Auditoria interna - Internal audit

A auditoria interna é uma atividade de garantia e consultoria independente e objetiva, projetada para agregar valor e melhorar as operações de uma organização. Pode ajudar uma organização a alcançar seus objetivos, trazendo uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gestão de risco , controle e governança . A auditoria interna pode atingir esse objetivo, fornecendo percepções e recomendações com base em análises e avaliações de dados e processos de negócios . Com o compromisso de integridade e responsabilidade , a auditoria interna agrega valor aos órgãos de governo e à alta administração como uma fonte objetiva de consultoria independente. Profissionais chamados auditores internos são contratados por organizações para realizar a atividade de auditoria interna.

O escopo da auditoria interna dentro de uma organização pode ser amplo e pode envolver tópicos como a governança da organização, gestão de riscos e controles de gestão sobre: ​​eficiência / eficácia das operações (incluindo proteção de ativos), a confiabilidade dos relatórios financeiros e gerenciais e conformidade com as leis e regulamentos. A auditoria interna também pode envolver a realização de auditorias pró-ativas de fraude para identificar atos potencialmente fraudulentos; participar de investigações de fraude sob a direção de profissionais de investigação de fraude e conduzir auditorias de fraude pós-investigação para identificar falhas de controle e estabelecer perdas financeiras.

Os auditores internos não são responsáveis ​​pela execução das atividades da empresa; eles aconselham a administração e o conselho de administração (ou órgão de supervisão semelhante ) sobre como executar melhor suas responsabilidades . Como resultado de seu amplo escopo de envolvimento, os auditores internos podem ter uma variedade de experiências acadêmicas e profissionais.

O Instituto de Auditores Internos ( IIA ) é o órgão internacional de definição de padrões reconhecidos para a profissão de auditoria interna e concede a designação de Auditor Interno Certificado internacionalmente por meio de rigoroso exame escrito. Outras designações estão disponíveis em alguns países. Nos Estados Unidos, os padrões profissionais do Instituto de Auditores Internos foram codificados em estatutos de vários estados relativos à prática de auditoria interna no governo (Estado de Nova York, Texas e Flórida sendo três exemplos). Existem também vários outros organismos internacionais de definição de padrões.

Auditores internos trabalham para órgãos governamentais (federais, estaduais e locais); para empresas de capital aberto; e para empresas sem fins lucrativos em todos os setores. Os departamentos de auditoria interna são liderados por um executivo-chefe de auditoria ("CAE") que geralmente se reporta ao comitê de auditoria do conselho de administração , com relatórios administrativos para o diretor executivo (nos Estados Unidos, essa relação de subordinação é exigida por lei para empresas negociadas).

História da auditoria interna

A profissão de auditoria interna evoluiu constantemente com o progresso da ciência da administração após a Segunda Guerra Mundial. É conceitualmente semelhante em muitas maneiras à auditoria financeira por firmas de contabilidade pública , garantia de qualidade e atividades de conformidade bancária. Embora algumas das técnicas de auditoria subjacentes à auditoria interna sejam derivadas de consultoria de gestão e profissões de contabilidade pública, a teoria da auditoria interna foi concebida principalmente por Lawrence Sawyer (1911–2002), freqüentemente referido como "o pai da auditoria interna moderna"; e a filosofia, teoria e prática atuais da auditoria interna moderna, conforme definido pela International Professional Practices Framework (IPPF) do Instituto de Auditores Internos, deve muito à visão de Sawyer.

Com a implementação nos Estados Unidos da Lei Sarbanes – Oxley de 2002, a exposição e o valor da profissão foram aumentados, já que muitos auditores internos possuíam as habilidades necessárias para ajudar as empresas a cumprir os requisitos da lei. No entanto, o foco dos departamentos de auditoria interna de empresas de capital aberto na política e procedimentos financeiros relacionados à SOX atrapalhou o progresso feito pela profissão no final do século 20 em direção à visão de Larry Sawyer para auditoria interna. No início de cerca de 2010, o IIA mais uma vez começou a defender o papel mais amplo que a auditoria interna deve desempenhar na arena corporativa, de acordo com a filosofia do IPPF.

