SELECIONANDO, USANDO E CRIANDO MODELOS DE … · FERRAMENTA PARA TRABALHOS DE AVALIAÇÃO E...

– Guia Prático

SELECIONANDO, USANDO ECRIANDO MODELOS DE MATURIDADE:

FERRAMENTA PARA TRABALHOS DEAVALIAÇÃO E CONSULTORIA

JULHO DE 2013

IPPF – Guia Prático

Selecionando, Usando e Criando Modelos de Maturidade: Ferramenta para Trabalhos de Avaliação e Consultoria

www.globaliia.org/standards-guidance

Índice

Sumário Executivo ........................................................................................................ 1

Introdução .................................................................................................................... 2

Exemplo de Uso de Modelo de Maturidade Para Auditores Internos ................................ 3

Selecionando Modelos de Maturidade ........................................................................... 4

Criando e Usando Modelos de Maturidade ..................................................................... 5

Um Modelo de Maturidade do Ambiente de Controle Interno Comumente Aceito ........... 12

Pontos Principais Para Revisão ................................................................................... 14

Exemplos de Modelos de Maturidade ........................................................................... 15

Recursos Adicionais ................................................................................................... 27

Sobre os Autores e Revisores ....................................................................................... 28



www.globaliia.org/standards-guidance / 1

Sumário Executivo Modelos de maturidade estabelecem uma base

sistemática de mensuração para descrever o estado

“como está” de um processo. A maturidade de um

processo pode, então, ser comparada com as

expectativas da administração ou contrastada com a

maturidade de outros processos similares para

propósitos de benchmarking. Também podem ser

obtidos insights a partir do modelo, para a

determinação de opções de melhoria que ajudem um

processo a cumprir com seus objetivos definidos ao

longo do tempo.

Um modelo de maturidade descreve os componentes

do processo que se acredita que levem a melhores

produtos e melhores resultados. Um nível baixo de

maturidade significa uma baixa probabilidade de

sucesso em cumprir consistentemente com um

objetivo, enquanto um nível maior de maturidade

significam uma maior probabilidade de sucesso. A

tolerância a riscos da organização deve ser

considerada ao determinar o nível de maturidade que

a administração espera ter em prática.

Os auditores podem usar os modelos de maturidade

como critérios para avaliar processos do negócio como

parte de trabalhos de avaliação, oferecendo, assim,

um entendimento fácil de comunicar acerca do

ambiente de governança, riscos ou controle sob

revisão. Na ausência dos critérios definidos para um

processo, o auditor pode trabalhar com a

administração para definir critérios adequados,

usando um modelo de maturidade.

Este guia prático oferece orientações sobre os usos

dos modelos de maturidade, identifica considerações

para sua seleção e oferece instruções sobre como

desenvolvê-los. Deve-se ter cuidado para aplicar

apropriadamente os modelos de maturidade em

trabalhos de avaliação ou consultoria, incluindo a

validação de sua aplicabilidade ao processo sob

revisão. Os componentes de modelos de maturidade

existentes são oferecidos para uso “como estão” ou

como base para um modelo feito sob medida

especificamente para o processo da organização.




Introdução As organizações podem usar um modelo de

maturidade para descrever seu estado de

desenvolvimento ou de seus processos quanto às

expectativas estabelecidas de controle e

gerenciamento. Os mecanismos de classificação

dentro de um modelo de maturidade podem ajudar as

organizações a simplificar a determinação de quando

o gerenciamento do controle e do processo é aceitável

ou, alternativamente, para identificar as ações

necessárias para melhorar a maturidade da

organização ou do processo.

Métricas de resultado (ex., retorno financeiro,

conformidade do programa, vendas e satisfação do

cliente) oferecem, em muitos casos, os critérios finais

de mensuração do sucesso de um processo. No

entanto, a administração e os auditores podem querer

entender a qualidade do desenvolvimento e do

funcionamento dos processos que levam a esses

resultados. Infelizmente, uma avaliação da adequação

dos esforços para atingir um conjunto determinado de

resultados pode ser difícil de desenvolver,

considerando as diversas variáveis que promovem o

desempenho comercial. Um modelo de maturidade

devidamente elaborado pode tornar tal avaliação mais

consistente e repetível.

O conceito de modelos de maturidade cresceu a partir

de programas de gestão da qualidade total, que

enfatizavam a melhoria contínua. Um dos modelos

mais conhecidos é o Capability Maturity Model

(CMM – Modelo de Maturidade de Capacidades),

desenvolvido pela Carnegie Melon University para

ajudar a melhorar o desenvolvimento de software.

Embora existam muitas variações dos modelos de

maturidade, todos os modelos geralmente têm níveis

de 0 a 5 que descrevem uma organização, processo de

gerenciamento, conjunto de controles ou outro

elemento das operações de uma organização (isto é,

descrevem os insumos ou processos que acreditam

que levam à melhor execução e melhor consistência

dos resultados). O nível 0 geralmente é alguma

variação da execução não existente ou ad hoc,

enquanto o nível 5 é geralmente considerado como

um processo de alta maturidade, sustentável e/ou

otimizado. O nível 5 pode não ser a meta da

organização, visto que o custo de atingir o nível 5

pode, às vezes, exceder os benefícios. Em outras

palavras, a tolerância a riscos da administração pode

ser alta o suficiente para permitir que o processo seja

menos exato ou consistente, ou pode não ser

estrategicamente importante o suficiente investir para

que certos processos atinjam o nível 5 com

consistência.

Modelos de maturidade, quando desenvolvidos

apropriadamente, oferecem:

Uma estrutura para visualizar o futuro, o

estado desejado e o desenvolvimento de

planos de melhoria.

Referências para comparação dos processos da

organização, interna ou externamente.

Um mecanismo para trazer insights sobre o

caminho da melhoria, de um processo imaturo

à sua maturidade.

Um método disciplinado, comparativamente

fácil de entender e implementar.

Conforme sugerido pela palavra “maturidade”, os

processos de governança, riscos e controle de uma

organização evoluem com o tempo e podem subir ou

descer na escala de maturidade (a escala de 0 a 5

mencionada anteriormente). A Norma 2210.A3 das

Normas Internacionais para a Prática Profissional de

Auditoria Interna (Normas) é importante para que os

auditores entendam e apliquem ao usar modelos de

maturidade. Ela diz:

“São necessários critérios adequados para avaliar a

governança, o gerenciamento de riscos e os controles.

Os auditores internos devem verificar a extensão na

qual a administração e/ou o conselho estabeleceu

critérios adequados para determinar se os objetivos e

metas têm sido alcançados. Se forem adequados, os

auditores internos devem utilizar tais critérios em sua

avaliação. Se inadequados, os auditores internos

devem identificar critérios de avaliação apropriados

por meio de discussão com a administração e/ou o

conselho.”




Ao usar ou desenvolver modelos de maturidade, o

auditor deve determinar se “a administração e/ou

conselho estabeleceu critérios adequados” na seleção

e aplicação do modelo. Este guia prático elabora sobre

esse conceito nas próximas seções. Geralmente, no

entanto, considere os dois pontos a seguir:

Um auditor que planeje usar um modelo de

maturidade em seu trabalho de avaliação deve

primeiro considerar se o modelo está apto para

uso.1 Presumindo que o modelo seja usado

corretamente, sua habilidade de previsão é

relevante para o objetivo comercial

mensurado? Por exemplo, um modelo de

maturidade que avalia elementos de

conformidade não seria apropriado para

oferecer uma perspectiva sobre a qualidade do

gerenciamento de um objetivo operacional do

negócio.

Um auditor que planeje usar um modelo de

maturidade em um trabalho de avaliação deve

determinar independentemente qual “nível de

maturidade” é adequado para atingir um

objetivo. Por exemplo, o nível 5 de um modelo

de maturidade de satisfação do cliente pode

não ser necessário para atingir um resultado

comercial desejado. No entanto, o auditor —

depois de entender o modelo e sua criação —

pode não concordar com a posição da

administração de que um processo de nível 1

seja aceitável para o objetivo de atender as

necessidades do cliente.

Exemplo de Uso de Modelo

de Maturidade Para

Auditores Internos Presuma que uma organização acabou de estabelecer

um grupo de investimentos comunitários para fazer

doações a instituições de caridade e outras causas

importantes. A organização espera que leve dois anos

1 Pöppelbuß, Jens e Röglinger, Maximilian, “What Makes a Useful Maturity Model? A Framework of General Design Principles for Maturity Models and Its Demonstration in Business Process Management” (2011).

para desenvolver todas as políticas e procedimentos

necessários para operar como desejado. A visão de

longo prazo é que o programa de investimentos

comunitários seja reconhecido como um dos 100

principais do país. Após realizar uma avaliação de

riscos do planejamento de auditoria, o chief audit

executive (CAE) incluiu esse assunto no plano anual

seis meses após o grupo ter sido formado.

