Embed Size (px)
Citation preview
Ficando Um Passo À FrenteO Uso da Tecnologia por parte daAuditoria Interna
Closer Look
TECNOLOGIA
CBOKThe Global Internal Audit Common Body of Knowledge
Patrocínio
Michael P. Cangemi
Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a pro�ssão da auditoria interna, incluindoestudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que forneceuma perspectiva abrangente das atividades e características dos auditores internos domundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores,conduzidas pela �e IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582respostas). Com início em Julho de 2015, os relatórios serão lançados mensalmente e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizaçõespro�ssionais, �liais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados e categorizados em oito áreas de conhecimento, com foco nas questões emergentes da pro�ssão, em áreas que incluem o futuro da auditoria interna, governança, perspectiva global, gestão, riscos, normas, talento e tecnologia. Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para downloaddas perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.
Sobre o CBOK
O
8%
6%
14%
19%
5%
25%
23%
Américado Norte
AméricaLatina & Caribe
ÁfricaSubsaariana
Oriente Médio& Áfricado Norte
Europa& ÁsiaCentral
Sul daÁsia
Leste Asiático& Pacífico
Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais
FATOS DA PESQUISA
Participantes 14,518
Países 166
Idiomas 23
NÍVEIS DOS FUNCIONÁRIOS*
Chief audit
executive (CAE)
26%
Diretor
13%
Gerente
17% 44%
*Os níveis foram obtidosde 12.716 participantes.
Equipe
Observação: As regiões globais são baseadas nas categorias do Banco Mundial. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante.
●
Conteúdos
Sumário Executivo 4
Introdução 5
1 Capacitando Processos de Auditoria com Tecnologia 6
2 Ferramentas de Tecnologia Usadas pela Auditoria Interna 7
3 Tendências de 10 Anos 9
4 Closer Look: Mineração e Análise de Dados 10
5 Closer Look: Auditoria Contínua 11
6 Educação e Certificações de Tecnologia 12
7 Aumentando as Habilidades Tecnológicas no Departmento de Auditoria Interna 14
Conclusão 15
Áreas deConhecimento
do CBOK
Futuro
Perspectiva Global
Governança
Gestão
Risco
Normas & Certificações
Talento
Tecnologia
●
A
Sumário Executivo
tecnologia continua a evoluir e, em alguns casos, a surpreender e atrapalhar muitos modelos de negócios. Em todo setor de negócios, as tecnologias estão mudando a forma como os negócios operam - desde agregando produtividade, até criando interrupções que revolucionam o negócio existente e criam novos segmentos de negócio. Da mesma forma, o uso da tecnologia por auditores internos está sob pressão para mudar e se adaptar ao novo ambiente. A Pesquisa Global do Praticante de Auditoria Interna do CBOK 2015 esclarece quanto ao uso da tecnologia por parte da auditoria interna e quanto às habilidades tecnológicas que os auditores internos têm adquirido. Os dados da pesquisa mostram que o uso da tecnologia por parte da auditoria interna no processo de auditoria continua crescendo, mas há espaço para melhoria. Por exemplo, o uso de ferramentas de software para mineração de dados cresceu em 14% entre os participantes da pesquisa, entre 2006 e 2015. No entanto, menos de 4 entre 10 chief audit executives (CAEs - diretores executivos de auditoria) do mundo todo sentem que o uso da tecnologia em seus departamentos seja apropriado ou melhor. Há grandes diferenças entre as regiões. Na América do Norte, apenas cerca de 1 entre 10 diz que pode con�ar nos processos manuais, mas essa proporção é maior do que 3 entre 10 na África Subsaariana e no Leste Asiático/Pací�co. A educação e a certi�cação tecnológicas também desempenham um papel no uso da tecnologia por parte dos auditores internos. Globalmente, cerca de 6 entre 10 participantes entraram para a pro�ssão com formação em contabilidade, enquanto apenas 1 entre 10 teve formação em sistemas de informação ou ciência da computação. No entanto, o Sul Asiático e a América Latina estão liderando a pro�ssão, com 2 entre 10 incluindo a tecnologia em seus estudos acadêmicos. Este relatório ajudará os leitores a comparar seus departamentos de auditoria interna com os de outras organizações em suas regiões, e possibilitar a liderança criativa quanto a formas de melhorar as habilidades e atividades relativas à tecnologia.
