Uma Visão Globalda Auditoria de Serviços Financeiros

Closer Look

FUTURO

CBOKThe Global Internal Audit Common Body of Knowledge

Jennifer F. BurkeCP P F

Steven E. JamesonS P

●

Sobre o CBOK

Pesquisa do Praticante CBOK 2015 Participação das Regiões Globais

FATOS DA PESQUISA

Participantes 14,518*

Países 166

Idiomas 23

NÍVEIS DOS FUNCIONÁRIOS*

Chief audit executive (CAE) 26%

Diretor 13%

Gerente 17%

44%Equipe

Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582 respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.

O

8%

6%

14%

19%

5%

25%

23%

Américado Norte

AméricaLatina & Caribe

ÁfricaSubsaariana

Oriente Médio& Áfricado Norte

Europa& ÁsiaCentral

Sul daÁsia

Leste Asiático& Pacífico

Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas

pesquisa está disponível para download no CBOK Resource Exchange.

*As taxas podem variarpor pergunta.

●

Conteúdos

Sumário Executivo 4

1 Des s Regulatórios para Auditores Internos de Serviços Financeiros 6

2 Pautas Lotadas dos Comitês de Auditoria e Riscos 9

3 11

4 Maiores Riscos Tecnológicos 14

5 Três Linhas de Defesa 17

6 Recursos de Auditoria Interna 20

Conclusão 22

Áreas deConhecimento

do CBOK

Futuro

Governança

Gestão

Risco

Normas & C ações

Talento

Tecnologia

PerspectivaGlobal

●

M1.

2. Gestão de pautas do comitê de governança, que estão cada vez mais lotadas

3. Expectativas crescentes para os auditores internos

4.

5. Coordenação entre todas as linhas de defesa

6. Gestão de alocação de recursos

Sumário Executivo

uitos na indústria de serviços financeiros concordarão que as coisas nunca foram tão desafiadoras quanto estão hoje. Embora os auditores internos encarem muitas questões em instituições financeiras, este relatório foca nos seguintes desafios principais:

Requisitos regulatórios, que estão, geralmente, no topo das listas de riscos da maioria das instituições financeiras

Maiores riscos tecnológicos, enquanto cibercriminosos descobrem novas formas de quebrar as barreiras de defesa

A conformidade regulatória continua no topo da lista de prioridades e, frequentemente, assume o papel principal nas discussões, desde os bastidores até a sala do conselho. Regulações novas e modificadas exigem gastos maiores para estruturação adicional de equipe, novas tecnologias, processos revisados e até mesmo uma redução nas taxas e receitas de instituições financeiras. As mudanças têm sido tão abrangentes que até mesmo parceiros indiretos e fornecedores que atendem instituições financeiras têm sido impactados de maneiras significantes. Aqueles encarregados das atividades de governança e supervisão descobriram sua carga de trabalho em expansão. As demandas de tempo, por reuniões mais frequentes e longas para cobrir pautas crescentes, desafiam as instituições financeiras a se tornarem mais eficientes, para dedicar tempo suficiente ao número sempre crescente de questões que precisam ser discutidas. O número de presentes nessas reuniões também contribui para reuniões mais extensas. Embora os auditores internos tenham, por muito tempo, buscado ser reconhecidos e convidados a fazer parte das discussões estratégicas em suas instituições financeiras, as maiores expectativas, por parte de múltiplas partes interessadas, que elevaram a atividade de auditoria interna também trouxeram desafios singulares. Considerando a natureza da auditoria interna de focar em problemas, fraquezas e riscos não controlados, essas maiores expectativas colocaram uma pressão maior sobre os auditores internos para tomarem as decisões certas - e aumentaram as consequências para aqueles que não o fizerem.

●

Os auditores internos frequentemente alavancaram a tecnologia para garantir uma maior cobertura de auditoria em universos de auditoria expandidos, ainda utilizando recursos limitados com eficácia. Hoje, a tecnologia está expandindo com tanta rapidez que manter o controle eficaz é quase impossível. Para agravar o desafio, os criminosos agora usam a tecnologia para facilitar ataques globais contínuos contra instituições financeiras e seus clientes. Há alguns raios de esperança para os auditores internos em instituições financeiras, conforme novos modelos de defesa são criados e adotados, para vencer os muitos desafios que encaram. As Três Linhas de Defesa são um modelo que tem tido ampla aceitação e adoção no mundo todo nos últimos anos. Os auditores internos em instituições financeiras são desafiados a encontrar novas formas de implementar esse modelo com eficácia, de modo que funcione para suas organizações. Em instituições de menor porte, a linha entre a segunda e a terceira linhas de defesa é, muitas vezes, tênue, desafiando os auditores internos a esclarecer papéis e responsabilidades. Diferenças geracionais, mais requisitos de habilidades, menores fontes de recursos e programas de rotação para o cargo do diretor executivo de auditoria (chief audit executive - CAE) criam desafios para a gestão de recursos de auditoria. Tais desafios sempre fizeram parte do trabalho, para a maioria dos CAEs. Embora este não seja, necessariamente, um desafio novo, os métodos usados no passado para gerir desafios de recursos nem sempre funcionam hoje em dia. Novos métodos e abordagens para aquisição e gestão de recursos devem ser desenvolvidos para funcionar no futuro.