Independência organizacional

Embora os auditores internos sejam contratados diretamente por sua empresa, eles podem alcançar independência por meio de seus relacionamentos de subordinação. Independência e objetividade são as bases dos padrões profissionais do IIA; e são discutidos detalhadamente nas normas e nos guias de prática de apoio e recomendações de prática. Os auditores internos profissionais são obrigados pelos padrões do IIA a serem independentes das atividades de negócios que auditam. Essa independência e objetividade são alcançadas por meio do posicionamento organizacional e das linhas de reporte do departamento de auditoria interna. Os auditores internos de empresas de capital aberto nos Estados Unidos são obrigados a se reportar funcionalmente ao conselho de administração diretamente, ou a um subcomitê do conselho de administração (normalmente o comitê de auditoria), e não à gerência, exceto para fins administrativos.

A independência organizacional exigida em relação à administração permite a avaliação irrestrita das atividades e do pessoal da administração e permite que os auditores internos desempenhem seu papel de maneira eficaz. Embora os auditores internos façam parte da administração da empresa e sejam pagos pela empresa, o principal cliente da atividade de auditoria interna é a entidade encarregada de supervisionar as atividades da administração. Normalmente é o comitê de auditoria , um subcomitê do conselho de administração . A independência organizacional é efetivamente alcançada quando o executivo chefe de auditoria se reporta funcionalmente ao conselho. Exemplos de relatórios funcionais para o conselho envolvem o conselho: Aprovar o estatuto de auditoria interna; Aprovar o plano de auditoria interna baseado em riscos; Aprovar o orçamento da auditoria interna e o plano de recursos; Receber comunicações do executivo chefe de auditoria sobre o desempenho da atividade de auditoria interna em relação ao seu plano e outros assuntos; Aprovar as decisões relativas à nomeação e destituição do diretor executivo de auditoria; Aprovar a remuneração do diretor executivo de auditoria; e Fazer indagações apropriadas à administração e ao executivo-chefe de auditoria para determinar se há escopo inadequado ou limitações de recursos.

Função no controle interno

A atividade de auditoria interna é principalmente direcionada à avaliação do controle interno . De acordo com a Estrutura COSO , o controle interno é amplamente definido como um processo, efetuado pelo conselho de administração, administração e outro pessoal de uma entidade, projetado para fornecer garantia razoável em relação ao cumprimento dos seguintes objetivos centrais para os quais todas as empresas se esforçam:

  • Eficácia e eficiência das operações.
  • Confiabilidade dos relatórios financeiros e gerenciais.
  • Conformidade com leis e regulamentos.
  • Salvaguarda de Ativos

A administração é responsável pelo controle interno, que compreende cinco componentes críticos: o ambiente de controle; avaliação de risco; atividades de controle focadas no risco; Informação e comunicação; e atividades de monitoramento. Os gerentes estabelecem políticas, processos e práticas nesses cinco componentes de controle de gestão para ajudar a organização a atingir os quatro objetivos específicos listados acima. Os auditores internos realizam auditorias para avaliar se os cinco componentes do controle de gestão estão presentes e operando de forma eficaz e, caso não estejam, fornecem recomendações para melhorias.

Nos Estados Unidos, a função de auditoria interna testa de forma independente as afirmações de controle da administração e reporta ao comitê de auditoria da diretoria da empresa.

Papel na gestão de risco

Os padrões profissionais de auditoria interna requerem a função de avaliar a eficácia das atividades de gerenciamento de risco da organização . O gerenciamento de riscos é o processo pelo qual uma organização identifica, analisa, responde, reúne informações e monitora os riscos estratégicos que podem, de fato ou potencialmente, impactar a capacidade da organização de cumprir sua missão e objetivos.

De acordo com a estrutura de gerenciamento de risco corporativo (ERM) do COSO , a estratégia, as operações, os relatórios e os objetivos de conformidade de uma organização têm riscos de negócios estratégicos associados - os resultados negativos resultantes de eventos internos e externos que inibem a capacidade da organização de atingir seus objetivos. A gestão avalia o risco como parte do curso normal das atividades de negócios, como planejamento estratégico, planejamento de marketing, planejamento de capital, orçamento, hedging, estrutura de pagamento de incentivos, práticas de crédito / empréstimo, fusões e aquisições, parcerias estratégicas, mudanças legislativas, realização de negócios no exterior, etc. As regulamentações Sarbanes – Oxley exigem uma avaliação de risco abrangente dos processos de relatórios financeiros. O conselho jurídico corporativo frequentemente prepara avaliações abrangentes dos litígios atuais e potenciais que uma empresa enfrenta. Os auditores internos podem avaliar cada uma dessas atividades ou focar no processo abrangente usado para gerenciar riscos em toda a entidade. Por exemplo, os auditores internos podem aconselhar a administração com relação ao relato de medidas operacionais prospectivas ao conselho, para ajudar a identificar riscos emergentes; ou os auditores internos podem avaliar e relatar se o conselho e outras partes interessadas podem ter uma garantia razoável de que a equipe de gerenciamento da organização implementou um programa eficaz de gerenciamento de riscos corporativos.

