Uma Visão Global da Auditoria de Serviços Financeiros

Uma Visão Global
da Auditoria de
Serviços Financeiros
FUTURO
Closer Look
Desafios, Oportunidades e o Futuro
Jennifer F. Burke
CPA, CRP, CFF, CFS
Steven E. Jameson
CIA, CFSA, CRMA, CPA, CFE
CBOK
The Global Internal Audit
Common Body of Knowledge
Patrocinado por
Sobre o CBOK
FATOS DA PESQUISA
Participantes
Países
Idiomas
14,518*
166
23
NÍVEIS DOS
FUNCIONÁRIOS*
Chief audit
executive (CAE) 26%
Diretor
13%
Gerente
17%
Equipe
44%
*As taxas podem variar
por pergunta.
O
Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior
estudo contínuo global no mundo sobre a profissão da auditoria interna,
incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas.
Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante,
que fornece uma perspectiva abrangente das atividades e características dos auditores
internos do mundo todo. Este projeto tem como base as duas pesquisas globais do
praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366
respostas) e 2010 (13.582 respostas).
Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados
de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações
profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados
em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que
exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região
ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de
conhecimento, incluindo tecnologia, riscos, talento e outras.
Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para
download das perguntas da pesquisa e dos relatórios seguintes, conforme forem
disponibilizados.
Pesquisa do Praticante CBOK 2015
Participação das Regiões Globais
Europa
& Ásia 23%
Central
América
19%
do Norte
Oriente Médio
& África 8%
do Norte
América
Latina 14%
& Caribe
África 6%
Subsaariana
Sul da
Ásia
5%
Leste
Asiático 25%
& Pacífico
Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes
era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da
pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas
parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos
relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da
pesquisa está disponível para download no CBOK Resource Exchange.
●
Áreas de
Conhecimento
do CBOK
Conteúdos
Futuro
Sumário Executivo
1
Perspectiva
Global
Governança
4
Desafios Regulatórios para Auditores Internos
de Serviços Financeiros
6
2
Pautas Lotadas dos Comitês de Auditoria e Riscos
9
3
Desafios Devidos à Elevação da Auditoria Interna
11
4
Maiores Riscos Tecnológicos
14
5
Três Linhas de Defesa
17
6
Recursos de Auditoria Interna
20
Gestão
Conclusão
22
Risco
Normas &
Certificações
Talento
Tecnologia
●
Sumário Executivo
M
uitos na indústria de serviços financeiros concordarão que as coisas nunca foram
tão desafiadoras quanto estão hoje. Embora os auditores internos encarem muitas
questões em instituições financeiras, este relatório foca nos seguintes desafios principais:
1. Requisitos regulatórios, que estão, geralmente, no topo das listas de riscos da
maioria das instituições financeiras
2. Gestão de pautas do comitê de governança, que estão cada vez mais lotadas
3. Expectativas crescentes para os auditores internos
4. Maiores riscos tecnológicos, enquanto cibercriminosos descobrem novas formas de
quebrar as barreiras de defesa
5. Coordenação entre todas as linhas de defesa
6. Gestão de alocação de recursos
A conformidade regulatória continua no topo da lista de prioridades e,
frequentemente, assume o papel principal nas discussões, desde os bastidores até a sala
do conselho. Regulações novas e modificadas exigem gastos maiores para estruturação
adicional de equipe, novas tecnologias, processos revisados e até mesmo uma redução
nas taxas e receitas de instituições financeiras. As mudanças têm sido tão abrangentes
que até mesmo parceiros indiretos e fornecedores que atendem instituições financeiras
têm sido impactados de maneiras significantes.
Aqueles encarregados das atividades de governança e supervisão descobriram sua
carga de trabalho em expansão. As demandas de tempo, por reuniões mais frequentes e
longas para cobrir pautas crescentes, desafiam as instituições financeiras a se tornarem
mais eficientes, para dedicar tempo suficiente ao número sempre crescente de questões
que precisam ser discutidas. O número de presentes nessas reuniões também contribui
para reuniões mais extensas.
Embora os auditores internos tenham, por muito tempo, buscado ser reconhecidos e
convidados a fazer parte das discussões estratégicas em suas instituições financeiras, as
maiores expectativas, por parte de múltiplas partes interessadas, que elevaram a
atividade de auditoria interna também trouxeram desafios singulares. Considerando a
natureza da auditoria interna de focar em problemas, fraquezas e riscos não controlados,
essas maiores expectativas colocaram uma pressão maior sobre os auditores internos para
tomarem as decisões certas - e aumentaram as consequências para aqueles que não o
fizerem.
●
Os auditores internos frequentemente alavancaram a tecnologia para garantir uma
maior cobertura de auditoria em universos de auditoria expandidos, ainda utilizando
recursos limitados com eficácia. Hoje, a tecnologia está expandindo com tanta rapidez
que manter o controle eficaz é quase impossível. Para agravar o desafio, os criminosos
agora usam a tecnologia para facilitar ataques globais contínuos contra instituições
financeiras e seus clientes.
Há alguns raios de esperança para os auditores internos em instituições financeiras,
conforme novos modelos de defesa são criados e adotados, para vencer os muitos
desafios que encaram. As Três Linhas de Defesa são um modelo que tem tido ampla
aceitação e adoção no mundo todo nos últimos anos. Os auditores internos em
instituições financeiras são desafiados a encontrar novas formas de implementar esse
modelo com eficácia, de modo que funcione para suas organizações. Em instituições
de menor porte, a linha entre a segunda e a terceira linhas de defesa é, muitas vezes,
tênue, desafiando os auditores internos a esclarecer papéis e responsabilidades.
Diferenças geracionais, mais requisitos de habilidades, menores fontes de recursos
e programas de rotação para o cargo do diretor executivo de auditoria (chief audit
executive - CAE) criam desafios para a gestão de recursos de auditoria. Tais desafios
sempre fizeram parte do trabalho, para a maioria dos CAEs. Embora este não seja,
necessariamente, um desafio novo, os métodos usados no passado para gerir desafios
de recursos nem sempre funcionam hoje em dia. Novos métodos e abordagens para
aquisição e gestão de recursos devem ser desenvolvidos para funcionar no futuro.