●
Q
Introdução
❝
❞—Michael P. Cangemi eTommie W. Singleton,
de Managing the Audit Function.
uando computadores, redes e sistemas foram desenvolvidos e utilizados inicialmente pelas empresas, muitos auditores escolheram contornar o computador, utilizando técnicas de auditoria do passado. No entanto, conforme o uso corporativo da tecnologia da informação (TI) foi evoluindo e sistemas corporativos automatizados mais complexos foram adotados, os auditores internos começaram a lidar com a nova tecnologia. Auditores especializados em TI foram contratados ou capacitados e outros membros da equipe foram treinados para auditar os sistemas computadorizados. Além disso, eles começaram a auditar dados usando técnicas de auditoria com auxílio de sistemas (computer-assisted audit techniques - CAATs). A era do computador mainframe foi aumentada pela chegada do computador pessoal (PC). O PC revolucionou a indústria da computação, ainda muito nova, fazendo com que os terminais computadores dessem lugar a terminais smart, usando microcomputadores. Com o tempo, todos os funcionários tinham um PC e, aparentemente da noite pro dia, quase todos também tinham um computador em casa também. Isso levou a talvez um dos avanços mais signi�cantes para a auditoria interna e todas as unidades de negócios: a tecnologia de software para produtividade corporativa e doméstica. Novos programas de computador para processamento de palavras e planilhas para processamento de dados numéricos mudaram o paradigma da administração e documentação para auditoria interna, permitindo aumentos substanciais da produtividade e melhoria na documentação. Esses progressos continuam ocorrendo até hoje, com tablets e smartphones. Conforme a computadorização dos sistemas �nanceiro, operacionais e outros sistemas corporativos expandiu, a auditoria interna reagiu, expandindo o treinamento de TI para auditores e a construção de funções de auditoria de TI dentro dos departamentos de auditoria interna. Os auditores aprenderam a examinar os controles de data centers e a auditar aplicativos de software. Eles elaboraram testes de dados e empregaram novas ferramentas para examinar dados usando softwares gerais de auditoria, softwares de análise de dados com foco em auditoria e programas de gerenciamento de auditoria. Esses avanços tecnológicos continuam criando desa�os para as funções corporativas e de avaliação fornecerem segurança e controles de TI. No início do desenvolvimento da auditoria de TI, alguns líderes de auditoria acreditavam que todos os auditores se tornariam auditores de TI, porque o computador era muito dominante. Em vez disso, conforme as complexidades da TI continuaram aumentando e outras prioridades de auditoria foram se desenvolvendo, a auditoria de TI transformou-se em um departamento dentro da auditoria interna, ou uma área principal de terceirização. Com a expansão do uso inicial das CAATs, um dos maiores avanços no uso da TI na auditoria interna foi o maior uso da mineração de dados1, da auditoria contínua e das métricas para auditoria de dados. Conforme mostram os resultados da pesquisa, essa tendência continua aumentando a cobertura e e�ciência da auditoria interna.
Os efeitos das tecnologias emergentes têm sido paradoxais. Por um lado, as tecnologias emergentes criaram um sistema mais difícil de auditar com eficácia. Por outro lado, os auditores têm conseguido usar as tecnologias emergentes como ferramentas de auditoria, tornando-se, portanto, mais eficazes e eficientes.
1 A mineração de dados é “a prática de buscar, entre grandes quantidades de dados computadorizados, padrões ou tendências úteis” (Merriam-Webster’s English Dictionary, versão online).
●
M
1 Capacitando Processos de Auditoria com Tecnologia
Documento 1 Uso Geral da Tecnologia em Processos de Auditoria Interna
0% 20% 40% 60% 80% 100%
Dependência primária dos sistemas e processos manuais
Pouco uso de papéis de trabalho eletrônicos ou outras ferramentas corporativas de tecnologia da informação
Uso apropriado ou extensivo de tecnologia para processos de auditoria
Observação: Q44: Como você descreveria o uso da tecnologia para apoiar os processos de auditoria interna em sua organização? CAEs apenas. A categoria “uso apropriado ou extensivo de tecnologia para processos de auditoria interna” inclui aqueles que escolheram “uso extensivo de tecnologia em todo o processo de auditoria, incluindo mineração e análise de dados” ou“metodologia de auditoria apoiada por tecnologia apropriada”. Devido ao arredondamento, alguns totais podem não somar 100%.2.959 participantes.
50% 37% 13%
39% 43% 18%
35% 44% 21%
45% 33% 21%
36% 39% 25%
37% 31% 32%
27% 37% 36%
38% 39% 23%
PASSOS DE AÇÃO
1.
Identificar e listar os processos manuais de auditoria.
2.
Identificar oportunidades próximas de automatizar processos, para melhorar a eficiência e a eficácia.
3.
Implementar a tecnologia apropriada.