Objetivos de auditoria interna em potencial poderiam

ser avaliar:

Se os controles de investimentos comunitários

estão em conformidade com as leis e

regulamentos relevantes.

Se um plano estratégico adequado está em

prática para identificar e avaliar o impacto das

instituições que receberem doações.

Por meio do uso de um modelo de maturidade, a

função de auditoria poderia validar se os esforços

atuais de avaliação de instituições de caridade estão

adequados (hipoteticamente, adequado seria o nível 3

de maturidade, em que um entendimento e um

levantamento dos resultados das instituições estejam

em prática), mas poderia recomendar que um nível 4

consistente esteja em prática (hipoteticamente, o

nível 4 pediria o monitoramento proativo do reporte

das instituições e o gerenciamento periódico da

validação dos resultados das instituições).

Esse continuum de maturidade estaria em contraste

com um processo de classificação de aprovado/

reprovado ou satisfatório/insatisfatório. O modelo de

maturidade oferece os critérios, o mapeamento da

condição atual e a recomendação de seguir para o

próximo nível, se tal recomendação for justificada. No

exemplo, o modelo serve como ótimo método para

avaliar um processo em desenvolvimento (nesse caso,

o grupo de investimentos comunitários).

O uso de modelos de maturidade não será o melhor

método de avaliação para os auditores aplicarem em

todos os casos. Para definir se o modelo de

maturidade deve ou não ser usado, avalie as situações




descritas a seguir e considere as possíveis

consequências de métodos diferentes de avaliação e

reporte.

SITUAÇÃO

POSSÍVEIS CONSEQUÊNCIAS POR METODOLOGIA DE REPORTE

Reporte de Aprovado/Reprovado ou Satisfatório/Insatisfatório

Reporte por Nível de Modelo de Maturidade

A Organização Precisa de uma Opinião Clara

Oferece um claro entendimento da opinião do auditor.

A não ser que declarado explicitamente, os leitores podem não ter clareza do que é “bom o suficiente”. Quando o atingimento de um certo nível é aceitável ou inaceitável?

A Adesão da Administração é Importante

Vereditos de sim/não podem ser difíceis de transmitir. Também podem ser contraproducentes quanto ao tempo para compartilhar, negociar e confirmar a opinião de aprovação/reprovação, em comparação com o tempo de discutir opções reais de melhoria.

Concentra a discussão no nível de execução consistente em um continuum — permitindo a discussão de opções de melhoria contínua.

Auditoria de um Processo Complexo ou Indefinido

Mais difícil de aplicar uma abordagem de aprovação/reprovação.

Permite o mapeamento da distribuição em um continuum de expectativas quanto ao processo.

Objetivo de Conformidade Oferece uma clara opinião sobre o atingimento da conformidade.

Considerando a expectativa de cumprir com requisitos de conformidade, qualquer outra coisa além do maior nível de maturidade poderia ser interpretada como uma preocupação.

Objetivo Operacional Mais difícil para a administração e o auditor identificarem as deficiências exatas do processo que constituem uma aprovação ou reprovação.

Permite à administração um papel mais fácil de comunicação do nível de expectativa de maturidade.

Objetivo Aspiracional/de Melhoria Contínua

Pode ser impossível criar critérios úteis de aprovação/reprovação, já que todos os processos, ao longo do tempo, podem ter sucesso ou fracasso, dependendo da facilidade ou dificuldade das expectativas definidas.

Permite um nível de maturidade que todos os processos possam atingir, também incluindo possíveis níveis mais altos de maturidade que promovam o desempenho aspiracional.

Selecionando Modelos de

Maturidade

A administração pode ter definido um modelo de

maturidade para uso dentro da organização. Se sim, o

auditor interno poderia adotar o modelo como

ferramenta, após avaliar cuidadosamente a relevância

e adequação do modelo para a avaliação ou opinião




oferecida. Alternativamente, há diversos modelos de

maturidade disponíveis para uso a partir de grupos e

associações da indústria. Esses modelos também

devem ser avaliados como adequados para o propósito

antes do uso.

Modelos de maturidade envolvem um certo nível de

subjetividade; portanto, é necessário cuidado ao

prestar avaliação à administração de que um processo

seja adequadamente controlado com base em uma

avaliação feita por um modelo de maturidade. O

auditor deve garantir que o modelo seja adequado ao

propósito e devidamente implementado. Os modelos

podem ser usados para descrever o estado “como está”

do processo ou comparar uma implementação de

processo com outra.1

O uso de um modelo de maturidade, em comparação

com outras técnicas e metodologias de auditoria, não

deve alterar o nível de proficiência e zelo profissional

devido que os auditores empregam. O modelo de

maturidade não deve ser empregado como checklist,

substituindo a responsabilidade do auditor de

identificar independente e objetivamente riscos não

mitigados e uma possível inadequação de controles.

O modelo deve servir como uma estrutura e um guia

para discussão sobre a maturidade da governança, dos

riscos e dos controles.

Ao selecionar um modelo de maturidade, os auditores

devem entender o objetivo da administração e a

adequação do modelo em apoio ao objetivo da

administração. Considere o seguinte:

Qual o resultado desejado pela administração?

Por exemplo, a administração deseja avaliar o

sucesso do ciclo de vida do desenvolvimento

de sistemas, a excelência do processo de

vendas ou a segurança ambiental? Quais

métricas quantitativas ou declarações

qualitativas descrevem o resultado desejado

pela administração?

O modelo considerado é adequado para

promover o resultado desejado? O modelo

deve ter sido criado por especialistas de

confiança, internos ou externos à organização,

que entendam a correlação entre certas

funções do processo e o resultado desejado

pela organização. O nível de diligência em

confirmar a habilidade de previsão do modelo

variará — de um modelo criado internamente

por líderes experientes do negócio, internos à

organização, para um criado e pesquisado

externamente, que considere experiências de

muitas organizações. Ambas as abordagens

poderiam ser apropriadas, dependendo da

situação.

Os dois fatores principais a controlar na escolha de

um modelo são:

Seguir um modelo melhoraria a probabilidade

de atingimento de um resultado?

Alternativamente, o modelo encorajaria ações

contraproducentes ou voltaria a atenção da

administração para melhorias de processo que

não estejam relacionadas à motivação do

resultado desejado?

A administração teria uma falsa sensação de

confiança de que o resultado será atingido se

uma avaliação — usando o modelo — mostrar

um alto nível de maturidade do processo?

Embora se espere que seguir o modelo e

aumentar a maturidade de um processo

melhorem as chances de um resultado de

sucesso, ainda pode haver risco e incerteza

substanciais de que o resultado será atingido.

O uso do modelo trará o nível apropriado de

confiança?

Divulgue a fonte do modelo. Os auditores devem

divulgar em seu relatório a fonte do modelo, como ele

foi desenvolvido, quem participou de sua criação e por

que o auditor — e a administração, se apropriado —

acredita que o modelo escolhido seja válido para o

processo e objetivo sob revisão.

Criando e Usando Modelos

de Maturidade Os auditores com proficiência apropriada, ou em

conjunto com a administração ou especialistas

externos, podem criar modelos adequados ao




propósito. Auditores com experiência limitada com

modelos de maturidade ou que queiram explorar

pesquisas mais detalhadas sobre sua criação devem

considerar revisar o trabalho de pesquisa What Makes

a Useful Maturity Model?2

Criar um modelo envolve três passos:

1. Determinar o propósito do modelo e seus

componentes.

2. Determinar a escala.

3. Desenvolver as expectativas para cada nível

componente.

Usar um modelo de maturidade envolve esses passos

adicionais:

1. Definir metas para cada componente.

2. Avaliar o nível de maturidade por componente.

3. Considerar o que o modelo pode ter deixado

passar.

4. Reportar as conclusões.

5. Revisitar o modelo regularmente.

Para os propósitos desta seção, leia o Exemplo 3,

Modelo de Maturidade de Capacidades de Auditoria

Interna do Setor Público (veja a página 25) e, então,

volte para este trecho, para continuar a discussão

sobre a criação de um modelo.

Criando um Modelo de Maturidade

Passo 1 – Determine o propósito do modelo e

seus componentes.

O objetivo a ser abordado deve, primeiramente, ser

definido da mesma forma que o auditor faria se fosse

escolher um modelo já criado. Os auditores devem

considerar essas perguntas:

O que a administração deseja avaliar (ex.,

sucesso do ciclo de vida de desenvolvimento de

sistemas, excelência do processo de vendas ou

segurança ambiental)?

