Os leitores do meu blog sabem que há algumas coisas que tenho repetido ao longo dos anos. Uma delas é o que considero ser a prática ultrapassada do reporte administrativo da auditoria interna ao diretor financeiro (CFO).

Durante anos, o IIA conduziu pesquisas sobre as relações de reporte da auditoria interna. A boa notícia é que nossas pesquisas encontraram uma porcentagem consistentemente alta de chefes executivos de auditoria (CAEs) que afirmam reportar funcionalmente ao comitê de auditoria. Na verdade, mais de 80% dos CAEs norte-americanos entrevistados para o próximo relatório de auditoria interna do The IIA de 2021 na América do Norte dizem que reportam funcionalmente ao "comitê de auditoria, conselho ou equivalente". Vemos uma tendência semelhante em todo o mundo.

Mas se um departamento de auditoria interna tem um prejuízo mesmo que aparente à independência ou objetividade, não é devido ao relacionamento de reporte funcional. Em vez disso, o problema vem do reporte administrativo. E a relação de reporte mais controversa permanece sendo ao CFO. É impressionante a frequência com que os CAEs na América do Norte respondem às pesquisas do IIA dizendo reportar administrativamente ao CFO. No relatório Pulse que será lançado em breve, mostramos 73% dos departamentos de auditoria interna com esta linha de reporte.

Os críticos dessa relação de reporte muitas vezes afirmam que a auditoria interna poderia ser desviada da auditoria da área do CFO, porque o "chefe" não quer o escrutínio. Na verdade, não identifiquei esse como sendo o maior problema. Em vez disso, as estatísticas que vi ao longo dos anos indicam que os CFOs são mais propensos a usar a auditoria interna para abordar os principais riscos em suas áreas de responsabilidade, com a exclusão potencial dos riscos externos à sua área na organização.

Escrevi sobre isso em um artigo do blog de 2015, “Internal Audit Should Never Belong to the CFO​​,” em que observei que as funções de auditoria interna que reportaram administrativamente ao CFO estavam dedicando mais de 60% de recursos a mais para avaliar os controles internos sobre o reporte financeiro (internal controls over financial reporting – ICFR) do que aqueles que reportavam a algum outro funcionário da gerência executiva. Os riscos de ICFR seriam 60% maiores em empresas cujos CFOs supervisionam a auditoria interna? Acho que não. Em vez disso, como observei então, “acredito que muitos CFOs que supervisionam a auditoria interna usam-na para lidar com o trabalho manual que, de outra forma, recairia sobre outras funções do CFO. Esses são os riscos que se materializam quando a auditoria interna ‘pertence’ ao CFO.”

Antes de expor mais sobre o que considero um ponto de vista controverso, reconheço que as Normas Internacionais para a Prática Profissional de Auditoria Interna do IIA são flexíveis o suficiente para permitir uma relação de reporte ao CFO. A norma 1110 declara, em parte, que o "o chefe executivo de auditoria deve reportar a um nível dentro da organização que permita à atividade de auditoria interna cumprir com suas responsabilidades". A norma 1110.A1 vai um pouco além, afirmando que "a atividade de auditoria interna deve estar livre de interferências na determinação do escopo da auditoria interna, na execução do trabalho e na comunicação dos resultados."

​Portanto, se as Normas não impedem explicitamente uma relação de reporte ao CFO, por que continuo a expressar minha preocupação? A questão não é realmente a quem a auditoria interna reporta. Em vez disso, é o grau no qual aquele indivíduo exerce autoridade sobre a auditoria interna e prejudica sua capacidade de "seguir os riscos" na organização. O prejuízo à independência da auditoria interna não ocorre apenas quando executivos responsáveis ​​desviam a auditoria interna dos riscos sensíveis em suas áreas de responsabilidade. Também há prejuízo quando os executivos orientam a auditoria interna a tratar de riscos, ou questões operacionais, de interesse particular deles — em detrimento de riscos mais significativos à organização.

Desde 2012, venho compartilhando minhas preocupações sobre os perigos inerentes do reporte administrativo da função de auditoria interna a alguém que não seja o CEO. Em um artigo na época, “It Is Time We Move Out From Under the CFO Shadow,” compartilho a opinião de que:

"Está na hora de o restante das funções de auditoria interna deixarem de estar sob o CFO. Precisamos de relacionamentos sólidos de trabalho com nossos CFOs, mas também precisamos de independência e flexibilidade para avaliar as informações financeiras e estabelecer planos de auditoria sem influência indevida (ou mesmo a percepção de influência). A maioria dos CAEs provavelmente poderia estabelecer um forte relacionamento de trabalho com qualquer membro de sua equipe de gestão executiva, mas o perigo de influência indevida é maior quando a auditoria interna responde à função financeira, seja funcional ou administrativamente.”  

Não estou sozinho ao reconhecer os riscos que surgem quando a auditoria interna reporta administrativamente a executivos com responsabilidades funcionais. O Board of Governors do U.S. Federal Reserve System emitiu uma declaração de política suplementar sobre a função de auditoria interna no início de 2013, parte da qual forneceu esclarecimentos adicionais às instituições financeiras sobre a independência da auditoria interna. A parte do suplemento relevante a esta discussão direciona os comitês de auditoria a explicar a razão por trás do reporte administrativo da auditoria interna a alguém que não seja o CEO. O documento afirma especificamente:

"Se o CAE reporta administrativamente a alguém que não seja o CEO, o comitê de auditoria deve documentar sua justificativa para essa estrutura de reporte, incluindo controles atenuantes disponíveis para situações que possam afetar adversamente a objetividade do CAE. Nesses casos, o comitê de auditoria deve periodicamente (pelo menos anualmente) avaliar se o CAE é imparcial e se não é indevidamente influenciado pela linha de reporte administrativo. Além disso, os conflitos de interesse para o CAE e todos os outros funcionários de auditoria devem ser monitorados pelo menos uma vez por ano, com a aplicação das devidas restrições em áreas de auditoria onde possam ocorrer conflitos."

A orientação de 2013 do Fed continua influenciando as práticas de relações de reporte no setor de serviços financeiros, onde apenas 18% dos CAEs indicaram reportar ao CFO, de acordo com o próximo relatório Pulse. Isso é um grande contraste com os 73% das relações de reporte dos CAEs de empresas de capital aberto.

Além disso, o Framework Internacional de Práticas Profissionais do IIA aborda a questão da independência organizacional na Orientação de Implantação 1110. Especificamente, a Orientação aconselha:

"The IIA recomenda que o CAE reporte administrativamente ao chief executive officer (CEO), para que o CAE ocupe um posto de claro nível sênior, com a autoridade de cumprir com seus deveres sem impedimentos."

Essas recomendações importantes reforçam o argumento de que a função de auditoria interna deve estar posicionada onde for mais vantajoso para aumentar a verdadeira independência, uma vez que trabalha para prestar avaliação imparcial e objetiva à gestão e ao conselho.

Os desafios que as empresas enfrentam hoje são dinâmicos, globais, complexos e estão surgindo mais rapidamente do que em qualquer momento da nossa história. Devemos, então, fazer tudo que pudermos para proteger nossa capacidade de aprimorar a independência da auditoria interna. Quando você acrescenta aos atributos fundamentais da independência e objetividade os fatores de percepção e credibilidade, o preço é simplesmente alto demais para manter a prática de a auditoria interna parecer "pertencer" ao CFO.

Talvez já esteja mesmo na hora de a auditoria interna reportar ao CEO.

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve um blog semanal para a InternalAuditor.org sobre questões e tendências relevantes para a profissão de auditoria interna.