4. Avaliar a eficácia.
5. Identificar a próximaoportunidade.
Média Global
Sul da Ásia
Leste Asiático e Pacífico
América do Norte
Europa e Ásia Central
Oriente Médio eÁfrica do Norte
África Subsaariana
América Latina e Caribe
uitos CAEs sentem que seus departamentos poderiam fazer melhor uso da tecnologia, no geral. No mundo todo, apenas 4 entre 10 disseram usar a tecnologia em nível “apropriado” ou maior, indicando um claro espaço para melhoria (veja o Documento 1). Na realidade, 2 entre 10 CAEs disseram que seus departamentos dependem primariamente de técnicas manuais. Parte do motivo pode ser uma falta de expertise de TI na equipe. Outro fator contribuinte pode ser que a busca por novas formas de usar a tecnologia pode
exigir assumir mais riscos e usar de mais criatividade do que as atividades gerais de auditoria interna. O Documento 1 também mostra que há grandes diferenças regionais no uso da tecnologia. CAEs na América do Norte relatam o uso mais extensivo da tecnologia (50% em uso “apropriado” ou maior), seguidos pelos do Sul Asiático, com 45%. O grande uso tecnológico no Sul Asiático está provavelmente relacionado à maior porcentagem de participantes com maior formação em tecnologia (veja o Documento 8).
●
O
2 Ferramentas de Tecnologia Usadaspela Auditoria Interna
Documento 2 Uso Atual de Ferramentas e Técnicas de TI pela Auditoria Interna
Observação: Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes ferramentas e técnicas de tecnologia da informação (TI)? 9.953 a 10.425 participantes.
Avaliações internas de qualidadeusando ferramenta automatizada
Auditoria contínua/em tempo real
Ferramenta automatizada para planejamentoe agendamento da auditoria interna
Computer-assisted audit technique (CAAT)
Software ou ferramenta para avaliaçãode riscos da auditoria interna
Software de fluxograma oumapeamento de processo
Software ou ferramenta para mineração de dados
Ferramenta automatizada para análise de dados
Ferramenta automatizada para geriras informações coletadas pela auditoria interna
Ferramenta automatizada para monitorar e avaliaras ações corretivas e o acompanhamento da auditoria
Papéis de trabalho eletrônicos
4-Extensivo
3-Moderado
2-Mínimo
1-Nenhum
0% 20% 40% 60% 80% 100%
14% 14% 31% 41%
28% 20% 28% 24%
30% 21% 29% 19%
24% 23% 33% 19%
24% 23% 34% 19%
22% 26% 34% 18%
28% 22% 33% 17%
30% 22% 31% 17%
31% 23% 29% 17%
31% 25% 30% 14%
39% 24% 26% 11%
PASSOS DE AÇÃO
1.
Avalie seu uso geralde ferramentas detecnologia.
2.
Desenvolva uma visão para o uso dessas ferramentas ao longo dos próximos 2-3 anos.
3.
Desenvolva um plano estratégico para concretizar sua visão.
4. Comunique a visão e o plano ao grupo de auditoria interna.
5. Implemente o plano e avalie periodicamente o desempenho.
estudo CBOK também pediu aos participantes que avaliassem seu uso de ferramentas e técnicas tecnológicas especí�cas. As respostas mostram claramente que o uso extensivo da tecnologia é uma exceção, não a regra. Para cerca da metade dos participantes do mundo todo, o uso da maioria das ferramentas tecnológicas é “nenhum” ou “mínimo” (veja o Documento 2). A única exceção é no caso dos papéis de trabalho eletrônicos, que têm uma taxa muito maior de uso do que as outras categorias (7 entre 10 participantes).
Uma explicação pode ser que os participantes tenham interpretado a pergunta como referência às ferramentas gerais de software (como processamento de palavras e planilhas), em vez de softwares especializados em papéis de trabalho eletrônicos. Embora se possa questionar se o uso da tecnologia por parte da auditoria interna deve ser maior, vale lembrar que nem todo trabalho de auditoria interna pode ser feito de forma tecnológica e que há muitos desa�os em processos automatizados, assim como prioridades concorrentes.
●
Documento 3
Observação: O azul indica respostas que foram significativamente maiores que a média global e o vermelho indica as respostas que foram significativamente menores que a média global.