●
1
Desafios Regulatórios para Auditores
Internos de Serviços Financeiros
❝Pré-planejar é
mais importante
agora, quando
complexidades
adicionais fazem
parte das mudanças
regulatórias e as
organizações
precisam se
planejar para uma
P
ergunte a auditores internos de serviços
financeiros o que os mantém acordados
à noite e a maioria vai citar os desafios
regulatórios no topo de sua longa lista de
riscos principais. Houve um tempo em que a
conformidade regulatória era deixada,
principalmente, nas mãos dos departamentos
jurídico e de compliance, permitindo que os
auditores internos focassem em questões
financeiras e operacionais. Hoje, a
conformidade regulatória atinge todas as
funções de uma instituição financeira.
O risco regulatório e o de conformidade
atingiram o topo da lista quando CAEs do
mundo todo escolheram os cinco principais
riscos nos quais seus departamentos de
auditoria interna estão focando sua maior
atenção em 2015. Os riscos de
conformidade e regulatório foram seguidos
pelo risco operacional (veja o Documento
1). CAEs do setor financeiro também
indicam que seus planos de auditoria focam
nessas áreas, apesar de planejarem dedicar
mais do plano de auditoria a questões
operacionais do que no foco em
conformidade (veja o Documento 2).
receita menor
devido a algumas
das mudanças.
❞
—James Alexander,
Unitus Community
Credit Union,
Portland, Oregon
Documento 1
Áreas de Risco nas quais os CAEs Planejam Focar em 2015
Área de Risco
Porcentagem de Resposta
Conformidade/regulatória
83%
Operacional
78%
Avaliação/Eficácia do Gerenciamento de Riscos
68%
Tecnologia da Informação
67%
Riscos estratégicos do negócio
53%
Observação: Q66: Por favor, identifique os cinco principais riscos nos quais seu departamento de auditoria interna
está focando o maior nível de atenção em 2015. CAEs apenas. Filtrada pelo setor financeiro. 582 participantes.
Documento 2
Áreas de Risco com Maior Porcentagem
do Plano de Auditoria de 2015
Área de Risco
Porcentagem do Plano de Auditoria
Operacional
25%
Conformidade/regulatória
16%
Avaliação/Eficácia do Gerenciamento de Riscos
14%
Tecnologia da Informação
11%
Riscos estratégicos do negócio
10%
Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde às seguintes categorias de
risco? CAEs apenas. Filtrada pelo setor financeiro. 558 participantes.
●
❝Os bancos de Wall
Street e seus rivais
estrangeiros pagaram
$100 bilhões em
acordos jurídicos nos
EUA desde a crise
financeira, com mais
da metade das
penalidades extraídas
no último ano.
❞
—FinancialTimes.Com,
25 de Março de 2014
Novas Agências e Leis Regulatórias
no Mundo Todo
No passado, as mudanças regulatórias
pareciam ser menos impactantes. Elas
podiam afetar o que ou o quanto era
divulgado aos consumidores, os
formulários de divulgação podiam ser
revisados e por aí vai. Mudanças recentes,
nos últimos anos, parecem não impactar
apenas o que e o quanto é publicado em
formulários de divulgação, mas também
exigem mudanças operacionais
substanciais nos sistemas e processos.
Essas mudanças parecem ter um efeito
pirâmide em múltiplos sistemas e
unidades operacionais. As mudanças de
hoje são maiores e mais invasivas em
operações bancárias.
Novas agências regulatórias, com
poderes maiores e mais amplos, foram
criadas para supervisionar e monitorar
instituições financeiras. A Financial
Services Authority na Indonésia, a
Financial Conduct Authority e a
Prudential Regulation Authority no Reino
Unido, e o Consumer Financial Protection
Bureau nos Estados Unidos são apenas
alguns exemplos de novos órgãos de
governança que estão surgindo no
mundo todo.
Novas leis e regulações foram
aplicadas com volume e frequência
sempre maiores. Exemplos de regulações
novas e revisadas incluem o Basel III, um
conjunto abrangente de medidas de
reforma para fortalecer a regulação,
supervisão e gerenciamento de riscos
desenvolvido pelo Basel Committee do
Bank of International Settlements, e a
diretiva revisada Markets in Financial
Instruments (MiFID II) e a regulação
Markets in Financial Instruments
(MiFIR), ambas da União Europeia.
No passado, o estabelecimento de leis
e regulações novas ou revisadas incluía
coleta de consensos e períodos suficientes
de implementação para garantir que
aqueles afetados fossem capazes de
implementar as regulações novas e
revisadas. Essa abordagem foi deixada de
lado, com um processo que enfatiza a
rapidez sob o mantra da proteção dos
consumidores e investidores a qualquer
custo. Muitos descrevem essa nova
abordagem como “regulação por
execução”. Multas e penalidades recorde,
atingindo facilmente os bilhões de
dólares, têm sido cobradas de instituições
financeiras nos últimos anos.
Tradicionalmente, os auditores
internos da indústria de serviços
financeiros não estiveram muito
envolvidos na auditoria de conformidade
regulatória. Auditorias ou revisões de
conformidade regulatória eram
geralmente conduzidas por um grupo
separado de conformidade. Nos últimos
anos, especialmente por conta do
impacto operacional das mudanças
regulatórias e do maior risco de falta de
conformidade regulatória, os grupos de
auditoria interna se tornaram muito mais
envolvidos em questões de conformidade
regulatória, incluindo a auditoria de
conformidade ou o grupo de compliance,
acompanhando e monitorando a
conformidade com leis e regulações,
avaliando o impacto operacional das
mudanças de conformidade, garantindo
que existem sistemas em prática para
monitorar as reclamações dos
consumidores, avaliando a adequação do
treinamento regulatório para os
funcionários e servindo como ligação
entre sua instituição financeira e os
exércitos de reguladores que visitam ou
estão permanentemente alocados em suas
instituições financeiras.
●
❝Devido ao escrutínio
dos bancos, os
reguladores estão
aumentando sua
dependência da
auditoria interna e,
portanto, muitos
bancos estão
considerando criar
equipes de auditoria
específicas para se
concentrarem apenas
nos pedidos dos
reguladores. Isso
aliviará as limitações
de capacidade que
as equipes de
auditoria encaram.