●

P

1

❝ Pré-planejar é

mais importante

agora, quando

complexidades

adicionais fazem

parte das mudanças

regulatórias e as

organizações

precisam se

planejar para uma

receita menor

devido a algumas

das mudanças.❞

ex ,

C C

P

Documento 1 Áreas de Risco nas quais os CAEs Planejam Focar em 2015

Área de Risco Porcentagem de Resposta

Conformidade/regulatória 83%

Operacional 78%

68%

Tecnologia da Informação 67%

Riscos estratégicos do negócio 53%

Documento 2 Áreas de Risco com Maior Porcentagem do Plano de Auditoria de 2015

Área de Risco Porcentagem do Plano de Auditoria

Operacional 25%

Conformidade/regulatória 16%

14%

Tecnologia da Informação 11%

Riscos estratégicos do negócio 10%

Observação:

Observação:

ergunte a auditores internos de serviços financeiros o que os mantém acordados à noite e a maioria vai citar os desafios regulatórios no topo de sua longa lista de riscos principais. Houve um tempo em que a conformidade regulatória era deixada, principalmente, nas mãos dos departamentos jurídico e de compliance, permitindo que os auditores internos focassem em questões financeiras e operacionais. Hoje, a conformidade regulatória atinge todas as funções de uma instituição financeira. O risco regulatório e o de conformidade

atingiram o topo da lista quando CAEs do mundo todo escolheram os cinco principais riscos nos quais seus departamentos de auditoria interna estão focando sua maior atenção em 2015. Os riscos de conformidade e regulatório foram seguidos pelo risco operacional (veja o Documento

1). CAEs do setor financeiro também indicam que seus planos de auditoria focam nessas áreas, apesar de planejarem dedicar mais do plano de auditoria a questões operacionais do que no foco em conformidade (veja o Documento 2).

●

Novas Agências e Leis Regulatóriasno Mundo Todo

❝ Os bancos de Wall

Street e seus rivais

estrangeiros pagaram

$100 bilhões em

acordos jurídicos nos

EUA desde a crise

da metade das

penalidades extraídas

no último ano.❞

—FinancialTimes.Com, 25 de Março de 2014

No passado, as mudanças regulatórias pareciam ser menos impactantes. Elas podiam afetar o que ou o quanto era divulgado aos consumidores, os formulários de divulgação podiam ser revisados e por aí vai. Mudanças recentes, nos últimos anos, parecem não impactar apenas o que e o quanto é publicado em formulários de divulgação, mas também exigem mudanças operacionais substanciais nos sistemas e processos. Essas mudanças parecem ter um efeito pirâmide em múltiplos sistemas e unidades operacionais. As mudanças de hoje são maiores e mais invasivas em operações bancárias. Novas agências regulatórias, com poderes maiores e mais amplos, foram criadas para supervisionar e monitorar instituições financeiras. A Financial Services Authority na Indonésia, a Financial Conduct Authority e a Prudential Regulation Authority no Reino Unido, e o Consumer Financial Protection Bureau nos Estados Unidos são apenas alguns exemplos de novos órgãos de governança que estão surgindo no mundo todo. Novas leis e regulações foram aplicadas com volume e frequência sempre maiores. Exemplos de regulações novas e revisadas incluem o Basel III, um conjunto abrangente de medidas de reforma para fortalecer a regulação, supervisão e gerenciamento de riscos desenvolvido pelo Basel Committee do Bank of International Settlements, e a diretiva revisada Markets in Financial Instruments (MiFID II) e a regulação Markets in Financial Instruments (MiFIR), ambas da União Europeia. No passado, o estabelecimento de leis e regulações novas ou revisadas incluía

coleta de consensos e períodos suficientes de implementação para garantir que aqueles afetados fossem capazes de implementar as regulações novas e revisadas. Essa abordagem foi deixada de lado, com um processo que enfatiza a rapidez sob o mantra da proteção dos consumidores e investidores a qualquer custo. Muitos descrevem essa nova abordagem como “regulação por execução”. Multas e penalidades recorde, atingindo facilmente os bilhões de dólares, têm sido cobradas de instituições financeiras nos últimos anos. Tradicionalmente, os auditores internos da indústria de serviços financeiros não estiveram muito envolvidos na auditoria de conformidade regulatória. Auditorias ou revisões de conformidade regulatória eram geralmente conduzidas por um grupo separado de conformidade. Nos últimos anos, especialmente por conta do impacto operacional das mudanças regulatórias e do maior risco de falta de conformidade regulatória, os grupos de auditoria interna se tornaram muito mais envolvidos em questões de conformidade regulatória, incluindo a auditoria de conformidade ou o grupo de compliance, acompanhando e monitorando a conformidade com leis e regulações, avaliando o impacto operacional das mudanças de conformidade, garantindo que existem sistemas em prática para monitorar as reclamações dos consumidores, avaliando a adequação do treinamento regulatório para os funcionários e servindo como ligação entre sua instituição financeira e os exércitos de reguladores que visitam ou estão permanentemente alocados em suas instituições financeiras.

