Doenças e Desiquilíbrios. ICG (Imunodeficiência Combinada Grave)
Avaliação Combinada: Uma Língua, Documents/Combined-Assurance... · Avaliação Combinada: Uma...
Transcript of Avaliação Combinada: Uma Língua, Documents/Combined-Assurance... · Avaliação Combinada: Uma...
Avaliação Combinada: Uma Língua, Uma Voz, Uma Visão
CBOKThe Global Internal Audit Common Body of Knowledge
Sumário Executivo
● Uma única voz e taxonomia em todos os órgãos efunções de governança da organização
●
● Uma única visão de todos os riscos e questões daorganização
●
RISCO
Fast Fact
Sam C. J. HuibersEMIA, RO, CRMA
Em organizações cada vez mais complexas, onde mais e mais participantes estão envolvidos na prestação de diferentes métricas de avaliação, como podemos prevenir que a gerência �que sobrecarregada de informações e relatórios e ceda à “fadiga de avaliação”? A avaliação combinada pode ajudar a resolver esse problema, integrando e alinhando processos de avaliação, de modo que a alta administração e os comitês de auditoria e supervisão obtenham uma visão abrangente e holística da e�cácia da governança, dos riscos e dos controles de sua organização, para permitir que de�nam prioridades e executem as ações necessárias. Há benefícios múltiplos em implementar a avaliação combinada, incluindo:
No entanto, os resultados da pesquisa CBOK 2015 mostram que o conhecimento e a implementação do conceito de avaliação combinada não foram, ainda, difundidos. As orientações especí�cas sobre como implementar a avaliação combinada da melhor maneira possível ainda são limitadas, embora a Norma do IIA 2050: Coordenação recomende que “o chief audit executive compartilhe informações e coordene atividades com outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e a minimização da duplicação de esforços”. Adicionalmente, há formas diferentes de avaliação
E�ciência na coleta e reporte de informações
Uma supervisão mais e�caz da governança, dos riscose do controle
Seção 1: Introdução
Ao combinar a avaliação, o papel da auditoriainterna é fundamental no apoio ao conselho para
funciona.—Marie-Helene Laimay, CAE,
1.
* King Code of Governance for South Africa 2009 (Institute of Directors in Southern Africa), 50. http://www.ecgi.org/codes/documents/king3.pdf
●
●
●
●
combinada. Dependendo dos requisitos especí�cos e da integração de atividades na organização, a coordenação varia:
Auditorias integradas: coordenação pelas atividades deauditoria, realizando auditorias em conjunto
Planejamento e reporte integrados: coordenação pelosprocessos de planejamento e reporte
Alinhamento das atividades: coordenação peloalinhamento das atividades de funções separadas
Integração funcional: coordenação por meio daslinhas hierárquicas, combinando a auditoriainterna com as funções da organização queapoiem a administração
Para qualquer implementação de avaliação combinada, se deve notar que o Modelo das Três Linhas de Defesa, no qual a auditoria interna está posicionada como uma função independente e separada na terceira linha de defesa, é considerado uma boa prática pelo IIA, da perspectiva da avaliação independente. A gerência atua como a primeira linha de defesa (assumindo propriedade dos processos, controles e riscos); diversas funções de apoio, incluindo o gerenciamento de riscos, controle interno e conformidade, são a segunda linha de defesa (monitorando os processos, assim como seus riscos e controles); e a auditoria interna representa a independente terceira linha de defesa. Considerando este modelo, a integração funcional não é a forma preferida de promover a avaliação combinada, por conta dos desa�os que causa para a independência e objetividade do auditor. O objetivo deste relatório é ajudar as funções de auditoria interna e suas organizações a embarcar na jornada da avaliação combinada. A auditoria interna tem um papel fundamental a desempenhar, tanto na implementação e coordenação das atividades, quanto na melhoria contínua. O relatório traz os pontos principais quanto à posição atual da auditoria interna, em relação à implementação da avaliação combinada; por que as organizações têm embarcado nessa jornada; quais lições podem ser aprendidas; e orientações práticas de boas práticas para os passos da implementação. A avaliação combinada deve ser vista pela auditoria interna, não como ameaça, mas como uma oportunidade de desempenhar um papel principal na coordenação e no alinhamento dos envolvidos na avaliação, para garantir
que a organização se bene�cie, ao longo do tempo, por ter “uma língua, uma voz e uma visão”. Por �m, isso resultará em menos fatores desconhecidos ou inesperados e apoiará o progresso, em direção à plena realização dos objetivos e da estratégia da organização.
❝
❞a supervisão e�caz da empresa. Do contrário, não
Conforme as organizações crescem e se tornam mais complexas, o mesmo acontece com o número de funções necessárias para garantir que os conselhos cumpram com sua responsabilidade de controle, conformidade e gerenciamento de riscos e�cazes na organização. O problema, então, passa a ser como prevenir que a gerência �que sobrecarregada de informações e relatórios, criando uma “fadiga de avaliação”. O propósito da avaliação combinada é lidar com esse problema, “integrando e alinhando os processos de avaliação em uma empresa, para maximizar a supervisão dos riscos e governança e a e�ciência do controle, e otimizar a avaliação geral para os comitês de auditoria e riscos, considerando o apetite ao risco da organização”.* Ao alinhar e harmonizar as atividades de avaliação e as formas de trabalhar entre diferentes funções, a entrega da avaliação se torna cada vez mais e�ciente e e�caz. Portanto, com a avaliação combinada, haverá diversas partes envolvidas na prestação da avaliação e suas atividades exigem coordenação e alinhamento, conforme exibido no Documento 1. Essas partes são:
Administração: Responsável por garantir que umaestrutura robusta de riscos e controle esteja emprática, de modo que desvios sejam identi�cadosoportunamente e remediados adequadamente.
