As três linhas de “defesa”, uma nova visão!

Ontem o Instituto dos Auditores Internos divulgou a nova visão das três linhas, e o título me chamou atenção, pois não menciona a palavra “defesa”, que pode ser um equívoco, ou proposital, demonstrando que os membros de cada uma das linhas não estão lá para defender, mas sim para gerenciar, agregar valor, inclusive a terceira linha, o que faz mais sentido para mim.

O modelo original surgiu com a publicação em 21 de setembro de 2010 pela FERMA e ECIIA no Guidance on the 8th EU Company law como recomendação da implementação dos requisitos da lei para o monitoramento da efetividade do sistema de controles internos, auditoria interna e gerenciamento de riscos.

Foi um alívio ver que o bom senso prevaleceu na equipe que atualizou o modelo, pois tive acesso em alguns rascunhos da revisão do modelo os quais me deixaram preocupado, pela direção que estavam caminhando. Um dos argumentos para esta revisão é que as responsabilidades de cada um dos agentes de governança não estavam claramente definidas. Em novembro de 2018 escrevi um artigo sobre o assunto.

Esta atualização solucionou uma anomalia do modelo anterior, a qual demonstrava uma dualidade na linha de reporte da auditoria interna, uma seta para a Alta administração, e outra para o nível de supervisão e governança, causando com isto uma discussão, sem muito sentido sobre a independência da atividade de auditoria interna.

Neste novo formato é muito claro que a linha de reporte deve ser somente para o nível de supervisão e governança (Conselho e Comitê), sendo que a relação com a alta gestão (Presidente, seus diretos) é um processo de alinhamento, comunicação, coordenação e colaboração. Este ponto reforça a importância da independência para a existência de uma auditoria interna efetiva e integrada aos negócios.

Este quesito referente à independência é abordado também pelo princípio 5 que descreve de forma objetiva que é primordial a independência da auditoria em relação a responsabilidade de gestão, como vocês podem observar abaixo:

Princípio 5: A independência da terceira linha A independência da auditoria interna em relação a responsabilidades da gestão é fundamental para sua objetividade, autoridade e credibilidade. É estabelecida por meio de: prestação de contas ao corpo administrativo; acesso irrestrito a pessoas, recursos e dados necessários para concluir seu trabalho; e liberdade de viés ou interferência no planejamento e prestação de serviços de auditoria.

Outro tema relevante que este modelo traz para nosso entendimento é em relação ao papel da auditoria como consultoria, uma grande confusão criada quando da divulgação da definição da auditoria o qual inclui em seu enunciado que a auditoria agrega valor à organização por meio de avaliações e consultoria, o que infelizmente, permitiu entendimentos equivocados e grandes debates sobre este tema.

Esta nova versão vem acomodar este tema quando descreve os papeis de cada uma das linhas de defesa, como podemos ver abaixo, o papel da auditoria:

Auditoria interna

• Mantém a prestação de contas primária perante o corpo administrativo e a independência das responsabilidades da gestão.

• Comunica avaliação e assessoria independentes e objetivas à gestão e ao corpo administrativo sobre a adequação e eficácia da governança e do gerenciamento de riscos (incluindo controle interno), para apoiar o atingimento dos objetivos organizacionais e promover e facilitar a melhoria contínua.

• Reporta ao corpo administrativo prejuízos à independência e objetividade e implanta salvaguardas conforme necessário.

Observem que ela descreve “avaliação e assessoria independentes e objetivas”, lembrando que a objetividade é a independência do auditor em se posicionar e opinar, baseado em sua competência e proficiência.

Tenho dito que a auditoria cumpre com seu papel de consultor, não implementando ou executando atividades de gestão, mas sim, fazendo apontamentos inteligentes à gestão sobre oportunidades de melhorias operacionais para o fortalecimento da eficiência, eficácia e economicidade do processo de gerenciamento de riscos, controles internos e governança.

Agora, este modelo também salienta que independência não significa isolamento, pois deve haver uma interação entre as três linhas, de forma que possa existir auditores alinhados as necessidades estratégicas e operacionais da organização de forma que possa ser “conselheira confiável e parceira estratégica”.

Para que isto seja uma verdade, os auditores deverão voltar ao básico, deixar de querer ser “investigador” e/ou “apontador” de erros de conformidade no passado.

Quando digo voltar ao básico, é que os auditores internos deverão compreender objetivamente sua missão e a definição do que é auditoria, pontos essenciais que estão descritos na Estrutura Internacional de Práticas Profissionais do IIA, conhecida como IPPF. Além disto as normas de atributos e de desempenho devem ser observadas na execução dos trabalhos de avaliação e/ou consultoria.

Para finalizar, um ponto que observei, de menor relevância, mas que pode criar alguma confusão é que no Princípio 1 sobre governança, determina:

“Uma avaliação e assessoria realizada por uma função de auditoria interna independente, para oferecer clareza, além de promover e facilitar a melhoria contínua, por meio de investigação rigorosa e comunicação perspicaz”.

Na versão original na língua inglesa, a frase é a seguinte: “continuos improvement through rigorous inquiry and insightful communication”. Na minha modesta opinião, como auditoria não é investigação, e sim, avaliação, o melhor seria ter sido traduzido como “rigoroso exame e uma comunicação tempestiva, com acuracidade e inteligente.

Acredito que algumas discussões surgiram, e esta é minha contribuição para o entendimento desta versão do modelo das três linhas.

Seja Feliz!