Há dez anos, no final do meu primeiro ano como CEO do The IIA, escrevi um blog sobre os eventos que definiram os anos 2000 para os auditores internos. É difícil acreditar que é chegada a hora novamente! Para os auditores internos, a década de 2010 começou com um foco maior no cumprimento das regulamentações do pós-crise financeira. Esta década está chegando ao fim com uma série de novas regulamentações destinadas a proteger os dados e a privacidade dos consumidores. Para o observador casual, pode parecer que o compliance regulatório continua sendo o condutor da missão principal da auditoria interna. No entanto, esse não é o caso.

Avanços da tecnologia nos últimos 10 anos abriram um novo mundo de oportunidades e ameaças para as organizações que a profissão atende. Desde hackings cada vez mais sofisticados e descarados que remodelaram a segurança cibernética até a inteligência artificial que promete romper o modelo tradicional de local de trabalho, a tecnologia redefiniu e repriorizou o gerenciamento de riscos como nunca antes.

É difícil explicar de forma concisa o quão dramática a década passada foi para a profissão, já que tantos fatores significativos nos impactaram, incluindo tecnologia, mudança climática, aumento da regulamentação, globalização, volatilidade macroeconômica, agitação geopolítica e ativismo dos investidores. Ainda assim, espero capturar parte dela examinando os 10 principais destaques de auditoria interna nos anos 2010.

Dodd-Frank destaca a supervisão do gerenciamento de riscos

As consequências negativas da crise financeira de 2008 levaram à aprovação de uma legislação histórica destinada a proteger contra a tomada excessiva de riscos pelas instituições financeiras e a melhorar a governança corporativa. A Dodd-Frank Wall Street Reform and Consumer Protection Act, promulgada em julho de 2010, reformulou a regulamentação financeira dos Estados Unidos, criou um departamento de proteção ao consumidor e uma agência para proteger a estabilidade financeira assim como expandiu bastante o papel do Federal Reserve dos Estados Unidos.

Mais significativamente para a auditoria interna, ela criou regras de governança corporativa e divulgação destinadas a promover maior responsabilidade e regular a tomada excessiva de riscos. A lei e as regras subsequentes geradas pela Comissão de Valores Mobiliários dos EUA (U.S. Securities and Exchange Commission) e pelo novo Conselho de Supervisão Contábil de Empresas Públicas (Public Company Accounting Oversight Board) deixam os conselhos de administração informados sobre suas responsabilidades de supervisão. Os conselhos já não podem simplesmente aceitar passivamente as iniciativas dos executivos.

Federal Reserve dos Estados Unidos eleva o nível de auditoria interna em grandes bancos

Em janeiro de 2013, o Federal Reserve dos Estados Unidos emitiu uma nova diretiva para bancos por meio da sua Supplemental Policy Statement on the Internal Audit Function and Its Outsourcing. Essa declaração que pode parecer inofensiva trouxe uma mensagem poderosa sobre a importância de uma função de auditoria interna forte e eficaz nas instituições de serviços financeiros. De fato, a declaração colocou o Federal Reserve mais próximo do que qualquer outro órgão regulador do setor no apoio ou mandato das Normas Internacionais do The IIA para a Prática Profissional de Auditoria Interna. O parágrafo de abertura do documento afirma:

"O Federal Reserve está fornecendo esta orientação suplementar para aprimorar as práticas de auditoria interna das instituições reguladas e incentivá-las a adotar padrões profissionais e outras orientações autorizadas, incluindo aquelas emitidas pelo Instituto de Auditores Internos".

As orientações do Federal Reserve também sinalizaram o desdém do regulador em relação à auditoria interna reportando administrativamente ao CFO ou a outros executivos do C-suite abaixo do CEO. Sinalizaram que a auditoria interna deveria se reportar administrativamente ao CEO, ou que o comitê de auditoria deveria explicar por que não o fazer.