❞
—Jenitha John, CAE,
FirstRand, South Africa
●
As expectativas dos reguladores para
os auditores internos cresceram
significativamente. Essas expectativas
podem variar com base no porte da
instituição e no regulador específico que
pode supervisionar a operação. Em
muitos casos, as expectativas regulatórias
vão além das Normas Internacionais para
a Prática Profissional de Auditoria Interna
(Normas) do IIA para instituições
financeiras, especialmente nas áreas de
independência, estrutura de reporte,
cobertura de auditoria, relatórios de
auditoria e gestão desafiadora. Em alguns
países, os reguladores também podem
esperar que a auditoria interna revise e
comente sobre a cultura de risco e
controle da organização. Essas
expectativas foram aumentadas ao ponto
de que alguns sugerem que, talvez, a
auditoria interna devesse ter um
relacionamento formal e direto de
reporte aos reguladores. Vários
relacionamentos indiretos de reporte já
estão em prática em alguns países.
Em uma expansão sem precedentes da
autoridade regulatória, até os
fornecedores que atendem instituições
financeiras foram atingidos pelo
escrutínio das agências regulatórias de
serviços financeiros. Embora os
reguladores, normalmente, não sejam
capazes de regular diretamente as
organizações de serviços não financeiros,
novas leis e regulações foram aplicadas e
executadas em instituições financeiras de
tal maneira que os fornecedores que
atendem instituições financeiras devem
estar em conformidade, ou arriscam ser
desqualificados como prestadores de
serviço. O risco reputacional pode
aumentar o escrutínio regulatório sobre a
instituição financeira, mesmo quando
um fornecedor tem uma questão isolada
com um serviço não fundamental.
A conformidade regulatória já foi uma
consideração principalmente voltada para
instituições financeiras. Hoje, leis e
regulações foram aplicadas e executadas
de modo que as fontes de receita estão
sendo afetadas. O inventário de riscos
relativo à conformidade regulatória já
está carregado de maiores custos,
menores receitas, grandes mudanças
operacionais e tecnológicas,
relacionamentos com fornecedores,
multas potenciais, penalidades e
restituições de cobranças aos
consumidores. No entanto, para
aumentar a intensidade, também se pode
acrescentar o risco estratégico e
reputacional à lista. As questões de
conformidade regulatória estão no cerne
de ações judiciais coletivas, ações de
investidores e brigas de procuração,
demandas de grupos de defesa ao
consumidor, memorandos públicos de
entendimento dos reguladores e a pressão
por parte dos conselhos de administração
para resolver as questões. O fardo
regulatório fez com que algumas
instituições financeiras buscassem
parceiros de fusão, já que o fardo estava
pesado demais para carregar como uma
entidade única.
2
Pautas Lotadas dos Comitês
de Auditoria e Riscos
O
tempo do comitê de auditoria e do
comitê de riscos se tornou uma
commodity preciosa, conforme as pautas
das reuniões continuam aumentando
para abordar responsabilidades adicionais
advindas de uma série de fontes. As
expectativas dos acionistas e investidores
continuam crescendo e as expectativas
dos reguladores não mostram sinais de
diminuição. Os conselhos de
administração recorreram aos comitês de
auditoria e riscos para ajudá-los a
cumprir com as responsabilidades
fiduciárias e oferecer algum nível de
limitação de responsabilidade contra
processos judiciais e ações regulatórias.
As reuniões dos comitês de auditoria e
de riscos continuam crescendo em
frequência e duração. De acordo com os
participantes da pesquisa, o setor
financeiro tem o maior número médio de
Documento 3
reuniões formais do comitê de auditoria,
em comparação com todos os outros
tipos de organizações, com uma média de
6,7 reuniões por ano (veja o Documento
3).
Além do setor financeiro ter um
maior número de reuniões, o tempo
alocado para cada item da pauta reduz
conforme o número de itens e
apresentadores cresce. As questões a
abordar cresceram em complexidade,
exigindo discussões mais longas. Mais
requisitos de qualificação para membros
dos comitês de auditoria e de riscos
resultaram em mais perguntas, o que
exige mais explicações e discussões nas
reuniões. Embora o maior envolvimento
e interação por parte do comitê de
auditoria sejam, normalmente, algo
positivo, exigem mais tempo e esforço
para acomodar as maiores interações.
Número Médio de Reuniões Formais do Comitê por Ano
Tipo de Instituição
Número Médio
de Reuniões
Setor financeiro (públicas e privadas)
6,7
Públicas (excluindo o setor financeiro)
6,4
Organizações Sem Fins Lucrativos
6,2
Setor público (incluindo agências governamentais e
operações do governo)
5,9
Outro Tipo de Organização
5,6
Privadas (excluindo o setor financeiro)
5,3
Observação: Q78: Aproximadamente, quantas reuniões formais do comitê de auditoria foram
realizadas no último ano fiscal? CAEs apenas. 1.894 participantes.
●
O elenco de personagens em qualquer
reunião cresceu, incluindo diretores
como chief executive officers (CEOs), chief
financial officers (CFOs), CAEs, chief risk
officers (CROs), chief compliance officers
(CCOs), chief technology officers (CTOs),
chief privacy officers (CPOs), conselheiros
jurídicos, gerentes das unidades de
negócios para apresentação de relatórios,
gerentes de revisão de empréstimos,
executivos de segurança, executivos de
BSA/AML, auditores externos e
conselheiros e consultores externos.
Acrescente sessões executivas periódicas
para os comitês, assim como reuniões
privadas com auditores internos e
externos, e não é à toa que as reuniões
ficam lotadas e, frequentemente, parecem
apressadas.
Para lidar com os desafios da pauta
lotada, muitas instituições financeiras
acrescentaram ou aumentaram as sessões
entre as reuniões, promovem
conferências telefônicas entre os
presidentes dos comitês e o CAE e
publicam ou enviam os materiais da
reunião, para que os membros do comitê
possam se preparar com antecedência e
ajudar a acelerar as discussões. Os pacotes
de materiais para reunião aumentaram
muito de tamanho, por conta de questões
complexas que exigem explicações
adicionais.
Os CAEs continuam tendo
dificuldades com os desafios de redigir
●
relatórios de auditoria voltados para
múltiplos públicos, considerando que
cada um exige diferentes níveis de detalhe.
Por exemplo:
• Membros do conselho precisam
de relatórios focados nos riscos
estratégicos de alto nível.
• A gerência executiva precisa de
dados mais específicos para
identificar ações corretivas.