Am
éri
ca L
ati
na
e C
ari
be
Su
l d
a Á
sia
Eu
rop
a
Am
éri
ca d
o N
ort
e
Ori
en
te M
éd
io e
Áfr
ica d
o N
ort
e
Áfr
ica
Sub
saar
iana
Le
ste
Asi
áti
co
ePacífico
Mé
dia
Glo
bal
Papéis de trabalho eletrônicos 80% 76% 78% 77% 71% 64% 58% 72%
Ferramenta automatizada para monitorar e avaliaras ações corretivas e o acompanhamento da auditoria
62% 57% 60% 53% 51% 41% 41% 52%
Ferramenta automatizada para geriras informações coletadas pela auditoria interna
61% 56% 49% 49% 50% 42% 42% 49%
Ferramenta automatizada para análise de dados 62% 67% 49% 56% 55% 48% 47% 53%
Software ou ferramenta para mineração de dados 56% 63% 53% 58% 56% 48% 46% 53%
Software de fluxograma ou mapeamento de processo 68% 65% 51% 52% 51% 42% 46% 52%
Software ou ferramenta para avaliaçãode riscos da auditoria interna
57% 62% 52% 47% 54% 48% 44% 50%
Computer-assisted audit technique (CAAT) 59% 60% 38% 48% 51% 48% 48% 48%
Ferramenta automatizada para planejamentoe agendamento da auditoria interna
56% 54% 47% 42% 52% 44% 43% 46%
Auditoria contínua/em tempo real 54% 61% 38% 35% 45% 39% 50% 44%
Avaliações internas de qualidadeusando ferramenta automatizada
45% 52% 34% 29% 41% 34% 37% 36%
PASSO DE AÇÃO
Os resultados no Documento 3 podem ser usados para comparar o uso tecnológico de seu departamento de auditoria interna com o de outras organizações em sua região, assim como comparar com a média global.
Diferenças Regionais para Ferramentas Tecnológicas
Uso, por Parte da Auditoria Interna, de Ferramentas e Técnicas (Diferenças Regionais)
Há insights interessantes na categoria de uso global tecnológico. Os participantes do Sul Asiático e América Latina/Caribe relataram atividade maior que a média em todas as ferramentas tecnológicas. Um motivo para isso pode ser que essas duas regiões também têm a maior porcentagem de participantes com formação em ciência da computação ou TI como parte de seu
Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes ferramentas e técnicas de tecnologia da informação (TI)? O documento mostra os participantes que escolheram “3-Moderado” ou “4-Extensivo”. O texto azul indica números significativamente acima da média global. O texto vermelho indica númerossignificativamente abaixo da média global. 9.848 a 10.315 participantes.
histórico educacional (cerca de 20%, veja Documento 8). Do outro lado da balança, os participantes na África Subsaariana e no Leste Asiático/Pací�co relataram uso menor que a média de quase todas as tecnologias (veja Documento 3).
Observação:
●
1 “A Marketplace Without Boundaries: Responding to Disruption” (18ª Annual Global CEO Survey da PwC, 2015).
O
3 Tendências de 10 Anos
Papéis de Trabalho Eletrônicos
Software de fluxograma oumapeamento de processo
Software ou ferramentapara mineração de dados
Computer-assisted audittechnique (CAAT)
Auditoria contínua/em tempo real
0% 20% 40% 60% 80% 100%
20152006
Documento 4 Aumento no Uso, por Parte da Auditoria Interna,de Ferramentas Tecnológicas
37% 44%
52% 48%
39% 53%
43% 52%
65% 72%
❝ A profissão da
auditoria interna deve
estar satisfeita em ver
que o uso tecnológico
reportado pela
auditoria interna
parece estar
crescendo bem em
comparação com
pesquisas anteriores.
Apesar dos números
continuarem menores
do que muitos
gostariam, ao longo
dos anos mais
departamentos de
auditoria interna
adotaram o uso
produtivo das
métricas, incluindo
formas de auditoria
contínua e
monitoramento de
riscos, para melhorar
o valor e eficiência
de seu trabalho.❞—Norman Marks,
CAE aposentado eautor das obras
World-ClassInternal Audit e
World-ClassRisk Management
Q95: Qual a extensão de atividade em seu departamento de auditoria interna, com relação ao uso das seguintes ferramentas e técnicas de tecnologia da informação (TI)? Este documento compara aqueles que escolheram “3-Moderado” ou “4-Extensivo” em 2015 (9.953 a 10.425 participantes) com aqueles que escolheram “Uso Médio”, “Muito Usado” ou “Usado Extensivamente” em 2006 (Q50, 6.399 a 6.581 participantes).