●

❝ Devido ao escrutínio

dos bancos, os

reguladores estão

aumentando sua

dependência da

auditoria interna e,

portanto, muitos

bancos estão

considerando criar

equipes de auditoria

concentrarem apenas

nos pedidos dos

reguladores. Isso

aliviará as limitações

de capacidade que

as equipes de

auditoria encaram.❞ ,EAC ,nhoJ ahtineJ—

FirstRand, South Africa

As expectativas dos reguladores para os auditores internos cresceram significativamente. Essas expectativas podem variar com base no porte da instituição e no regulador específico que pode supervisionar a operação. Em muitos casos, as expectativas regulatórias vão além das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) do IIA para instituições financeiras, especialmente nas áreas de independência, estrutura de reporte, cobertura de auditoria, relatórios de auditoria e gestão desafiadora. Em alguns países, os reguladores também podem esperar que a auditoria interna revise e comente sobre a cultura de risco e controle da organização. Essas expectativas foram aumentadas ao ponto de que alguns sugerem que, talvez, a auditoria interna devesse ter um relacionamento formal e direto de reporte aos reguladores. Vários relacionamentos indiretos de reporte já estão em prática em alguns países. Em uma expansão sem precedentes da autoridade regulatória, até os fornecedores que atendem instituições financeiras foram atingidos pelo escrutínio das agências regulatórias de serviços financeiros. Embora os reguladores, normalmente, não sejam capazes de regular diretamente as organizações de serviços não financeiros, novas leis e regulações foram aplicadas e executadas em instituições financeiras de tal maneira que os fornecedores que atendem instituições financeiras devem

estar em conformidade, ou arriscam ser desqualificados como prestadores de serviço. O risco reputacional pode aumentar o escrutínio regulatório sobre a instituição financeira, mesmo quando um fornecedor tem uma questão isolada com um serviço não fundamental. A conformidade regulatória já foi uma consideração principalmente voltada para instituições financeiras. Hoje, leis e regulações foram aplicadas e executadas de modo que as fontes de receita estão sendo afetadas. O inventário de riscos relativo à conformidade regulatória já está carregado de maiores custos, menores receitas, grandes mudanças operacionais e tecnológicas, relacionamentos com fornecedores, multas potenciais, penalidades e restituições de cobranças aos consumidores. No entanto, para aumentar a intensidade, também se pode acrescentar o risco estratégico e reputacional à lista. As questões de conformidade regulatória estão no cerne de ações judiciais coletivas, ações de investidores e brigas de procuração, demandas de grupos de defesa ao consumidor, memorandos públicos de entendimento dos reguladores e a pressão por parte dos conselhos de administração para resolver as questões. O fardo regulatório fez com que algumas instituições financeiras buscassem parceiros de fusão, já que o fardo estava pesado demais para carregar como uma entidade única.

●

O

2 Pautas Lotadas dos Comitês de Auditoria e Riscos

Documento 3 Número Médio de Reuniões Formais do Comitê por Ano

Tipo de InstituiçãoNúmero Médiode Reuniões

6,7

6,4

6,2

5,9

5,6

5,3

Observação: Q7

tempo do comitê de auditoria e do comitê de riscos se tornou uma commodity preciosa, conforme as pautas das reuniões continuam aumentando para abordar responsabilidades adicionais advindas de uma série de fontes. As expectativas dos acionistas e investidores continuam crescendo e as expectativas dos reguladores não mostram sinais de diminuição. Os conselhos de administração recorreram aos comitês de auditoria e riscos para ajudá-los a cumprir com as responsabilidades fiduciárias e oferecer algum nível de limitação de responsabilidade contra processos judiciais e ações regulatórias. As reuniões dos comitês de auditoria e de riscos continuam crescendo em frequência e duração. De acordo com os participantes da pesquisa, o setor financeiro tem o maior número médio de

reuniões formais do comitê de auditoria, em comparação com todos os outros tipos de organizações, com uma média de 6,7 reuniões por ano (veja o Documento

3). Além do setor financeiro ter um maior número de reuniões, o tempo alocado para cada item da pauta reduz conforme o número de itens e apresentadores cresce. As questões a abordar cresceram em complexidade, exigindo discussões mais longas. Mais requisitos de qualificação para membros dos comitês de auditoria e de riscos resultaram em mais perguntas, o que exige mais explicações e discussões nas reuniões. Embora o maior envolvimento e interação por parte do comitê de auditoria sejam, normalmente, algo positivo, exigem mais tempo e esforço para acomodar as maiores interações.

●

Membros do conselho precisam de relatórios focados nos riscos estratégicos de alto nível. A gerência executiva precisa de dados mais específicos para identificar ações corretivas.

A gerência operacional precisa, muitas vezes, de detalhes extensos, para que possa revisar os sistemas e processos para implementar apropriadamente mudanças complexas.

O elenco de personagens em qualquer reunião cresceu, incluindo diretores como chief executive officers (CEOs), chief financial officers (CFOs), CAEs, chief risk officers (CROs), chief compliance officers (CCOs), chief technology officers (CTOs), chief privacy officers (CPOs), conselheiros jurídicos, gerentes das unidades de negócios para apresentação de relatórios, gerentes de revisão de empréstimos, executivos de segurança, executivos de BSA/AML, auditores externos e conselheiros e consultores externos. Acrescente sessões executivas periódicas para os comitês, assim como reuniões privadas com auditores internos e externos, e não é à toa que as reuniões ficam lotadas e, frequentemente, parecem apressadas. Para lidar com os desafios da pauta lotada, muitas instituições financeiras acrescentaram ou aumentaram as sessões entre as reuniões, promovem conferências telefônicas entre os presidentes dos comitês e o CAE e publicam ou enviam os materiais da reunião, para que os membros do comitê possam se preparar com antecedência e ajudar a acelerar as discussões. Os pacotes de materiais para reunião aumentaram muito de tamanho, por conta de questões complexas que exigem explicações adicionais. Os CAEs continuam tendo dificuldades com os desafios de redigir