Seção 2: Benefícios da AvaliaçãoCombinada
combinada e ter a energia de embarcar nessajornada.
—Jenitha John, CAE, FirstRand, África do Sul
Ponto Principal
2.
3.
Documento 1 Partes Envolvidas na Estrutura
de Avaliação Combinada
AvaliaçãoCombinada
Governança de supervisão; riscos e controles
Administração
Prestadoresexternos de
avaliação
Prestadoresinternos deavaliação
Fonte: Adaptado do King Code of Governance for South Africa 2009 (Institute of Directors in Southern Africa) e Combined Assurance: Case Studies on a Holistic Approach to Organizational Governance, por G. Sarens, Decaux, L., & Lenz, R. (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2012).
Prestadores internos de avaliação: Responsáveispor apoiar a administração, como as funções de gerenciamento de riscos, controle interno econformidade (também conhecidas como asfunções da segunda linha de defesa) e a auditoriainterna (terceira linha de defesa).
Prestadores externos de avaliação: Responsáveispela avaliação externa independente, tais como oauditor externo �nanceiro.
Por �m, uma única língua (taxonomia), uma única voz (por exemplo, o reporte integrado) e uma única visão de governança, riscos e controles resultarão em menos fatores desconhecidos ou surpresas e bene�ciarão a organização. Este relatório é de natureza exploratória e tem como objetivo estabelecer a posição atual, em relação à implementação da avaliação combinada; por que as organizações têm embarcado nessa jornada; e quais lições podem ser aprendidas. Ele foca nas partes internas envolvidas e oferece orientações práticas ao compartilhar as lições aprendidas. O relatório é concluído com as melhores práticas para os passos para a implementação da avaliação combinada.
A avaliação combinada é um meio de prestar avaliação de uma forma e�caz e e�ciente, que supera as di�culdades de trabalhar com diferentes sistemas de classi�cação e formatos de relatórios de diferentes funções. Isso pode levar a tamanha sobrecarga de informações que qualquer mensagem e chamada à ação da alta administração, na realidade, se perdem. Jenitha John, CAE da FirstRand, na África do Sul, ajudou a implementar a avaliação combinada na FirstRand, uma das maiores instituições �nanceiras da África do Sul. Ela comentou que a implementação bem sucedida da avaliação combinada foi precedida por entrevistas com executivos sênior e com os comitês de auditoria e riscos, para, simultaneamente, identi�car os benefícios potenciais e conseguir apoio. O Documento 2 lista os benefícios da avaliação combinada identi�cados pela FirstRand. Um membro do conselho disse que a avaliação combinada ajudou a combater o desa�o da priorização nas avaliações de diferentes fontes (chamado, comumente, de “fadiga de avaliação”). Ele comentou: “Na verdade, recebemos avaliações demais, mas não temos uma visão equilibrada do que temos que fazer e, em especial, de quais são nossas prioridades”.
A coordenação e alinhamento eficazes dosdiversos prestadores de avaliação são essenciaispara um conselho ou comitê supervisor tersupervisão adequada da governança da empresa.
Então, a meta é conectar, analisar e reportar as informações fornecidas pelos diferentes prestadores de avaliação, de modo que a alta administração, o comitê de auditoria e o comitê supervisor recebam uma visão abrangente e holística da e�cácia da governança, riscos e controles em sua organização, para permitir que tomem as atitudes necessárias. Ao alinhar e harmonizar as atividades de avaliação e formas de trabalhar das diferentes funções, a entrega da avaliação se torna cada vez mais e�ciente e e�caz.
❝
❞
O maior dos principais fatores de sucesso é vocêmesmo acreditar nos benefícios da avaliação
●
Seção 3: A Adoção da AvaliaçãoCombinada
Conhecimento sobre a Avaliação Combinada
● Uma taxonomia para todos os órgãos e funções degovernança da organização
●
●
Documento 2 Dez Formas pelas quais a Avaliação Combinada Apoia os Objetivos Organizacionais
1 Erradicação da fadiga de avaliação. Os recursos não são mais desperdiçados em duplicação desnecessária.
2 Os esforços de avaliação são direcionados aos riscos que mais importam. Os recursos são liberados paratarefas mais produtivas.
3 É criada uma visão única dos riscos e questões da organização.
4 O escalonamento de informações para comitês de governança é mais preciso e perspicaz.
5 As atividades de avaliação produzem dados valiosos e relevantes, baseados na colaboração, não emsilos. Isso facilita uma melhor tomada de decisões.
6 O uso de uma língua única e a consistência ajudam a facilitar discussões de valor agregado.
7
8 Custos são reduzidos por meio da melhor alocação de recursos e maior cobertura.
9 Demonstra-se comprometimento em melhorar os controles.
10 Por fim, menos surpresas desagradáveis ocorrem.
Uma Língua Uma Voz Uma Visão
Uma taxonomiapara todos osórgãos e funçõesde governançana organização
Resultando em:governança, riscos e controle
Documento 3 Benefícios da Avaliação Combinada
A eficiência é melhorada ao compartilhar as lições aprendidas.
