? (Escolha todasas aplicáveis.) 11.779 participantes. Q61: Sua organização implementou um modelo formal de avaliação combinada? 10.417 participantes

e outros 5% dizem que o modelo está implementado, mas não foi aprovado ainda pelo conselho. É interessante notar que, na discussão sobre as três linhas de defesa no capítulo 2, os resultados da pesquisa mostram que 66% dos participantes coordenam e compartilham conhecimento com a função de ERM, mas devem ser uma coordenação e um compartilhamento informais, porque uma porcentagem muito menor implementou a avaliação combinada formal. (Para uma análise mais aprofundada da avaliação combinada, por favor consulte o relatório CBOK chamado Avaliação Combinada: Uma Língua, Uma Voz, Uma Visão.) Há diferenças previsíveis nas respostas a essa pergunta, como em outras perguntas; isto é, empresas maiores e de maior regulação têm maiores taxas de implementação da avaliação combinada formal. No entanto, independentemente

do porte ou tipo de indústria, o maior nível de participação na avaliação combinada foi de 36%. É interessante comparar regionalmente as porcentagens das empresas que têm uma avaliação combinada formal em prática com a avaliação do gerenciamento de riscos como um todo (veja o Documento 16). Em toda região, a avaliação do gerenciamento de riscos como um todo (barras verdes) é consistentemente maior do que a implementação da avaliação combinada (barras azuis), o que é de se esperar, porque a avaliação combinada ainda é uma prática em evolução. Nas regiões em que a avaliação combinada é relativamente alta, é provável que o clima regulatório seja uma in�uência. Por exemplo, a África Subsaariana tem a maior implementação da avaliação combinada (41%), provavelmente por conta da in�uência das regulações de

●

❝ Há uma tendência

crescente de

segregar as funções

de avaliação, então

não espero ver um

aumento na avaliação

combinada nesta

região (Oriente Médio

& África do Norte).

A avaliação integrada

não se estabeleceu na

região e não prevejo

que isso mude no

futuro próximo.❞

—Tom Totton,Gerente Geral de Auditoria Interna,

Bankmuscat, Sultanato de Omã

governança na África do Sul, onde o King Report on Corporate Governance (King III) exige um modelo de avaliação combinada. Surpreendentemente, a América Latina e o Caribe têm a segunda mais alta porcentagem de avaliação combinada, o que parece ir contra as respostas às outras perguntas. As maiores lacunas (barras douradas) são na América do Norte (31%) e Europa (30%). A lacuna Europeia provavelmente se deve ao fato de que a implementação da avaliação combinada ainda não alcançou o maior nível de avaliação em geral. No entanto, na América do Norte, a lacuna simplesmente re�ete o nível muito baixo da avaliação combinada (13%). Esses resultados claramente mostram que há oportunidades signi�cantes no mundo

todo para implementar modelos de avaliação combinada. Uma observação �nal relativa à avaliação combinada é que apenas 14% dos CAEs indicaram que suas organizações implementaram um modelo formal de avaliação combinada, enquanto 24% dos diretores e gerentes sênior, 22% dos gerentes e 19% da equipe responderam que “sim”. Essas diferenças são muito grandes para atribuir a diferenças entre as empresas onde trabalham. É mais provável que os CAEs estejam em melhor posição para julgar o que é, de fato, uma avaliação combinada formal, enquanto outros da auditoria interna pensaram que certo nível de avaliação feito por outra atividade já justi�caria sua resposta.

●

E

4 Abordagens e Competênciaspara o Risco

AÇÃO PRINCIPAL 9

Periodicamente,debata com a gerênciaas áreas de principaisriscos, para garantir

que o foco da auditoriainterna esteja alinhado

com o da gerência.