Em organizações maiores, as principais iniciativas estratégicas são implementadas para atingir objetivos e impulsionar mudanças. Como membro da alta administração, o executivo chefe de auditoria (CAE) pode participar das atualizações de status dessas iniciativas importantes. Isso coloca o DEA em posição de relatar muitos dos principais riscos que a organização enfrenta ao comitê de auditoria ou de garantir que o relatório da administração seja eficaz para esse fim.

A função de auditoria interna pode ajudar a organização a lidar com seu risco de fraude por meio de uma avaliação de risco de fraude, usando princípios de dissuasão de fraude . Os auditores internos podem ajudar as empresas a estabelecer e manter processos de gerenciamento de riscos corporativos . Este processo é altamente valorizado por muitas empresas para estabelecer e implementar sistemas de gestão eficazes e garantir que a qualidade seja mantida e os padrões profissionais sejam atendidos. Os auditores internos também desempenham um papel importante em ajudar as empresas a executar uma avaliação de risco SOX 404 de cima para baixo . Nessas duas últimas áreas, os auditores internos normalmente fazem parte da equipe de avaliação de riscos com uma função consultiva.

Papel na governança corporativa

No passado, a atividade de auditoria interna no que se refere à governança corporativa era geralmente informal, realizada principalmente por meio da participação em reuniões e discussões com membros do conselho de administração. De acordo com a estrutura de ERM do COSO, governança são as políticas, processos e estruturas usadas pela liderança da organização para direcionar atividades, atingir objetivos e proteger os interesses de diversos grupos de partes interessadas de maneira consistente com os padrões éticos. O auditor interno é frequentemente considerado um dos "quatro pilares" da governança corporativa, sendo os outros pilares o conselho de administração, a administração e o auditor externo.

Uma área de foco principal da auditoria interna no que se refere à governança corporativa é ajudar o comitê de auditoria do conselho de administração (ou equivalente) a desempenhar suas responsabilidades de forma eficaz. Isso pode incluir relatar questões críticas de controle de gestão, sugerir perguntas ou tópicos para as pautas das reuniões do comitê de auditoria e coordenar com o auditor externo e a gestão para garantir que o comitê receba informações eficazes. Nos últimos anos, o IIA tem defendido uma avaliação mais formal da governança corporativa, especialmente nas áreas de supervisão do conselho de riscos corporativos, ética corporativa e fraude.

Seleção de projeto de auditoria ou "plano de auditoria anual"

Com base na avaliação de risco da organização, os auditores internos, a administração e os conselhos de supervisão determinam onde concentrar os esforços de auditoria interna. Esse foco ou priorização faz parte do plano de auditoria anual / plurianual . O plano de auditoria é normalmente proposto pelo CAE (às vezes com várias opções ou alternativas) para a revisão e aprovação do comitê de auditoria ou do conselho de administração. A atividade de auditoria interna é geralmente conduzida como uma ou mais atribuições discretas.

Deve ser adaptado ao propósito específico da auditoria, e a seleção do método de auditoria deve ser adaptada ao seu propósito específico. Caso contrário, ele se desviará do objetivo da auditoria.

Execução de auditoria interna

Uma tarefa típica de auditoria interna envolve as seguintes etapas:

  1. Estabelecer e comunicar o escopo e os objetivos da auditoria aos membros apropriados da administração.
  2. Desenvolver uma compreensão da área de negócios em análise - isso inclui objetivos, medições e principais tipos de transação e envolve entrevistas e uma revisão de documentos - fluxogramas e narrativas podem ser criados, se necessário.
  3. Descrever os principais riscos enfrentados pelas atividades de negócios no escopo da auditoria.
  4. Identificar práticas de gestão nos cinco componentes de controle usados ​​para garantir que cada risco-chave seja controlado e monitorado de forma adequada. Uma lista de verificação de auditoria interna pode ser uma ferramenta útil para identificar riscos comuns e controles desejados no processo específico ou setor específico que está sendo auditado.
  5. Desenvolver e executar uma abordagem de amostragem e teste baseada em risco para determinar se os controles de gerenciamento mais importantes estão operando conforme planejado.
  6. Relatar problemas e desafios identificados e negociar planos de ação com a gestão para resolver esses problemas.
  7. Acompanhamento das descobertas relatadas em intervalos apropriados. Os departamentos de auditoria interna mantêm um banco de dados de acompanhamento para esse fim.