Com as maiores expectativas, é muito difícil para os comitês de auditoria e de riscos garantir sua eficácia no ambiente atual. Deve-se alocar tempo adicional para cobrir as pautas maiores e as discussões mais longas. É imperativo que os CAEs garantam que as reuniões do comitê de auditoria tenham foco nos tópicos mais importantes e que os planos de auditoria com base em riscos sejam desenvolvidos para abordar as questões preocupantes para a gerência e o comitê de auditoria. Relatórios de auditoria sucintos e impactantes podem contribuir para o uso eficiente do tempo dos membros da administração e do comitê de auditoria e facilitam discussões mais eficazes nas reuniões.

relatórios de auditoria voltados paramúltiplos públicos, considerando que cada um exige diferentes níveis de detalhe. Por exemplo:

●

C

3

0% 20% 40% 60% 80% 100%

)

)

62%

56%

53%

54%

44%

43%

69%

Documento 4 Reporte Funcional dos CAEs aos Comitês de Auditoria

Observação: Q7 c a exec

AEs desejaram, por muito tempo, ser elevados em sua posição e reconheci- mento, para facilitar a independência, agregar valor e importância às recomenda- ções de auditoria, interagir com a gerência executiva e membros do conselho com maior frequência, e obter mais conheci- mentos de primeira mão e contribuições para iniciativas estratégicas. Parece que o ditado do “cuidado com o que você deseja” se tornou realidade para muitos, trazendo consigo oportunidades e desafios. CAEs estão se encontrando no meio de quase qualquer problema imaginável. As expectativas da gerência, diretores, reguladores e auditores externos aumentaram o nível de exigência para o desempenho da auditoria interna. Essas partes interessadas da auditoria interna estão, frequentemente, em lados opostos com relação às suas expectativas de auditoria interna, colocando a profissão

na posição difícil de servir múltiplos mestres inconsistentes. Os auditores internos em instituições financeiras muitas vezes precisam ir além do que as Normas exigem em termos de governança, envolvimento estratégico, reporte e decisões de gestão desafiadora para atender as expectativas. Adicionalmente, os auditores de serviços financeiros reportam diretamente ao comitê de auditoria com muito mais frequência do que os auditores internos em outras indústrias. De acordo com os participantes da pesquisa, 69% dos auditores internos de serviços financeiros reportam diretamente ao comitê de auditoria, em comparação com apenas 54% em todas as outras indústrias (veja o Documento 4). As maiores expectativas aumentaram a carga de trabalho da auditoria interna e o cronograma de auditoria, “esticando” os recursos ainda mais.

●

Assistência Prestada a AuditoresExternos

0% 10% 20% 30% 40% 50%

Nenhuma

Até 1 semana

1 a 4 semanas

Mais do que 4 semanas,até 8 semanas

Mais do que 8 semanas

17%

26%

23%

16%

17%

Observação: Q51: Aproximadamente, quantas semanas de trabalho o departamento de auditoria interna de sua organização dedicou, no ano passado, a atividades de apoio à

Documento 5 Número de Semanas por Ano em que a Auditoria Interna Apoia a Auditoria Externa

Tradicionalmente, auditores internos frequentemente dedicam recursos substanciais a suplementar ou auxiliar os auditores externos. Isso ainda ocorre, mas agora os grupos de auditoria interna devem, também, suplementar e auxiliar os examinadores regulatórios quase tanto quanto - ou mais do que - os auditores externos. Em alguns casos, novos reguladores contábeis colocaram restrições adicionais sobre a dependência do trabalho dos auditores internos, resultando em trabalho e taxas adicionais por parte dos auditores externos. Isso, por sua vez, pode fazer com que a administração e membros do conselho questionem os recursos alocados para a auditoria interna, já que têm que pagar taxas adicionais aos auditores externos e até mesmo a agências reguladoras. De acordo com os participantes da pesquisa, em comparação com todas as outras indústrias, a classificação da indústria financeira e de seguros é a mais provável de prestar apoio aos auditores externos, com apenas 16% relatando que não dão apoio aos auditores externos. Adicionalmente, o setor de serviços financeiros gasta mais tempo no apoio aos auditores externos - 34% gastaram

mais de 4 semanas de trabalho, enquanto 17% deles gastaram mais de 8 semanas de trabalho em atividades de apoio (veja o Documento 5). Os requisitos para garantir que as recomendações de auditoria sejam aplicadas colocaram maior ênfase na formalidade dos programas de acompanhamento de auditoria interna. O acompanhamento deve ir além de simplesmente pedir à gerência para confirmar a implementação das recomendações. A realização de testes para validar a implementação oportuna está se tornando mais importante e aumentando a carga de trabalho de auditoria, sobrecarregando recursos já limitados. Os participantes da pesquisa indicam que outras indústrias têm maior probabilidade de encarregar o proprietário do processo como responsável primário pela ação de acompanhamento (25% em média, em comparação com 19% em serviços financeiros), enquanto os auditores internos de serviços financeiros têm maior probabilidade de compartilhar essa responsabilidade com os proprietários do processo (54%, em comparação com a média geral de 50%). (Fonte: Q52, 3.216 participantes.) Novamente, os recursos de auditoria interna no setor de serviços financeiros estão “esticados” ao máximo, devido a essa responsabilidade adicional.