Fonte: Adaptado de “Harnessing the Benefits of Combined Assurance”, uma apresentação de Jenitha John, CAE na FirstRand,África do Sul. Usada com permissão. Site Corporativo da FirstRand LTD (16 de Agosto de 2015). http://www.firstrand.co.za
Uma supervisão mais eficaz de
Abandono dossilos, com coletae reporte maiseficientes deinformações
Uma visãocomum dosriscos e questõespara toda aorganização
Conforme mostrado no Documento 3, os benefícios da implementação da avaliação combinada incluem:
O abandono dos silos, com coleta e reporte maise�cientes de informações
Uma visão comum dos riscos e questões para todaa organização
Uma supervisão mais e�caz de governança, riscos econtrole
Embora os benefícios descritos na seção anterior sejam muitos, a Pesquisa Global do Praticante de Auditoria Interna CBOK 2015 indica que o conhecimento e a implementação do conceito de avaliação combinada ainda não foram difundidos. Na pesquisa, foi fornecida aos participantes a descrição de avaliação combinada a partir do King Code of Governance for South Africa (conhecido como King III), para que indicassem se a avaliação combinada tinha sido implementada em suas organizações ou se não estavam familiarizados com o conceito.
Globalmente, apenas 59% dos participantes tinham conhecimento sobre a avaliação combinada, embora haja grandes diferenças entre os números de diferentes regiões. O conhecimento sobre a avaliação combinada variou de um máximo de 80% na África Subsaariana para um mínimo de 46% no Sul da Ásia (veja o Documento 4).
Implementação Atual da Avaliação Combinada
●
●
Planos para Adoção da Avaliação Combinadano Futuro
●
●
Sem Planos para Adoção da Avaliação Combinada
●
●
0% 20% 40% 60% 80% 100%
Familiarizado com o modelode avaliação combinada
Média Global
Sul da Ásia
Leste Asiático& Pacífico
América do Norte
Oriente Médio &África do Norte
Europa
América Latina & Caribe
África Subsaariana
59%
46%
50%
53%
60%
65%
70%
80%
41%
54%
50%
47%
40%
35%
30%
20%
Documento 4 Familiaridade com o Modelo de Avaliação Combinada
Não familiarizado com o modelode avaliação combinada
Observação: Q61: Sua organização implementou um modelo formal de avaliação combinada? Participantes que selecionaram“Não sei. Não estou familiarizado com o modelo de avaliação combinada” foram comparados com aqueles que estão familiarizadoscom o modelo. Devido ao arredondamento, os totais podem não somar 100%. 10.417 participantes.
O Documento 5 mostra uma riqueza de informações relativas à implementação da avaliação combinada entre os participantes da pesquisa que estavam familiarizados com o conceito. Dentre esses já familiarizados com a avaliação combinada, as principais descobertas incluem:
Uma média global de 40% dos participantes dizem que suas organizações já implementaram o modelo (veja o total combinado das barras verde e azul no Documento 5).
O menor nível de implementação está na América do Norte, em 25%, e o mais alto, no Sul da Ásia e na África Subsaariana (cerca de 50%).
Cerca de 3 a cada 10 dizem que suas organizações não adotaram a avaliação combinada, mas esperam fazê-lo em dois a três anos.
As regiões com maior probabilidade de dizer que adotariam a avaliação combinada no futuro são o Oriente Médio & África do Norte, África Subsaariana, Sul da Ásia e América Latina & Caribe (entre 33% e 38%).
O Documento 5 também traz dados sobre aqueles que não implementaram a avaliação combinada, mas planejam fazê-lo em dois a três anos (veja as barras douradas).
Por �m, o Documento 5 mostra aqueles que dizem não ter planos de adotar a avaliação combinada nos próximos dois a três anos (veja as barras em cinza).
Cerca de 3 a cada 10 dizem que suas organizações não têm planos de adotar a avaliação combinada nos próximos dois a três anos.
A América do Norte foi, de longe, a menos provável de adotar a avaliação combinada no futuro, com 49% dizendo não ter planos de fazê-lo nos próximos dois a três anos.
●
Avaliações por Escrito da Avaliação Combinada
●
●
●
20%0% 40% 60% 80% 100%
Não, e não há planos de adotarnos próximos 2 a 3 anos
Não, mas há planos de adotarnos próximos 2 a 3 anos
Sim, mas não aprovada aindapelo conselho ou comitê deauditoria
Sim, está implementada
Média Global
América do Norte
Oriente Médio& África do Norte
América Latina& Caribe
Europa
Leste da Ásia& Pacífico
África Subsaariana
Sul da Ásia 42%
39%
38%
34%
30%
24%
21%
32%
7%
12%
6%
7%
12%
10%
4%
8%
33%
34%
25%
28%
33%
38%
26%
29%
17%
15%
30%
31%
24%
28%
49%
31%
Documento 5 Implementação da Avaliação Combinada
Ponto Principal
O conhecimento e a implementação de um conceitode avaliação combinada não foram ainda difundidos.
Observação: Q61: Sua organização implementou um modelo formal de avaliação combinada? Participantes que selecionaram“Não sei. Não estou familiarizado com o modelo de avaliação combinada” foram excluídos destes cálculos. Devido aoarredondamento, os totais podem não somar 100%. 6.185 participantes.
Para aqueles que implementaram a avaliação combinada, a pesquisa incluiu uma pergunta adicional, para descobrir se tinham emitido uma avaliação por escrito sobre a avaliação combinada. O Documento 6 mostra essas descobertas:
Em organizações nas quais a avaliação combinada tinha sido implementada, uma média global de 27% disse não ter emitido relatório de avaliação combinada por escrito.