Quais processos comerciais estão envolvidos?

O modelo será aplicado a diferentes tipos de

processos de gerenciamento, para melhorar a

2 Pöppelbuß, Jens e Röglinger, Maximilian, “What Makes a Useful Maturity Model? A Framework of General Design Principles for Maturity Models and Its Demonstration in Business Process Management” (2011).

conformidade, os controles e a governança

organizacional em geral?

A auditoria interna está avaliando um conjunto

específico de tarefas da indústria ou da

empresa, que exija certo nível de conhecimento

sobre processos, ferramentas, técnicas ou

habilidades?

Como a auditoria interna pode declarar o

resultado esperado do processo quanto às

métricas ou declarações qualitativas?

Com esse objetivo em mente, os componentes que

promovem esse objetivo são, então, identificados.

Essa é a parte mais importante do desenvolvimento

do modelo, em que o auditor identifica os elementos

críticos que — com base no julgamento do criador do

modelo — melhorarão a probabilidade de atingimento

do objetivo e os resultados.

É interessante que os auditores internos documentem

o plano de desenvolvimento do modelo — delineando

a pesquisa e a coleta de dados técnicos (como a

facilitação por especialistas) que ajudam a determinar

quais componentes devem fazer parte do modelo. Os

auditores devem considerar o seguinte ao selecionar

os componentes:

O componente — se gerido consistentemente

— melhorará a probabilidade de atingimento

do resultado?

Se um componente não estiver incluído, isso

impactará negativamente a probabilidade de

atingir o resultado? Tenha cuidado aqui, para

se concentrar em incluir poucos componentes

críticos que mereçam atenção, melhoria e

execução consistente, em vez de tudo que a

administração poderia estar fazendo para

supervisionar o processo.

O criador do modelo pode avaliar a correlação

entre o componente e o resultado desejado?

Essa correlação está baseada em um estudo ou

pesquisa que compare processos de

maturidade alta e baixa aos resultados desses

processos? Alternativamente, os especialistas




e profissionais experientes — o que incluiria a

administração e os auditores — acreditam que

o componente contribui para o aumento da

probabilidade de atingir o resultado? Quais

pesquisas, evidências ou conhecimentos

especializados a auditoria interna pode usar

para fazer essa determinação?

No modelo de referência — Exemplo 3 —, um

componente são as Práticas Profissionais. Pode-se

presumir que os autores desse modelo pensavam que

um maior nível de maturidade em seguir práticas

profissionais contribui para o resultado desejado das

funções de auditoria interna do setor público. Esse

componente, aparentemente, foi parte de algumas

áreas críticas que, se deixadas de lado ou não geridas

com consistência, poderiam ser prejudiciais para o

objetivo da administração. Por fim, pode-se presumir

que a pesquisa mostre a diferença entre o nível dos

resultados atingidos pelas funções de auditoria do

setor público sem alta maturidade em práticas

profissionais e aquelas com alta maturidade. Essa

pesquisa poderia ser embasada quantitativamente,

por meio da correlação estatística, ou embasada

qualitativamente, por meio de entrevistas com

especialistas e CAEs da área.

Os componentes variarão com base no objetivo da

administração. Quando a conformidade for o objetivo,

controles específicos de conformidade, expectativas

de governança, conjuntos relevantes de habilidades

regulatórias e outros elementos podem ser

componentes importantes para o modelo. Se a

avaliação do ambiente geral de controle for o objetivo,

então, a segregação básica de deveres, o mapeamento

dos controles e conceitos de avaliação de riscos

podem ser componentes importantes. Na avaliação

dos departamentos de vendas em campo da

organização, certas práticas de rastreamento de

possíveis vendas ou análises de mercado podem ser

consideradas componentes fundamentais.

Componentes são aquelas categorias de atributos de

processo relevantes e necessárias para cumprir — ou,

ao menos, para melhorar a probabilidade de cumprir

— com o objetivo avaliado. Voltando ao Exemplo 3, o

estudo de pesquisa sobre capacidades de auditoria

interna do setor público revelou esses componentes

como relevantes:

Serviços e Papel da Auditoria Interna

Gestão de Pessoas

Práticas Profissionais

Gestão de Desempenho e Prestação de Contas

Relações Organizacionais e Cultura

Estruturas de Governança

Praticantes que participaram da pesquisa do The IIA

que criou o modelo do Exemplo 3 determinaram que

uma avaliação da capacidade de uma função de

auditoria do setor público precisava considerar esses

seis componentes. Esses componentes eram os drivers

de sucesso ou fracasso, de criação ou destruição de

capacidades, para tal função de auditoria interna.

Cuidado: Determinar os componentes pode variar de

um exercício simples, como uma única reunião para

coletar perspectivas de especialistas experientes na

organização, a uma pesquisa extensa, amplamente

financiada e empírica, que determine, por meio da

análise estatística de muitos processos e organizações,

quais componentes realmente impactam o resultado

desejado sendo revisado. Os auditores devem ter clareza

ao avaliar o nível de previsibilidade que desejam que seu

modelo tenha. Na maioria dos casos, uma reunião

formal com especialistas da organização pode ser

adequada para a seleção dos componentes necessários

para trazer insights e melhorias à organização e um nível

razoável de certeza quanto à escolha do objetivo do

processo.

Passo 2 – Determine a escala.

Depois que os componentes forem identificados, o

auditor deve determinar qual escala será usada. Os

exemplos mostrados neste guia prático usam o nível 0

ou 1 como base, indo ao nível 5 como maior nível de

maturidade. Geralmente, o menor nível é a ausência

de controles e disciplina de processo, enquanto o

nível 5 é reservado apenas para aqueles poucos

processos que mostram uma execução otimizada ou




de melhores práticas. No modelo de referência, o

Exemplo 3, Modelo de Maturidade de Capacidades

de Auditoria Interna do Setor Público, cinco níveis

são usados:

Nível 5 – Otimização

Nível 4 – Gerenciado

Nível 3 – Integrado

Nível 2 – Infraestrutura

Nível 1 – Inicial

Cuidado: Ao desenvolver o modelo, o auditor deve

considerar cuidadosamente as palavras usadas como

título de cada nível. “Melhor Prática”, por exemplo, é

uma expressão que pode ser usada incorretamente ou

causar confusão. Nem todo nível pode precisar de uma

“Melhor Prática”, já que isso estaria além das

necessidades de tolerância a riscos da organização. Os

títulos devem ajudar a transmitir a conquista esperada

de cada nível.

Passo 3 – Desenvolva as expectativas para cada

nível componente.

O próximo passo é definir as expectativas sobre o que

deve estar em prática para que um processo atinja o

nível de cada componente avaliado. O Exemplo 1,

Modelo de Maturidade de Capacidades de Processos,

tem seis componentes que os criadores do modelo

acharam que seriam fundamentais para a governança

geral dos processos:

Planejamento Estratégico/Gestão Financeira

Expectativas do Cliente/Parte Interessada

Riscos

Métricas

Capital Humano

Gestão de Processos e Autoavaliação

Em Expectativas do Cliente/Parte Interessada, é

possível revisar o conjunto de expectativas de cada

nível. Nesse caso, cada nível agrega ao anterior — o

que significa que, para atingir o nível 4, são

necessários também cumprir com os requisitos dos

níveis 1-3.

NÍVEL 1 NÍVEL 2 NÍVEL 3 NÍVEL 4 NÍVEL 5

Reativo Repetível Definido e Gerenciado Sustentado Otimizado

Expectativas do Cliente/ Parte Interessada

As expectativas das partes interessadas são identificadas ou rastreadas informalmente.

A tomada de decisões sobre os processos é baseada nas expectativas ou feedback das partes interessadas.

As principais partes interessadas são identificadas.

As expectativas “críticas à satisfação do cliente” são documentadas.

O sucesso do processo em cumprir com as expectativas e feedback é monitorado.

O feedback das partes interessadas é coletado via enquetes, grupos de foco e metodologias inovadoras de Voice of the Customer. Retrabalhos/erros que impactem as expectativas das partes interessadas têm projetos de melhoria em desenvolvimento.

O feedback das partes interessadas valida que o processo atinge ou excede as expectativas das partes interessadas.

Iniciativas proativas estão em prática para minimizar ou eliminar o retrabalho/erros.

Neste exemplo, os criadores do modelo criaram um

conjunto de expectativas progressivamente maior,

culminando no nível 5, Otimizado — um processo

cujas partes interessadas confirmam que atinge suas

expectativas e em que a administração tem esforços

proativos para reduzir erros. Nesse caso, os criadores

do modelo construíram o modelo com a intenção de

que todos os processos atinjam o nível 3, enquanto




apenas processos críticos tenham o esforço de atingir

o nível 5.