●

Reguladores Pedem que os

a Administração

A elevação da importância da auditoria interna por parte dos reguladores aumentou o escopo dos exames para além de simplesmente olhar alguns relatórios e papéis de trabalho, para avaliações mais abrangentes de todos os aspectos da auditoria interna. Em alguns casos, os reguladores quase parecem estar tentando fazer dos grupos de auditoria interna uma extensão dos próprios reguladores. É pedido que os auditores internos driblem os processos normais ou tradicionais de resolução na gestão desafiadora, reportando ao conselho e até reportando questões diretamente aos reguladores. Muitos auditores internos preocupam-se que os resultados de seu trabalho possam ser usados pelos reguladores para citar deficiências adicionais nos relatórios de exame regulatório. James Alexander, chief risk officer da Unitus Community Credit Union, em Portland, Oregon,

acredita que “um bom sistema de acompanhamento para os comentários do relatório de auditoria pode reduzir o potencial de reguladores citarem os comentários de relatórios de auditoria interna como descobertas do exame.” Processos tradicionais de resolução de discordâncias, tipicamente, resolviam muitos problemas antes que esses itens fossem reportados ao conselho ou reguladores. As expectativas maiores dos reguladores pedem que os auditores internos “desafiem” a administração se houver diferenças de opinião e que busquem evidências de que essas situações foram escaladas para o comitê de auditoria ou conselho. A elevação da auditoria interna certamente tem seus benefícios, mas também tem seus desafios. Com maiores expectativas, mais reporte e mais responsabilidade vêm mais requisitos para que os auditores internos estabeleçam as salvaguardas apropriadas para independência, objetividade, diligência devida e comunicação com todas as partes.

●

A

4 Maiores Riscos Tecnológicos

Documento 6 Atividade de Auditoria Interna para Riscos Gerais de TI

10%

20%

30%

40%

50%

ExtensivaModeradaMínimaNenhuma

Privadas (excluindo Organizações Sem Fins Lucrativos

Setor público (incluindoagências governamentais e

Públicas (excluindo

5%

13%

35%

47%

12%

24%

43%

21%

8%

20%

44%

27%

10%

23%

41%

25%

11%

22%

44%

23%

Observação: Q9

s capacidades tecnológicas estão crescendo mais rápido do que as organizações conseguem acompanhar, interpretar, avaliar e controlar o acesso a dados sensíveis. Usando a tecnologia, criminosos são capazes de responder e explorar vulnerabilidades mais rapidamente do que as organizações podem proteger e restringir o acesso. Os ladrões de banco da atualidade vêm armados com tecnologia, em vez de

armas. Trabalham nos bastidores e podem estar em qualquer lugar do mundo. Suas tentativas de acessar inapropriadamente os dados sensíveis de instituições financeiras podem ser feitas eletrônica e ininterruptamente, 24 horas por dia. Como resultado, os auditores internos do setor financeiro têm níveis muito maiores de atividade para riscos de TI do que outros tipos de indústrias (veja o Documento 6).

●

O Amplo Impacto dos Riscos deCibersegurança

Atividades de Preparação eRecuperação

❝ A competência da

auditoria interna

na análise de dados

e condução do

monitoramento

contínuo está

aumentando e

isso é uma área a

considerar no

planejamento de

capacidades.❞

—Jenitha John, CAE, FirstRand, South Africa

0% 10% 20% 30% 40% 50%

Média

Setor público (incluindo agências

Organizações Sem Fins Lucrativos 41%

32%

31%

26%

34%

43%

Documento 7 Risco de Violação de Dados Descrita como “Extensiva”

Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas emergentes de tecnologia da Tópico: Violações de dados que podem prejudicar a marca da organização. 9.426 participantes.

Cibersegurança, ameaças avançadas persistentes e privacidade tornaram-se alguns dos tópicos mais populares nos radares dos auditores internos. Conforme exibido no Documento 1 e Documento 2, os riscos de tecnologia da informação (TI) ficam em quarto lugar nos principais riscos identificados pelos CAEs e na porcentagem de tempo dedicado a auditar esses riscos. E não são apenas os auditores internos que estão focando nesses tópicos. Podemos acrescentar a alta administração, conselhos de administração, reguladores e investidores à lista das partes preocupadas com esses riscos. Por conta das violações de dados amplamente divulgadas, todos estão bem cientes do risco reputacional e impacto negativo que essas violações podem causar. Esforços de recuperação podem ser custosos, extremamente demorados e podem resultar em grandes reformulações organizacionais. Muitos dizem que não é uma questão de “se você for violado”, mas sim de “quando você for violado”, e que planos para reparação devem ser bem desenvolvidos e testados antes que uma violação ocorra. Os auditores internos do setor

financeiro veem o risco de uma violação de dados como mais extensiva do que em outros setores: 43% descrevem o risco como extensivo, em comparação com uma média de 34% (veja o Documento 7).

A continuidade do negócio, retomada e recuperação tornaram-se igualmente ou mais importantes do que as tentativas de restringir ou prevenir violações de dados. Controles mais amplos e holísticos de dados e privacidade, e programas que cobrem o espectro inteiro - da preparação, detecção e análise, contenção, erradicação e recuperação, até atividades pós-incidente - são necessários. O envolvimento ativo dos auditores internos no teste de planos de prontidão pode trazer grandes resultados quando o evento inevitável acontecer. O teste de prontidão evoluiu, partindo de recursos internos e alguns fornecedores, incluindo hoje organizações tais como o Financial Services Information Sharing and Analysis Center (FS-ISAC), um recurso da indústria global de serviços financeiros para análise e compartilhamento de informações sobre ameaças cibernéticas e físicas.

●

Acrescentando os Riscos de Big Data aos Planos de Auditoria

Conectividade e Dispositivos Móveis

O Big Data está criando desafios para as organizações, na forma como armazenam, gerenciam, protegem e usam esse recurso vasto e sempre crescente. Em 2013, foi relatado que 90% de todos os dados do mundo foram gerados nos dois anos anteriores (ScienceDaily.com, 22 de Maio de 2013). A coleta de dados de riscos e governança de informação são tópicos para os auditores internos considerarem no desenvolvimento de seus planos de auditoria com base em riscos.