Outros 12% não sabem se suas organizações emitiram um relatório por escrito.
Com isso, sobram 60% dos participantes, que disseram que suas organizações emitiram um relatório de avaliação combinada por escrito.
Regionalmente, as maiores porcentagens de emissão do relatório por escrito foram no Leste Asiático & Pací�co, África Subsaariana e Sul da Ásia, com cerca de 7 a cada 10 tendo emitido um relatório de avaliação combinada por escrito. O menor número foi na América do Norte (44%).
Fatores que Afetam a Adoção da AvaliaçãoCombinada
De acordo com os resultados da pesquisa, a conscientização e implementação da avaliação combinada parecem baixas. Isso pode ser por conta de não haver uma de�nição e orientações internacionalmente adotadas com relação à avaliação combinada e como implementá-la, incluindo as diferentes formas de avaliação combinada e os diferentes tipos de coordenação possíveis. Adicionalmente, os códigos e requisitos de governança variam por país e não há orientações abrangentes no nível global sobre como governar uma empresa e garantir a supervisão e�caz por parte de seu conselho e do comitê supervisor. Uma das fontes citadas mais frequentemente
0% 20% 40% 60% 80% 100%
Não sei
Não
Sim
73%
70%
69%
59%
56%
52%
44%
60%
20%
23%
19%
32%
28%
35%
36%
27%
8%
7%
12%
8%
16%
13%
20%
12%
Documento 6 Participantes que Emitiram Relatório Escrito sobre a Avaliação Combinada(Dentre Aqueles que Implementaram a Avaliação Combinada)
Seção 4: Orientações e Revisão daAvaliação Combinada
As Normas do IIA
Média Global
América do Norte
Oriente Médio& África do Norte
América Latina& Caribe
Europa
Leste da Ásia& Pacífico
África Subsaariana
Sul da Ásia
Observação: Q62: A auditoria interna em sua organização emite um relatório de avaliação combinada por escrito, como parte dainiciativa de avaliação combinada? Esta pergunta só foi respondida por aqueles que responderam “Sim, está implementada” naQ61. Devido ao arredondamento, alguns totais podem não somar 100%. 1.919 participantes.
de informações sobre a avaliação combinada é o King III, um código não-legislativo com base em princípios e práticas. Ele adota uma abordagem “aplique ou explique”. Em muitos países, é exigida da administração uma declaração sobre a e�cácia do sistema de controle interno como parte do relatório anual. Para criar essa declaração, a auditoria interna fornece relatórios sobre riscos e sobre a e�cácia dos controles em mitigá-los. Além disso, a auditoria interna pode avaliar a e�cácia das funções da segunda linha (isto é, revisões da segunda linha de defesa).
Orientações especí�cas sobre a melhor forma de implementar a avaliação combinada continuam limitadas. No entanto, vale usar como referência diversas das Normas Internacionais para a Prática Pro�ssional de Auditoria Interna (Normas) do IIA, relacionadas indiretamente à necessidade de uma avaliação e�caz. Este capítulo descreve essas normas
e mostra uma visão geral das diferentes formas de avaliação combinada, incluindo considerações especí�cas sobre o papel do auditor interno, especialmente quanto à proteção da independência dos auditores. As normas aplicáveis estão incluídas e relacionadas ao Modelo das Três Linhas de Defesa.
As Normas fazem parte da International Professional Practices Framework (IPPF) do IIA, que fornece aos pro�ssionais de auditoria interna do mundo todo orientações �dedignas obrigatórias ou recomendadas. Embora não haja uma norma especí�ca no IPPF sobre a prestação da avaliação combinada, diversas normas estão bem relacionadas ao tema (veja o Documento 7). As Práticas Recomendadas relativas à Norma 2050 trazem informações úteis sobre a coordenação de atividades de avaliação e consultoria com outras funções.
A Prática Recomendada 2050-1 recomenda que o CAE seja responsável pela avaliação regular da coordenação entre os auditores internos e externos.
2.
3.
* Integrated Reporting (International Integrated Reporting Council [IIRC], 2015). http://integratedreporting.org/
Formas de Coordenar a Avaliação Combinada
1.
Norma 1000: Propósito,Autoridade e Responsabilidade
O propósito, a autoridade e a responsabilidade da atividade de auditoria internadevem estar formalmente definidos em um estatuto de auditoria interna, consisten-te com a Definição de Auditoria Interna, com o Código de Ética e com as Normas.
Norma 2050: Coordenação O CAE deve compartilhar informações e coordenar atividades com outros prestado-res internos e externos de serviços de avaliação (assurance) e consultoria, paraassegurar a cobertura apropriada e a minimização da duplicação de esforços.
Norma 2060: Reporte à AltaAdministração e ao Conselho
O CAE deve reportar periodicamente à alta administração e ao conselho (...). Oreporte deve também incluir a exposição de pontos de riscos significativos e decontroles, incluindo os riscos de fraude, os assuntos de governança e outrosassuntos necessários ou solicitados pela alta administração e pelo conselho.
Norma 2100: Natureza doTrabalho
A atividade de auditoria interna deve avaliar e contribuir para a melhoria dosprocessos de governança, gerenciamento de riscos e controles, utilizando umaabordagem sistemática e disciplinada.
Documento 7 Normas do IIA Relativas à Avaliação Combinada
Fonte: Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) (Altamonte Springs, FL: The Institute of Internal Auditors, 2013).