Observação:
uso da tecnologia por parte dos auditores internos cresceu ao longo da última década e essa tendência precisa se manter e se acelerar. Uma comparação entre as respostas das pesquisas CBOK 2006 e CBOK 2015 mostra aumentos no uso das ferramentas tecnológicas para quase todos os propósitos, principalmente no uso da mineração de dados (aumento de 14%). Atualmente, 53% dos participantes dizem que estão envolvidos moderada ou extensivamente na mineração de dados (veja Documento 4). Ao mesmo tempo, 80% dos CEOs dizem que a mineração e análise de dados é de importância estratégica para suas
organizações, de acordo com a pesquisa CEO global 2015 conduzida pela PwC.1 Com base nas prioridades dos CEOs, os auditores internos devem acelerar seu uso de mineração de dados. Conforme mostrado no Documento 4, os auditores internos também aumentaram a atividade para a maioria das outras ferramentas tecnológicas, exceto para as computer-assisted audit techniques (CAATs), o que pode ser explicado por uma mudança no escopo e no uso do termo CAAT na última década.
●
C
4 Closer Look: Mineração e Análise de Dados
0% 10% 20% 30% 40% 50%
Média Global
América do Norte
Europa
América Latina e Caribe
Oriente Médio eÁfrica do Norte
África Subsaariana
Sul da Ásia
Leste Asiático e Pacífico
Documento 5 Porcentagem de Análise de Dados Conduzida Fora doDepartamento de Auditoria Interna
36%
36%
33%
33%
28%
18%
15%
26%
PASSOS DE AÇÃO
1.
Identifique e liste todos os testes de auditoria conduzidos manualmente.
2. Avalie cada teste, para determinar se ele pode ser conduzido usando mineração/análise de dados.
3.
Desenvolva um plano para transformar testes manuais específicos em rotinas automatizadas de mineração de dados, com base no benefício organizacional.
4. Implemente o plano para um teste manual específico.
5.
6. Identifique a próxima oportunidade de transformar um teste manual em uma rotina automatizada.
Avalie sua eficácia.
Q97: Qual porcentagem das atividades de análise de dados para a auditoria interna é conduzida fora de seu departamento de auditoria interna? 3.097 participantes).Observação:
om a expansão contínua dos dados - tanto estruturados (a partir de aplicativos de software) quanto não estruturados (a partir de textos e da explosão das mídias sociais) -, o termo “big data” se tornou comum. Embora a maioria dos departamentos de auditoria interna faça apenas o básico da mineração de dados, alguns estão começando a usar métricas avançadas para detectar padrões relevantes e prever tendências e comportamentos futuros. Com relação a seus objetivos de análise de dados, cerca de 5 entre 10 participantes dizem que usam a mineração e análise de dados para identi�cação de fraude, monitoramento de riscos e controle ou testes de
populações inteiras (em vez de amostras). Cerca de 4 entre 10 testam em busca de conformidade regulatória e cerca de 3 entre 10 procuram por oportunidades de melhoria do negócio (Q96, 11.116 participantes). Nem todos os projetos de mineração e análise de dados são realizados pela equipe de auditoria interna. Em média, cerca de um quarto da análise de dados é realizada externamente ao departamento de auditoria interna, embora isso varie por região. Uma proporção menor da atividade é feita fora dos departamentos de auditoria interna na Europa e América do Norte, e uma proporção maior no Leste Asiático/Pací�co e Sul da Ásia (veja Documento 5).
●
5 Closer Look: Auditoria Contínua
O
Usando a Auditoria Contínua nas Três Linhas de Defesa
PASSOS DE AÇÃO
1. Revise seu inventário de rotinas de CAAT que sejam conduzidas atualmente como parte de auditorias periódicas.
2. Considere quais dessas rotinas podem ser retiradas de uma auditoria periódica e conduzidas separadamente como rotinas de auditoria contínua.
3.
Identifique também rotinas de auditoria que possam ser compartilhadas ou transferidas para a gerência, para permitir que a gerência conduza o monitoramento contínuo de alguns de seus controles.
Para mais informações, veja o Global Technology Audit Guide (GTAG) 3 do IIA: Coordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, 2ª Edição, 2015.
1
uso da auditoria contínua (continuous auditing – CA) é uma das tendências mais importantes da tecnologia para auditoria interna. “O trabalho de auditoria contínua começou anos atrás como uma melhoria substancial, mas logo se tornaria uma necessidade para a avaliação de sistemas modernos”, diz Miklos Vasarhelyi, diretor do Laboratório de Continuous Auditing & Reporting do curso de Administração da universidade Rutgers (New Jersey). No entanto, a auditoria contínua é usada extensivamente apenas por 14% dos participantes da pesquisa, tornando-a uma das técnicas tecnológicas menos usadas na pesquisa (veja Documento 2 para detalhes). A auditoria contínua oferece aos auditores internos uma oportunidade excelente de agregar valor às organizações.