Novas tecnologias estão criando desafios únicos para as organizações e grupos de auditoria interna. O controle de acesso não está mais limitado a bloquear sua estação de trabalho. A internet, mídias sociais, dispositivos móveis, acesso remoto e outros dispositivos ou métodos abriram muitos pontos de entrada a controlar. Usuários de toda a organização são, frequentemente, capazes de executar softwares não aprovados sem passar pelos

canais normais de controle. Coordenar as novas tecnologias em conjunto com os sistemas legado usados por muitas instituições financeiras pode apresentar desafios adicionais no monitoramento e controle das informações da instituição financeira. Esses desafios tecnológicos trazem uma série de questões para os departamentos de auditoria interna do setor financeiro. Ter conhecimento especializado na equipe para lidar com os riscos tecnológicos sempre em mudança é custoso e difícil de conseguir, devido ao número limitado de especialistas nessa área. No mundo todo, apenas 10% dos participantes da pesquisa disseram que têm uma certificação de auditoria de sistemas da informação e apenas 3% têm certificação de segurança de TI (Q13, 12.540 participantes). Depender de consultores para conduzir auditorias tecnológicas pode, também, ser custoso e exige supervisão e gestão adicionais. Devido à velocidade com a qual a tecnologia muda, o perfil de risco tecnológico da instituição está em constante mudança e adaptação, exigindo que os departamentos de auditoria interna auditem um alvo em movimento.

●

O

5 Três Linhas de DefesaAuditoria Externa

Órgão de Governança / Conselho / Comitê de Auditoria

The Three Lines of Defense Model

Alta Administração

3ª Linha de Defesa

AuditoriaInterna

1ª Linha de Defesa

Controles daGerência

Medidasde Controle

Interno

Controle Financeiro

Segurança

Gerenciamento de Riscos

Qualidade

Inspeção

Conformidade

Documento 8 O Modelo das Três Linhas de Defesa

Regulador

2ª Linha de Defesa

Observação: Adaptado da Orientação ECIIA/FERMA sobre a 8th EU Company Law Directive, artigo 41, conforme mostrado na Declaração de Posicionamento do IIA, As Três Linhas de

Janeiro de 2013.

Modelo das Três Linhas de Defesa (veja Documento 8) ganhou popularidade e ampla utilização entre auditores internos do mundo todo. De acordo com os participantes da pesquisa, 78% dos profissionais do setor financeiro do mundo todo dizem seguir o Modelo das Três Linhas de Defesa, com a auditoria interna como a terceira linha de defesa (veja Documento 9 na página a seguir). Esta porcentagem é muito maior do que em outros tipos de organização. Embora o modelo esteja se tornando mais popular, entendido e aceito, é questionado o quanto ele deve ser flexível. Todas as três linhas de defesa devem existir, de alguma forma, em todas as instituições financeiras, não importando seu porte ou complexidade. O gerenciamento de riscos, normalmente, é mais forte quando há três linhas de defesa separadas e

claramente identificadas. Em prática, especialmente em algumas instituições de pequeno e médio porte, uma abordagem misturada tem sido implementada. Por exemplo, algumas instituições consolidaram ou combinaram algumas segundas linhas de defesa com a auditoria interna. Pode-se pedir ou encarregar os auditores internos da responsabilidade de prestar auditorias de conformidade, quando um departamento separado de compliance não existir; executar revisões de empréstimos, sem um departamento separado de revisão de empréstimos; coordenar as atividades de gerenciamento de riscos corporativos (enterprise risk management - ERM) ou lidar com a segurança física e/ou de TI. Alguns CAEs estão buscando respostas sobre como implementar o Modelo das Três Linhas de Defesa apropriada e eficazmente.

●

Salvaguardas para uma AbordagemMisturada para as Três Linhas de Defesa

0%

20%

40%

60%

80%

100%

Não ou não se aplica

Sim, mas a distinção entre a segunda e terceira linhas de defesa não é clara.

Sim, mas a auditoria interna é considerada a segunda linha de defesa em nossa organização.

Sim e a auditoria interna é considerada a terceira linha de defesa.

(públicas e privadas)

Públicas (excluindo o

Setor público (incluindo agências governamentais e operações do governo)

Organizações Sem Fins Lucrativos

Privadas (excluindo o

Documento 9 Uso do Modelo das Três Linhas de Defesa

3%7%

5%7% 8%

78%

55%

43%41% 40%

10%

15% 13%

18%15%

8%

24%

38%35%

38%

Observação: Q63: Sua organização segue o modelo das três linhas de defesa articulado pelo IIA? Aqueles que responderam “Não estou familiarizado com este modelo” foram excluídos dos cálculos. Devido ao arredondamento, alguns totais podem não somar 100%. 9.093 participantes.