• A gerência operacional precisa, muitas
vezes, de detalhes extensos, para que
possa revisar os sistemas e processos
para implementar apropriadamente
mudanças complexas.
Com as maiores expectativas, é muito
difícil para os comitês de auditoria e de
riscos garantir sua eficácia no ambiente
atual. Deve-se alocar tempo adicional
para cobrir as pautas maiores e as
discussões mais longas. É imperativo que
os CAEs garantam que as reuniões do
comitê de auditoria tenham foco nos
tópicos mais importantes e que os planos
de auditoria com base em riscos sejam
desenvolvidos para abordar as questões
preocupantes para a gerência e o comitê
de auditoria. Relatórios de auditoria
sucintos e impactantes podem contribuir
para o uso eficiente do tempo dos
membros da administração e do comitê
de auditoria e facilitam discussões mais
eficazes nas reuniões.
3
Desafios Devidos à Elevação
da Auditoria Interna
C
AEs desejaram, por muito tempo, ser
elevados em sua posição e reconhecimento, para facilitar a independência,
agregar valor e importância às recomendações de auditoria, interagir com a gerência
executiva e membros do conselho com
maior frequência, e obter mais conhecimentos de primeira mão e contribuições
para iniciativas estratégicas. Parece que o
ditado do “cuidado com o que você deseja”
se tornou realidade para muitos, trazendo
consigo oportunidades e desafios. CAEs
estão se encontrando no meio de quase
qualquer problema imaginável.
As expectativas da gerência, diretores,
reguladores e auditores externos
aumentaram o nível de exigência para o
desempenho da auditoria interna. Essas
partes interessadas da auditoria interna
estão, frequentemente, em lados opostos
com relação às suas expectativas de
auditoria interna, colocando a profissão
Documento 4
na posição difícil de servir múltiplos
mestres inconsistentes. Os auditores
internos em instituições financeiras muitas
vezes precisam ir além do que as Normas
exigem em termos de governança,
envolvimento estratégico, reporte e
decisões de gestão desafiadora para atender
as expectativas. Adicionalmente, os
auditores de serviços financeiros reportam
diretamente ao comitê de auditoria com
muito mais frequência do que os auditores
internos em outras indústrias. De acordo
com os participantes da pesquisa, 69%
dos auditores internos de serviços
financeiros reportam diretamente ao
comitê de auditoria, em comparação com
apenas 54% em todas as outras indústrias
(veja o Documento 4). As maiores
expectativas aumentaram a carga de
trabalho da auditoria interna e o
cronograma de auditoria, “esticando” os
recursos ainda mais.
Reporte Funcional dos CAEs aos Comitês de Auditoria
69%
Setor financeiro (públicas e privadas)
62%
Organizações Sem Fins Lucrativos
56%
Públicas (excluindo o setor financeiro)
53%
Outro Tipo de Organização
Setor público (incluindo agências
governamentais e operações do governo)
44%
43%
Privadas (excluindo o setor financeiro)
54%
Média
0%
20%
40%
60%
80%
100%
Observação: Q74: Qual é a linha de reporte funcional principal para o diretor executivo de auditoria (chief audit executive - CAE)
ou equivalente em sua organização? CAEs apenas. 2.634 participantes.
●
Assistência Prestada a Auditores
Externos
Tradicionalmente, auditores internos
frequentemente dedicam recursos
substanciais a suplementar ou auxiliar os
auditores externos. Isso ainda ocorre,
mas agora os grupos de auditoria interna
devem, também, suplementar e auxiliar
os examinadores regulatórios quase tanto
quanto - ou mais do que - os auditores
externos. Em alguns casos, novos
reguladores contábeis colocaram
restrições adicionais sobre a dependência
do trabalho dos auditores internos,
resultando em trabalho e taxas adicionais
por parte dos auditores externos. Isso,
por sua vez, pode fazer com que a
administração e membros do conselho
questionem os recursos alocados para a
auditoria interna, já que têm que pagar
taxas adicionais aos auditores externos e
até mesmo a agências reguladoras. De
acordo com os participantes da pesquisa,
em comparação com todas as outras
indústrias, a classificação da indústria
financeira e de seguros é a mais provável
de prestar apoio aos auditores externos,
com apenas 16% relatando que não dão
apoio aos auditores externos.
Adicionalmente, o setor de serviços
financeiros gasta mais tempo no apoio
aos auditores externos - 34% gastaram
Documento 5
mais de 4 semanas de trabalho, enquanto
17% deles gastaram mais de 8 semanas de
trabalho em atividades de apoio (veja o
Documento 5).
Os requisitos para garantir que as
recomendações de auditoria sejam
aplicadas colocaram maior ênfase na
formalidade dos programas de
acompanhamento de auditoria interna. O
acompanhamento deve ir além de
simplesmente pedir à gerência para
confirmar a implementação das
recomendações. A realização de testes
para validar a implementação oportuna
está se tornando mais importante e
aumentando a carga de trabalho de
auditoria, sobrecarregando recursos já
limitados. Os participantes da pesquisa
indicam que outras indústrias têm maior
probabilidade de encarregar o
proprietário do processo como
responsável primário pela ação de
acompanhamento (25% em média, em
comparação com 19% em serviços
financeiros), enquanto os auditores
internos de serviços financeiros têm
maior probabilidade de compartilhar essa
responsabilidade com os proprietários do
processo (54%, em comparação com a
média geral de 50%). (Fonte: Q52, 3.216
participantes.) Novamente, os recursos de
auditoria interna no setor de serviços
financeiros estão “esticados” ao máximo,
devido a essa responsabilidade adicional.
Número de Semanas por Ano em que a Auditoria Interna
Apoia a Auditoria Externa
Mais do que 8 semanas
17%
Mais do que 4 semanas,
até 8 semanas
17%
26%
1 a 4 semanas
23%
Até 1 semana
Nenhuma
0%
16%
10%
20%
30%
40%
50%
Observação: Q51: Aproximadamente, quantas semanas de trabalho o departamento de
auditoria interna de sua organização dedicou, no ano passado, a atividades de apoio à
auditoria externa? CAEs apenas. Filtrada pelo setor financeiro. 560 participantes.