Em especial, os auditores internos devem buscar oportunidades de migrar suas rotinas automatizadas ou de auditoria contínua para a gerência, para que esta, como primeira linha de defesa, assuma maior responsabilidade pela condução de suas próprias atividades de monitoramento contínuo. Dessa forma, a auditoria interna ajuda a gerência a melhorar processos e também melhora o ambiente geral de controle de suas organizações. Essa atividade está bem alinhada com a forma como CAEs percebem o valor que a auditoria interna agrega às suas organizações. De acordo com 8 entre 10 CAEs no mundo todo, a avaliação dos controles internos é uma das principais formas de agregar valor, enquanto 5 entre 10 citam também a melhoria do negócio (Q89, 2.636 participantes).
É útil usar o modelo das Três Linhas de Defesa para entender a relação entre a auditoria contínua e o monitoramento contínuo em uma organização. No modelo das Três Linhas de Defesa, a gerência operacional é considerada a primeira linha de defesa; a conformidade e o gerenciamento de riscos fazem parte da segunda; e a auditoria interna é a terceira.1 A primeira e a segunda linhas de defesa usam o monitoramento contínuo como um processo apoiado tecnologica- mente pela análise de dados, para identi�car exceções a políticas, falhas de controle, fraude e panes nos processos de
negócio ou para melhorar a integridade das informações e a qualidade das transações. A terceira linha de defesa (auditoria interna) usa a auditoria contínua como processo apoiado tecnologicamente para ajudar a fornecer avaliações objetivas e independentes, sobre a e�cácia da governança, gerenciamento de riscos e controle interno. A diferença importante é que os sistemas de auditoria contínua devem ser implementados de modo independente dos sistemas de monitoramento contínuo.
Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento E�caz de Riscos e Controles, Janeiro de 2013, páginas 3-5.
●
C
6 Educação e Certificações de Tecnologia
Documento 7 Formações e Áreas Significantes de Estudo (Tendências)
2006 2015
Contabilidade 58% 57%
Auditoria (Interna) 13% 43%
Finanças 25% 31%
Administração Geral/de Negócios 28% 35%
Auditoria (Externa) 19% 23%
Economia 21% 22%
Ciência da Computação ou Tecnologia da Informação (TI) 12% 13%
Direito 7% 10%
Matemática/Estatística 6% 7%
Engenharia 4% 6%
Outras 8% 5%
Artes ou humanas 4% 4%
Outra ciência ou campo técnico 3% 2%
Documento 6
Maior Educação Entre
Auditores Internos
92%
Segundo Grau/Ensino Médio
1%
Diploma de Undergraduate ouAssociate (menos dequatro anos)
6%
Bacharelado ou mais92%
Nenhuma das anteriores1%
6%
1% 1%
ESTUDO DA AUDITORIA INTERNA CRESCEO estudo da auditoria interna aumentou de uma média global de 13% em 2006 para 43% em 2015 (veja Documento 7). As respostas por região em 2015 foram:
• América Latina eCaribe 70%
• Sul da Ásia 69%
• África Subsaariana 56%
• Leste Asiático/Pacífico 53%
• Oriente Médio eNorte da África
46%
• Europa 33%
• América do Norte 13%
Observação: Q5: Qual é seu maior nível de educação formal (não certificação) concluída? 12.716 participantes.
omo alguém se prepara para uma carreira em auditoria interna? De acordo com a pesquisa do praticante CBOK 2015, um diploma universitário é o mais comum, com mais de 90% dos participantes da pesquisa no mundo todo tendo concluído cursos de quatro anos ou mais (veja Documento 6). A educação superior de um auditor interno normalmente inclui estudos de contabilidade, auditoria (interna ou externa), �nanças ou administração (veja Documento 7). Apenas 1 entre 10 participantes da pesquisa estudou ciência da
computação ou tecnologia da informação. Surpreendentemente, há pouca mudança nessa porcentagem desde 2006 (12% em 2006, em comparação com 13% em 2015). Uma explicação possível para a falta de aumento na formação tecnológica é que a tecnologia esteja sendo incorporada em outras áreas de estudo. Por exemplo, programas de auditoria interna normalmente incluem um curso de sistemas da informação em seu currículo e programas de contabilidade frequentemente apresentam componentes de accounting information systems (AIS).
Observação: Q5: Qual(is) foi(ram) sua(s) formação(ões) acadêmica(s) ou área(s) mais significante(s) de estudo? (Escolha todas as aplicáveis.) O total não somará 100%, porque os participantes puderam escolher mais de uma opção. 7.819 participantes em 2006. 12.288 participantes em 2015.