É importante para a auditoria interna ser capaz de cumprir com seus deveres com objetividade e não ser influenciada indevidamente por gerentes das operações diárias. Algumas organizações podem ter grupos de avaliação interna, incluindo auditoria interna e algumas partes da segunda linha de defesa, que reportam administrativamente a um único executivo. Um relacionamento de reporte administrativo misturado deve ser desenvolvido, de modo a não interferir com o reporte funcional do

CAE diretamente ao comitê de auditoria da instituição. É importante garantir que a auditoria interna reporte funcionalmente diretamente ao comitê de auditoria, quando elementos diferentes das três linhas de defesa reportam administrativamente ao mesmo executivo. Salvaguardas adicionais também podem ser estabelecidas para ajudar a manter a independência e objetividade da auditoria interna; avaliações de qualidade da auditoria interna; revisões externas de conformidade, revisão de empréstimos, segurança e ERM; conceder acesso aos

●

comitês do conselho para gerentes encarregados de compliance, revisão de empréstimos e segurança, etc. Garantir que esses grupos não tenham responsabilidades operacionais ou de tomada de decisões gerenciais com divulgação apropriada e transparência no estatuto de auditoria interna, relatórios e outras comunicações pode promover a independência e objetividade em um relacionamento combinado de reporte administrativo de acordo com o Modelo das Três Linhas de Defesa. Na indústria altamente regulada dos serviços financeiros, exames regulatórios que revisem esses acordos combinados de reporte, e as salvaguardas em prática para promover a independência e objetividade podem ser usados para ajudar a validar a adequação da estrutura. Ter um executivo a quem todos os grupos de avaliação interna reportem diretamente também pode servir como uma salvaguarda, que pode fortalecer a independência e objetividade de todos esses grupos. Essa abordagem pode promover uma melhor comunicação e coordenação entre múltiplos grupos de avaliação, de modo que a informação possa ser alavancada e que o trabalho duplicado minimizado, resultando em programas mais eficientes e eficazes. A Declaração de Posicionamento do

IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, reconhece que, “Já que cada organização é única e situações específicas variam, não há uma forma ‘certa’ de coordenar as Três Linhas de Defesa.” A declaração também registra que “em situações excepcionais que podem surgir, especialmente em pequenas empresas, certas linhas de defesa podem ser combinadas. Por exemplo, há casos em que foi solicitado que a auditoria interna estabelecesse ou gerenciasse as atividades de gerenciamento de riscos ou conformidade. Nessas situações, a auditoria interna deve comunicar claramente ao órgão de governança e à alta administração o impacto da combinação. Se responsabilidades duplas forem delegadas a uma única pessoa ou departamento, seria apropriado considerar separar a responsabilidade por essas funções em um momento posterior para estabelecer as três linhas.” CAEs devem garantir que a informação seja compartilhada e as atividades coordenadas para o gerenciamento eficaz dos riscos e controles de cada organização. O desenvolvimento de políticas e procedimentos formais pode auxiliar nesse sentido.

●

A

6 Recursos de Auditoria Interna

❝ Tendo em vista a

necessidade, por

parte das funções

de auditoria de

de evoluir seu foco

para riscos mais

operacionais, os

históricos de quem

estamos recrutando

também estão

evoluindo. Agora,

buscamos candidatos

com graduações como

organizacional,

estatística e gestão

de cadeia de

fornecimento.❞

—Mark Howard, Vice-Presidente Sênior e CAE,

USAA, San Antonio, Texas

Documento 10

HabilidadeSetor

FinanceiroSetores NãoFinanceiros

Lacuna

Pensamento Analítico/Crítico 66% 64% 2%

Habilidades de Comunicação 52% 51% 1%

Avaliação de Gerenciamento de Riscos 48% 41% 7%

45% 33% 12%

43% 37% 6%

Contabilidade 36% 45% -9%

Mineração e Análise de Dados 32% 31% 1%

Finanças 30% 21% 9%

Tino Comercial 26% 27% -1%

Auditoria de Fraude 21% 23% -2%

Cibersegurança e Privacidade 16% 13% 3%

13% 15% -2%

Conhecimento Jurídico 10% 12% -2%

4% 8% -4%

3% 4% -1%

Observação: Q30: Quais habilidades você está recrutando ou desenvolvendo mais em seu departamento de auditoria interna? (Escolha até cinco.) CAEs apenas. 3.288 participantes.

Principais Habilidades que CAEs do Setor Financeiro Buscam para a Equipe

s expectativas da administração, dos membros do conselho e dos reguladores para em relação aos auditores internos cresceram além do conhecimento típico de contabilidade e finanças que era a característica tradicional de todos os auditores internos. Agora, eles também devem ter conhecimento de tecnologia, operações comerciais, serviços financeiros, comunicação, conformidade regulatória, cibersegurança, privacidade, gestão de fornecedores, continuidade do negócio,

questões jurídicas, análise quantitativa e por aí vai. Na maioria das organizações, não é possível simplesmente continuar contratando mais pessoas para obter essas habilidades. De acordo com os participantes CAEs da pesquisa, a indústria de serviços financeiros tem habilidades prioritárias diferentes de outras indústrias, com maior ênfase no conhecimento específico da indústria, finanças, gerenciamento de riscos e TI (veja o Documento 10). Curiosamente, há menor ênfase nas habilidades de

