SIGA NOSSAS REDES
Agenda da Auditoria Interna em 2021!
Realizada pelo consórcio de Institutos dos Auditores Internos de diversos países, o relatório anual Risk in Focus analisa os principais riscos de negócios enfrentados por organizações em toda a Europa. A última pesquisa realizada pela entidade ocorreu em março de 2020, um dos períodos mais críticos onde a Europa se tornou o epicentro da pandemia do coronavírus.
O propósito deste estudo anual é ajudar os profissionais de auditoria interna a prepararem seus planos e escopo de auditoria, através do compartilhamento das percepções e aprendizados da pesquisa.
Dados da pesquisa:
- Realizada em março de 2020
- Entrevistas qualitativas com 29 CAE – Chief Audit Executives (Principais Executivos de Auditoria)
- Entrevistas qualitativas com 13 integrantes de Comitês de Auditoria
- 51 especialistas entrevistados
- 11 países da Europa
- 10 IIA (Instituto dos Auditores Internos)
- Pesquisa quantitativa com 579 respondentes.
De acordo com a pesquisa, os três principais riscos que as empresas enfrentam atualmente são:
1. Cibersegurança e segurança de dados
Credenciais do cliente e propriedade intelectual são ativos econômicos dos quais todas as organizações dependem. Até que isso mude, a segurança dos dados continuará sendo uma das prioridades da agenda corporativa.
Vale destacar que a chegada da pandemia trouxe uma mudança rápida e em larga escala para o home office, aumentando a vulnerabilidade das organizações para ataques cibernéticos.
A auditoria interna deve verificar se a conscientização sobre a segurança cibernética está sendo suficientemente promovida e se o treinamento dos colaboradores foi atualizado a partir das mudanças no ambiente de trabalho e na infraestrutura de TI. Também deve avaliar se as pessoas não estão contornando os processos para economizar tempo e esforço.
Reflexões para a auditoria interna:
- Como a expansão do ambiente de trabalho (adoção do home office) impactou o sistema de controles de TI?
- A empresa executou uma avaliação de riscos para identificar o aumento de possíveis fraquezas, suscetibilidade a ataques e roubos nos últimos 12 meses?
- Como está sendo promovida na organização a consciência sobre as principais ameaças cibernéticas?
- Os patches de segurança dos dispositivos pessoais estão sendo atualizados no mesmo padrão que os dispositivos corporativos?
- A capacidade de monitoramento do centro de operações e segurança foi prejudicada ou interrompida nos últimos 12 meses?
- Todos os colaboradores entendem a abrangência do negócio e por consequência a necessidade de segurança de todos os dispositivos conectados à rede corporativa?
- Foram devidamente verificadas as possíveis falhas de segurança e vulnerabilidades dos novos aplicativos (por exemplo, software de videoconferência) adotados para garantir a continuidade operacional?
Ocorrem testes de conscientização dos colaboradores quanto às tentativas amigáveis de phishing?
2. Mudanças regulatórias e conformidade (compliance)
A carga regulatória foi aliviada no primeiro semestre de 2020 em diversos países para dar espaço de manobra para as empresas. Algumas instituições aconselharam os órgãos reguladores a aplicarem tolerância em relação às empresas listadas em bolsa de valores para atrasar a publicação de relatórios financeiros por dois meses.
Assim que a pandemia passar, os bancos podem ter que justificar as decisões que foram tomadas, o tratamento que deram aos clientes e os riscos que foram assumidos durante o auge da pandemia.
No contexto regulatório mais amplo, as leis GDPR – General Data Protection Regulation (e LGPD – Lei Geral de Proteção de Dados, no Brasil) claramente permanecem em vigor, apesar do conhecimento geral de que a capacidade operacional das empresas diminuiu e as receitas entraram em colapso.
Até certo ponto a pandemia representa uma flexibilização regulatória parcial, onde as autoridades estão menos propensas a penalizar empresas em meio a uma das maiores crises econômicas da história, colocando empregos em risco. Mas a tolerância regulatória é apenas temporária e de forma alguma é absoluta.
Os regulamentos existentes permanecem em vigor, mesmo que eles não foram aplicados de forma tão agressiva nos últimos meses.
Reflexões para a auditoria interna:
- Até que ponto a pandemia e os esforços da organização para permanecer operacional impactou seus riscos de compliance?
- Os colaboradores podem ter tomado atalhos que possam impactar a conduta e regulamentos?
- Como os controles relativos a compliance e seus recursos foram afetados pela pandemia de coronavírus em curto e médio prazo?
- Quais são as evidências de que a função de compliance foi capaz de apoiar e supervisionar adequadamente a organização de acordo com as regras e regulamentos existentes?
- A organização está preparada para o caso de os reguladores reverterem qualquer tolerância e aumentarem as exigências em 2021?
- A organização dá a devida atenção ao compliance e entende sua responsabilidade pelos riscos envolvidos?
- A função de compliance tem sua abordagem de trabalho com base no risco, mapeando e priorizando os riscos e departamentos chave?
- A função de compliance atualizou seu calendário regulatório de acordo com os prazos adiados, regras que foram pausadas e está preparada para os novos prazos?
- A auditoria interna deve conduzir uma avaliação independente dos riscos regulatórios para avaliar o quão eficiente é o self-assesment da área de compliance.
3. Digitalização, novas tecnologias e inteligência artificial
A necessidade de as empresas avançarem no atingimento de suas metas digitais foi atropelado. Muitos setores não tiveram escolha a não ser fazer a transição para o fornecimento de serviço digital durante os períodos de lockdown. Por exemplo, o e-commerce não era mais uma opção para varejistas, virou uma necessidade. Empresas que estavam mais à frente em sua evolução digital tiveram vantagem significativa em meio ao surto de coronavírus. Como diz Camila Farani, presidente da G2 Capital, investidora do Shark Tank (reality show com investidores interessados em dar apoio financeiro a grandes ideias de empreendimento), “Ou você é ponto com ou você é ponto fora“.
Do ponto de vista operacional, tecnologias como automação, machine learning e inteligência artificial aceleram processos, aumentam a eficiência e reduzem custos a longo prazo ao eliminar a necessidade de processamento manual. As empresas também podem perturbar os mercados existentes ou criar novos negócios com novas tecnologias digitais e físicas, garantindo sua relevância estratégica e protegendo sua existência.
Reflexões para a auditoria interna:
- A gestão tem uma visão clara sobre quais projetos de inovação são essenciais para garantir a relevância estratégica e sustentabilidade da empresa?
- Os recursos adequados têm sido utilizados?
- As oportunidades foram identificadas pela administração para investir em inovação durante a calmaria da economia enquanto os concorrentes estavam distraídos?
- A governança está alinhada com a estrutura de desenvolvimento de TI, por exemplo, adotando metodologias ágeis? Os frameworks de desenvolvimento de projetos estão sendo usados para os fins certos e devidamente justificados? As funções de gerenciamento de tarefas e responsabilidades estão alinhadas com o método escolhido de desenvolvimento?
- Há governança adequada em torno dos projetos em vigor, incluindo gerenciamento do projeto e prestação de contas? Cada projeto de transformação digital tem um único dono que é responsável pelo seu sucesso?
- Lições foram aprendidas com o sucesso ou fracasso de projetos anteriores? Que evidência existe disso? As lacunas de competência foram compreendidas pelas áreas de negócio?
- A empresa tem um sistema bem gerido e autorizado de registro para rastrear o investimento em inovação, progresso e resultados?
- A tecnologia e os dados fundamentais para as operações e estratégia da empresa funcionam como esperado?
Riscos prioritários vs. Foco da Auditoria
Outro ponto de destaque na pesquisa é que os respondentes indicaram que a Auditoria gasta mais tempo em atividades de menor preocupação, nos trazendo a reflexão de que o foco deve ser ajustado para riscos de maior severidade. Ou seja, aplicar o conceito de “risk based audit” (auditoria baseada em riscos).
Os tópicos com maior diferença entre os riscos de maiores preocupações dos executivos, versus o tempo gasto pela auditoria foram:
A Auditoria Interna precisa ter claro entendimento da direção estratégica da empresa e das expectativas de seus stakeholders. O escopo e plano de auditoria deve ser alinhado com o rumo dos negócios, com base no planejamento estratégico da empresa. Por isso, vale muito a pena realizar entrevistas com os Executivos para entender suas preocupações, antes de desenhar o trabalho da auditoria no ano.
⇢ Visite também nossos outros artigos aqui
⇢ Entre em contato com nossos consultores
⇢ Assine nossa Newsletter e receba nossos conteúdos em seu e-mail
SIGA A GENTE TAMBÉM NAS REDES SOCIAIS:
Referências:
- Risk in Focus – Hot topics for internal auditors: the 2021 report
https://www.iia.org.uk/policy-and-research/research-reports/risk-in-focus/
Deixe um comentário