●
Documento 8 Educação Tecnológica em Comparação com Certificação Tecnológica
0%
5%
10%
15%
20%
25%
Certificação em segurança da TI (tais como CISM, CISSP, CSP, CDP)
Certificação em auditoria de sistemas dainformação (tais como CISA, QICA, CRISC)
Estudos acadêmicos emCiência da Computação ou TI
MédiaGlobal
Leste Asiáticoe Pacífico
Américado Norte
EuropaOriente Médio eÁfrica do Norte
ÁfricaSubsaariana
América Latinae Caribe
Sul daÁsia
20%19%
15% 15%
12%11%
10%
13%
10%
8% 8%
14%
9%
17%
6%
10%
2%3%
2%
5%
3% 3% 3% 3%
Diferenças Regionais na Educação e Certificação Tecnológicas
Auditores internos obtêm suas habilidades tecnológicas de formas muito diferentes, dependendo de onde vivem. Na maior parte do mundo, as habilidades tecnológicas são mais provavelmente obtidas em estudos acadêmicos, em vez de por meio de certi�cações em sistemas da informação como parte da educação continuada do cargo. No entanto, na América do Norte, as certi�cações desempenham um papel mais forte do que os estudos acadêmicos (veja Documento 8). No geral, em regiões nas quais a educação tecnológica é maior, as certi�cações em tecnologias de sistemas da informação são menos frequentes (e vice versa). Ulrich Hahn, que ministrou cursos de auditoria interna e da TI em toda a Europa, comentou: “Mais faculdades e
universidades deveriam ter programas de auditoria da TI, com cursos especializados e treinamento real em computadores, além do trajeto educacional tradicional de auditoria �nanceira”. Uma área na qual todas as regiões estão igualmente baixas é a de certi�cações de segurança da TI (veja Documento 8). Em média, apenas 3% dos participantes do mundo todo possuem certi�cações em segurança da TI. Com os riscos de cibersegurança aumentando em todo o mundo, uma porcentagem muito maior de auditores internos provavelmente precisarão obter certi�cações em segurança da TI, para que a auditoria interna forneça, com e�cácia, avaliações sobre esta área.
Observação: Q5a: Qual foi sua formação acadêmica ou áreas mais significantes de estudo? (Escolha todas as aplicáveis.) Tópico: Ciência da Computação ou Tecnologia da Informação (TI). 12.288 participantes. Q13: Quais certificações profissionais você tem emáreas que não sejam auditoria interna? (Escolha todas as aplicáveis.) 12.540 participantes.
●
O
7 Aumentando as Habilidades Tecnológicas no Departmento de Auditoria Interna
PASSOS DE AÇÃO
1. Conduzir uma avaliação de riscos separada dos riscos tecnológicos da organização.
2.
Avaliar as habilidades tecnológicas necessárias para a auditoria interna abordar os riscos tecnológicos da organização.
3.
Implementar um plano para adquirir as habilidades necessárias, incluindo as que possam ser desenvolvidas dentro da equipe de auditoria interna e as que precisarão ser adquiridas por meio da terceirização periódica.
4.
Orientar a gerência e o comitê de auditoria sobre como você está lidando com os riscos tecnológicos da organização.
uvimos frequentemente a analogia: você não precisa entender como um motor funciona para dirigir um carro. Este também é o caso para usuários de sistemas de computador. Quando um auditor interno usa um computador para atingir um objetivo de auditoria, como quando usa um programa de planilhas ou processador de palavras, essa analogia pode ser válida. No entanto, habilidades adicionais e compreensão são necessárias para auditar um sistema de computador. A linha entre o auditor generalista e o especialista em TI e os benefícios de terceirizar projetos de auditoria de TI são de�nidos em cada indústria e departamento. Um desa�o contínuo para agregar mais tecnologia ao processo de auditoria interna é que as habilidades fundamentais dos auditores internos giram em torno da contabilidade e da auditoria. No entanto, ao longo das décadas, as universidades acrescentaram (e continuam a acrescentar) cursos de TI a seus currículos de contabilidade e auditoria, incluindo cursos de auditoria da TI, em alguns casos. Além disso, programas universitários continuam agregando mais cursos tecnológicos gerais e exigem que os alunos usem ferramentas de software em geral. Consequentemente, os recém-formados estão signi�cativamente mais familiarizados com o computador do que as gerações passadas. Embora continuem desenvolvendo conhecimento técnico e habilidades de
TI, muitos auditores internos não têm tempo ou interesse em se tornar programadores. No caso mais comum, auditores internos do novo milênio precisam entender o básico dos sistemas computadorizados, incluindo os componentes chave de hardware de um sistema de computador e o conceito básico de cada programa de computador (entrada – processo – saída). Ao mesmo tempo, há muito mais a entender para se saber de tecnologia, incluindo o básico do desenvolvimento de sistemas, ciclos de vida dos sistemas, �uxograma de processos, lógica de programação e programação de scripts para métricas. Essas habilidades devem existir em algum nível na estruturação da equipe ou devem ser terceirizadas. Mesmo quando o conhecimento e habilidades de TI estão disponíveis, também podem haver impedimentos menos aparentes à expansão do uso da tecnologia por parte da auditoria interna. Eles incluem a necessidade de ser criativo (em especial, pensando no que pode ser automatizado na fase de design). Além disso, porque o desenvolvimento ou aquisição de um sistema exige um investimento inicial, os auditores internos precisam sair de sua zona de conforto e assumir riscos normais de negócio para obterem aprovações e serem responsáveis pela e�cácia do projeto e seu retorno sobre o investimento.