O COSO atualiza suas estruturas de controle interno e gerenciamento de riscos corporativos (ERM)

Em 2013 e 2017, o Committee of Sponsoring Organizations of the Treadway Commission (COSO) (no qual eu atuo) divulgou atualizações importantes de suas duas estruturas de assinatura, que tinham se tornado ferramentas essenciais na criação de controle interno eficaz e na compreensão de como os riscos são gerenciados nas organizações. A crescente complexidade de governança, risco e controle em um mundo em rápida evolução exigia estruturas que refletissem e se adaptassem a essas mudanças.

De importância, a estrutura de controle interno atualizada, baseada no foco original no desenho, implementação e avaliação da eficácia do controle interno. Enquanto isso, a atualização da estrutura do ERM ajudou a esclarecer exatamente o que é ERM eficaz e o que não é. Da atualização do ERM:

O gerenciamento de riscos corporativos não é uma função ou departamento. É a cultura, as capacidades e as práticas que as organizações integram com o estabelecimento de estratégia e aplicam quando realizam essa estratégia, com o objetivo de gerenciar riscos na criação, preservação e realização de valor.

NYSE acena positivamente para a profissão convidando o IIA a tocar a campainha de abertura

Em julho de 2016, eu me orgulhei de me juntar ao ex-presidente do The IIA e a outras pessoas tocando a campainha de abertura na Bolsa de Valores de Nova Iorque (NYSE). Foi um evento significativo na história, não apenas para o IIA, mas também para a profissão. A NYSE, uma amiga estratégica e aliada da auditoria interna de longa data, estava novamente reconhecendo a importância e o valor da auditoria interna para organizações de capital aberto. Como escrevi na época, o The IIA tocando a campainha de abertura na NYSE deve servir como um apelo para que todas as organizações - não apenas as empresas de capital aberto - se comprometam com a boa governança e adotem as ferramentas e práticas testadas e comprovadas que a tornam possível.

O Chartered Institute of Internal Auditors emite Código de Serviços Financeiros

O escrutínio da auditoria interna por parte dos reguladores de serviços financeiros foi realmente um fenômeno global na última década. Em resposta aos reguladores de serviços financeiros no Reino Unido, o Chartered Institute of Internal Auditors publicou o Financial Services Code em julho de 2013. O código “visava a melhorar a eficácia geral da Auditoria Interna, bem como o seu impacto, nas empresas que operam no setor de serviços financeiros no Reino Unido.” Foi produzido por um comitê independente estabelecido pelo IIA, com representantes e observadores dos principais bancos, seguradoras, da Financial Conduct Authority, da Prudential Regulation Authority e do Banco da Inglaterra.

O código foi revisado e republicado em setembro de 2017 apenas com alterações modestas e está servindo como precursor de um Código de Prática de Auditoria Interna mais abrangente a ser emitido em breve, o qual será aplicável à profissão de auditoria interna, entendida de forma mais ampla, no Reino Unido.

Escândalos corporativos induzidos pela cultura pressionam a auditoria interna a melhorar seu jogo

Como escrevi na semana passada, os escândalos corporativos surgiram com regularidade embaraçosa nos anos 2010. A cada escândalo, a pergunta “Onde estavam os auditores internos?” era levantada repetidamente.

Embora eu tenha deixado claro que a culpa pelo escândalo raramente recai apenas na auditoria interna, o lado positivo da série de falhas de governança corporativa é o crescente reconhecimento de que a cultura estava frequentemente no centro do escândalo e que a auditoria interna tem um papel a desempenhar na avaliação da cultura.

Muitos dentro e fora da profissão expressaram dúvidas sobre a capacidade da auditoria interna de auditar a cultura de maneira eficaz, mas fizemos grandes progressos. O recente lançamento da nova Orientação Recomendada do The IIA sobre Auditing Culture reflete esse crescimento.

O IIA lança o CRMA

Em 2013, o IIA começou a oferecer a Certificação em Risk Management Assurance (CRMA) para permitir que auditores internos demonstrem sua capacidade de fornecer consultoria e serviços de avaliação. Desde então, quase 16.000 praticantes receberam essa designação.

