Escrevi extensamente sobre o trabalho que os auditores internos devem fazer para realizar seu próprio potencial e o da profissão, aprimorando e protegendo o valor das organizações que atendem. À medida que o cenário de risco muda e a velocidade do risco aumenta, os auditores internos precisam expandir suas habilidades, atualizar seus processos e adotar uma mentalidade flexível, ágil e aberta para responder rapidamente a ameaças disruptivas e a riscos novos e emergentes.

Naturalmente, a auditoria interna não pode fazer isso sozinha. Ela é, afinal, parte de um processo complexo de governança que depende de outros, incluindo gerentes de risco, a alta administração e o conselho. A governança de sucesso depende que todos os componentes sejam tão eficazes e eficientes quanto possível. A governança eficaz exige respeito mútuo, compreensão e apreciação do papel que cada componente desempenha.

Frequentemente, me perguntam sobre o futuro da auditoria interna e o que eu vejo como essencial para sua ascensão contínua como componente vital na estrutura de gerenciamento e controle dos riscos de uma organização. Por muito tempo, os auditores internos do mundo todo foram prejudicados por restrições organizacionais, incluindo a independência, o acesso e as limitações de recursos. Está na hora de afirmar claramente e sem desculpas quais restrições são essas, como prejudicam a eficácia da auditoria interna e o que pode ser feito para remover esses impedimentos.

Embora esses sejam meus próprios pontos de vista, e não necessariamente posições oficiais do The IIA, acredito, no entanto, que pelo menos cinco avanços futuros merecem consideração e debate daqui em diante.

Uma condição do capital aberto: Ter uma função de auditoria interna.
A maioria das empresas de capital aberto provavelmente tem uma função de auditoria interna. No entanto, muitas não – especialmente as pequenas, ou pequenas empresas que sejam novas. A Bolsa de Nova York exige que suas empresas listadas tenham uma função de auditoria interna. O Nasdaq não. O que é lamentável é que os investidores muitas vezes não podem dizer se uma empresa ainda tem uma função de auditoria interna, porque não há qualquer requisito de reporte.

Quando empresas de capital aberto financiam e apoiam uma função de auditoria interna independente, saudável e robusta, elas se comprometem com uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança. Sem esse compromisso, os investidores ficam imaginando como o conselho e a administração recebem avaliação e percepção independentes e objetivas sobre o quão bem os riscos estão sendo gerenciados.

Quando qualquer organização, de capital aberto ou não, opera sem uma avaliação independente e objetiva de sua gestão de riscos, seu conselho deve confiar exclusivamente na administração para tais avaliações. Por sua vez, o sistema de autoavaliação é vulnerável à manipulação e engano. Sem a auditoria interna, a administração pode tentar convencer a si mesma e ao conselho de que tudo está bem.

Embora a presença de uma função de auditoria interna não garanta o sucesso de uma empresa, a ausência de uma sugere que a liderança da organização pode não ver o valor em assegurar uma gestão de riscos, controle interno e governança fortes e eficazes. Este é um risco autoimposto do qual possíveis investidores devem estar cientes. No futuro, as empresas de capital aberto devem ser obrigadas a ter uma função de auditoria interna – ou, no mínimo, a divulgar que não têm.

A auditoria interna deve reportar ao CEO.
Ter as relações de reporte certas é vital para o sucesso da auditoria interna. A Norma 1110 do The IIA: Independência Organizacional, das Normas Internacionais para a Prática Profissional de Auditoria Interna do The IIA, explica claramente a importância de ter uma linha de reporte direto a um nível dentro da organização "que permita que a atividade de auditoria interna cumpra com suas responsabilidades".

Isso significa uma linha de reporte funcional ao conselho e uma linha de reporte administrativo à administração. Na maioria das vezes, as organizações apoiam e valorizam o valor dessa linha eficaz de duplo reporte, embora os cargos combinados de CEO/presidente tornem questionável a linha de duplo reporte.

