O conceito errôneo de que a auditoria interna fornece garantia total em vez de garantia razoável deve ser corrigido.
Building a Better Auditor: Em Defesa da Avaliação Razoável
Blogs Seth Agyei Aboagye, ACIB mar 25, 2025
A auditoria interna desempenha um papel crítico na melhoria da governança corporativa, do gerenciamento de riscos e da eficácia do controle interno. Entretanto, um equívoco crescente entre os clientes de auditoria, incluindo os proprietários de riscos de primeira linha e a gestão executiva, é que, uma vez que uma área tenha sido auditada, não deveria ocorrer qualquer falha de controle. Esse mal-entendido está gradualmente desviando as expectativas de fornecer garantia razoável para fornecer uma garantia total, o que não é prático nem está alinhado com os princípios da auditoria interna.
A garantia razoável, conforme praticada pelos auditores internos, significa que as auditorias são elaboradas para avaliar a criação dos controles dentro de um escopo definido, usando metodologias estabelecidas e técnicas de amostragem. Isso não implica que cada transação, controle ou processo seja revisado exaustivamente. Em vez disso, as auditorias se concentram em áreas de alto risco, alavancando a análise de dados, testes de controle e julgamento profissional para identificar riscos e anomalias materiais. A expectativa de que a auditoria interna deveria descobrir todas as falhas possíveis ignora realidades como limitações de escopo, técnicas de amostragem e questões autoidentificadas pela gestão.
Toda auditoria é governada por termos de referência acordados, delineando as áreas específicas cobertas, a metodologia usada e as potenciais limitações. Os auditores trabalham dentro desse escopo, assegurando o uso eficiente do tempo e dos recursos e, ao mesmo tempo, abordando os principais riscos. A realização de uma análise completa de todas as transações é inviável, portanto, os auditores dependem de técnicas que envolvem estatísticas, julgamento, observação, entrevistas, amostragem, etc. A frequência e o volume das amostras dependem da natureza do processo, dos dados disponíveis e de outros fatores. Mesmo com a adoção de ferramentas avançadas de IA ou de análise de dados, podemos não ser capazes de dizer que estamos prestando avaliação total, devido à subjetividade naquilo que o auditor diz para a IA ou o bot fazer.
Apesar das limitações inerentes à auditoria interna, os auditores são frequentemente responsabilizados quando falhas de controle se materializam. Muitos executivos e proprietários de riscos não revisam os papéis de trabalho ou as metodologias de auditoria antes de questionar por que uma questão não foi detectada. Eles ignoram fatores importantes, como o momento da auditoria, as mudanças no ambiente de negócios que podem ter afetado os controles após a auditoria e os riscos operacionais que são inerentemente difíceis de mitigar — ameaças cibernéticas externas, erro humano, falhas de sistema e outros. Essa lacuna de expectativa coloca uma pressão excessiva sobre os auditores internos, obrigando-os a realizar revisões de ponta a ponta além do que é viável, muitas vezes às custas do foco em áreas de risco críticas.
Embora a auditoria interna forneça uma revisão independente da eficácia do controle, ela não é a única guardiã do gerenciamento de riscos. Os papéis de primeira linha (unidades de negócios) são os donos do risco e são responsáveis pela implementação e manutenção dos controles. A auditoria interna desempenha uma função de consultoria e monitoramento, assegurando que os riscos sejam identificados, gerenciados e mitigados com eficácia. A mitigação dos riscos também depende de fatores externos que podem estar fora do controle direto da organização. Os riscos de cibersegurança continuam evoluindo, apesar dos investimentos em tecnologias avançadas de segurança. A questão fundamental não é se uma organização pode impedir completamente as ameaças cibercriminosas, mas com que rapidez ela pode detectar, responder e se recuperar de um ataque. Da mesma forma, os riscos macroeconômicos, como inflação, flutuações nas taxas de câmbio e eventos geopolíticos, não podem ser eliminados, mas podem ser gerenciados por meio de planejamento financeiro proativo e análise de cenários.
A manutenção do sucesso organizacional é uma responsabilidade coletiva. As unidades de negócios de primeira linha devem garantir que os controles sejam robustos, eficazes e continuamente monitorados. As funções de segunda linha, que compreendem as equipes de gerenciamento de riscos e conformidade, devem fornecer supervisão e orientação para reforçar uma forte cultura de riscos. A terceira linha, a auditoria interna, presta avaliação independente — não como uma garantia absoluta, mas como uma avaliação informada e baseada em riscos sobre a eficácia dos controles.
O conceito errôneo de que a auditoria interna presta garantia total em vez de razoável deve ser corrigido. Os clientes de auditoria e a gestão deveriam reconhecer as limitações práticas das auditorias e apreciar o papel das técnicas de amostragem, da definição de escopo e da priorização baseada em riscos no processo de auditoria. Ao promover uma cultura em que todos os stakeholders reconheçam seus papéis no gerenciamento de riscos, as organizações podem criar um framework de avaliação mais realista, eficiente e eficaz — um framework em que a auditoria interna seja valorizada por aprimorar a governança, em vez de ser injustamente responsabilizada por cada falha de controle.