A alta demanda pelo CRMA, perdendo apenas para a designação de Certified Internal Auditor (CIA) do IIA, reflete a importância de prestar serviços de avaliação da eficácia dos processos de gerenciamento de riscos e governança. No ambiente de risco dinâmico de hoje, ter um profissional certificado CRMA na equipe fornece às partes interessadas da auditoria interna na C-suite e no conselho de administração o conforto de saber que elas têm um consultor de confiança ao seu lado.

Violações cibernéticas colocam CAEs na mira

Sinto-me à vontade em afirmar que nenhum acontecimento único na década passada causou mais perturbações nas organizações e na profissão do que violações cibernéticas. O espectro onipresente de ataques cibernéticos e a cobertura quase constante da mídia das principais violações cibernéticas expuseram vulnerabilidades em sistemas de TI, gerenciamento de dados, proteção de dados, treinamento de funcionários, governança corporativa e muito mais.

Envolvidos nesse ataque estão os principais executivos de auditoria (CAEs), que estão sob uma pressão incrível para desenvolver e implantar equipes que possam apoiar com sucesso as estratégias de segurança cibernética de suas organizações. A demanda por esses serviços de avaliação está criando concorrência significativa para contratar e reter auditores com as habilidades de TI necessárias.

Por mais injusto que seja, violações cibernéticas em grandes organizações amplamente divulgadas derrubaram mais do que alguns CAEs talentosos. Meu conselho: não forneça apenas serviços de avaliação em controles cibernéticos; também garantam a prontidão da organização em responder quando ocorrerem as inevitáveis violações cibernéticas.

O IIA articula princípios para auditoria interna

A atualização de 2017 do Framework Internacional de Práticas Profissionais incluiu a adição dos Princípios Fundamentais para a Prática Profissional de Auditoria Interna. Essa mudança foi mais do que apenas uma adição ou atualização das diretrizes da profissão. Os 10 princípios articulam as crenças fundamentais que impulsionam nossa profissão e nossos praticantes.

Essas diretrizes ajudarão os profissionais a permanecer centrados nas filosofias principais da auditoria interna, mesmo enquanto a tecnologia, o clima, a geopolítica, a macroeconomia e as normas sociais mudam o mundo ao nosso redor.

O interesse da mídia global em auditoria interna aumenta

A década passada viu uma cobertura significativa da profissão de auditoria interna, e a maior parte foi positiva. Por fim, grandes instituições de mídia como The Wall Street Journal, Financial Times, Bloomberg, Fortune e Forbes estão expandindo seu entendimento e valorização dos serviços de avaliação independente que a auditoria interna fornece às organizações.

Isso é particularmente digno de nota, pois a mídia, os reguladores, os investidores e o público em geral exigem uma maior transparência e responsabilidade dos conselhos de administração e do C-suite. Há um reconhecimento crescente de que a governança corporativa falida está no centro de muitos escândalos corporativos e que uma sólida governança corporativa ajuda as organizações a gerenciar riscos, apoia a sustentabilidade de longo prazo e em última análise, beneficia o bem público. O The IIA tem bem posicionado a profissão para alavancar essa crescente valorização.

O interesse da mídia na auditoria interna não se limita aos Estados Unidos ou a outros mercados altamente desenvolvidos. Durante uma recente viagem à África Central, eu era cercado pela mídia a cada parada. A principal questão em mente: como a auditoria interna pode ajudar a prevenir e detectar a corrupção em instituições públicas?

Na próxima década, o IIA defenderá com firmeza que a auditoria interna é fundamental para uma governança corporativa sólida. Estou ansioso pelos desafios e sucessos que a década de 2020 manterá enquanto avançamos para alcançar nossa visão 2030 de ter a profissão reconhecida universalmente como indispensável à governança, gerenciamento de riscos e controle eficazes.

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para um blog da InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.

 

Tradução: Eoin Timothy Hickey

Revisão Técnica da Tradução: Roberto Leal Lahorgue, CIA, CCSA, CRMA.