●
Reguladores Pedem que os
Auditores Internos Desafiem
a Administração
A elevação da importância da auditoria
interna por parte dos reguladores
aumentou o escopo dos exames para
além de simplesmente olhar alguns
relatórios e papéis de trabalho, para
avaliações mais abrangentes de todos os
aspectos da auditoria interna. Em
alguns casos, os reguladores quase
parecem estar tentando fazer dos grupos
de auditoria interna uma extensão dos
próprios reguladores. É pedido que os
auditores internos driblem os processos
normais ou tradicionais de resolução na
gestão desafiadora, reportando ao
conselho e até reportando questões
diretamente aos reguladores. Muitos
auditores internos preocupam-se que os
resultados de seu trabalho possam ser
usados pelos reguladores para citar
deficiências adicionais nos relatórios de
exame regulatório. James Alexander,
chief risk officer da Unitus Community
Credit Union, em Portland, Oregon,
acredita que “um bom sistema de
acompanhamento para os comentários
do relatório de auditoria pode reduzir o
potencial de reguladores citarem os
comentários de relatórios de auditoria
interna como descobertas do exame.”
Processos tradicionais de resolução de
discordâncias, tipicamente, resolviam
muitos problemas antes que esses itens
fossem reportados ao conselho ou
reguladores. As expectativas maiores
dos reguladores pedem que os auditores
internos “desafiem” a administração se
houver diferenças de opinião e que
busquem evidências de que essas
situações foram escaladas para o comitê
de auditoria ou conselho.
A elevação da auditoria interna
certamente tem seus benefícios, mas
também tem seus desafios. Com
maiores expectativas, mais reporte e
mais responsabilidade vêm mais
requisitos para que os auditores
internos estabeleçam as salvaguardas
apropriadas para independência,
objetividade, diligência devida e
comunicação com todas as partes.
●
4
Maiores Riscos Tecnológicos
A
s capacidades tecnológicas estão
crescendo mais rápido do que as
organizações conseguem acompanhar,
interpretar, avaliar e controlar o acesso a
dados sensíveis. Usando a tecnologia,
criminosos são capazes de responder e
explorar vulnerabilidades mais
rapidamente do que as organizações
podem proteger e restringir o acesso. Os
ladrões de banco da atualidade vêm
armados com tecnologia, em vez de
Documento 6
armas. Trabalham nos bastidores e
podem estar em qualquer lugar do
mundo. Suas tentativas de acessar
inapropriadamente os dados sensíveis
de instituições financeiras podem ser
feitas eletrônica e ininterruptamente, 24
horas por dia. Como resultado, os
auditores internos do setor financeiro
têm níveis muito maiores de atividade
para riscos de TI do que outros tipos de
indústrias (veja o Documento 6).
Atividade de Auditoria Interna para Riscos Gerais de TI
50%
47%
44%
43%
40%
44%
41%
35%
30%
27%
24%
21%
20%
20%
13%
10%
23%
12%
25%
22%
11%
10%
8%
23%
5%
Setor financeiro
(públicas e privadas)
Setor público (incluindo
agências governamentais e
operações do governo)
Nenhuma
Públicas (excluindo
o setor financeiro)
Mínima
Privadas (excluindo
o setor financeiro)
Moderada
Organizações Sem
Fins Lucrativos
Extensiva
Observação: Q92: Para a segurança da tecnologia da informação (TI), em especial, qual a extensão da atividade em seu
departamento de auditoria interna com relação às áreas a seguir? Tópico: Riscos gerais de tecnologia da informação (TI).
9.747 participantes.
●
❝A competência da
O Amplo Impacto dos Riscos de
Cibersegurança
auditoria interna
na análise de dados
e condução do
monitoramento
contínuo está
aumentando e
isso é uma área a
considerar no
planejamento de
capacidades.
❞
—Jenitha John, CAE,
FirstRand, South Africa
Documento 7
Cibersegurança, ameaças avançadas
persistentes e privacidade tornaram-se
alguns dos tópicos mais populares nos
radares dos auditores internos.
Conforme exibido no Documento 1 e
Documento 2, os riscos de tecnologia da
informação (TI) ficam em quarto lugar
nos principais riscos identificados pelos
CAEs e na porcentagem de tempo
dedicado a auditar esses riscos. E não são
apenas os auditores internos que estão
focando nesses tópicos. Podemos
acrescentar a alta administração,
conselhos de administração, reguladores
e investidores à lista das partes
preocupadas com esses riscos. Por conta
das violações de dados amplamente
divulgadas, todos estão bem cientes do
risco reputacional e impacto negativo
que essas violações podem causar.
Esforços de recuperação podem ser
custosos, extremamente demorados e
podem resultar em grandes
reformulações organizacionais. Muitos
dizem que não é uma questão de “se
você for violado”, mas sim de “quando
você for violado”, e que planos para
reparação devem ser bem desenvolvidos
e testados antes que uma violação
ocorra. Os auditores internos do setor
financeiro veem o risco de uma violação
de dados como mais extensiva do que
em outros setores: 43% descrevem o
risco como extensivo, em comparação
com uma média de 34% (veja o
Documento 7).
Atividades de Preparação e
Recuperação
A continuidade do negócio, retomada e
recuperação tornaram-se igualmente ou
mais importantes do que as tentativas de
restringir ou prevenir violações de dados.
Controles mais amplos e holísticos de
dados e privacidade, e programas que
cobrem o espectro inteiro - da
preparação, detecção e análise,
contenção, erradicação e recuperação,
até atividades pós-incidente - são
necessários. O envolvimento ativo dos
auditores internos no teste de planos de
prontidão pode trazer grandes resultados
quando o evento inevitável acontecer. O
teste de prontidão evoluiu, partindo de
recursos internos e alguns fornecedores,
incluindo hoje organizações tais como o
Financial Services Information Sharing
and Analysis Center (FS-ISAC), um
recurso da indústria global de serviços
financeiros para análise e
compartilhamento de informações sobre
ameaças cibernéticas e físicas.
Risco de Violação de Dados Descrita como “Extensiva”
Setor financeiro
(públicas e privadas)
43%
41%
Organizações Sem Fins Lucrativos
Setor público (incluindo agências
governamentais e operações do governo)
32%
31%
Privadas (excluindo o setor financeiro)
26%
Públicas (excluindo o setor financeiro)
34%
Média
0%
10%
20%
30%
40%
50%
54%
Observação: Q93: Em sua opinião, qual o nível de risco inerente em sua organização para as áreas emergentes de tecnologia da
informação (TI) a seguir? Tópico: Violações de dados que podem prejudicar a marca da organização. 9.426 participantes.