Para elaborar esse componente, a equipe que criou o

modelo teria considerado a variação de opções para

gerenciar as expectativas dos clientes e das partes

interessadas e, então, criado as expectativas de cada

nível. Assim como com a determinação dos

componentes a usar, os reais requisitos de cada

componente podem ser determinados por pesquisa

aprofundada ou por conversas facilitadas com

especialistas. Um modelo de maturidade focado em

processos gerais, como o usado neste exemplo, será

geralmente aplicável a qualquer processo. Um

modelo de maturidade focado em uma indústria ou

função específica pode exigir diligência específica e

conquistas demonstradas de pessoas, processos e

tecnologias especializados.

Considerações para esse passo incluem:

Até que ponto cada nível agrega ao anterior?

Qual a qualidade do alinhamento das

expectativas de cada nível à expectativa de que

o processo atinja certo nível de maturidade —

como nível 3 versus nível 5?

Para as expectativas de cada nível, um

processo ou organização que cumpra com esse

requisito terá uma chance razoável de atingir o

resultado previsto para aquele nível — como

estar “Definido e Gerenciado” no nível 3 ou

“Sustentado” no nível 4?

As expectativas para um certo nível são

consistentes com todos os componentes? Por

exemplo, os requisitos do nível 3 desse

componente — Expectativas do Cliente/Parte

Interessada — são devidamente equivalentes

aos requisitos do nível 3 para Capital

Humano?

Cuidado: O mesmo nível de diligência aplicado à

determinação dos principais componentes que deveriam

existir no modelo deve ser aplicado à definição das

expectativas de cada nível do modelo. Determine os

principais requisitos em comparação com tudo que

poderia ser feito.

O modelo do auditor deve agora parecer com o

modelo abaixo, com componentes específicos e

expectativas inseridas em cada nível. O auditor pode

ter selecionado mais componentes ou um número

diferente de níveis para o modelo.


Componente 1 Expectativas – Componente 1/Nível 1

Expectativas – Componente 1/Nível 2

















Usando um Modelo de Maturidade

Passo 4 – Defina metas para cada componente.

Uma vez que a escala e os componentes tenham sido

definidos, o próximo passo é determinar o nível alvo

de maturidade da organização para cada componente.

De modo geral, a análise de custo-benefício mostra

que nem todos os componentes de um processo

devem operar no maior nível de maturidade. Em

conjunto com a avaliação do apetite de risco de uma

organização, a maturidade alvo para alguns

componentes pode ser, por exemplo, Nível 3 ou 4. A

organização pode não querer dedicar recursos para

levar esses componentes a um alto nível de

maturidade e pode querer aceitar o risco de que os

objetivos do processo tenham maior probabilidade de

fracasso como resultado. Os auditores devem

consultar as Normas do The IIA quanto aos riscos e à

comunicação da aceitação de riscos para mais

orientações.

Considere os exemplos contrastantes a seguir:

A administração criou um modelo de

maturidade para o setor de vendas, para

avaliar a maturidade do processo de seus 100

escritórios de vendas. A administração espera

que todos os escritórios de vendas atinjam o

nível 5 (otimizado) ao longo do tempo, mas

permite que cada escritório priorize o que será

abordado inicialmente, dentre os

componentes avaliados. No entanto, qualquer

componente avaliado como Nível 1 ou 2 é

considerado um alerta vermelho, exigindo um

plano imediato de intervenção por parte da

liderança regional.

A organização adotou um modelo de

maturidade de governança geral de processos.

Esperava-se que todos os processos aderissem

ao modelo; no entanto, apenas a conquista do

nível 3 é esperada de todos os processos. Cada

função de gerenciamento determina quais

processos específicos são críticos para a

organização, exigindo níveis 4 ou 5 de

maturidade. Processos não críticos podem ser

excluídos especificamente da obrigação de

“empregar os recursos para atingir o mais alto

estado de maturidade”, já que essa não seria

uma alocação otimizada de recursos na

organização.

Cuidado: Os auditores não devem presumir que os

gerentes devam buscar obter o mais alto nível de

maturidade para todos os componentes do modelo de

maturidade, em todos os processos avaliados. Isso

poderia ser muito custoso ou arriscado para a

organização. A meta de um modelo é apresentar a gama

de possibilidades, avaliar a maturidade atual do processo

e, então, definir metas para melhoria, onde tais

melhorias fizerem sentido e estiverem alinhadas com os

objetivos organizacionais.

Passo 5 – Avalie o nível de maturidade por

componente.

Por fim, os auditores avaliam o processo em si, por

meio da observação, questionamento, reexecução e

outros testes apropriados para validar a atual

maturidade do processo. A maioria dos modelos é

criada com o pressuposto de que, para atingir um

nível, todos os requisitos daquele nível e de todos os

anteriores foram atingidos. A tarefa não é diferente de

qualquer outra auditoria, com o modelo de

maturidade atuando como critérios de avaliação.

Um método de avaliação que uma função de auditoria

poderia usar seria que a gerência do processo ou

função revisada conduzisse uma autoavaliação,

incluindo a coleta de quaisquer evidências de

desempenho. A função de auditoria, então, validaria

essa avaliação.

Passo 6 – Considere o que o modelo pode ter

deixado passar.

Todos os modelos de maturidade são embasados em

pesquisas, entendimento e perspectivas obtidos por

meio da avaliação de implementações anteriores de

processos de negócio — não por uma avaliação da

execução atual do processo revisado. Além disso,

nenhum modelo pode considerar todas as

circunstâncias que podem mitigar o risco de que um

resultado não seja atingido. Deve-se ter cuidado para

não aplicar o modelo como um simples checklist.




Os auditores devem sempre realizar seus trabalhos de

forma a permitir a identificação de riscos significantes

para os objetivos da organização. Consequentemente,

o uso de um modelo de maturidade não exime o

auditor da responsabilidade de considerar, para o

processo específico em análise, o que o modelo pode

deixar passar em termos de mitigação de risco e

orientação de controle. Os auditores devem aplicar o

zelo profissional devido na determinação do nível de

análise, além da simples aplicação do modelo

necessário para cumprir com seu escopo de

engajamento. Esse escopo deve ser documentado,

como observado no próximo passo.

Passo 7 – Reporte as conclusões.

Conforme mencionado anteriormente, a base para a

seleção do modelo e os detalhes de como o modelo foi

projetado devem ser claramente divulgados em

qualquer relatório para o qual o modelo tenha sido a

base da avaliação. O objetivo do modelo — aquele

sobre o qual o modelo está fornecendo uma

perspectiva — deve estar claro. Se a administração

determinou o nível de maturidade que é considerado

adequado, o auditor deve, então, determinar

independentemente se a “administração estabeleceu

critérios adequados” para a seleção e aplicação do

modelo. (Veja a Norma 2210.A3).

Os auditores — e a administração — devem ser

cautelosos, no entanto, para não exagerar a

probabilidade de que um determinado nível de

maturidade do processo alcance um resultado

específico ao longo do tempo. Qualquer conteúdo

que pretenda garantir ou certificar o atingimento de

determinado resultado, considerando que o processo

tenha cumprido com um determinado estado de

maturidade, deve ser evitado.

Os auditores devem determinar como as métricas

reais de resultado do processo sob revisão devem ser

apresentadas no relatório e validadas conforme

apropriado. Por exemplo, um processo de fabricação

pode ser avaliado como tendo um alto nível de

maturidade, mas os clientes podem continuar

rejeitando as peças fabricadas. Esses fatos não podem

invalidar a adequação do modelo de maturidade; no

entanto, reportar apenas sobre a avaliação do modelo

— um alto nível de maturidade — pode ser enganoso

para o leitor, sem o contexto das métricas reais de

resultado.

Conforme observado no passo anterior, os auditores

têm a obrigação de pensar fora do modelo —

independentemente do quão bem construído ele pode

ter sido —, para considerar se as circunstâncias

específicas em análise podem levar a outras lacunas

na implementação da governança, riscos ou controles.

Se for o caso, o auditor deve discutir tais lacunas no

relatório. Alternativamente, se o escopo do trabalho

for simplesmente aplicar o modelo sem quaisquer

considerações adicionais de riscos não mitigados, esse

escopo focado deve ser claramente divulgado. Aqui

está um exemplo de tal divulgação.

















Seta Roxa = Nível Alvo Seta Laranja = Nível Atual




“Nossa avaliação foi limitada à aplicação do modelo

de maturidade ao processo x. Este modelo de

maturidade foi baseado na pesquisa conduzida por x

e com especialistas identificados pela administração.