●

contabilidade. Os conjuntos de habilidades individuais do auditor devem ser desenvolvidos de modo que auditores multitalentosos possam ser utilizados para auditar disciplinas diversas. Desenvolver auditores internos com essas novas habilidades tem seus desafios. Por exemplo, foi relatado na General Audit Management Conference de 2015 do IIA que o número de auditores e contadores desempregados na América do Norte está em seu mínimo e menos alunos estão escolhendo a formação em contabilidade. CAEs estão expandindo buscas de recrutamento e considerando históricos educacionais diferentes da contabilidade tradicional. Diferenças geracionais estão reformulando os ambientes de trabalho e criando desafios para as abordagens tradicionais de compensação e administração. Considerações relativas ao equilíbrio entre o trabalho e a vida pessoal têm prioridade para benefícios para gerações mais novas. Horários flexíveis de trabalho e licenças mais generosas estão se tornando mais comuns. Felizmente, a tecnologia permitiu mais oportunidades de trabalho remoto para equipes de auditoria. As habilidades tecnológicas agora são obrigatórias para qualquer auditor que entre para o mercado de trabalho. A tecnologia também é uma área onde as

organizações precisam, muitas vezes, obter recursos externos ou terceirizados para complementar os recursos da equipe. Novos sistemas ou ferramentas de software também podem ser necessárias para complementar os recursos de auditoria interna. Maiores orçamentos e mais treinamentos podem ser necessários para implementar, com eficácia, as auditorias expandidas de tecnologia. CAEs rotativos que atuam como diretores de auditoria interna por tempo limitado, embora expandam as abordagens e métodos de auditoria, também estão criando desafios tais como a continuidade nas abordagens de auditoria, questões de independência e até mesmo a dúvida de se CAEs rotativos entendem ou se importam com as Normas do IIA, avaliações de qualidade, etc. Pode faltar comprometimento para treinamentos e certificações de auditoria interna. Mudanças organizacionais podem afetar o timing e as oportunidades de saídas favoráveis ou a volta a unidades operacionais para CAEs rotativos. No entanto, alguns benefícios podem advir do trabalho de CAEs rotativos, como a liderança comprovada com um assento existente à mesa, mais insights de negócio, e relacionamentos comerciais existentes que podem ser alavancados para agregar valor e aumentar a confiança na função de auditoria.

●

S

Conclusão

empre haverá desafios para auditores internos na indústria de serviços financeiros. Embora os desafios possam ser agrupados em categorias comuns com temáticas parecidas ao longo dos anos, sempre haverá variações únicas para testar a criatividade e a engenhosidade daqueles encarregados de lidar com os desafios. O ambiente continuará mudando e apresentando novas oportunidades de desenvolver estratégias inovadoras para abordar esses desafios. Os auditores internos que se posicionam e abordam com eficácia os desafios que encaram podem demonstrar suas contribuições positivas para as organizações que servem. Eles serão reconhecidos como líderes eficazes e, por sua vez, continuarão elevando sua posição e reputação no ambiente de trabalho. Em conjunto com esse reconhecimento, provavelmente obterão desafios adicionais, conforme seu papel na organização continua crescendo em importância. Os auditores internos de maior sucesso aprenderão com suas lições do passado e continuarão lutando por melhorias, por meio de técnicas e práticas inovadoras, profissionalismo, evolução contínua e dedicação à profissão da auditoria interna.

●

J

S

Sobre os Autores

ennifer F. Burke, CPA, CRP, CFF, CFS, é sócia do escritório de Riscos de Serviços Financeiros da Crowe Horwath e tem mais de 25 anos de experiência atendendo clientes de serviços financeiros, incluindo 19 anos na Crowe. Ela lidera projetos em instituições financeiras estratégicas multibilionárias, prestando serviços de auditoria interna, conformidade, revisão de empréstimos e enterprise risk management (ERM). Ela atua no Financial Services Advisory Board do The IIA e no ERM Initiative Advisory Board do estado da Carolina do Norte. É uma palestrante reconhecida nacionalmente e internacionalmente, abordando assuntos da indústria bancária, auditoria interna e ERM. Antes de entrar para a Crowe, atuou como vice-presidente sênior e CAE em uma empresa de holding e truste, multibilionária, de 10 bancos.

teven E. Jameson, CIA, CFSA, CRMA, CPA, CFE, é vice-presidente executivo, diretor de auditoria interna e executivo de riscos no Community Trust Bank, onde é responsável pelas funções de auditoria interna, ERM, revisão de empréstimos, conformidade e segurança. Tem mais de 28 anos de experiência como auditor interno profissional na indústria de serviços financeiros, três anos em contabilidade pública e mais de quatro anos com o IIA como assistente do Vice-Presidente do Professional Practices Group. Atuou em comitês de direcionamento do Committee of Sponsoring Organizations of the Treadway Commission (COSO), para o desenvolvimento da Controle Interno - Estrutura Integrada (2012) e Gerenciamento de Riscos Corporativos - Estrutura Integrada (2004).

Limitação de Responsabilidade

Equipe de Desenvolvimento do CBOK

Sobre a The IIA Research Foundation

Comitê de Revisão dos Relatórios

James Alexander (Estados Unidos) Jenitha John (África do Sul) Despoina Chatzaga (Grécia) Michael Parkinson (Austrália) Kıvılcım Günbattı (Turquia) Deborah Poulalion (Estados Unidos)

Nicola Rimmer (Reino Unido)

Doe Parao CBOK

Contate-nos

Sua DoaçãoEm Ação

www.theiia.org/goto/CBOK

The Institute of

Internal Auditors

Global Headquarters

247 Maitland Avenue

Altamonte Springs,

Florida 32701-4201,

Estados Unidos

Os relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos,

do IIA e institutos IIA do mundo todo.

O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão.

Co-Presidentes do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França)

Presidente do Subcomitê da Pesquisa do Praticante:Michael Parkinson (Austrália)

Vice Presidente da IIARF: Bonnie Ulmer

Analista de Dados Primários: Dr. Po-ju ChenDesenvolvedora de Conteúdo: Deborah PoulalionGerente de Projeto: Selma Kuurstra e Kayla ManningEditora Sênior: Lee Ann Campbell

Cassian Jay (Estados Unidos)

A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida.

Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar research@theiia.org. ID #2015-1476