Documento 17 Tipo de Avaliação de Riscos de quea Auditoria Interna Depende

7%

20%

22%

51%

Avaliação focada por parteda gerência

Avaliação focada por parteda auditoria interna

Avaliação abrangente por parteda auditoria interna

Avaliação abrangente por parteda gerência

51%

22%

20%

7%

Observação: Q41: De que tipo de avaliação de riscos a auditoria interna depende em suaorganização? CAEs apenas. 2.907 participantes

ste capítulo explora outras perguntas do CBOK, que trazem insights adicionais sobre a pergunta geral, “Quem é o proprietário do risco?” As perguntas abordam, especi�camente, como os executivos percebem, em comparação com os CAEs, o gerenciamento de riscos como uma das áreas principais de riscos; fontes de informações para avaliações de riscos; e pro�ciências de riscos para auditores internos. Esses insights ajudarão os auditores internos a fazer um melhor trabalho de prestação de serviços com base em riscos.

Para identi�car os cinco principais riscos nos quais sua gerência executiva está focando o maior nível de atenção em 2015, os CAEs escolheram “avaliação/ e�cácia do gerenciamento de riscos” 41% das vezes. Mas, ao responder a mesma pergunta sobre os cinco principais riscos nos quais a auditoria interna está focando sua maior atenção, os CAEs escolheram a opção 58% das vezes (Q65 e Q66, 2.753

participantes). Por que há diferença entre o que os CAEs acham que a gerência executiva pensa que merece mais atenção, e o que a auditoria interna acha que merece mais atenção? Pode-se apenas conjecturar a resposta a essa pergunta, mas ela provavelmente indica que a gerência executiva e os CAEs não passam tempo su�ciente debatendo sobre quais áreas de risco são mais importantes para a organização e onde a avaliação tem mais valor. Os CAEs podem ter um entendimento melhor do valor da avaliação do gerenciamento de riscos e precisam educar a gerência executiva quanto a esse valor.

A avaliação de riscos tem sido parte fundamental da auditoria com base em riscos há anos, mas foi muito interessante descobrir como os auditores internos obtêm as informações de avaliação de riscos que usam como base para suas atividades (veja o Documento 17). Cerca de metade dos CAEs indica que a auditoria interna faz uma avaliação de

Principais Áreas de Risco

Fontes de Avaliação de Riscos

●

Frequência da Avaliação de Riscos

Arquivos de Dados de Riscos

AÇÃO PRINCIPAL 10

Trabalhe com funçõesligadas aos riscos, para

garantir proveito edependência apropriadosdos esforços de avaliação

de riscos de todasessas funções.

AÇÃO PRINCIPAL 11

Atualize a avaliação deriscos com a mesma

velocidade dos riscos,não com base na

virada de uma páginado calendário.

0% 10% 20% 30% 40% 50%

Nunca (a auditoria interna nãoconduz avaliações de riscos)

Anual, sem atualizações formais

Anual, com atualizaçõesperiódicas formais

Avaliação contínua 23%

36%

32%

9%

Documento 18 Frequência da Avaliação de Riscos

Observação: Q57: Até que ponto você acredita que seu departamento de auditoria interna estáalinhado com o plano estratégico de sua organização? CAEs apenas. 2.986 participantes

de riscos abrangente, enquanto outros 22% dizem que seu departamento de auditoria interna conduz avaliações de riscos focadas. Isso signi�ca que os 27% restantes dependem de avaliações de riscos da gerência (abrangentes ou focadas). Comparando esses dados com a pergunta no capítulo 2 (foco no relacionamento entre a auditoria interna e o ERM), isso levanta a seguinte questão: por que dois terços dos participantes indicam a auditoria interna e o gerenciamento de riscos como funções separadas, mas que coordenam e compartilham conhecimento, se a auditoria interna depende da gerência para informações de avaliação de riscos apenas um quarto do tempo? Pode-se presumir que a função de gerenciamento de riscos deve estar dependendo da avaliação de riscos da auditoria interna, mas parece estranho para uma função de gerenciamento de riscos abrir mão dessa importante responsabilidade de riscos. Também é possível que o gerenciamento de riscos faça sua própria avaliação, mas a auditoria interna pre�ra utilizar sua própria avaliação. De qualquer forma, parece haver uma oportunidade de melhorar a colaboração entre a auditoria interna e o ERM.