Não realizamos análises adicionais destinadas a

identificar riscos adicionais não mitigados que

pudessem afetar a probabilidade de que o processo

atinja os objetivos da administração. Se tivéssemos

realizado essa análise adicional, outras lacunas

poderiam ter sido identificadas”.

Este modelo (acima) mostra duas cores como um

exemplo de forma de reporte. Uma cor representa o

nível esperado de atingimento, enquanto o outro

representa o nível atual. Onde existam lacunas, é

desejável que o auditor trabalhe com a administração

para desenvolver recomendações para melhoria.

Passo 8 – Revisite o modelo regularmente.

Depois de aplicar o modelo, a auditoria interna deve

rever como cada um dos elementos do modelo (níveis,

componentes e expectativas), quando implementado,

parece estar alcançando os resultados desejados do

processo. A expectativa de alcançar certo nível está

muito alta? Alternativamente, a avaliação parece fácil

demais e não leva a melhorias que aumentem o nível

da resiliência esperada do processo? Ao longo do

tempo, o auditor deve buscar entender quaisquer

fracassos de atingir o resultado do processo e ligar

esse aprendizado à melhoria do modelo em si. O

fracasso teria sido um indicador de que mudanças nas

3 COBIT 4.1, 2007 © IT Governance Institute, Anexo III, p. 186. Todos os direitos reservados. Usado com permissão.

expectativas de certo componente, de certo nível,

devam ser consideradas para aumentar a chance de

atingir o objetivo daqui para frente?

Um Modelo de Maturidade

do Ambiente de Controle

Interno Comumente Aceito Na página 13 está o modelo de maturidade do

ambiente de controle do COBIT 4.1 (Control

Objectives for Information Technology), publicado pela

ISACA.3 Embora a ISACA tenha publicado versões

posteriores do COBIT — incluindo o COBIT 5 —,

esse modelo ainda serve como referência útil para

consideração da maturidade do ambiente de controle.

O desenvolvimento do modelo do COBIT 4.1 por

parte da ISACA envolveu a pesquisa de uma

variedade de modelos de maturidade. Da mesma

forma, os auditores internos podem usar o modelo

como uma base para sua avaliação da maturidade das

estruturas de controle interno ou para o

desenvolvimento de seus próprios modelos de

maturidade. O modelo usa apenas um componente

(Ambiente de Controle Interno) e 6 níveis, indo de

inexistente a otimizado.




COBIT 4.1

NÍVEL DE MATURIDADE STATUS DO AMBIENTE DE CONTROLE INTERNO

0 – Inexistente Não existe o reconhecimento da necessidade de controles internos. Controles não são parte da cultura ou missão da empresa. Existe um alto risco de deficiências de controles e de incidentes.

1 – Inicial / Ad hoc Existe algum reconhecimento da necessidade de controles internos. A abordagem aos requisitos de riscos e controle é ad hoc e desorganizada, sem comunicação ou monitoramento. Deficiências não são identificadas. Funcionários não estão conscientes de suas responsabilidades.

2 – Repetível, porém Intuitivo Controles estão em funcionamento, mas não são documentados. A sua operação é dependente do conhecimento e da motivação das pessoas. A eficácia não é adequadamente avaliada. Existem muitas fragilidades nos controles e elas não são adequadamente tratadas; o impacto pode ser severo. Ações gerenciais para resolver os problemas de controle não são priorizadas ou consistentes. Os funcionários podem não estar conscientes de suas responsabilidades.

3 – Processo Definido Controles estão em funcionamento e são adequadamente documentados. A eficácia operacional é avaliada periodicamente e existe um número médio de problemas. No entanto, o processo de avaliação não é documentado. Embora a gerência trate a maioria dos problemas de controle de maneira previsível, algumas fragilidades de controle persistem e os impactos ainda podem ser severos. Os funcionários estão conscientes de suas responsabilidades relacionadas a controles.

4 – Gerenciado e Mensurável Existe um ambiente eficaz de controle interno e gerenciamento de riscos. Uma avaliação formal e documentada dos controles ocorre frequentemente. Muitos controles são automatizados e regularmente revisados. A gerência provavelmente detecta a maioria dos problemas de controle, mas nem todos os problemas são rotineiramente identificados. Existe um acompanhamento contínuo para solucionar as fragilidades de controle. O uso limitado e tático da tecnologia é aplicado para automatizar os controles.

5 – Otimizado Um programa corporativo de riscos e controles proporciona uma resolução contínua e eficaz de questões relacionadas aos controles e riscos. O gerenciamento de controles internos e de riscos é integrado às práticas corporativas, apoiado por um monitoramento automatizado em tempo real, com total prestação de contas quanto ao monitoramento dos controles, gerenciamento de riscos e procedimentos para conformidade. A avaliação dos controles é contínua, baseada na autoavaliação e em análises de lacunas e de causa-raiz. Os funcionários estão proativamente envolvidos no aprimoramento dos controles.




Pontos Principais Para Revisão Considerando que se deve ter cuidado ao usar modelos de maturidade, os auditores devem revisar esses pontos

principais ao longo de um trabalho.

PONTOS PRINCIPAIS PARA REVISÃO

Um auditor que planeje usar um modelo de maturidade em um trabalho de avaliação deve, primeiramente, considerar se o modelo é adequado ao propósito.

Um auditor que planeje usar um modelo de maturidade em um trabalho de avaliação deve determinar, independentemente, qual “nível de maturidade” do modelo é adequado para atingir o objetivo.

Modelos de maturidade envolvem um certo nível de subjetividade; portanto, é necessário cuidado ao prestar avaliação à administração de que um processo seja adequadamente controlado com base na avaliação de um modelo de maturidade. Faça-se essas perguntas ao considerar usar um modelo: Seguir um modelo melhoraria a probabilidade de atingir o resultado? A administração teria uma falsa sensação de confiança de que o resultado será atingido se a avaliação — usando o modelo —

mostrar um alto estado de maturidade do processo?

Os auditores devem divulgar, em seu relatório, a fonte do modelo, como ele foi elaborado, quem participou da elaboração do modelo e por que o auditor — e a administração, conforme apropriado — acredita que o modelo seja válido para o processo e objetivo avaliados.

Os auditores devem avaliar claramente o nível de previsibilidade que desejam que seu modelo tenha.

Os auditores não devem presumir que os gerentes devam buscar obter o mais alto nível de maturidade em todos os componentes do modelo de maturidade, em todos os processos avaliados. Pode ser muito custoso ou arriscado para a organização.

Deve-se ter cuidado para não aplicar o modelo como um simples checklist. Os auditores devem sempre conduzir seu trabalho de forma a permitir a identificação dos riscos significantes aos objetivos da organização. Da mesma forma, o uso de um modelo de maturidade não exime o auditor da responsabilidade de considerar, para o processo específico sob revisão, o que o modelo pode deixar passar quanto à mitigação de riscos e orientação de controle.

Os auditores — e a administração — devem tomar cuidado para não exagerar a probabilidade de que um determinado nível de maturidade do processo atinja um determinado resultado ao longo do tempo. Qualquer conteúdo que pretenda garantir ou certificar o atingimento de determinado resultado, considerando que o processo tenha cumprido com um determinado estado de maturidade, deve ser evitado.

Os auditores devem determinar como as métricas reais de resultado do processo revisado devem ser apresentadas no relatório e validadas conforme apropriado.

Após empregar o modelo, a auditoria interna deverá revisitar periodicamente como cada um dos elementos do modelo (níveis, componentes e expectativas) parece levar ao atingimento dos resultados desejados para o processo.




Exemplos de Modelos de

Maturidade Os três modelos a seguir são exemplos que os

auditores podem usar como oferecidos, ou alavancar

para o desenvolvimento de seus próprios modelos de

maturidade. Os modelos de exemplo usam, cada um,

seis componentes e cinco níveis de maturidade para

abordar seus objetivos:

Exemplo 1: Modelo de Maturidade de Capacidades

de Processos de Empresas Fortune 100

Exemplo 2: Modelo de Maturidade de Programas de

Conformidade e Ética

Exemplo 3: Modelo de Maturidade de Capacidades

de Auditoria Interna do Setor Público

Exemplo 1: Modelo de Maturidade de

Capacidades de Processos

Uma empresa Fortune 100 usou o conceito de

modelos de maturidade e personalizou para o

ambiente da organização no exemplo a seguir. O

objetivo do modelo é abordar a maturidade geral das

capacidades de processos em seis componentes de

processos: Planejamento Estratégico/Gestão Financeira,

Expectativas do Cliente/Parte Interessada, Riscos,

Métricas, Capital Humano e Gestão de Processos/

Autoavaliação. Essa estrutura foi aplicada com

sucesso, tanto em revisões de processos de alto nível

quanto em revisões detalhadas de subprocessos. O

modelo foi desenvolvido usando a contribuição de

profissionais experientes de auditoria, assim como de

membros de um grupo de processos internos.