Mas a maior ameaça a uma linha eficaz de duplo reporte é quando o chief audit executive (CAE) reporta a um cargo que não o CEO, como o diretor financeiro (CFO) ou o diretor de riscos (CRO). Ao longo de mais de quatro décadas de experiência na profissão, testemunhei uma correlação inegável entre o nível ao qual a auditoria interna reporta nas organizações e a estatura que ela tem. O Federal Reserve dos EUA assumiu a posição correta ao ordenar que a auditoria interna de grandes instituições financeiras pelas quais é responsável reporte administrativamente ao CEO, ou o comitê de auditoria deve explicar por que isso não ocorre.

A independência é a pedra angular da auditoria interna e qualquer coisa que ameace trazer parcialidade – ou mesmo a aparência de parcialidade – corrói a eficácia e a credibilidade da auditoria interna.

O conselho/comitê de auditoria deve supervisionar diretamente a contratação, demissão, revisão e remuneração do CAE.
A interpretação da Norma 1110 explica a importância do papel do conselho na proteção da imparcialidade e objetividade da auditoria interna. Isso inclui, entre outras coisas, a aprovação de um estatuto de auditoria interna, de um plano de auditoria interna baseado em riscos, do orçamento e do plano de recursos de auditoria interna.

Ele também aborda o papel do conselho na nomeação, remoção e compensação do CAE. No entanto, essa responsabilidade é muitas vezes negligenciada ou delegada à administração por conselhos e comitês de auditoria ocupados. Essa prática pode ser a maior ameaça à independência da auditoria interna.

A linha de duplo reporte foi criada para proteger a independência da auditoria interna, fornecendo uma verificação de quaisquer limitações inadequadas ao escopo ou aos recursos da auditoria interna. Ela reconhece que a administração pode influenciar a eficácia e a independência da auditoria interna ao manipular a forma como o CAE é contratado, demitido e compensado. Quando o conselho ou o comitê de auditoria permite que a administração assuma essas responsabilidades e simplesmente carimba a recomendação da administração para um novo CAE, a independência da auditoria interna é ameaçada. Ainda mais decepcionante é a frequência com que os comitês de auditoria estão ausentes do processo de avaliação de desempenho do CAE e da determinação da remuneração – incluindo o pagamento de incentivos, como bônus de desempenho.

Os comitês de auditoria devem assumir suas responsabilidades quando se trata de CAEs. Afinal, como diz a velha expressão, "você trabalha para aqueles que lhe pagam!"

A auditoria interna deve auxiliar o comitê de auditoria na supervisão dos auditores externos.
OK, eu sei que isso vai levantar muitas sobrancelhas. Não estou sugerindo que os auditores internos auditem os auditores externos. Afinal, sua independência é fundamental para a confiança nos mercados de capitais. No entanto, os comitês de auditoria têm uma obrigação de supervisão quando se trata dos auditores externos. Os auditores internos podem e geralmente auxiliam nesse processo – especialmente quando se trata de avaliar se os auditores externos estão em conformidade com os termos de seus trabalhos e se as taxas de contratação estão sendo calculadas e faturadas adequadamente. Se essas responsabilidades forem delegadas pelo comitê de auditoria à administração, a aparência de independência dos auditores externos pode ser comprometida.

A auditoria interna deve ter um lugar permanente à mesa.
A maioria das áreas da organização tem seus representantes na sala de reuniões. A função financeira tem o CFO, a tecnologia da informação tem o CIO e a gestão de riscos tem o CRO. Mas, muitas vezes, não há lugar para a auditoria interna.

Ao longo de quase um século de auditoria interna moderna, a profissão progrediu, de fornecer uma simples avaliação sobre o reporte financeiro, para se tornar um contribuinte integral para o sucesso organizacional. No entanto, o CAE é raramente considerado um "verdadeiro" membro do C-Suite.

Em meu livro Trusted Advisors: Key Attributes of Outstanding Internal Auditors, defino a confiança como "a firme crença na confiabilidade, verdade, habilidade ou força de alguém ou algo". Quando devidamente financiada e autorizada a operar de forma independente, a auditoria interna é tudo isso: confiável, sincera, hábil e forte.

Funções de auditoria interna fortes e eficazes, lideradas por um CAE experiente, devem ser reconhecidas como um participante respeitado e vital da boa governança. E devem apreciar a estatura que vem com isso. E isso inclui um lugar permanente à mesa da administração.

Como sempre, aguardo seus comentários.

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para a InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.