Sobre a frequência das avaliações de riscos, 23% dos CAEs dizem que a avaliação de riscos é contínua e outros 36% dizem fazer uma avaliação de riscos anual com atualizações formais (veja o Documento 18). Os 41% restantes não consideram como os riscos mudam ao longo do ano ou o fazem informalmente. Considerando o quão rapidamente o mundo muda e, como resultado, como o per�l de riscos de uma empresa muda, os 41% que não atualizam suas avaliações de riscos formalmente não estão, de alguma forma, otimizando o valor de sua função de auditoria interna. Isso deve ser discutido com suas principais partes interessadas, que podem presumir que os riscos emergentes e variáveis estejam sendo considerados pela auditoria interna de forma oportuna, quando, na realidade, não estão.

Manter um grande volume de dados de avaliações de riscos em um mundo em constante mudança pode ser desa�ador; portanto, a pesquisa também perguntou aos CAEs como sua avaliação de riscos é mantida. Os participantes puderam escolher entre quatro opções de tecnologia. Como a maioria dos sistemas

●

Planos de Auditoria com Base em Riscos

0% 10% 20% 30% 40% 50%

Pacote único de riscos

Parte de um pacote mais amplo degovernança, riscos e conformidade

Em um software de planilhaou banco de dados

38%

26%

23%

13%

Documento 19 Tecnologia Usada para Manter as Avaliações de Riscos

AÇÃO PRINCIPAL 12

Embora solicitaçõesda gerência devam,

tipicamente, serconsideradas em umplano de auditoria,tenha cuidado para

garantir que tais pedidosnão desviem recursosvaliosos de auditoriainterna de áreas de

maior risco.

Documento 20 Recursos Usados para Estabelecer o Plano de Auditoria

Uma metodologia com base em riscos 85%

Solicitações da gerência 72%

Análise da estratégia ou objetivos de negócio da organização 64%

Consultas aos chefes de divisão ou negócios 62%

Requisitos de conformidade/regulatórios 62%

Plano de auditoria do ano anterior 61%

Solicitações do comitê de auditoria 56%

Consultas aos auditores externos 26%

Solicitações dos auditores externos 19%

Outros 6%

Parte de um sistema degestão de auditoria

de gestão de auditoria consegue lidar com possíveis mudanças nos componentes de riscos, é de certa forma encorajador que 62% dos participantes utilizem softwares de gestão de informações de riscos (veja o Documento 19). Os 38% que ainda usam softwares de planilha ou banco de dados podem precisar avaliar os benefícios em utilizar produtos de software feitos para lidar com tais informações de riscos.

Por �m, 85% dos participantes indicam usar uma metodologia com base em riscos como recurso para estabelecer seu plano de auditoria (resposta mais popular) (veja o Documento 20). Embora haja certa variação entre regiões, indústrias e portes, todos usam a “metodologia com base em riscos” como recurso nº 1 ou 2 para seus planos de auditoria. Para os poucos casos em que a

Observação: Q43: Como sua avaliação de riscos é mantida? CAEs apenas. 2.667 participantes

Observação: Q48: Quais recursos você utiliza para estabelecer seu plano de auditoria? (Escolhatodas as aplicáveis.) CAEs apenas. 3.040 participantes

●

Níveis de Competência para o Risco

0% 10% 20% 30%

2-Treinado1-Iniciante

Gerente

Diretor ougerente sênior

CAE ou equivalente 6%

4%

9%

17%

2%

2%

3%

11%

Documento 22 Autoavaliação de Proficiência em RiscosNível Iniciante/Treinado

AÇÃO PRINCIPAL 13

Continue aumentandoas capacidades de auditoriainterna relativas aos riscos,

para garantir que as funçõesde auditoria interna possam

atender as expectativasvariáveis futuras das partesinteressadas em um mundo

cada vez mais complexoe arriscado.