A administração define um alvo para cada

componente (nível 1 a nível 5) e conduz uma

autoavaliação. A função de auditoria interna, então,

audita o processo de forma independente e opina

sobre o nível de maturidade. A administração e a

auditoria interna concordam quanto aos elementos

que demonstram cada nível de maturidade.



Observações Mínimo Nível Alvo

Sugerido Hurdle rate do ROI não

justifica que todos os processos atinjam este nível.

Descrição Geral

O processo não está formalizado.

Execução inconsistente.

O processo está mais formalizado (documentado).

Execução repetível. A administração

entende o processo geral.

O processo está totalmente definido e executado com consistência.

Métricas adequadas estão definidas, para permitir capacidades de avaliação de qualidade/de autoavaliação.

A tomada de decisão de administração e projetos de melhoria contínua são baseados em dados, métricas e feedback da avaliação de qualidade/ autoavaliação.

Níveis de serviço perfeito são atingidos.

Verificados independentemente como melhores da classe.

Ideias e técnicas inovadoras são executadas de forma contínua.




Modelo de Maturidade de Capacidades de Processos



Planejamento Estratégico/ Gestão Financeira

As iniciativas são identificadas e tarefas são atribuídas.

As iniciativas são reavaliadas anualmente.

Marcos de projeto são monitorados.

Recursos são alocados e rastreados.

Planejamento estratégico da unidade de negócio, departamento ou processo inclui iniciativas de 1-3 anos com base nas expectativas das partes interessadas.

Elementos financeiros, de processo, recursos humanos e gerenciamento de riscos estão incluídos no planejamento.

O planejamento estratégico apoia o plano estratégico corporativo quanto ao crescimento de clientes, margem de lucros do segmento, vantagem competitiva e cumprimento estratégico das intenções.

Priorização de recursos e iniciativas é baseada no ROI ou em requisitos de governança/ conformidade.

Iniciativas de planejamento estratégico de 1-3 anos cumprem consistentemente com suas metas de marcos.

Expectativas financeiras e das partes interessadas são cumpridas.

O plano estratégico incorpora alternativas e opções para mudanças de longo prazo (3-6 anos) na indústria e regulatórias.

Expectativas do Cliente/ Parte Interessada

As expectativas das partes interessadas são identificadas ou rastreadas informalmente.

A tomada de decisões do processo é baseada nas expectativas e feedback das partes interessadas.

As principais partes interessadas são identificadas.

Expectativas críticas para a satisfação da qualidade são documentadas.

O sucesso do processo em cumprir com as expectativas e feedback é monitorado.

O feedback das partes interessadas é coletado via enquete, grupos de foco e metodologias inovadoras de voice of the customer.

Retrabalho/erros que impactem as expectativas das partes interessadas têm projetos de melhoria em desenvolvimento.

O feedback das partes interessadas valida que o processo cumpre ou excede as expectativas das partes interessadas.

Iniciativas proativas estão em prática para minimizar ou eliminar o retrabalho/erros.






Riscos

Avaliação de riscos limitada ou inexistente.

Ao menos anualmente, uma revisão dos riscos dos processos é feita.

O risco é considerado nos planos de projeto e iniciativas.

Um processo abrangente de avaliação de riscos é desenvolvido, cobrindo riscos estratégicos, financeiros, de conformidade e operacionais.

A probabilidade e o impacto de possíveis riscos ou oportunidades são formalmente avaliados.

A administração articula formalmente a tolerância a riscos.

Planos específicos de mitigação são implementados com base na avaliação e na análise de custo-benefício.

A avaliação de riscos é revisada e atualizada conforme apropriado ao longo do ano.

O ROI da alocação de recursos incorpora a avaliação de riscos no processo de priorização.

Os riscos são mitigados abaixo das metas de tolerância a riscos definidas pela administração.

Métricas

Poucas ou nenhuma métrica é identificada, rastreada ou reportada.

As principais métricas são identificadas e elementos de mensuração são precisos.

Existem métodos para rastrear e reportar à administração continuamente.

Principais métricas com indicadores alvo de desempenho são identificadas para atributos financeiros, de conformidade, estratégicos, operacionais, de recursos humanos e de partes interessadas (balanced scorecard).

Mensuração do desempenho real em comparação com as métricas alvo é precisa e comunicada à administração e aos associados.

As principais métricas, metas e sistemas de mensuração são reavaliados e validados continuamente para mudanças dos processos, dos recursos e iniciativas de estratégia corporativa.

Iniciativas específicas de melhoria são desenvolvidas e priorizadas para métricas que não atingem as metas de desempenho.

As principais metas de métricas são atingidas consistentemente em todas as áreas.

Atividades proativas são implementadas, de modo que lacunas não ocorram entre a realidade e a meta.






Capital Humano

Um processo de desenvolvimento de recursos não existe ou é informal.

Um processo de treinamento de recursos não existe ou é informal.

O processo de desenvolvimento é formalizado e documentado para todos os níveis dos associados.

Descrições dos cargos e expectativas são documentados e comunicados.

Programas de treinamento são implementados.

Um processo formalizado de desenvolvimento de recursos é executado com consistência.

Um programa formal de treinamento para todos os níveis é estabelecido e sua conclusão é rastreada.

Um plano formal de sucessão e de recrutamento está em prática.

A compensação está correlacionada às expectativas documentadas de gestão de desempenho e às contribuições.

Métricas alvo de eficiência e eficácia da força de trabalho são identificadas e métodos de mensuração estão em prática para resultados reais.

Projetos de melhoria contínua são iniciados para lacunas entre o desempenho real e a métrica alvo.

As principais metas de métricas são atingidas consistentemente em todas as áreas.

Atividades proativas são implementadas, de modo que lacunas não ocorram entre a realidade e a meta.

Gestão de Processos e Autoavaliação

Processos e procedimentos não são documentados ou são conhecidos informalmente.

Políticas, documentos de procedimentos de alto nível e modelos básicos existem, que promovem processos repetíveis.

Os controles são identificados e notados na documentação.

A documentação é mantida, comunicada e precisa.

Evidências padrão estão disponíveis, incluindo um sistema de gestão de controles de processos, narrativas e fluxos de processos.

A documentação está prontamente disponível para auditoria externa sem aviso prévio.

Principais controles e normas de execução de controles são rastreados para processos/produtos atuais e novos.

A avaliação formal de qualidade por meio da autoavaliação é executada regularmente para os principais processos.

Políticas de retenção de registros estão em prática e são monitoradas.

A documentação de processos e controles é proativamente desenvolvida e validada, antes de novos sistemas, produtos ou iniciativas.

Iniciativas proativas são realizadas com base em lacunas identificadas por meio de autoavaliações.




Exemplo 2: Modelo de Maturidade do Programa de Conformidade e Ética

Este modelo foi adaptado a partir de um modelo publicado pela The IIA’s Research Foundation (IIARF), que se

aplica ao programa de conformidade e ética da organização.

ATRIBUTOS DE MATURIDADE DO PROGRAMA DE CONFORMIDADE E ÉTICA4

Atributo Inicial Repetível Definido Maduro Alto Nível

1. Código de Ética

Como o código delineia com eficácia as expectativas da administração quanto à conduta ética?

Não há código de ética formalmente documentado.

Em geral, não há outros meios de comunicar as expectativas da administração quanto à conduta ética.

Um código de ética foi desenvolvido, mas pode não ser abrangente ou atual.

Funcionários experientes geralmente entendem as expectativas da administração quanto à conduta ética, mas novos funcionários podem não ter qualquer forma de determinar essas expectativas.

Um código de ética abrangente existe, foi aprovado pelo conselho e é revisado a cada dois a três anos, para determinar as atualizações necessárias.

Todos os funcionários devem assinar anualmente que estão em conformidade com o código de ética.

Novos funcionários devem assinar um documento, declarando que leram e entendem o código de ética.

O código de ética é revisado conforme apropriado, além do aconselhamento legal, para garantir que permaneça atualizado e apropriado.

O código de ética é revisado anualmente e atualizado conforme necessário.

Todos os funcionários completam questionários anuais que fazem perguntas mais aprofundadas de conformidade com o código de ética.

Políticas específicas de conformidade e ética estão em prática para apoiar e oferecer orientações adicionais sobre os principais componentes do código.

Grupos de foco periódicos e/ou pesquisas são conduzidos com uma amostra representativa dos funcionários, para avaliar seu entendimento do código de ética e suas percepções do nível de conformidade em toda a organização.

