A crescente complexidade das relações numa sociedade cada vez mais globalizada, ao qual não é alheia a atividade económica, tem criado desafios constantes e cada vez mais importantes à função de auditoria interna, especialmente na forma como os auditores internos conseguem criar valor para as organizações, razão última pela qual deverão realizar o seu trabalho e pela qual justificam a sua existência. No entanto, esse apport de valor não deverá apenas ter origem na avaliação individual da eficácia dos processos, atividades e tarefas de uma organização, mas também na estrutura e framework pelo qual estas se encontram interligadas e forma como são geridas como um todo, do processo de decison-making instituído e da visão corporativa partilhada, ou seja, deverá também criar valor através da avaliação do modelo de governance das organizações.
Neste âmbito, e numa publicação de março do European Confederation of Institutes of Internal Auditing (ECIIA), são apresentadas várias linhas gerais que em conjunto irão permitir à função de auditoria interna, de forma consistente, adicionar valor às organizações. Para tal, a função de auditoria interna deverá:
– adotar um papel estratégico e distintivo na organização;
– assumir responsabilidades no sistema de controle interno das organizações;
– avaliar com independência a efetividade das funções de gestão de risco e controlo;
– confiar no papel das outras funções de gestão de risco e controlo (após a referida avaliação);
– utilizar uma abordagem baseada no risco (risk-based), no planeamento e na execução das suas atividades;
– definir (de forma objetiva) o âmbito e avaliação das atividades;
– emitir conclusões e pareceres (e recomendações);
– contribuir para a melhoria no reporting interno e externo (não só de informação financeira, mas também operacional entre outras).
Assim, de acordo com o ECIIA, a função de auditoria interna, enquanto atividade independente, de assurance and consulting, e cuja autoridade e responsabilidade deverá estar formalmente definida em estatuto próprio, deverá assumir um papel único no seio da organização e no seu sistema de controlo Interno (na chamada terceira linha de defesa) funcionando como complementar (não como substituto) e também como avaliador da função de gestão do risco e de controlo (segunda linha de defesa) e da função de gestão operacional (primeira linha de defesa).
Ainda de acordo com o ECIIA, a função de auditoria interna deverá utilizar uma abordagem baseada no risco, sistemática e disciplinada, e rentabilizar recursos e competências, quer no planeamento, quer na execução das suas atividades, cujos respetivos âmbitos e testes efetuados deverão permitir uma avaliação objetiva da eficácia dos processos de gestão de risco, de controlo e de governação.
Por último, as conclusões e recomendações da função de auditoria interna (produto final da sua atividade) devem ser alvo de reporting interno (para auditados, sponsors, órgãos de administração, órgãos de supervisão e outros interessados), mas também de reporting externo (entidades reguladoras, governamentais ou supranacionais, já denominados por alguns autores como a quarta linha de defesa). Nestes reportings, aos quais se espera que seja dada a devida importância e valor pelos respetivos stakeholders, deverão também constar os planos de ações desenhados pelos auditados ou outros sponsors para correção das deficiências encontradas e/ou melhoria da eficácia da organização, e cuja implementação concreta deverá ser alvo de follow up por todos os intervenientes interessados, inclusive pela gestão de topo, pois só assim será garantida e assegurada a criação efetiva de valor para a organização.
Em suma, o guidance fornecido recentemente pelo ECIIA, aos quais se juntam outros insights de diversas entidades internacionais (Principles of Corporte Governance – OCDE, The Combined Code of Corporate Governance – UK, The Sarbanes Oxley Act – US, COSO/ERM framework, etc…), permite sistematizar a forma com a auditoria interna apresenta e cumpre com a sua proposta de valor para a organização, ou seja: como contribui com a sua independência para a avaliação da gestão de riscos particulares ou globais da organização; como fornece objetividade aos que tomam decisões; como oferece findings e recomendações para maximizar o retorno sobre as atividades e políticas organizacionais; e como distribui informação e conhecimento aos stakeholders, num ambiente organizacional cada vez mais escrutinado por todos, a todo o momento, e em todos os lugares…
RECORDE CRÓNICAS ANTERIORES DO ‘SILÊNCIO DA FRAUDE’