Documento 21 Autoavaliações de Proficiência em Riscos

3-Competente

2-Treinado

1-Iniciante

5-Especialista

4-Avançado7%

11%

32%

31%

19%7%

32%

11%19%

31%

Equipe

resposta �cou em 2º, as solicitações da gerência �caram em 1º. Isso con�rma o risco como principal base das atividades de auditoria interna ao redor do mundo.

Para executar uma metodologia de auditoria com base em riscos, os auditores internos devem ter certo nível de competência para o risco. Ao descrever seu nível de pro�ciência relativa à aplicação da estrutura de riscos da organização aos trabalhos de auditoria (veja o Documento 21), a maioria dos

participantes se avalia como competente (32%), avançada (31%) ou especialista (19%). Embora o total combinado de 82% pareça bem relacionado aos 85% dos participantes que usam uma metodologia com base em riscos, esperaria-se que os participantes que se avaliassem como ao menos competentes chegasse perto de 100%. No entanto, uma maioria das avaliações “iniciante” e “treinado” veio da equipe (veja o Documento 22). Então, talvez não seja de surpreender que as pessoas menos experientes não se considerem ainda competentes com relação aos riscos.

Observação: Q81: Estime sua proficiência em cada competência, usando a escala a seguir: 1-Iniciante; 2-Treinado; 3-Competente; 4-Avançado; 5-Especialista. Tópico: Aplicar a estrutura de riscos da organização aos trabalhos de auditoria. 10.518 participantes


●

0 10.5 1.5 2.5 3.52 3 4

Média Global


Sul da Ásia

América Latina& Caribe


África Subsaariana

América do Norte

Europa 3.8

3.6

3.6

3.5

3.5

3.3

3.0

3.4

Documento 23 Média da Autoavaliação de Proficiência em Riscos(Visão Regional)

❝ A tendência, na

África Subsaariana,

de se tornar mais

competente para o

risco é consistente

com as necessidades

e expectativas das

partes interessadas

da região. O lado

negativo é que

muitas organizações

estão ‘roubando’

membros das funções

de auditoria interna

conforme implementam

o gerenciamento de

riscos formal. ❞

—Andy Chitete, Gerente Sênior de Riscos,

Electrical Supply Corporation

of Malawi (ESCOM), Blantyre, Malawi


Também é interessante notar que há diferenças na pro�ciência em riscos entre as várias regiões do mundo (veja o Documento 23), o que provavelmente re�ete os níveis diferentes de maturidade com relação aos riscos nessas regiões, conforme discutido ao longo desse relatório. Esse grá�co mostra a média percebida de pro�ciência na aplicação da estrutura de gerenciamento de riscos da organização, na qual os participantes especialistas receberam a nota 5, avançados 4, competentes 3, treinados 2 e iniciantes 1. A Europa liderou as regiões, enquanto o Leste Asiático e o Pací�co tiveram as menores notas. Esses resultados são relativamente consistentes com os resultados do capítulo 1 sobre a implementação do gerenciamento de riscos formal. As diferenças são menores entre as diversas indústrias (veja o Documento 24). É interessante que todos os outros dados relativos a riscos no CBOK indiquem que as empresas �nanceiras e de seguros

são tipicamente mais maduras com relação a tópicos de riscos, provavelmente por conta das regulações mais rígidas nessas indústrias. No entanto, nessa questão, estão mais próximas da média global e em linha com a maioria das outras indústrias. É importante notar que o estudo CBOK de 2010 incluiu um relatório chamado Competências Fundamentais para o Auditor Interno de Hoje. Quase 60% dos participantes daquele ano indicaram o ERM como uma área de conhecimento muito importante para os auditores internos. Além disso, as pesquisas de 2012 e 2013 do Pulso da Pro�ssão, conduzidas pelo Audit Executive Center do IIA, identi�caram a avaliação do gerenciamento de riscos como uma das cinco principais habilidades buscadas no mundo todo. Com base nos resultados do CBOK 2015, parece que o foco nas habilidades de gerenciamento de riscos ainda está rendendo frutos.