4 Adaptado de The IIA Research Foundation. Internal Auditing: Assurance & Consulting Services. Altamonte Springs, Fla.: IIARF, 2009.




Modelo de Maturidade do Programa de Conformidade e Ética



2. Cultura e consistência

Como a organização percebe o compromisso da administração com a conformidade?

A organização parece indiferente à conformidade e à ética.

O programa foi desenvolvido por poucos indivíduos, sem contribuição externa.

Há percepções de inconsistências disciplinares e “favoritismo”.

Pessoas são promovidas sem consideração formal de conduta ética.

Eventos de não conformidade são normalmente conhecidos a partir de reclamações, em vez de por meio de atividades de monitoramento ou auditoria.

Há percepções de que a conformidade e a ética são importantes.

O programa foi desenvolvido para abordar consequências legais da não conformidade.

A disciplina é geralmente deixada a cargo dos gerentes comerciais e de departamento e, como tal, não é sempre consistente.

Apesar da conduta ética parecer ser considerada, não faz parte das descrições dos cargos.

Eventos de não conformidade são geralmente reportados tempestivamente, mas há poucos esforços para reportar os eventos antes da não conformidade.

A percepção é que a alta administração leva a conformidade e a ética a sério e “faz o que prega”.

O programa foi desenvolvido com contribuições do jurídico, recursos humanos e auditoria interna.

O setor de Recursos Humanos é consultado para garantir que ações disciplinares sejam apropriadas e em conformidade com regulamentos.

As descrições dos cargos incluem expectativas de conduta ética.

Muitos funcionários levantam questões de conformidade antes que se tornem problemas.

A conformidade e a ética são tópicos de reuniões da organização e dos departamentos, garantindo uma mensagem cultural consistente.

O programa foi desenvolvido com contribuição de diversos grupos de funcionários.

Decisões disciplinares envolvem a combinação apropriada de pessoas de recursos humanos, jurídico e conformidade, para garantir adequação e consistência.

Descrições de cargos e entrevistas cobrem formalmente a conduta ética.

Funcionários sentem-se encorajados a fazer perguntas sobre questões de conformidade.

Pesquisas ou grupos de foco periódicos são realizados, para avaliar a percepção da cultura de conformidade e ética e para fazer ajustes onde necessário.

Contribuições periódicas são solicitadas dos funcionários para melhorar o programa.

Ações disciplinares são revisadas por um grupo independente (ex., auditoria interna), para apoiar a consistência de tais ações.

As pessoas são reconhecidas por demonstrar conduta ética.

Alguns funcionários fazem recomendações para melhorar o programa de conformidade.






3. Conscientização

Qual o nível de consciência dos funcionários e partes interessadas externas sobre o programa de conformidade e ética e seus requisitos?

Os funcionários estão geralmente cientes de que o programa existe, mas não têm certeza de como obter informações.

Os funcionários não estão familiarizados com requisitos específicos.

Os funcionários não sabem quem gerencia o programa de conformidade e ética.

As partes interessadas não sabem sobre o programa.

Funcionários estão cientes de que o programa existe, passaram por um treinamento e sabem intuitivamente alguns dos requisitos contidos no programa.

Funcionários sabem quem é o chief compliance officer, mas não outros envolvidos na gestão do programa de conformidade e ética.

As partes interessadas presumem que exista um programa, mas não sabem a respeito.

Há uma conscientização difundida entre os funcionários sobre o programa.

Todos os funcionários passaram por treinamento nos últimos três anos.

Funcionários sabem quem é o chief compliance officer e os gerentes de compliance.

As partes interessadas estão cientes da existência do programa e podem encontrar referências no site da empresa.

Treinamento anual reforça o programa, com módulos individuais entregues com maior aprofundamento.

Funcionários sabem quais indivíduos são responsáveis pelas principais áreas de conformidade.

A conformidade com as expectativas do programa e de ética é coberta nos contratos com fornecedores.

Ocorrem comunicações regulares, para lembrar/atualizar os funcionários sobre as expectativas do programa.

O programa faz parte do reporte externo de sustentabilidade feito anualmente.






4. Estrutura e Prestação de Contas

Qual o nível de eficácia da estrutura de gestão do programa e de aplicação de prestação de contas?

Não há estrutura formal para o programa de conformidade e ética.

A supervisão independente não existe ou é ad hoc.

A prestação de contas não está definida.

As investigações são ad hoc.

Os riscos de conformidade não são entendidos.

Um executivo de conformidade foi atribuído, mas as responsabilidades do cargo não estão bem desenvolvidas.

A supervisão e monitoramento são inconsistentes e reativas.

A prestação de contas é amplamente entendida, mas não está formalmente documentada.

As investigações são normalmente conduzidas pelas pessoas apropriadas.

Os riscos de conformidade são geralmente entendidos, mas não estão formalmente documentados.

Uma estrutura de conformidade e ética foi estabelecida, com prestação de contas atribuída aos executivos responsáveis pelas áreas de conformidade.

A supervisão é definida a partir da perspectiva da alta administração e do conselho.

O monitoramento é estabelecido, incluindo a auditoria interna e outros.

Há um ponto de foco para determinar quem deve conduzir as investigações.

Os riscos e cenários de conformidade são documentados.

O reporte por parte dos executivos da área de conformidade ao chief compliance officer é tempestivo e consistente.

O comitê aplicável do conselho recebe trimestralmente atualizações sobre questões de conformidade e ética.

A auditoria interna tem um plano consistente para auditar todos os riscos de conformidade.

Um protocolo formal de investigação existe, que delineia recursos apropriados a usar (internos vs. externos), requisitos de documentação e como as investigações são encerradas.

Uma avaliação formal de riscos de conformidade foi realizada.

Um plano integrado de monitoramento foi implementado, envolvendo o chief compliance officer, executivos da área de compliance e a auditoria interna.

Investigações sensíveis ou significantes são conduzidas de acordo com o protocolo, por indivíduos treinados em técnicas forenses e de investigação.

Cenários de riscos de conformidade foram identificados, avaliados e mapeados quanto aos controles de conformidade e são atualizados ao menos anualmente.






5. Automação e Integração de Processos

Com que eficácia os controles e processos de conformidade e ética são padronizados, integrados e automatizados?

Não há controles e procedimentos formais de conformidade e ética, embora muitos funcionários saibam intuitivamente como agir.

Não há protocolo formal para funcionários e terceiros reportarem eventos de possível não conformidade.

Informações/dados relativos à conformidade e ética não estão disponíveis.

Há alguns controles e procedimentos de conformidade e ética, mas não são consistentes em toda a organização ou documentados formalmente.

Há testes limitados dos controles e procedimentos em prática.

Funcionários geralmente entendem que podem contatar o jurídico ou recursos humanos, se suspeitarem de um evento de não conformidade.

Informações/dados relativos a eventos de conformidade e ética são difíceis de compilar.

Os controles e procedimentos de conformidade e ética estão bem documentados e padronizados em toda a organização.

Controles e procedimentos de conformidade e ética são testados periodicamente, para identificar lacunas ou fraquezas.

Há uma linha externa de denúncias, por meio da qual funcionários ou terceiros podem reportar eventos de possível não conformidade.

Alguns controles de conformidade e ética estão integrados a outros processos do negócio e automatizados até o ponto em que os sistemas existentes apoiam.

São preparados alguns relatórios padrão sobre eventos de conformidade e ética.

Controles e procedimentos de conformidade e ética são parte integrante dos processos do negócio.

Muitos controles de conformidade e ética abordam os principais riscos de conformidade como parte da visão de governança, riscos e conformidade (GRC) do programa.

Há diversas formas para funcionários ou terceiros reportarem eventos de possível não conformidade e todas seguem um protocolo consistente de coleta de dados sobre o evento e sua utilização.

Um plano de teste consistente é usado, para garantir que os controles e procedimentos de conformidade e ética operem com eficácia.

Usa-se tecnologia para auxiliar na identificação e investigação de eventos de conformidade e ética.

A empresa estabeleceu um programa integrado de GRC, que garante que os riscos de conformidade sejam geridos em consistência com o apetite a riscos da organização.

Softwares de gestão de eventos são usados, para garantir que todos os principais dados sejam coletados e que a resolução do evento seja documentada completa e consistentemente.

Softwares de GRC são usados para oferecer dados integrados sobre o programa.

Rotinas integradas de tecnologia são executadas regularmente, para prevenir ou detectar tempestivamente possíveis eventos de conformidade e ética.






6. Metas e Métricas

Como o sucesso do programa de conformidade e ética é mensurado?

Nenhuma meta ou métrica formal existe ou é considerada.

Embora metas e métricas não estejam formalizadas, os funcionários geralmente entendem que a ausência de eventos de conformidade e ética é um indicador de um programa de sucesso.

Metas amplas de conformidade e ética são estabelecidas e comunicadas.

Métricas amplas existem para mensurar a natureza e frequência dos eventos de conformidade e ética.

Metas específicas de conformidade e ética são integradas ao processo anual de definição de metas para cada área de conformidade.

Métricas são estabelecidas para cada área de conformidade.

Todos os funcionários têm métricas individuais de conformidade e ética.

As métricas são integradas ao processo geral de mensuração de desempenho.




Exemplo 3: Modelo de Maturidade de Capacidades de Auditoria Interna do Setor Público

Além de aplicar o modelo de maturidade a diferentes processos dentro da organização, a auditoria interna também

pode fazer uma avaliação de seus próprios processos, usando uma estrutura sob medida de modelo de maturidade.

O exemplo a seguir foi adaptado a partir de um modelo publicado pela The IIARF, desenvolvido para avaliar os

departamentos de auditoria interna do setor público, mas pode facilmente ser adaptado e aplicado a todos os setores.

MATRIZ MODELO DE CAPACIDADES DE AUDITORIA INTERNA5

Serviços e Papel

da AI Gestão de Pessoas


Gestão de Desempenho e Prestação de

Contas

Relações Organizacionais e

Cultura


Nível 5 – Otimização

A auditoria interna é reconhecida como principal agente de mudança.

Envolvimento da liderança em órgãos profissionais.

Projeção da força de trabalho.

Melhoria contínua em práticas profissionais.

Planejamento estratégico da auditoria interna.

Reporte público da eficácia da auditoria interna.

Relações eficazes e contínuas.

Independência, poder e autoridade da atividade de auditoria interna.

Nível 4 – Gerenciado

Avaliação geral de governança, gerenciamento de riscos e controle.

AI contribui para o desenvolvimento da administração.

AI apoia ativamente órgãos profissionais.

Planejamento da força de trabalho.

Estratégia de auditoria alavanca o gerenciamento de riscos da organização.

Integração de métricas qualitativas e quantitativas de desempenho.

CAE orienta e influencia a administração de maior nível.

Supervisão independente da atividade de auditoria interna.

O CAE reporta à autoridade de maior nível.

Nível 3 – Integrado

Serviços de consultoria.

Auditorias de desempenho e value-for-money.

Desenvolvimento de equipe e competências.

Equipe qualificada profissionalmente.

Coordenação da força de trabalho.

Estrutura de gestão da qualidade.

Planos de auditoria com base em riscos.

Métricas de desempenho.

Informações de custo.

Relatórios de gerenciamento da auditoria interna.

Coordenação com outros grupos de revisão.

Componente integrante da equipe de gerenciamento.

Supervisão da atividade de auditoria interna por parte da administração.

Mecanismos de financiamento.

5 Adaptado de The IIA Research Foundation. Internal Audit Capability Model (IA-CM) For the Public Sector. Altamonte Springs, Fla.: IIARF, 2009.




MATRIZ MODELO DE CAPACIDADES DE AUDITORIA INTERNA5

Serviços e Papel

da AI Gestão de Pessoas


Gestão de Desempenho e Prestação de

Contas

Relações Organizacionais e

Cultura


Nível 2 – Infraestrutura

Auditoria de conformidade.

Desenvolvimento profissional individual.

Pessoas habilidosas são identificadas e recrutadas.

Estrutura de práticas profissionais e processos.

Plano de auditoria é baseado nas prioridades da administração e das partes interessadas.

Orçamento operacional de auditoria interna.

Plano de negócios de auditoria interna.

Gestão dentro da atividade de auditoria interna.

Total acesso às informações, ativos e pessoas da organização.

Relações de reporte estabelecidas.

Nível 1 – Inicial

Ad hoc e não estruturadas; auditorias únicas isoladas ou revisões de documentos e transações para precisão e conformidade; resultados dependem das habilidades dos indivíduos específicos dentro do cargo; nenhuma prática profissional específica estabelecida, além das oferecidas por associações profissionais; financiamento aprovado pela administração, conforme necessário; ausência de infraestrutura; auditores provavelmente fazem parte de uma unidade organizacional maior; nenhuma capacidade estabelecida; portanto, não há áreas principais específicas de processos.




Recursos Adicionais Os auditores internos podem consultar outros

modelos de maturidade para insights ao desenvolver

seus próprios modelos. A seguir, estão alguns

exemplos.

IIA Path to Quality Model (PTQM) – O PTQM

fornece uma estrutura para o CAE avaliar o estado

atual da capacidade de qualidade da atividade de

auditoria interna, definir um nível adequado de

capacidade de qualidade para a atividade e apresentar

os passos ao longo de um caminho para a atividade de

auditoria, para que ela alcance a meta de capacidade

de qualidade. As categorias consistem em: Início (1),

Emergente (2), Em Conformidade (3), Alavancando

(4) e Liderando (5).

O RIMS Risk Maturity Model é uma ferramenta para

executivos de gerenciamento de riscos e outros com

responsabilidades de gerenciamento de riscos, para

desenvolver programas de gerenciamento de riscos

corporativos sustentáveis. Os níveis incluem: Ad Hoc

(1), Inicial (2), Repetível (3), Gerenciado (4) e

Liderança (5).

Os Capability Maturity Models (CMM) do Software

Engineering Institute (SEI) são uma adaptação

analítica do uso de modelos de maturidade para

processos de engenharia de software, capacidades de

pessoas, integração de processos e outros usos. As

categorias consistem em: Inicial (1), Gerenciado (2),

Definido (3), Quantitativamente Gerenciado (4) e

Otimização (5).

A International Standards Organization (ISO) e a

International Electrotechnical Commission (IEC)

desenvolveram o ISO/IEC 15504, que é o modelo de

referência para modelos de maturidade (consistindo

de níveis de capacidade que, por sua vez, consistem

de atributos de processo e práticas genéricas), em

comparação com o qual os avaliadores podem alocar

as evidências coletadas durante sua avaliação, para

que possam dar uma determinação geral das

capacidades da organização para entrega de produtos

(softwares, sistemas, serviços de TI). Os seis níveis

incluem: Incompleto (0), Executado (1), Gerenciado

(2), Estabelecido (3), Previsível (4) e Otimização (5).

Para uma análise aprofundada de modelos de

maturidade, consulte o trabalho What Makes a Useful

Maturity Model? A Framework of General Design

Principles for Maturity Models and Its Demonstration

in Business Process.

Jens Pöppelbuß, European Research Center for

Information Systems, University of Münster,

Maximilian Röglinger, FIM Research Center,

University of Augsburg.




Sobre os Autores e

Revisores

Autor:

James Rose, CIA, CRMA, CPA

Revisores:

Maria E. Mendes, CIA, CCSA

Steven Jameson, CIA, CCSA, CFSA, CRMA

Sobre o Instituto

Sobre os Guias Práticos

Isenção de Responsabilidade

Copyright

SEDE GLOBAL T: +1-407-937-1111

247 Maitland Ave. F: +1-407-937-1101

Altamonte Springs, FL 32701 EUA W: www.globaliia.org

130513

Fundado em 1941, The Institute of InternalAuditors (IIA) é uma associação profissional comsede global em Altamonte Springs, Fla., EUA.O The IIA é a voz da profissão de auditoria internaem todo o mundo, autoridade reconhecida, lídervalorizado, advogado chefe e principal educador.

Os Guias Práticos fornecem uma orientação detalhada para a condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de deliverables. Os Guias Práticos são parte da IPPF do The IIA. Como parte da categoria de orientação Fortemente Recomendada, a conformidade não é obrigatória, mas é altamente recomendada, e a orientação é endossada pelo The IIA por meio de processos formais de revisão e aprovação. Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor visite nosso website: https://globaliia.org/standards-guidance.

O The IIA publica este documento para fins informativos e educacionais. Este material de orientação não tem como objetivo fornecer respostas definitivas a específicas circunstâncias individuais e, como tal, tem o único propósito de servir de guia. O The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados diretamente a qualquer situação específica. O The IIA não assume responsabilidade pela confiança depositada unicamente neste guia.

Os direitos autorais deste documento pertencem ao The IIA. Para permissão para reprodução, favor entrar em contato com o The IIA pelo e-mail: [email protected].

SELECIONANDO, USANDO E CRIANDO MODELOS DE … · FERRAMENTA PARA TRABALHOS DE AVALIAÇÃO E...

Documents

Transcript of SELECIONANDO, USANDO E CRIANDO MODELOS DE … · FERRAMENTA PARA TRABALHOS DE AVALIAÇÃO E...