A Prática Recomendada 2050-2 orienta quanto à adoção de uma visão holística e e�caz do monitoramento de riscos e controles, mapeando a cobertura de avaliação em comparação com os riscos identi�cados na organização.
A Prática Recomendada 2050-3 aponta que “o auditor interno pode depender ou usar o trabalho de outros avaliadores internos ou externos em suas avaliações de governança, gerenciamento de riscos e controle para o conselho”, caso certas salvaguardas estejam em prática.
Em suma, as Normas claramente apoiam a �loso�a da avaliação combinada. A próxima pergunta é, como a auditoria interna a coloca em prática? Tipos diferentes de coordenação podem ser usados, o que é explicado em mais detalhes na próxima seção, assim como a relação com as Normas.
Há métodos e formas diferentes de avaliação combinada e as Normas não oferecem uma de�nição especí�ca. Quando se trata do tipo de coordenação, as variações dependem dos requisitos especí�cos e do tipo de integração das atividades que as organizações preferem (veja o Documento 8).
Auditorias integradas. A coordenação ocorre por meio das atividades; especi�camente, conduzindo
auditorias conjuntamente com funções de apoio e/ou com o auditor externo.
Integração do processo. A coordenação ocorre por meio dos processos de planejamento e reporte. O plano de auditoria com base em riscos é totalmente alinhado com as funções de governança da segunda linha. O reporte integrado pode ser orientado interna ou externamente. O International Integrated Reporting Council (IIRC) descreve um relatório integrado orientado externamente como: “Um relatório integrado é uma comunicação concisa sobre como a estratégia, governança, desempenho e perspectivas de uma organização, no contexto de seu ambiente externo, levam à criação de valor a curto, médio e longo prazo”.*
Alinhamento por meio das atividades. A coordenação ocorre por meio do alinhamento das atividades, de forma estruturada ou ad hoc. Por exemplo, informar as funções de governança sobre o escopo e o resultado das atividades de auditoria interna permite que esses dados sejam considerados em suas próprias atividades (por exemplo, fraquezas de controle identi�cadas pela auditoria interna podem ser abordadas pelo controle interno).
Avaliação Combinada e o Modelo das Três Linhasde Defesa
●
●
* S. C. J. Huibers, G. M. Wolswijk, e P. A. Hartog,
4.
AuditoriasIntegradas
AuditoriasConduzidas
em Conjunto
Integraçãodo Processo
Planejamentoe Reporte
Coordenados
IntegraçãoFuncional
(Não Preferida)
Combinaçãodas Linhas
Hierárquicas
Alinhamentopor meio das
Atividades
Compartilhamentode Informações paraAlinhar as Atividades
Documento 8 Formas de Coordenar a Avaliação Combinada
FUNÇÃO SEPARADA DEAUDITORIA INTERNA
FUNÇÕESCOMBINADAS
Combining Internal Audit and Second Line of Defense Functions
http://tinyurl.com/pftg2o2
Integração funcional. A coordenação ocorre por meio das linhas hierárquicas, combinando a auditoria interna com as funções de apoio à administração, tais como gerenciamento de riscos, controle interno e compliance.
governança nas três primeiras formas de coordenação da avaliação - auditorias integradas, integração do processo e alinhamento das atividades. Portanto, essas formas não são mutuamente excludentes, mas devem ser vistas como complementares. Quanto à quarta forma (integração funcional), vale notar que o IIA promove fortemente - do ponto de vista da objetividade e independência dos auditores - manter a função de auditoria interna separada. Então, a integração funcional não é uma opção preferida pelo IIA. Se ocorrer, é preferível que seja de forma temporária e com a meta
Declaração de Posicionamento do IIA, As Três Linhas de
Nesses casos, salvaguardas e condições devem ser postas em prática para minimizar o impacto negativo sobre a objetividade e independência do auditor. Exemplos incluem situações em que a maturidade das funções de
desenvolva as atividades de riscos e conformidade. Para mais informações, consulte o whitepaper do IIA–Holanda
sobre auditoria interna e as segundas linhas de defesa, publicado em 2014.* O Documento 9 dá mais detalhes sobre as diferentes formas de avaliação combinada, incluindo considerações
quanto à proteção da independência do auditor. Referências às Normas foram incluídas.
O IIA apoia o Modelo das Três Linhas de Defesa. Cada uma das três “linhas” tem um papel distinto na estrutura de governança da organização. As diferentes linhas de defesa podem ser descritas da seguinte forma:
Primeira linha de defesa - Administração.A gestão do negócio tem a responsabilidade principal pelas operações de monitoramento e controle. São os “proprietários” dos processos e
controles de mitigação dos mesmos.