●
A ●
●
●
●
●
●
M
Conclusão
Sobre o Autor
vanços tecnológicos estão criando oportunidades contínuas para que auditores internos inovem e melhorem a funcionalidade de seus sistemas atuais. Para garantir que seu departamento de auditoria interna �que um passo à frente, considere as perguntas a seguir:
Quais novos aplicativos tecnológicos estão sendo usados em nossa organização? O departamento de auditoria interna empregou novas tecnologias próprias para garantir que possa auditar e�cazmente os novos sistemas?
O departamento de auditoria interna tem fundos para adquirir tecnologias necessárias para auditar apropriadamente os sistemas da organização?O departamento de auditoria interna tem habilidades técnicas de TI su�cientes para abordar o nível tecnológico adotado pela organização?Quais os planos do departamento de auditoria interna para abordar o “big data” que é importante para a organização (tanto estruturado quanto não estruturado)?Há aplicativos ou processos organizacionais que sejam conduzidos inteiramente na “black box” (computador) (por exemplo, a computação de taxas de juros sobre empréstimos)? Se sim, como são auditados?Que tipos de software o departamento de auditoria interna usa para tornar as auditorias mais e�cientes e e�cazes? Quão extensivamente eles são usados, e com que frequência?
Explorar questões como essas ajudará você e seu departamento de auditoria interna a encontrar soluções criativas para os novos desa�os e se manter em dia com as habilidades necessárias para o desempenho e�caz. Por �m, a meta do uso tecnológico por parte da auditoria interna é evoluir em conjunto com o negócio, usando tecnologias que irão, no mínimo, permitir que você audite, com e�cácia, as diversas infraestruturas do negócio, enquanto também começa a inovar criativamente para �car um passo à frente do ritmo em tempo real do avanço tecnológico.
ichael P. Cangemi, coautor de Managing the Audit Function, é um ex-Certi�ed Public Accountant (CPA) e CAE que se tornou chief �nancial o�cer (CFO), chief executive o�cer (CEO), diretor e presidente do comitê de auditoria. Atualmente, trabalha como conselheiro sênior e diretor de diversas companhias, e como Senior Fellow do Continuous Auditing & Reporting (CAR) Lab da Rutgers. Ele atuou no Conselho de Administração do Committee of Sponsoring Organizations of the Treadway Commission (COSO), nos conselhos consultivos do Financial Accounting Standards Board (FASB) e do International Accounting Standards Board (IASB), em diversos papéis pro�ssionais no IIA, IIARF e ISACA, e como editor-chefe do ISACA Journal por duas décadas.
Limitação de Responsabilidade
Doe Parao CBOKwww.theiia.org/goto/CBOK
Contate-nosThe Institute of
Internal Auditors
Global Headquarters
247 Maitland Avenue
Altamonte Springs,
Florida 32701-4201,
Estados Unidos
Equipe de Desenvolvimento do CBOK
Co-Presidentes do CBOK: Dick Anderson (Estados Unidos) Jean Coroller (França)
Presidente do Subcomitê da Pesquisa do Praticante: Michael Parkinson (Austrália)
Vice Presidente da IIARF: Bonnie UlmerAnalista de Dados Primários: Dr. Po-ju ChenDesenvolvedora de Conteúdo: Deborah PoulalionGerente de Projeto: Selma KuurstraEditora Sênior: Lee Ann Campbell
Sobre a The IIA Research Foundation
Comitê de Revisão dos Relatórios
Ulrich Hahn (Alemanha) Michael Parkinson (Austrália)Steve Hunt (Estados Unidos) Kurt Reding (Estados Unidos)Richard Martin (Estados Unidos) Dave Williams (Estados Unidos)
O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão.
A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida.
Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar [email protected]. ID #2015-1403
Sua DoaçãoEm AçãoOs relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo.