●

Documento 24 Média da Autoavaliação de Proficiência em Riscos(Visão por Indústria)

Serviços profissionais, científicos e técnicos 3.6

Saúde e assistência social 3.6

Finanças e seguros 3.5

Setor de serviços públicos 3.5

Mineração, pedreiras e extração de petróleo e gás 3.5

Venda por varejo 3.5

Imobiliária, aluguel e leasing 3.5

Administração pública 3.4

Outros serviços (exceto administração pública) 3.4

Transporte e armazenamento 3.4

Serviços educacionais 3.4

Outras 3.4

Manufatura 3.3

Construção 3.2

Venda por atacado 3.2

Informação 3.1

Média 3.4


●

O

Recomendações para o Gerenciamento de Riscos

1. Sejam defensores do progresso dos processos formais de gerenciamento de riscos,independentemente da indústria.

2. Busque oportunidades de ajudar a acelerar a implementação do gerenciamento deriscos formal e sustente-o quando já estiver em prática.

3. Trabalhe com a gerência e outros prestadores internos de avaliação, para garantir aclareza dos papéis dentro das três linhas de defesa.

Conclusão

risco continua sendo a base da auditoria interna no mundo todo. Embora as responsabilidades de riscos de outras funções dentro da organização estejam crescendo, a auditoria interna continua tendo um papel importante quanto aos riscos. O aumento das regulações parece motivar o crescimento do gerenciamento de riscos formal depois da crise �nanceira global. No entanto, enquanto o crescimento no gerenciamento de riscos se mantém, seu ritmo pode estar reduzindo. A tendência de separar o gerenciamento de riscos da auditoria interna continua, apesar de existirem vulnerabilidades por conta do desfoque da segunda e terceira linhas de defesa. A auditoria interna está prestando mais avaliações sobre o gerenciamento de riscos como um todo, apesar dessa avaliação ainda ser defasada em relação ao nível dos processos formais de gerenciamento de riscos em prática. Adicionalmente, a implementação de um modelo de avaliação combinada continua relativamente baixa, o que indica que a e�ciência da avaliação do gerenciamento de riscos ainda não foi otimizada. Os CAEs veem maior importância na avaliação do gerenciamento de riscos em comparação com o ponto de vista da gerência. Isso indica que há oportunidades de trabalhar de perto com partes interessadas quanto às expectativas relativas à avaliação do gerenciamento de riscos. Além disso, podem existir oportunidades para a auditoria interna e o gerenciamento de riscos coordenarem entre si as atividades de avaliação de riscos, para garantir que cada um tire proveito, apropriadamente, do conhecimento do outro. Por �m, as competências de riscos entre os auditores internos também parecem estar crescendo, o que ajuda a pro�ssão a confrontar as expectativas crescentes das partes interessadas. No entanto, há muitas áreas nas quais a auditoria interna pode não estar progredindo tanto quanto será necessário em um mundo cada vez mais complexo e arriscado. Ao longo deste relatório, ações principais foram identi�cadas para CAEs e auditores internos considerarem. Ao focar nessas ações fundamentais, as funções de auditoria interna �carão em melhor posição para atender as demandas crescentes das partes interessadas quanto aos riscos.

●

4. Esforce-se para prestar avaliação sobre o gerenciamento de riscos como umtodo, não apenas quanto aos riscos individuais.

5. Ao prestar avaliação do gerenciamento de riscos, garanta que os critériosde avaliação sejam bem entendidos.

6.