Segunda linha de defesa - Funções de Apoio à Governança. A gestão, em sua responsabilidade de
●
●
●
Tipo deCoordenação
DescriçãoMeios de
CoordenaçãoConsideração Orientação
Auditoriasintegradas
Auditorias feitas emconjunto com asfunções da segundalinha de defesa
Coordenação pormeio das atividadesde auditoria
Auditoria coordenaexecução de auditoriase garante conformidadecom normas do IPPF
Todas as Normas deDesempenho do IPPF seaplicam (The IIA, 2013)
Integraçãodo processo
Planejamentointegrado dasatividades deavaliação ereporte
Coordenação peloprocesso deplanejamento ereporte
Auditoria coordena oplanejamento e emiterelatórios integradosde avaliação dagovernança, riscos econtroles para oconselho e o comitêde auditoria
Reporte IntegradoMelhorado (EnhancedIntegrated Reporting,Internal Audit ValueProposition, The IIA, 2015)
Alinhamentopor meio dasatividades
Coordenaçãopor meio doalinhamento dasatividades
Coordenação pormeio do alinhamento
Coordenação peloalinhamento dasatividades pode serestruturado ouad hoc
As Três Linhas de Defesano Gerenciamento deRiscos e Controle Eficazes(Declaração de Posiciona-mento do IIA, 2013)
Integraçãofuncional
Auditoria interna efunções da segundalinha de defesa sãocombinadas
Coordenação pelaslinhas hierárquicas
Considerarsalvaguardas elimites para garantira independência
Combining Internal Audit and Second Line of Defense Functions (Whitepaper do IIA–Holanda, 2014)
Documento 9 Considerações Especiais sobre as Formas de Coordenar a Avaliação Combinada
monitoramento, é apoiada por funções dedicadas, que ajudam na implementação de uma estrutura adequada e no monitoramento de riscos e controles. Exemplos das funções da segunda linha de defesa são o gerenciamento de riscos, controle interno e compliance.
Terceira linha de defesa - Auditoria Interna.A auditoria interna presta avaliações independentes adicionais sobre as atividades da primeira e segunda linhas de defesa. Isso pode
controles, a conformidade com procedimentos e a
auditoria interna também pode ter um papel de
Auditoria Interna do IIA.
Às vezes, é feita referência a uma quarta linha de defesa, composta por prestadores externos de avaliação:
Quarta linha de defesa - auditores externos, reguladores e órgãos externos. Avaliações independentes são oferecidas por terceiros, externos
A principal responsabilidade por manter controles robustos e garantir a conformidade com procedimentos e legislações recai sobre a gestão. Porém, cada vez mais são criadas funções dedicadas a apoiar e supervisionar essas atividades de “controle”. Ao mesmo tempo, o número crescente de funções e órgãos internos à organização pode sobrecarregar a gestão com informações e relatórios. Para evitar isso, a auditoria interna pode:
Coordenar e alinhar as atividades de avaliação, participando de auditorias conjuntas ou integrando o planejamento e o reporte de diferentes prestadores de avaliação.
Considerações sobre a Adoção do Modelo dasTrês Linhas de Defesa
—Rene Andrich, Gerente de Auditoria Interna, América Latina, Electrolux, e membro do Conselho de Administração do IIA–Brasil
●
0% 20% 40% 60% 80% 100%
Não, este modelo não se aplicaà minha organização
Não, minha organização nãosegue este modelo
Sim, mas a auditoria internaé considerada a segunda linhade defesa em nossa organização
Sim, mas a distinção entre asegunda e terceira linhasnão é clara
Sim e a auditoria interna éconsiderada a terceira linhade defesa
64%
62%
53%
50%
50%
45%
45%
56%
14%
11%
15%
13%
15%
10%
12%
13%
3%
6%
8%
10%
6%
10%
5%
6%
15%
17%
19%
16%
22%
25%
31%
20%
5%
4%
5%
10%
6%
10%
6%
5%
Documento 10 Uso do Modelo das Três Linhas de Defesa
Média Global
América do Norte
Oriente Médio& África do Norte
América Latina& Caribe
Europa
Leste da Ásia& Pacífico
África Subsaariana
Sul da Ásia
Observação: Q63: Sua organização segue o modelo das três linhas de defesa articulado pelo IIA? Aqueles que responderam “Nãoestou familiarizado com este modelo” foram excluídos dos cálculos. Devido ao arredondamento, alguns totais podem não somar100%. 9.093 participantes.
Prestar avaliação à administração, revisando a e�cácia das chamadas funções da segunda linha de defesa.
Na Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, dos participantes familiarizados com o Modelo das Três Linhas de Defesa, entre 45% e 64% indicaram que a auditoria interna opera como uma função totalmente separada e independente na terceira linha de defesa em suas organizações (veja o Documento 10). No entanto, na média, 19% dos participantes familiarizados com o Modelo, cujas organizações o tinham adotado, indicaram que a divisão entre a segunda e terceira linhas não é clara, ou a auditoria interna opera como uma função da segunda linha (em vez de ser prestadora independente de avaliação na terceira linha). Há uma falta de familiaridade com o modelo em certas regiões, especialmente no Sul da Ásia, América do Norte e no Oriente Médio & África do
Norte, indicando oportunidades de educação (veja o Documento 11).*
❝ Ainda hoje, em muitas empresas, o conselho nunca ouviu falar sobre as Três Linhas de Defesa. Nós, como auditores internos, temos a responsabilidade de explicar o que elas signi�cam.❞
* Veja o relatório de Larry Harrington e Arthur Piper, Promovendo o Sucesso em um Mundo em Mudança: 10 Imperativos para a Auditoria Interna, da Pesquisa Global do Praticante de Auditoria Interna do Common Body of Knowledge (CBOK) (Altamonte Springs, FL: �e Institute of Internal Auditors Research Foundation, 2015).
Seção 5: Como Implementar aAvaliação Combinada
0% 10% 20% 30% 40% 50%
43%
25%
24%
22%
19%
15%
12%
20%
Documento 11 Participantes Não Familiarizadoscom o Modelo das Três Linhas de Defesa
Média Global
América do Norte
Oriente Médio& África do Norte
América Latina& Caribe
Europa
Leste da Ásia& Pacífico
África Subsaariana
Sul da Ásia
Observação: Q63: Sua organização segue o modelo das trêslinhas de defesa articulado pelo IIA? Este gráfico mostraaqueles que escolheram a opção “Não estou familiarizadocom este modelo”. 11.255 participantes.