●
Acrescentando os Riscos de
Big Data aos Planos de Auditoria
O Big Data está criando desafios para as
organizações, na forma como armazenam,
gerenciam, protegem e usam esse recurso
vasto e sempre crescente. Em 2013, foi
relatado que 90% de todos os dados do
mundo foram gerados nos dois anos
anteriores (ScienceDaily.com, 22 de Maio
de 2013). A coleta de dados de riscos e
governança de informação são tópicos
para os auditores internos considerarem
no desenvolvimento de seus planos de
auditoria com base em riscos.
Conectividade e Dispositivos
Móveis
Novas tecnologias estão criando desafios
únicos para as organizações e grupos de
auditoria interna. O controle de acesso
não está mais limitado a bloquear sua
estação de trabalho. A internet, mídias
sociais, dispositivos móveis, acesso remoto
e outros dispositivos ou métodos abriram
muitos pontos de entrada a controlar.
Usuários de toda a organização são,
frequentemente, capazes de executar
softwares não aprovados sem passar pelos
●
canais normais de controle. Coordenar as
novas tecnologias em conjunto com os
sistemas legado usados por muitas
instituições financeiras pode apresentar
desafios adicionais no monitoramento e
controle das informações da instituição
financeira.
Esses desafios tecnológicos trazem uma
série de questões para os departamentos
de auditoria interna do setor financeiro.
Ter conhecimento especializado na equipe
para lidar com os riscos tecnológicos
sempre em mudança é custoso e difícil de
conseguir, devido ao número limitado de
especialistas nessa área. No mundo todo,
apenas 10% dos participantes da pesquisa
disseram que têm uma certificação de
auditoria de sistemas da informação e
apenas 3% têm certificação de segurança
de TI (Q13, 12.540 participantes).
Depender de consultores para conduzir
auditorias tecnológicas pode, também, ser
custoso e exige supervisão e gestão
adicionais. Devido à velocidade com a
qual a tecnologia muda, o perfil de risco
tecnológico da instituição está em
constante mudança e adaptação, exigindo
que os departamentos de auditoria
interna auditem um alvo em movimento.
5
Três Linhas de Defesa
O
Modelo das Três Linhas de Defesa
(veja Documento 8) ganhou
popularidade e ampla utilização entre
auditores internos do mundo todo. De
acordo com os participantes da pesquisa,
78% dos profissionais do setor financeiro
do mundo todo dizem seguir o Modelo
das Três Linhas de Defesa, com a
auditoria interna como a terceira linha de
defesa (veja Documento 9 na página a
seguir). Esta porcentagem é muito maior
do que em outros tipos de organização.
Embora o modelo esteja se tornando
mais popular, entendido e aceito, é
questionado o quanto ele deve ser
flexível. Todas as três linhas de defesa
devem existir, de alguma forma, em todas
as instituições financeiras, não
importando seu porte ou complexidade.
O gerenciamento de riscos,
normalmente, é mais forte quando há
três linhas de defesa separadas e
Documento 8
claramente identificadas. Em prática,
especialmente em algumas instituições de
pequeno e médio porte, uma abordagem
misturada tem sido implementada. Por
exemplo, algumas instituições
consolidaram ou combinaram algumas
segundas linhas de defesa com a auditoria
interna.
Pode-se pedir ou encarregar os
auditores internos da responsabilidade de
prestar auditorias de conformidade,
quando um departamento separado de
compliance não existir; executar revisões
de empréstimos, sem um departamento
separado de revisão de empréstimos;
coordenar as atividades de gerenciamento
de riscos corporativos (enterprise risk
management - ERM) ou lidar com a
segurança física e/ou de TI. Alguns CAEs
estão buscando respostas sobre como
implementar o Modelo das Três Linhas
de Defesa apropriada e eficazmente.
O Modelo das Três Linhas de Defesa
The Three Lines of Defense Model
Órgão de Governança / Conselho / Comitê de Auditoria
Alta Administração
3ª Linha de Defesa
Controle Financeiro
Segurança
Controles da
Gerência
Medidas
de Controle
Interno
Gerenciamento de Riscos
Qualidade
Auditoria
Interna
Regulador
2ª Linha de Defesa
Auditoria Externa
1ª Linha de Defesa
Inspeção
Conformidade
Observação: Adaptado da Orientação ECIIA/FERMA sobre a 8th EU Company Law Directive,
artigo 41, conforme mostrado na Declaração de Posicionamento do IIA, As Três Linhas de
Defesa no Gerenciamento de Riscos e Controle Eficazes, Janeiro de 2013.
●
Salvaguardas para uma Abordagem
Misturada para as Três Linhas de Defesa
É importante para a auditoria interna
ser capaz de cumprir com seus deveres
com objetividade e não ser influenciada
indevidamente por gerentes das
operações diárias. Algumas organizações
podem ter grupos de avaliação interna,
incluindo auditoria interna e algumas
partes da segunda linha de defesa, que
reportam administrativamente a um
único executivo. Um relacionamento de
reporte administrativo misturado deve
ser desenvolvido, de modo a não
interferir com o reporte funcional do
Documento 9
CAE diretamente ao comitê de auditoria
da instituição.
É importante garantir que a auditoria
interna reporte funcionalmente
diretamente ao comitê de auditoria,
quando elementos diferentes das três
linhas de defesa reportam
administrativamente ao mesmo
executivo. Salvaguardas adicionais
também podem ser estabelecidas para
ajudar a manter a independência e
objetividade da auditoria interna;
avaliações de qualidade da auditoria
interna; revisões externas de
conformidade, revisão de empréstimos,
segurança e ERM; conceder acesso aos
Uso do Modelo das Três Linhas de Defesa
100%
80%
78%
60%
55%
43%
38%
40%
41%
40%
38%
35%
24%
20%
18%
15%
10%
8%
7%
3%
15%
13%
5%
7%
8%
0%
Setor financeiro
(públicas e
privadas)
Públicas
(excluindo o
setor financeiro)
Setor público (incluindo
agências governamentais
e operações do governo)
Organizações Sem
Fins Lucrativos
Privadas
(excluindo o
setor financeiro)
Sim e a auditoria interna é considerada a terceira linha de defesa.
Sim, mas a auditoria interna é considerada a segunda linha de defesa em nossa organização.
Sim, mas a distinção entre a segunda e terceira linhas de defesa não é clara.
Não ou não se aplica
Observação: Q63: Sua organização segue o modelo das três linhas de defesa articulado pelo IIA? Aqueles que responderam “Não
estou familiarizado com este modelo” foram excluídos dos cálculos. Devido ao arredondamento, alguns totais podem não somar
100%. 9.093 participantes.
●
comitês do conselho para gerentes
encarregados de compliance, revisão de
empréstimos e segurança, etc.
Garantir que esses grupos não
tenham responsabilidades operacionais
ou de tomada de decisões gerenciais com
divulgação apropriada e transparência no
estatuto de auditoria interna, relatórios e
outras comunicações pode promover a
independência e objetividade em um
relacionamento combinado de reporte
administrativo de acordo com o Modelo
das Três Linhas de Defesa. Na indústria
altamente regulada dos serviços
financeiros, exames regulatórios que
revisem esses acordos combinados de
reporte, e as salvaguardas em prática para
promover a independência e objetividade
podem ser usados para ajudar a validar a
adequação da estrutura.
Ter um executivo a quem todos os
grupos de avaliação interna reportem
diretamente também pode servir como
uma salvaguarda, que pode fortalecer a
independência e objetividade de todos
esses grupos. Essa abordagem pode
promover uma melhor comunicação e
coordenação entre múltiplos grupos de
avaliação, de modo que a informação
possa ser alavancada e que o trabalho
duplicado minimizado, resultando em
programas mais eficientes e eficazes.
A Declaração de Posicionamento do
IIA, As Três Linhas de Defesa no
Gerenciamento de Riscos e Controle
Eficazes, reconhece que, “Já que cada
organização é única e situações
específicas variam, não há uma forma
‘certa’ de coordenar as Três Linhas de
Defesa.” A declaração também registra
que “em situações excepcionais que
podem surgir, especialmente em
pequenas empresas, certas linhas de
defesa podem ser combinadas. Por
exemplo, há casos em que foi solicitado
que a auditoria interna estabelecesse ou
gerenciasse as atividades de
gerenciamento de riscos ou
conformidade. Nessas situações, a
auditoria interna deve comunicar
claramente ao órgão de governança e à
alta administração o impacto da
combinação. Se responsabilidades duplas
forem delegadas a uma única pessoa ou
departamento, seria apropriado
considerar separar a responsabilidade por
essas funções em um momento posterior
para estabelecer as três linhas.”
CAEs devem garantir que a
informação seja compartilhada e as
atividades coordenadas para o
gerenciamento eficaz dos riscos e
controles de cada organização. O
desenvolvimento de políticas e
procedimentos formais pode auxiliar
nesse sentido.
●
6
Recursos de Auditoria Interna
❝Tendo em vista a
necessidade, por
parte das funções
de auditoria de
serviços financeiros,
de evoluir seu foco
de riscos financeiros
para riscos mais
operacionais, os
históricos de quem
estamos recrutando
A
s expectativas da administração, dos
membros do conselho e dos
reguladores para em relação aos
auditores internos cresceram além do
conhecimento típico de contabilidade e
finanças que era a característica
tradicional de todos os auditores
internos. Agora, eles também devem ter
conhecimento de tecnologia, operações
comerciais, serviços financeiros,
comunicação, conformidade regulatória,
cibersegurança, privacidade, gestão de
fornecedores, continuidade do negócio,
questões jurídicas, análise quantitativa e
por aí vai. Na maioria das organizações,
não é possível simplesmente continuar
contratando mais pessoas para obter
essas habilidades. De acordo com os
participantes CAEs da pesquisa, a
indústria de serviços financeiros tem
habilidades prioritárias diferentes de
outras indústrias, com maior ênfase no
conhecimento específico da indústria,
finanças, gerenciamento de riscos e TI
(veja o Documento 10). Curiosamente,
há menor ênfase nas habilidades de
Documento 10 Principais Habilidades que CAEs do Setor Financeiro
Buscam para a Equipe
também estão
Habilidade
evoluindo. Agora,
Setor
Financeiro
Setores Não
Financeiros
Lacuna
buscamos candidatos
Pensamento Analítico/Crítico
66%
64%
2%
com graduações como
Habilidades de Comunicação
52%
51%
1%
finanças, estratégia
Avaliação de Gerenciamento de Riscos
48%
41%
7%
organizacional,
Conhecimento Específico da Indústria
45%
33%
12%
estatística e gestão
Tecnologia da Informação (Geral)
43%
37%
6%
de cadeia de
Contabilidade
36%
45%
-9%
Mineração e Análise de Dados
32%
31%
1%
Finanças
30%
21%
9%
Tino Comercial
26%
27%
-1%
Auditoria de Fraude
21%
23%
-2%
Cibersegurança e Privacidade
16%
13%
3%
Investigações Forenses e Demais
13%
15%
-2%
Conhecimento Jurídico
10%
12%
-2%
Controles de Qualidade (Six Sigma; ISO)
4%
8%
-4%
Outras
3%
4%
-1%
fornecimento.
❞
—Mark Howard, VicePresidente Sênior e CAE,
USAA, San Antonio, Texas
Observação: Q30: Quais habilidades você está recrutando ou desenvolvendo mais em seu
departamento de auditoria interna? (Escolha até cinco.) CAEs apenas. 3.288 participantes.
●
contabilidade. Os conjuntos de
habilidades individuais do auditor
devem ser desenvolvidos de modo que
auditores multitalentosos possam ser
utilizados para auditar disciplinas
diversas.
Desenvolver auditores internos com
essas novas habilidades tem seus desafios.
Por exemplo, foi relatado na General
Audit Management Conference de 2015
do IIA que o número de auditores e
contadores desempregados na América
do Norte está em seu mínimo e menos
alunos estão escolhendo a formação em
contabilidade. CAEs estão expandindo
buscas de recrutamento e considerando
históricos educacionais diferentes da
contabilidade tradicional.
Diferenças geracionais estão
reformulando os ambientes de trabalho e
criando desafios para as abordagens
tradicionais de compensação e
administração. Considerações relativas
ao equilíbrio entre o trabalho e a vida
pessoal têm prioridade para benefícios
para gerações mais novas. Horários
flexíveis de trabalho e licenças mais
generosas estão se tornando mais
comuns. Felizmente, a tecnologia
permitiu mais oportunidades de trabalho
remoto para equipes de auditoria.
As habilidades tecnológicas agora são
obrigatórias para qualquer auditor que
entre para o mercado de trabalho. A
tecnologia também é uma área onde as
organizações precisam, muitas vezes,
obter recursos externos ou terceirizados
para complementar os recursos da
equipe. Novos sistemas ou ferramentas
de software também podem ser
necessárias para complementar os
recursos de auditoria interna. Maiores
orçamentos e mais treinamentos podem
ser necessários para implementar, com
eficácia, as auditorias expandidas de
tecnologia.
CAEs rotativos que atuam como
diretores de auditoria interna por tempo
limitado, embora expandam as
abordagens e métodos de auditoria,
também estão criando desafios tais como
a continuidade nas abordagens de
auditoria, questões de independência e
até mesmo a dúvida de se CAEs rotativos
entendem ou se importam com as
Normas do IIA, avaliações de qualidade,
etc. Pode faltar comprometimento para
treinamentos e certificações de auditoria
interna. Mudanças organizacionais
podem afetar o timing e as oportunidades
de saídas favoráveis ou a volta a unidades
operacionais para CAEs rotativos. No
entanto, alguns benefícios podem advir
do trabalho de CAEs rotativos, como a
liderança comprovada com um assento
existente à mesa, mais insights de
negócio, e relacionamentos comerciais
existentes que podem ser alavancados
para agregar valor e aumentar a confiança
na função de auditoria.
●
Conclusão
S
empre haverá desafios para auditores internos na indústria de serviços financeiros.
Embora os desafios possam ser agrupados em categorias comuns com temáticas
parecidas ao longo dos anos, sempre haverá variações únicas para testar a criatividade e
a engenhosidade daqueles encarregados de lidar com os desafios. O ambiente
continuará mudando e apresentando novas oportunidades de desenvolver estratégias
inovadoras para abordar esses desafios.
Os auditores internos que se posicionam e abordam com eficácia os desafios que
encaram podem demonstrar suas contribuições positivas para as organizações que
servem. Eles serão reconhecidos como líderes eficazes e, por sua vez, continuarão
elevando sua posição e reputação no ambiente de trabalho. Em conjunto com esse
reconhecimento, provavelmente obterão desafios adicionais, conforme seu papel na
organização continua crescendo em importância. Os auditores internos de maior
sucesso aprenderão com suas lições do passado e continuarão lutando por melhorias,
por meio de técnicas e práticas inovadoras, profissionalismo, evolução contínua e
dedicação à profissão da auditoria interna.
●
Sobre os Autores
J
ennifer F. Burke, CPA, CRP, CFF, CFS, é sócia do escritório de Riscos de
Serviços Financeiros da Crowe Horwath e tem mais de 25 anos de experiência
atendendo clientes de serviços financeiros, incluindo 19 anos na Crowe. Ela lidera
projetos em instituições financeiras estratégicas multibilionárias, prestando serviços de
auditoria interna, conformidade, revisão de empréstimos e enterprise risk management
(ERM). Ela atua no Financial Services Advisory Board do The IIA e no ERM Initiative
Advisory Board do estado da Carolina do Norte. É uma palestrante reconhecida
nacionalmente e internacionalmente, abordando assuntos da indústria bancária,
auditoria interna e ERM. Antes de entrar para a Crowe, atuou como vice-presidente
sênior e CAE em uma empresa de holding e truste, multibilionária, de 10 bancos.
S
teven E. Jameson, CIA, CFSA, CRMA, CPA, CFE, é vice-presidente executivo,
diretor de auditoria interna e executivo de riscos no Community Trust Bank, onde
é responsável pelas funções de auditoria interna, ERM, revisão de empréstimos,
conformidade e segurança. Tem mais de 28 anos de experiência como auditor interno
profissional na indústria de serviços financeiros, três anos em contabilidade pública e
mais de quatro anos com o IIA como assistente do Vice-Presidente do Professional
Practices Group. Atuou em comitês de direcionamento do Committee of Sponsoring
Organizations of the Treadway Commission (COSO), para o desenvolvimento da
Controle Interno - Estrutura Integrada (2012) e Gerenciamento de Riscos Corporativos Estrutura Integrada (2004).
●
Sua
Doação
Em Ação
Os relatórios CBOK
estão disponíveis
gratuitamente para
o público graças às
contribuições
generosas de
indivíduos,
organizações, filiais
do IIA e institutos
IIA do mundo todo.
Doe Para
o CBOK
www.theiia.org/
goto/CBOK
Contate-nos
The Institute of
Internal Auditors
Global Headquarters
247 Maitland Avenue
Altamonte Springs,
Florida 32701-4201,
Estados Unidos
Sobre a The IIA Research
Foundation
O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas
inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que
exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido
uma força propulsora por trás da evolução e do avanço da profissão.
Equipe de Desenvolvimento do CBOK
Co-Presidentes do CBOK:
Dick Anderson (Estados Unidos)
Jean Coroller (França)
Presidente do Subcomitê da Pesquisa do Praticante:
Michael Parkinson (Austrália)
Vice Presidente da IIARF: Bonnie Ulmer
Analista de Dados Primários: Dr. Po-ju Chen
Desenvolvedora de Conteúdo: Deborah Poulalion
Gerente de Projeto: Selma Kuurstra e
Kayla Manning
Editora Sênior: Lee Ann Campbell
Comitê de Revisão dos Relatórios
James Alexander (Estados Unidos)
Despoina Chatzaga (Grécia)
Kıvılcım Günbattı (Turquia)
Cassian Jay (Estados Unidos)
Jenitha John (África do Sul)
Michael Parkinson (Austrália)
Deborah Poulalion (Estados Unidos)
Nicola Rimmer (Reino Unido)
Limitação de Responsabilidade
A IIARF publica este documento para propósitos informativos e educacionais apenas.
A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados
jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas
ou contábeis surgirem, assistência profissional deve ser buscada e obtida.
Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos
reservados. Para permissão para reprodução ou citação, favor contatar [email protected]. ID #2015-1476