7. Continue aumentando a porcentagem do plano de auditoria focada nogerenciamento de riscos.

8. Explore formas de integrar a avaliação com outros prestadores de avaliaçãointerna; a avaliação combinada e integrada pode ser mais e�caz e e�ciente.

9. Periodicamente, debata com a gerência as áreas de principais riscos, paragarantir que o foco da auditoria interna esteja alinhado com o da gerência.

10. Trabalhe com funções ligadas aos riscos, para garantir proveito e dependênciaapropriados dos esforços de avaliação de riscos de todas essas funções.

11. Atualize a avaliação de riscos com a mesma velocidade dos riscos, não combase na virada de uma página do calendário.

12. Embora solicitações da gerência devam, tipicamente, ser consideradas emum plano de auditoria, tenha cuidado para garantir que tais pedidos nãodesviem recursos valiosos de auditoria interna de áreas de maior risco.

13. Continue aumentando as capacidades de auditoria interna relativas aosriscos, para garantir que as funções de auditoria interna possam atenderas expectativas variáveis futuras das partes interessadas em um mundocada vez mais complexo e arriscado.

Na condução de uma auditoria com base em riscos, relacione o escopo eos resultados a riscos especí�cos do negócio.

●

Paul J. Sobel, CIA, QIAL, CRMA, é vice-presidente/chief audit executive na

Sobre o Autor

Equipe de Desenvolvimento do CBOK

Co-Presidentes do CBOK: Analista de Dados Primários: Dr. Po-ju Chen Dick Anderson (Estados Unidos) Desenvolvedora de Conteúdo: Deborah Poulalion Jean Coroller (França) Gerentes de Projeto: Selma Kuurstra ePresidente do Subcomitê da Pesquisa do Praticante: Kayla Manning Michael Parkinson (Austrália) Editora Sênior: Lee Ann CampbellVice Presidente da IIARF: Bonnie Ulmer

Comitê de Revisão dos Relatórios

Sezer Bozkus (Turquia) Michael Parkinson (Austrália) John Brackett (Estados Unidos) Beatriz Sanz-Redrado (Bélgica)John McLaughlin (Estados Unidos) Maritza Villanueva (El Salvador)

Sobre a Equipe do Projeto

Georgia-Paci�c, LLC, uma empresa privada de produtos �orestais e de consumo com sede em Atlanta, Georgia. Trabalhou anteriormente como CAE em três empresas públicas, onde suas responsabilidades incluíam liderar os esforços globais de auditoria interna, assim como prestar consultoria quanto aos programas de ERM, conformidade e controles internos de cada empresa. Sobel publicou três livros, sendo o primeiro o Auditor’s Risk Management Guide: Integrating Auditing and ERM. Foi co-autor do livro didático da IIARF Internal Auditing: Assurance & Consulting Services e, mais recentemente, foi co-autor de um livro voltado para o ERM, Enterprise Risk Management: Achieving and Sustaining Success. Já desempenhou muitos papéis voluntários, incluindo o de presidente do Conselho de Administração em 2013-2014. Atualmente, é um dos representantes do IIA no ERM Advisory Council do COSO e também participou do Standing Advisory Group do Public Company Accounting Oversight Board (PCAOB). Em 2012, foi reconhecido na lista das 100 Pessoas Mais In�uentes em Finanças da Treasury & Risk Magazine.

SUA DOAÇÃO EM AÇÃOOs relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo.

DOE PARAO CBOK

CBOKwww.theiia.org/goto/

Limitação de Responsabilidade

Sobre a The IIA Research Foundation

O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão.

A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida.

Contate-nos

Sede do The Institute of Internal Auditors Global247 Maitland AvenueAltamonte Springs, Flórida, 32701-4201, EUA

Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar [email protected]. ID # 2015-1479

quem é o proprietário do risco? - global.theiia.org · 4 abordagens e competências para o risco...

Documents