Por que as organizações têm tantas estruturas de governança diferentes? Um motivo é que algumas estruturas organizacionais podem ser desenvolvidas organicamente; portanto, a liderança não tomou decisões racionais explícitas sobre como otimizar a estrutura de governança da organização. Como resultado, o formato do modelo de avaliação varia entre as organizações e também pode ser motivado pelas partes interessadas (e não pela auditoria interna), tais como o conselho e o comitê supervisor (apoiado pelo comitê de auditoria), e pelo que seus membros consideram desejável. O whitepaper do IIA–Holanda abordou as preocupações com esses casos, nos quais a auditoria interna é combinada com outras funções de governança. Também notou que, quando a gestão considera funções combinadas, também pode considerar otimizar os ganhos
conselho sobre todas as questões de avaliação. Por outro lado, o conselho supervisor pode ter outras considerações, tais como a salvaguarda de ativos e a conformidade com leis e regulamentos, então uma função de auditoria interna
independente, separada e dedicada pode prevalecer em relação a considerações internamente orientadas. O whitepaper também dá orientações sobre os requisitos e salvaguardas mínimos para garantir a independência dos auditores. O ponto de partida é que a combinação de funções não é a forma preferida de trabalhar, do ponto de vista da objetividade e independência. Deve-se notar que, em alguns setores, tais como a indústria de serviços
o estabelecimento de funções de gerenciamento de riscos e compliance dedicadas, com a auditoria interna atuando como a terceira linha de defesa. O fator determinante será
organização deve estar em conformidade, incluindo orientações estabelecidas pelos órgãos de governança aplicáveis.
Na implementação da avaliação combinada, um dos
diferentes prestadores de avaliação. A partir de entrevistas e outras pesquisas, pode-se concluir que a implementação da avaliação combinada não é algo que possa ser feito de um dia para o outro - ela deve ser considerada uma jornada. As principais lições estão listadas no Documento 12. Uma das lições mais fundamentais é a necessidade de total adesão e apoio por parte da alta administração. Para obter esse apoio em sua organização, Jenitha John, da FirstRand, disse que um membro do comitê executivo foi designado para promover a iniciativa, apoiado pelo comitê de auditoria, enquanto o papel da auditoria interna foi impulsionar a real implementação apoiada pelo conselho. Para dar aos praticantes múltiplas formas de abordar esse
Ao combinar a avaliação, o papel da auditoriainterna é fundamental no apoio ao conselho para
funciona.—Marie-Helene Laimay, CAE,
❝
❞
3.
4.
5.
6.
Conclusão
1.
2.
* G. Sarens, L. Decaux, e R. Lenz, Combined Assurance: CaseStudies in a Holistic Approach to Organizational Governance
Research Foundation, 2012).
** Larry Rittenberg, Internal Audit Challenges: Integration of Strategy, Risk, Control, and Combined Assurance. Apresentaçãofeita na Clain Conference, 17 de Maio de 2013.
LiçõesAprendidas
A auditoria interna tem um papelfundamental em liderar a implementação.
A adesão e o apoio são necessários porparte do topo.
O valor esperado deve ser articulado deinício.
Todos os participantes devem chegar aum consenso quanto à taxonomia.
Avaliações de controle e classificações deriscos devem ser padronizadas.
Documento 12 Lições Aprendidas Quanto àImplementação da Avaliação Combinada
O nível de maturidade dos diferentesparticipantes quanto à avaliaçãocombinada deve ser identificado.
Combined Assurance: Case Studies in a Holistic Approach to Organizational Governance, escrito pela equipe de pesquisa acadêmica da Université Catholique de Louvain (Bélgica).* Outro conjunto de diretrizes úteis foi desenvolvido por Larry Rittenberg, Chair Emeritus do Committee of Sponsoring Organizations of the Treadway Commission (COSO).** Ele recomenda os seguintes passos para a implementação da avaliação combinada:
Venda o peixe do negócio. Esclareça os benefícios da implementação da avaliação combinada e estime os custos do projeto para fazê-lo.
Faça um inventário dos prestadores de avaliação. Faça um inventário de todos os envolvidos que auxiliem a gestão fornecendo avaliações de riscos e controles na organização.
Mapeie os riscos para os prestadores de avaliação. Mapeie os riscos e os relacione aos prestadores de avaliação que os monitoram.
Desenvolva o plano de avaliação combinada. Identi�que quem prestará avaliação em todo o universo de riscos, incluindo o papel da auditoria interna, especi�cando qual tipo de avaliação será prestado.
Crie um roteiro de implementação. De�na um roteiro com principais marcos. Um deles deve ser o alinhamento das de�nições e classi�cações de riscos usadas pelos prestadores de avaliação, para servir de base para a implementação de um modelo e�caz de avaliação combinada.
Planeje a melhoria contínua. Examine o modelo de avaliação regularmente, identi�cando áreas de melhoria e decidindo como as informações e os serviços de avaliação para a administração podem ser otimizados.
