Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Não existe recompensa sem riscos
Auditoria interna – uma função em
processo de consolidação e em
transformação
Confidencial – Todos os direitos reservados – EY 2014
Página 2
Power and utilities um setor em transformação
Geração
Comercialização
Transmissão
Distribução
Medição
Varejo
Hoje Cenário de amanhã Mudanças Chaves
Gas productionHydro-
electric
power
Nuclear
power
station
Onshore and
offshore wind
SolarCCS plant (coal/gas)
CO2 transport and storage
Coal/gas-fired
power station
Business unit trading
businesses — local marketsRegional markets grow
Energy flows to usersMicro wind
Smart
metering“Dumb’’ meter
Solar PVSolar water
heating
Micro CHP
► Decentralized generation
► New sources of energy
production, changes in
generation mix
► Sustainable, secure sources
of supply
► Need for innovative funding
mechanisms and partnerships
► Increasing complexity and
sophistication required
► Flexible and fluid infrastructure
► Two-way flow
► Smart meters and grids
enable flow of energy to and
from customers
► Applications and solutions
utilizing Smart technologies
offer new sources of revenue
► Customers generate their
own energy
► Customer has more control;
no longer just about price and
reliability
► Rising energy prices
Micro wind
Confidencial – Todos os direitos reservados – EY 2014
Página 3
Interação com Outras Áreas
Produto Final
Escopo e FocoDireção Certa
Pessoas Certas
Investimentos Certos
Definição
Facilitação
Execução
Objetivo
e Missão
Desenvolvimento
de Competências
e Carreiras
Dotação
de Recursos
Sustentaçãoda Excelênciadas Pessoas
Ferramentas
e Tecnologia
Gestão das
Operações
Metodologia Gestão do
ConhecimentoQualidade
Fundamentalmente uma área de auditoria interna depende de suas pessoas para ser bem
sucedida, mas alguns elementos podem auxiliar na definição de um modelo funcional com
maiores chances de sucesso que motivam e aumentam o nível de comprometimento de
seus colaboradores. A visão abaixo demonstra esses elementos:
Propósito
Confidencial – Todos os direitos reservados – EY 2014
Página 4
Unidades
de negócio
Unidades
de negócio
Unidades
de negócio
Unidades
de negócio
As organizações realizam investimentos significativos em atividades de gerenciamento de riscos, porém, em alguns casos, não
atuam para conectar processos e funções relacionados a este tema. Na maioria dos casos, silos foram criados e,
consequentemente, o nível de interação é limitado podendo acarretar em sobreposições, redundâncias e custos elevados.
Auditoria
Interna
Gestão de
RiscosCompliance
Controles
Internos
Tecnologia da
Informação
Legal e
Regulatório
Auditoria
Externa
Conselho de Administração / Diretoria Executiva
Comitê de Auditoria Comitê de Risco Outros Comitês
Gestão de RiscosRedundância, sobreposições
duplicações na identificação e avaliação,
analise, priorização, controle,
quantificação, monitoramento,
mitigação, testes e reportes de riscos
GovernançaIneficaz e com oversight de
riscos sem responsabilidades
definidas
Performance no nível
operacionalSobrecarregados, sem valor agregado
no nível da operação do negócio
Funções não
integradasIneficazes, ineficientes,
descoordenadas, ou
isoladas em silos
Influências Externas – Reguladores, Analistas, Investidores
Visão atual
Confidencial – Todos os direitos reservados – EY 2014
Página 5
Auditoria
Interna
Co
ntr
ole
s
Inte
rno
s
Auditoria
Externa
Unidades deNegócio
Unidades deNegócio
Unidades deNegócio
Unidades deNegócio
Escopo e Direcionamento Alinhado
Pessoas e Infraestrutura operando de forma Coordenada
Métodos e Práticas Consistentes
Informação e Tecnologia Comum
Conselho de Administração
Comitê de
Auditoria
Comitê de
Remuneração Comitês de Risco
Outros
Comitês
Diretoria Executiva
CEO CFO CRO General Counsel
Aumento do valor, custos reduzidos e melhoria na performance dos negócios
GovernançaEficaz, atuante,
responsabilidades
definidas
Gestão Integrada
de RiscosReduzir ou eliminar a
redundância, sobreposição
e duplicação de esforços na
identificação e avaliação,
análise, controle,
quantificação,
monitoramento, mitigação,
testes e reportes de risco
Performance no
nível operacionalOtimizada, melhoria na
performance de riscos
operacionais
As organizações almejam alinhamento e coordenação entre suas atividades de risco e controle. A chave para o funcionamento
desta abordagem pode ser resumida da seguinte forma: escopo e direcionamento alinhados, pessoas e infraestrutura operando
de forma coordenada, métodos e práticas consistentes e informação e tecnologia comum.
Visão estruturada
Confidencial – Todos os direitos reservados – EY 2015
Página 6
Universos de Riscos
Confidencial – Todos os direitos reservados – EY 2015
Página 7
Custo
ValorRisco Risco Valor
Custo
► Conhecemos nossos principais riscos?
► Efetuamos um reporte adequado sobre
riscos para a gerência executiva e Board da
empresa?
► Estamos aceitando o nível adequado de
risco?
► Nossos riscos são gerenciados
adequadamente?
► Temos implementada uma estrutura de
riscos abrangente?
► Os riscos são avaliados, priorizados e
monitorados adequadamente?
► Estamos mantendo o foco nos riscos mais
significativos?
► Possuímos funções de risco duplicadas ou
sobrepostas?
► Estamos utilizando controles automatizados
ao invés de controles manuais?
► Possuímos uma correta combinação de
habilidades a um custo adequado?
► Estamos otimizando o uso de tecnologia para
gerenciar riscos?
► Podemos utilizar fontes e estratégias
alternativas para reduzir custos?
► Conseguimos mapear, quantificar, controlar,
monitorar e definir respostas aos riscos de
negócio de forma sistemática?
► O nível e natureza dos riscos assumidos estão
alinhados com as estratégias e objetivos do
negócio e da indústria?
► Estamos obtendo o retorno adequado de nossos
investimentos em risco?
► Estamos compartilhando estratégias e técnicas
para monitorar e responder aos riscos?
► O modelo de gerenciamento de riscos propicia
velocidade adequada aos processos de negócio?
Custo
Risco Valor
A gestão integrada de riscos e sua respectiva otimização deve buscar o equilíbrio entre os pilares Risco, Custo e Valor, conforme demonstrados abaixo.
Na busca por este equilíbrio, algumas questões devem ser respondidas como forma de reflexão e auto-avaliação sobre o estágio em que a Companhia
se encontra e como vem atuando na gestão dos riscos corporativos.
Balanço equilibrado
Confidencial – Todos os direitos reservados – EY 2015
Página 8
Monitorar
Baseado na avaliação, funções de risco realizam o monitoramento das atividades para assegurar que os processos são realizados de
acordo com o projetado, controles são eficazes e riscos são gerenciados.
Estratégias
Companhias dispõem de múltiplas estratégias –desde a criação das mesmas até o alinhamento com mudanças regulatórias e de mercados.
Riscos
As múltiplas estratégias geram riscos e continuamente uma redefinição do perfil de riscos.
Executando Processos Sustentáveis
Companhias desenvolvem localmente uma série de processos para gerenciar o seu perfil de risco em constante mudança e suportar suas atividades.
Avaliar
Funções de Risco, em conjunto com a gerência, continuamente avaliam o desenvolvimento dos
riscos e processos.
Aprimorar
Gerência, trabalhando com as funções de risco, implementam as melhorias
identificadas.
Estratégia
Riscos
Processos
Aprimorar
Abordagem de riscos
Confidencial – Todos os direitos reservados – EY 2015
Página 9
Objetivos de Negócio
Aumento de Lucros e Margem Operacional
Como vai o Resultadoda Organização?
Melhoria na Gestão de Ativos e de Capital
O quanto a Organização é eficiente?
Crescimento de Receita eParticipação de Mercado
Como é o crescimento da Organização?
Melhoria da Reputação, Imagem e Marca
“Stakeholders” têm uma visãofavorável?
Demonstrar excelência em Governança Corporativa
Melhorar Relacionamento com Stakeholders
Conduzir Práticas Avançadas de Gestão de Riscos
Implementar novas Estratégias e Desenvolvimento
de Produtos e Serviços
Aperfeiçoar Produtos & Serviços Existentes
Gerenciamento e Aquisições (M&A)Conquistar Clientes
Otimização dos Ativos
Otimizar a Estrutura de Gerenciamento de Capital
Alinhamento RegulatórioAumento da Margem Bruta
Aumento da Margem Operacional
Aumento do Lucro Líquido
Aumento na Geração de Caixa (EBITDA)
Alinhamento com Planejamento Estratégico
ERM Alinhado aos Direcionadores de Negócios -- O ERM deve estar alinhado com os principais direcionadores de negócio de forma a permitir que osobjetivos empresariais sejam alcançados, conforme ilustrado abaixo:
Visão geral sobre estratégia
Confidencial – Todos os direitos reservados – EY 2014
Página 10
As práticas de Governança, Risco e Compliance (GRC) tornaram-se prioridade e fonte de pressão por parte dos investidores. E
passaram a ser regulamentadas e formalizadas por diversos agentes do mercado, como se vê a seguir.
1999Publicação do primeiro código sobre governança corporativa, elaborado pelo Instituto
Brasileiro de Governança Corporativa (IBGC).
2000Criação dos segmentos especiais de listagem com requisitos adicionais de governança
corporativa para as companhias listadas na BM&FBOVESPA.
2001 Reformulação da Lei das Sociedades Anônimas.
2002
Assinatura da lei Sarbanes-Oxley que visa garantir a criação de mecanismos de auditoria e
segurança confiáveis nas empresas, mitigar riscos aos negócios, evitar a ocorrência de
fraudes e transparência na gestão das empresas.
2006 Falência de empresas desencadeou maior foco regulatório.
2009 Crise do mercado global levou a redução de custos e mudança do modelo de negócios.
2011Gestão de riscos alinhada com os objetivos estratégicos para Reduzir a imprevisibilidade
transformando ameaças em oportunidades.
2013 Lei Anticorrupção, nº 12.846/2013, que pune empresas por atos de corrupção contra a
administração pública.
Histórico de gestão de riscos
Confidencial – Todos os direitos reservados – EY 2014
Página 11
Gestão de Riscos¹ é um processo conduzido pelo conselho de administração, diretoria e demais gestores,
aplicado no estabelecimento de estratégias e procedimentos, visando identificar, avaliar e priorizar, em toda a
organização, os eventos que potencialmente podem comprometer o alcance dos principais objetivos
estratégicos. A gestão de riscos deve administrar os riscos de modo a mantê-los compatível com o apetite a
risco da organização e possibilitar garantia razoável do cumprimento dos seus objetivos.
Gestão de
Riscos
Controle Interno² é um processo desenhado para prover segurança quanto à existência e funcionamento de
atividades de controles em toda a organização, assegurando: (i) Eficácia e eficiência das operações; (ii)
Confiabilidade nos Demonstrativos Financeiros; e (iii) Cumprimento de legislações e regulamentações.
Compliance³ é o dever de cumprir regulamentos internos e externos impostos às atividades da instituição, indo
além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética.
Controles
Internos e
Compliance
A atividade de auditoria interna tem como função identificar e dar razoável garantia que os controles internos
existentes são suficientes para mitigar os riscos, os processos de governança são eficazes e eficientes, as
normas e políticas internas são observadas e cumpridas, e as metas e objetivos organizacionais sejam
atingidos. A auditoria interna tem atuação independente e está vinculada ao Conselho de Administração.
Auditoria
Interna
A função de Gestão de Riscos é comumente confundida com as funções de Controles Internos e Auditoria
Interna embora existam diferenças significativas entre elas:
Funções de GRC
Confidencial – Todos os direitos reservados – EY 2014
Página 13
O futuro da auditoria
interna é agora.
Confidencial – Todos os direitos reservados – EY 2014
Página 14
►75% das empresas acreditam que a gestão de riscos mais efetiva tenha um impacto positivo no
desempenho financeiro de longo prazo e aumenta a relevância da AI.
►75% das empresas acreditam que a área de AI tenha um impacto positivo nos
esforços de gestão de risco de forma geral.
►Entretanto, 80% das empresas reconhecem que sua área de AI ainda pode melhorar –
ainda não possui o nível de maturidade desejado.
►Dessas organizações, 80% acreditam que deveriam realizar melhorias nos próximos 24
meses.
►83% das empresas já receberam uma solicitação para melhorar a cobertura de risco pela AI e
aumentar seu envolvimento com essa atividade.
►As organizações estão se esforçando para fazer
com que as áreas de risco melhorem sua
coordenação em 35% em relação a hoje.
►80% das empresas pesquisadas acreditam que a
terceirização colaborativa (co-sourcing) é uma opção
viável de negócios para o departamento de AI.
Pesquisa global sobre Auditoria Interna
Confidencial – Todos os direitos reservados – EY 2014
Página 15
As principais prioridades para a área de Auditoria Interna hoje são:
1. Melhorar o processo de avaliação do risco.
2. Aprimorar a capacidade de monitoramento de riscos emergentes.
3. Tornar-se mais relevante para que a organização cumpra os seus objetivos de negócio.
4. Reduzir os custos da área de AI sem comprometer a cobertura dos riscos.
5. Identificar oportunidades para redução de custos em seus negócios, criar valor.
6. Desenvolver habilidades técnicas específicas.
Pesquisa global sobre Auditoria Interna
Confidencial – Todos os direitos reservados – EY 2014
Página 16
Estratégia: Alinhar a Auditoria Interna com estratégia organizacional e os
principais riscos de negócio
“Ineficiente, sem prioridade”
Captura o nível do risco do processo, mas
não consegue priorizar de forma estratégica
“Negócios de AI otimizados”
Alinhado estrategicamente e com base em
riscos
“Negócio da AI desestruturados”
Questões identificadas ao acaso, não por
meio de planejamento
“Alinhado, mas não objetivo”
Estrategicamente alinhado, mas sem
avaliação de risco independente
Sem estratégia Alinhado estrategicamente
Abordagem com
base no risco
Abordagem
rotativa
Baixa probabilidade de sucesso Risco moderado de falha Bem posicionado para o êxito
Posição
aspirada pela
AI
Confidencial – Todos os direitos reservados – EY 2014
Página 17
O plano de Auditoria Interna deve ser baseado em riscos e incluir
revisões temáticas e específicas
Avaliação de Riscos
Compliance com a SOX 404
Expectativas da gestão e do comitê de
auditoria
Rotação e acompanhamento
Priorizar projetos
Projetos especiais ou auditorias não
planejadas
Reco
nciliar co
m o
com
itê de au
dito
ria
Nem todos os riscos
estão cobertos pelo
plano
Alocá-los em relação aos
recursos disponíveis
Finalizar os projetos do
plano de auditoria
Financeira
Conformidade
Operacional
Temática
Estratégica
Selecionar a
combinação de
auditorias
Com base em
questões
Confidencial – Todos os direitos reservados – EY 2014
Página 18
As expectativas dos acionistas e demais stakeholders sobre a função
de Auditoria Interna direcionam para sua efetiva otimização, buscando
o equilíbrio entre os pilares Risco, Custos e Valor (retorno).
Algumas questões devem ser respondidas para reflexão e
auto-avaliação:
► Nossos riscos são gerenciados adequadamente?
► Possuímos uma estrutura otimizada e atuamos de forma eficiente?
► Estamos agregando valor ao negócio?
A figura ao lado exemplifica a busca o equilíbrio entre as três variáveis
mencionadas e os principais pontos de atenção relacionados a cada
uma delas.
Quais são as expectativas dos acionistas sobre a auditoria interna?
Custos
• Melhoria do processo de
negócio
• Recuperação ou redução
de custos
• Eficiência e eficácia
Risco
• Gestão de riscos eficaz
• Governança corporativa
forte
• Compliance
• Garantia de confiança
Valor
• Melhoria no desempenho da
empresa
• Suporte ao M&A
• Alcance dos objetivos
estratégicos da empresa
• Assessoria nas iniciativas
que envolvem grandes
mudanças
Expectativas dos acionistas
Confidencial – Todos os direitos reservados – EY 2014
Página 19
Direcionadores Estratégicos
Entrar em novos
mercados
Realizar alianças
Construir um relacionamento
com o consumidor
Inovar em produtos e
serviços
Otimizar operações de
rotina
Minimizar custos
Registrar e comunicar os
resultados
Melhorar os Resultados
Gerenciar ativos
Otimizar o capital
humano
Criação de valor
Gerenciar riscos e questões
regulatórias
Melhorar processos e
sistemas
Custos
ValorRisco
Perfil e estrutura da auditoria
interna
• Tamanho, composição e qualificação da
equipe
• Recursos especializados
• Localização
• Orçamento
• Equilíbrio entre trabalhos de assurance e
advisory
• Conhecimento do negócio/mercado
• Foco nos riscos mais relevantes
• Mandato e missão
• Uso da tecnologia
• Histórico de qualquer mudança/impacto
significativo na função
Alinhando a Auditoria Interna com os direcionadores estratégicos do negócio
A Auditoria Interna está estruturada e
capacitada para suportar e contribuir de forma
efetiva na melhoria dos negócios e no alcance
dos objetivos estratégicos?
Confidencial – Todos os direitos reservados – EY 2014
Página 20
Business Insight
Controle e
compliance
Gap de competência• Profundo conhecimento do negócio, setor e mercado
• Falta de alinhamento com o plano estratégico e
iniciativas do negócio
• Rotação de recursos
• Falta de skills adequados em áreas como:
• TI, internacional, tesouraria, impostos, supply chain,
engenharia, ambiental
• Prevenção e detecção de fraudes
• Papel tradicional da auditoria interna limita o alcance
• Visão estratégica e executiva limitadas
Gap de capacitação• Abordagem tradicional para avaliação de riscos e
planejamento da Auditoria Interna
• AI não orientada pelos riscos do negócio
• Forte foco em unidades auditáveis e localidades
• Uso limitado de análise de dados e modelagem
• Limitação de treinamento e desenvolvimento
• Priorização inadequada (riscos e auditorias)
• Limitação da auditoria aos recursos disponíveis
• Resistência a mudanças
• Não é focado no aperfeiçoamento dos processos
chaves do negócio
O que gera
o gap?
Áreas críticasNão- negociável Relevância para
o negócio
Gap de capacitação
Gap de
transformaçãoConsultor
estratégico
O gap de transformação impede muitas auditorias internas de se tornarem um mecanismo de consulta estratégica para os executivos e para o Conselho de Administração. A fixação de metas que ajudem a preencher este gap permitirá um melhor desempenho.
Gap de competência
Eliminar os gaps pode ajudar a melhorar o desempenho
da AI e o serviço aos clientes.
Reduzindo os gaps da Auditoria Interna
Confidencial – Todos os direitos reservados – EY 2014
Página 36
Questões complementares
► As atividades de gestão de riscos de sua organização estão alinhadas aos
objetivos estratégicos? Quanto?
► Qual o papel é desempenhado pelos profissionais de riscos no planejamento
estratégico de sua organização?
► Como você poderia integrar a participação dos profissionais de riscos no processo
de planejamento estratégico?
► Como são coordenadas as atividades das funções de GRC em sua organização?
► Sua organização compila e distribui um relatório sobre gestão de riscos? Se sim;
o Quais funções contribuem para ele?
o Quem compila isso?
o Para quem é distribuído?
o Com que frequência esse relatório é compilado e distribuído?
Obrigado
José Ricardo de Oliveirae-mail – [email protected]