A duração da atribuição de auditoria varia com base na complexidade da atividade que está sendo auditada e nos recursos de auditoria interna disponíveis. Muitas das etapas acima são iterativas e podem não ocorrer todas na sequência indicada.

Além de avaliar os processos de negócios, especialistas chamados auditores de tecnologia da informação (TI) revisam os controles de tecnologia da informação .

Relatórios de auditoria interna

Os auditores internos geralmente emitem relatórios no final de cada auditoria que resumem suas descobertas, recomendações e quaisquer respostas ou planos de ação da administração. Um relatório de auditoria pode ter um resumo executivo - um corpo que inclui as questões ou descobertas específicas identificadas e recomendações ou planos de ação relacionados, e informações de apêndice, como gráficos e tabelas detalhadas ou informações de processo. Cada descoberta de auditoria dentro do corpo do relatório pode conter cinco elementos, às vezes chamados de "5 C's":

  1. Condição: Qual é o problema específico identificado?
  2. Critérios: Qual é o padrão que não foi atendido? O padrão pode ser uma política da empresa ou outra referência.
  3. Causa: por que o problema ocorreu?
  4. Consequência: Qual é o risco / resultado negativo (ou oportunidade perdida) devido à descoberta?
  5. Ação corretiva: O que a administração deve fazer a respeito da descoberta? O que eles concordaram em fazer e até quando?

As recomendações em um relatório de auditoria interna são elaboradas para ajudar a organização a alcançar governança eficaz e eficiente, processos de controle e risco associados a objetivos operacionais, objetivos de relatórios financeiros e de gestão; e objetivos de conformidade legal / regulatória.

As conclusões e recomendações da auditoria também podem estar relacionadas a afirmações específicas sobre as transações, como se as transações auditadas eram válidas ou autorizadas, completamente processadas, avaliadas com precisão, processadas no período de tempo correto e devidamente divulgadas nos relatórios financeiros ou operacionais, entre outros elementos.

De acordo com os padrões do IIA, um componente crítico do processo de auditoria é a preparação de um relatório equilibrado que forneça aos executivos e ao conselho a oportunidade de avaliar e pesar as questões sendo relatadas no contexto e perspectiva adequados. Ao fornecer perspectiva, análise e recomendações viáveis ​​para melhorias de negócios em áreas críticas, os auditores ajudam a organização a cumprir seus objetivos.

Qualidade do relatório de auditoria interna

  • Objetividade - Os comentários e opiniões expressos no relatório devem ser objetivos e imparciais.
  • Clareza - a linguagem usada deve ser simples e direta.
  • Exatidão - As informações contidas no relatório devem ser precisas.
  • Brevidade - O relatório deve ser conciso.
  • Prazo de entrega - O relatório deve ser divulgado imediatamente após a conclusão da auditoria, no prazo de um mês.

Estratégia

As funções de auditoria interna também podem desenvolver estratégias funcionais descritas em planos estratégicos plurianuais. A orientação profissional sobre a construção de um plano estratégico de Auditoria Interna foi emitida pelo Instituto de Auditores Internos em julho de 2012 por meio de um Guia Prático denominado Desenvolvimento do Plano Estratégico de Auditoria Interna . Um aspecto fundamental do desenvolvimento da estratégia de IA é a compreensão das expectativas das partes interessadas, como o comitê de auditoria e a alta administração. Isso ajuda a orientar a função IA em sua missão de ajudar a organização a enfrentar os riscos que enfrenta. Os tópicos específicos considerados no planejamento estratégico de IA incluem:

  • Escopo e ênfase: Uma função IA pode estar envolvida no tratamento de riscos relacionados a relatórios financeiros, operações, conformidade legal e regulatória e estratégia da empresa. Também pode haver tópicos especiais de interesse para as partes interessadas que mudam consideravelmente de ano para ano.
  • Portfólio de serviços: as funções de IA podem fornecer garantia de auditoria tradicional em todo o espectro de risco, bem como suporte a projetos de consultoria em uma variedade de áreas, como gerenciamento de projetos, análise de dados e monitoramento das principais iniciativas da empresa. Funções de auditoria maiores podem estabelecer áreas especializadas para lidar com seu portfólio de serviços.
  • Desenvolvimento de competências: as expectativas das partes interessadas em torno do escopo e do portfólio de serviços determinam quais competências a função precisa, o que orienta as decisões relacionadas à contratação de habilidades específicas e programas de treinamento. A função de auditoria interna é freqüentemente usada como um "campo de treinamento gerencial" para fornecer aos funcionários um conhecimento mais profundo das operações da empresa antes de serem transferidos para uma posição gerencial.
  • Tecnologia: as funções de IA usam uma variedade de ferramentas / software de tecnologia para apoiar o fluxo de trabalho do processo de auditoria, análise estatística e obtenção de dados de sistemas.