Ao alinhar e harmonizar as atividades de avaliação e as formas de trabalhar entre as diferentes funções, a entrega de avaliações se torna cada vez mais e�ciente e e�caz, evitando a armadilha de sobrecarregar os conselhos com informações até o ponto da “fatiga de avaliação”. Ao mesmo tempo, é preciso ter cuidado para garantir que a avaliação combinada seja implementada de forma a preservar a distinção entre as três linhas de defesa. Foram identi�cados benefícios nítidos da implementação da avaliação combinada entre os diferentes prestadores de avaliação. No entanto, o entendimento e a implementação do conceito de avaliação combinada ainda não foram difundidos. Há formas diferentes de combinar avaliações, que dependem dos requisitos especí�cos e do tipo desejado de integração das atividades em cada organização. Como diz o ditado, todos os caminhos levam a Roma, e entrevistas aprofundadas com CAEs do mundo todo mostram que a implementação da avaliação combinada deve ser vista como uma jornada, e não algo que possa ser feito da noite para o dia.
Agradecimentos
● Marie-Helene Laimay, Chief Audit Executive,
● Jenitha John, QIAL, Chief Audit Executive, FirstRand Ltd., África do Sul
● Rene Andrich, Gerente de Auditoria Interna, AméricaLatina, Electrolux, e membro do Conselho deAdministração do IIA–Brasil
● Qing Xia, Vice Presidente do Departamento deSupervisão e Auditoria, China Unionpay Merchant Services Company, China
Sobre o Autor
Ponto Principal
Ter “uma língua, uma voz, uma visão” serábenéfico para todos, ao apoiar o progressoem direção à plena realização dos objetivose da estratégia da empresa.
Assim, recomendamos fortemente seguir uma abordagem estruturada, com base em projeto, com um roteiro que inclua marcos claros, para garantir que novas formas de trabalho sejam plenamente implementadas e os benefícios sejam completamente entregues ao longo do tempo.
Também está claro que a auditoria interna tem um papel fundamental, tanto na implementação e na coordenação das atividades de avaliação combinada, quanto na garantia da melhoria contínua. No entanto, a mensagem mais importante é que a total adesão e apoio por parte da alta administração são essenciais para embarcar na jornada da avaliação combinada. Por �m, ter “uma língua, uma voz, uma visão” será bené�co para todos, ao apoiar o progresso em direção à plena realização dos objetivos e da estratégia da empresa.
Sam C. J. Huibers tem ampla experiência em uma variedade de funções de gestão de negócios internacionais, auditoria e assessoria em organizações multinacionais, incluindo a Heineken e a DSM. Como membro do Professional Practices Committee holandês do IIA, ele lidera forças-tarefa tais como as iniciativas de defesa das Três Linhas de Defesa e Project Auditing, e conduz pesquisas em cooperação com o Management Innovation Centre. Ele também é coordenador e palestrante de Excelência em Auditoria Interna, no Executive Internal Auditing Programme, na Amsterdam Business School, na University of Amsterdam.
Escreveu diversos artigos sobre auditoria interna, oferece treinamento para auditores e atua como palestrante em conferências internacionais e mesas redondas. Suas credenciais incluem MSc (master of science em administração de negócios), EMIA (executive master internal auditing), RO (certi�ed internal auditor holandês) e certi�ed risk management assurance (CRMA). Mais informações sobre Sam Huibers estão disponíveis no LinkedIn: https://www.linkedin.com/in/samhuibers.
O autor agradece os seguintes líderes de auditoria interna, por sua participação nas entrevistas deste projeto:
O autor também agradece o editor (Ian Phillipson) e a revisora (Myriam Southgate), que trabalharam com ele no desenvolvimento deste relatório.
O
Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais
Sobre o CBOK
8%
6%
14%
19%
5%
25%
23%
Américado Norte
AméricaLatina & Caribe
ÁfricaSubsaariana
Oriente Médio& Áfricado Norte
Europa& ÁsiaCentral
Sul daÁsia
Leste Asiático& Pacífico
FATOS DA PESQUISA
Participantes 14,518*
Países 166
Idiomas 23
NÍVEIS DOS FUNCIONÁRIOS*
Chief audit executive (CAE) 26%
Diretor 13%
Gerente 17%
44%Equipe
*As taxas podem variarpor pergunta.
Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a pro�ssão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela �e IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582 respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações pro�ssionais, �liais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia especí�ca. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.
Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.
Sobre a The IIA Research Foundation
Urton Anderson (Estados Unidos)Adil Buhariwalla (Emirados Árabes Unidos)Jenitha John (África do Sul)Marie-Helene Laimay (França)
Michael Parkinson (Austrália)Estanislao Sanchez (México)Ad Smits (Países Baixos)Gerard Wolswijk (Países Baixos)
Futuro
Perspectiva Global
Governança
Gestão
Risco
Normas & Certificações
Talento
Tecnologia
O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão.
Equipe de Desenvolvimento do CBOK
Co-Presidentes do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França)
Presidente do Subcomitê da Pesquisa do Praticante:Michael Parkinson (Austrália)
Vice Presidente da IIARF: Bonnie Ulmer
Analista de Dados Primários: Dr. Po-ju ChenDesenvolvedora de Conteúdo: Deborah PoulalionGerente de Projeto: Selma Kuurstra e Kayla ManningEditora Sênior: Lee Ann Campbell
Comitê de Revisão dos Relatórios
Limitação de Responsabilidade
A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida.
Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar [email protected]. ID #2015-1481
goto/CBOK
Doe Parao CBOK
Contate-nos
Sua DoaçãoEm Ação
www.theiia.org/
The Institute of
Internal Auditors
Sede Global do
247 Maitland Avenue
Altamonte Springs,
Flórida 32701-4201,
Estados Unidos
Os relatórios CBOK estão disponíveis gratuitamente para o público, graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo.