A auditoria interna é uma das funções mais estratégicas e ao mesmo tempo mais frequentemente subestimadas nas organizações brasileiras, representando o conjunto sistemático de atividades de avaliação independente destinadas a examinar e aperfeiçoar a eficácia dos controles internos, dos processos de governança e da gestão de riscos de uma organização. Longe do estereótipo de atividade burocrática de verificação contábil, a auditoria interna contemporânea é função consultiva e de garantia que adiciona valor à organização ao identificar fragilidades antes que se materializem em crises, ao recomendar aprimoramentos de processos que melhoram a eficiência operacional e ao fornecer aos conselhos de administração e à alta gestão a informação independente que necessitam para exercer sua supervisão com efetividade. O Institute of Internal Auditors, o IIA, organização profissional que define os padrões internacionais da auditoria interna, conceitua a função como atividade independente, de garantia objetiva e de consultoria, que tem como finalidade agregar valor e melhorar as operações de uma organização, contribuindo para que ela alcance seus objetivos por meio de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança. "Uma auditoria interna que só aparece quando o problema já explodiu não é auditoria, é necrópsia." A crescente complexidade regulatória, a sofisticação dos riscos operacionais, tecnológicos e de conformidade e as exigências dos investidores por maior transparência e controle tornaram a auditoria interna uma função indispensável para qualquer organização que pretenda operar com sustentabilidade no ambiente de negócios contemporâneo.
A Independência como Pilar Fundamental
A independência da auditoria interna em relação às atividades que audita é o requisito mais fundamental para que a função cumpra seu propósito. Uma auditoria que responde às mesmas instâncias que são objeto de seus exames não tem as condições estruturais para emitir opiniões imparciais sobre a qualidade dos controles e dos processos que avalia. Os padrões internacionais da auditoria interna, emanados pelo IIA e incorporados pelo Instituto dos Auditores Internos do Brasil, o IIA Brasil, exigem que a função de auditoria interna seja estruturalmente posicionada de forma que permita aos auditores cumprir suas responsabilidades sem interferências. A prática de melhor governança aponta para o reporte funcional do chefe de auditoria interna ao comitê de auditoria do conselho de administração e o reporte administrativo ao CEO ou ao presidente executivo. Essa estrutura dual garante que a auditoria tenha acesso ao mais alto nível da organização para relatar suas conclusões sem que as instâncias operacionais que são objeto dos exames possam interferir nos resultados ou nas recomendações. A questão da independência da auditoria interna nas empresas de capital fechado e nas organizações sem fins lucrativos, onde frequentemente não existe conselho de administração com comitê de auditoria, exige soluções criativas que preservem o essencial da independência dentro das estruturas de governança disponíveis. "Uma auditoria que responde a quem ela audita não tem como ser independente, independente de quantos procedimentos ela siga."
O Plano de Auditoria Baseado em Riscos
A metodologia contemporânea de auditoria interna fundamenta-se no conceito de abordagem baseada em riscos, que determina que o plano anual de trabalho da função de auditoria deve ser elaborado com base em uma avaliação sistemática dos riscos que a organização enfrenta, priorizando os exames das áreas e dos processos que apresentam maior exposição a riscos que possam comprometer o alcance dos objetivos organizacionais. Essa abordagem substitui o modelo anterior, baseado na rotação sistemática de todos os processos em ciclos pré-definidos independentemente de sua relevância para os objetivos da organização, por um modelo mais inteligente e mais dinâmico que concentra os recursos limitados da auditoria onde os riscos são mais relevantes. O mapeamento de riscos que fundamenta o plano de auditoria deve ser alinhado com o mapa de riscos produzido pela função de gerenciamento de riscos corporativos, quando existente, e com a percepção de riscos da alta administração e do conselho de administração. A flexibilidade do plano para incorporar exames não previstos que se tornam necessários em razão de mudanças no ambiente de riscos, como a eclosão de uma crise, a identificação de uma irregularidade ou a expansão para uma nova linha de negócios, é característica que os melhores departamentos de auditoria cultivam como diferencial de sua contribuição. "Uma auditoria que planeja o que vai auditar sem olhar para onde estão os riscos é uma auditoria que vai encontrar os problemas de ontem, não os de amanhã."
A Auditoria de Conformidade e os Requisitos Regulatórios
A auditoria de conformidade é a modalidade de auditoria interna que verifica o cumprimento de leis, regulamentos, normas internas e obrigações contratuais aplicáveis à organização, avaliando se os controles implementados são adequados para assegurar que as atividades da organização ocorram dentro dos limites legais e normativos. No ambiente regulatório brasileiro, caracterizado pela abundante produção normativa e pela multiplicidade de obrigações acessórias, a auditoria de conformidade adquire dimensão especialmente relevante como mecanismo de prevenção de autuações administrativas, condenações judiciais e sanções regulatórias. A integração entre a auditoria de conformidade e o programa de compliance da organização é condição para que as duas funções produzam resultados complementares, pois o compliance define e implementa os controles de conformidade e a auditoria avalia de forma independente se esses controles estão funcionando adequadamente. O crescimento das obrigações de reporte regulatório em múltiplas áreas, incluindo prevenção à lavagem de dinheiro, proteção de dados, segurança do trabalho e sustentabilidade ambiental, amplifica a demanda por auditoria de conformidade em organizações de todos os portes e setores. "A auditoria que descobre o descumprimento antes do regulador o descobre vale o custo de toda a função numa só autuação evitada."
A Auditoria de Processos e a Eficiência Operacional
Além das funções de controle e conformidade, a auditoria interna contemporânea contribui para a eficiência operacional das organizações por meio da auditoria de processos, que examina os fluxos de trabalho, as cadeias de aprovação, os sistemas de informação e os controles operacionais para identificar redundâncias, gargalos, ineficiências e oportunidades de melhoria que a rotina operacional frequentemente obscurece. Essa dimensão consultiva da auditoria interna é valorizada especialmente quando a função tem o posicionamento estratégico necessário para ir além da verificação de conformidade e contribuir efetivamente para o aprimoramento dos processos. A auditoria de processos em tecnologia da informação, que examina os controles de acesso a sistemas, os procedimentos de backup e continuidade de negócios, a gestão de incidentes cibernéticos e a conformidade com regulamentos de proteção de dados como a LGPD, é um dos campos de maior crescimento da demanda por auditoria interna, reflexo da criticidade crescente dos ativos digitais para o funcionamento das organizações. A auditoria de projetos, que examina a gestão de projetos de grande impacto como a implementação de novos sistemas, expansões geográficas e aquisições, é outra área em que a auditoria interna pode contribuir para a redução de riscos antes que se materializem em perdas. "Uma auditoria que apenas encontra o que está errado é útil, mas uma auditoria que também enxerga o que poderia funcionar melhor é estratégica."
A Tecnologia na Auditoria Interna Moderna
A incorporação de tecnologias avançadas à prática da auditoria interna está transformando a função de forma acelerada, ampliando sua capacidade de cobertura, sua velocidade de análise e sua eficácia na identificação de anomalias e riscos. A análise de dados em grandes volumes, por meio de ferramentas de business intelligence e de análise estatística, permite que os auditores internos examinem a totalidade das transações de um período em vez de trabalhar com amostras, aumentando drasticamente a probabilidade de identificação de irregularidades que passariam despercebidas em auditorias baseadas em amostragem. O monitoramento contínuo, que substitui a auditoria periódica pela avaliação em tempo quase real dos indicadores de controle e dos alertas de risco, é uma tendência que os auditores internos mais avançados já implementam para determinados processos de alto risco. A inteligência artificial aplicada à auditoria interna, com modelos de aprendizado de máquina que identificam padrões suspeitos em transações financeiras e em comportamentos de acesso a sistemas, está expandindo as fronteiras do que é possível detectar com os recursos disponíveis. O uso de ferramentas de automação robótica de processos, o RPA, para executar procedimentos de auditoria repetitivos, libera os auditores para se concentrar nas análises de maior complexidade e na interação com os auditados. "Uma auditoria que examina cem por cento das transações com algoritmos encontra irregularidades que a auditoria que examina dois por cento nunca veria."
O Impacto da Auditoria Interna nos Mercados de Capitais
Nas companhias abertas com ações negociadas em bolsa de valores, a qualidade da auditoria interna é um fator que os investidores institucionais e as agências de rating de governança corporativa avaliam como indicador da robustez do sistema de controles internos da empresa. A Lei Sarbanes-Oxley, aprovada nos Estados Unidos em 2002 em resposta a escândalos contábeis que destruíram valor de mercado de empresas e prejudicaram milhares de acionistas, estabeleceu obrigações específicas sobre a estrutura e o funcionamento da auditoria interna das companhias abertas norte-americanas e de suas subsidiárias em outros países. No Brasil, as companhias abertas listadas na B3, especialmente as que optaram pelos segmentos de listagem com maiores exigências de governança como o Novo Mercado, são avaliadas por agências de rating e por investidores institucionais que incluem a qualidade da auditoria interna entre os critérios de sua análise de risco de governança. O investidor que deposita recursos em uma empresa com auditoria interna bem estruturada, independente e com acesso ao conselho de administração está adquirindo um nível superior de garantia sobre a confiabilidade das informações que a empresa divulga ao mercado. "Uma empresa com boa auditoria interna está dizendo ao mercado que tem confiança suficiente em seus controles para deixar alguém independente examiná-los."
Auditoria Interna como Investimento, Não Custo
A percepção equivocada da auditoria interna como custo a ser minimizado em vez de investimento estratégico é um dos maiores obstáculos ao desenvolvimento da função nas organizações brasileiras, especialmente nas empresas de médio porte que consideram o departamento de auditoria um luxo de grandes corporações. A realidade é que o retorno sobre o investimento em auditoria interna, medido pela prevenção de fraudes, pela redução de multas e condenações judiciais, pela melhoria de eficiência operacional e pela redução do custo de capital por melhor percepção de governança pelos investidores, supera consistentemente o custo de manutenção da função quando esta é bem estruturada e bem posicionada na hierarquia organizacional. O departamento de auditoria interna que previne uma única fraude de magnitude expressiva ou que identifica uma vulnerabilidade regulatória antes que ela se torne uma autuação pode justificar seu custo anual em uma única entrega. A construção de uma função de auditoria interna de qualidade, com profissionais certificados pelo IIA, com plano baseado em riscos, com relatórios que chegam ao conselho de administração e com capacidade de uso de ferramentas tecnológicas avançadas, é uma decisão estratégica que organizações responsáveis não podem adiar indefinidamente. "O melhor momento para criar uma auditoria interna foi antes de a organização crescer, o segundo melhor momento é hoje, antes do problema que ela poderia ter prevenido."