Construir a estratégia IA pode envolver uma variedade de gestão estratégica conceitos e estruturas, tais como planejamento estratégico , pensamento estratégico e análise SWOT .

Outros tópicos

Medir a função de auditoria interna

A medição da função de auditoria interna pode envolver uma abordagem de balanced scorecard . As funções de auditoria interna são avaliadas principalmente com base na qualidade do conselho e nas informações fornecidas ao comitê de auditoria e à alta administração. No entanto, isso é principalmente qualitativo e, portanto, difícil de medir. "Pesquisas de clientes" enviadas aos principais gerentes após cada trabalho ou relatório de auditoria podem ser usadas para medir o desempenho, com uma pesquisa anual para o comitê de auditoria. A pontuação em dimensões como profissionalismo, qualidade do conselho, oportunidade do produto de trabalho, utilidade das reuniões e qualidade das atualizações de status são típicas dessas pesquisas. Compreender as expectativas da alta administração e do comitê de auditoria representam etapas importantes no desenvolvimento de um processo de medição de desempenho, bem como como essas medidas ajudam a alinhar a função de auditoria com as prioridades organizacionais. As revisões independentes por pares fazem parte do processo de garantia de qualidade para muitos grupos de auditoria interna, pois muitas vezes são exigidas pelos padrões. O relatório de revisão por pares resultante é disponibilizado ao comitê de auditoria.

Relatório de descobertas críticas

O executivo chefe de auditoria (CAE) normalmente relata as questões mais críticas ao comitê de auditoria trimestralmente, juntamente com o progresso da administração para resolvê-las. Problemas críticos normalmente têm uma probabilidade razoável de causar danos financeiros ou de reputação substanciais à empresa. Para questões particularmente complexas, o gerente responsável pode participar da discussão. Esse relatório é fundamental para garantir que a função seja respeitada, que o " tom de comando" adequado exista na organização e para agilizar a resolução de tais problemas. É uma questão de considerável julgamento selecionar os assuntos apropriados para a atenção do comitê de auditoria e descrevê-los no contexto apropriado.

Filosofia de auditoria

Parte da filosofia e abordagem da auditoria interna é derivada do trabalho de Lawrence Sawyer. Sua filosofia e orientação sobre o papel da auditoria interna foram os precursores da definição atual de auditoria interna. Enfatizou auxiliar a administração e o conselho a atingir os objetivos da organização por meio de auditorias, avaliações e análises bem fundamentadas das áreas operacionais. Ele encorajou o auditor interno moderno a agir como um conselheiro da administração, em vez de um adversário. Sawyer via os auditores como atores ativos que influenciam os eventos do negócio, em vez de criticar todos os níveis de erros e enganos. Ele também previu um futuro mais desejável para os auditores, envolvendo um relacionamento mais forte com os membros do comitê de auditoria e o conselho e um divórcio de subordinação direta ao diretor financeiro.

Sawyer sempre falava sobre “pegar um gerente fazendo algo certo” e fornecer reconhecimento e reforço positivo. Escrever sobre observações positivas em relatórios de auditoria raramente era feito até que Sawyer começou a falar sobre a ideia. Ele entendeu e previu os benefícios de fornecer relatórios mais equilibrados e, ao mesmo tempo, construir relacionamentos melhores. Sawyer entendeu a psicologia da dinâmica interpessoal e a necessidade de todas as pessoas receberem reconhecimento e validação para que os relacionamentos prosperem.

Sawyer ajudou a tornar a auditoria interna mais relevante e mais interessante por meio de um foco agudo na auditoria operacional ou de desempenho. Ele encorajou fortemente olhar além das demonstrações financeiras e auditoria relacionada a finanças em áreas como compras, armazenamento e distribuição, recursos humanos, tecnologia da informação, gerenciamento de instalações, atendimento ao cliente, operações de campo e gerenciamento de programas. Essa abordagem ajudou a catapultar o executivo-chefe de auditoria para o papel de um consultor respeitado e bem informado, considerado razoável, objetivo e preocupado em ajudar a organização a atingir os objetivos declarados.

Veja também

Referências