Artigo
30/08/2023
Atualizado em 10/04/2026

Principais Pontos de Estudo Global sobre a Maturidade da Auditoria Interna

Pesquisa global com mais de 2.500 CAEs avalia maturidade da auditoria interna, destacando alinhamento estratégico, avaliação de riscos abrangente, diversidade de habilidades e atualização contínua de processos.

Imagem de capa do artigo

Quão madura está sua área de auditoria interna e esse processo e governança na sua empresa?

Em um grupo de WhatsApp de auditores que participo, comentaram sobre uma interessante pesquisa feita pelo grupo do Global Internal Audit Common Body of Knowledge (CBOK), que é um dos maiores estudos contínuos do mundo sobre a profissão de auditoria interna. Achei interessante e, por isso, queria trazer mais sobre os resultados aqui neste post.

O estudo abrangeu tanto os profissionais de auditoria interna quanto seus stakeholders, com uma perspectiva global distribuída geograficamente entre: 8% vêm do Oriente Médio e Norte da África, 6% da África Subsaariana, 14% da América Latina e Caribe, 19% da América do Norte, 5% do Sul da Ásia, 25% da Ásia Oriental e Pacífico e 23% da Europa.

A avaliação da maturidade do departamento de auditoria interna é um tópico central que foi abordado através de respostas de mais de 2.500 executivos-chefes de auditoria (CAEs) na base de dados do Common Body of Knowledge (CBOK) do IIA. Essas informações foram complementadas com entrevistas com uma pequena amostra de CAEs de diferentes regiões do mundo. O objetivo dessa avaliação era construir estratégias para diminuir as lacunas entre a qualidade esperada e realizada da auditoria interna. Para isso, foram introduzidos indicadores de maturidade que auxiliam os principais stakeholders a decidir o grau de confiabilidade nos serviços do departamento de auditoria interna e orientam os CAEs na evolução de departamentos mais maduros.

Interessante ver que o relatório abrangeu diversas indústrias e regiões globais e também reporta sobre a influência da idade e tamanho dos departamentos de auditoria, tamanho da organização e grau de conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna do IIA.

Entre os indicadores de maturidade estão: alinhamento com o plano estratégico da empresa, mais a agilidade e flexibilidade na adaptação de planejamento e prioridades, assim como a aplicação de uma avaliação de risco mais ampla, e a presença de uma equipe de auditoria com habilidades diversificadas, programas de treinamento estruturados, monitoramento contínuo dos procedimentos de auditoria, e uso de tecnologias avançadas como mineração de dados e análise de dados em todo o processo de auditoria.

O estudo também destaca a importância de um Programa de Garantia e Melhoria da Qualidade (QAIP) alinhado com a estratégia de auditoria interna e sustentado por uma cultura de melhoria contínua da qualidade. Cada parte do relatório deste estudo inclui itens relevantes para fornecer orientações na melhoria da maturidade do departamento de auditoria interna.

O alinhamento do departamento de auditoria interna com o plano estratégico da empresa é um dos indicadores críticos de maturidade. Neste sentido, o estudo mostrou pela pesquisa que, em média, 55% dos executivos-chefes de auditoria (CAEs) respondentes indicam que seus departamentos estão totalmente ou quase totalmente alinhados com o plano estratégico de suas organizações. Este alinhamento é importante para garantir sinergia entre o departamento e a empresa como um todo. Curiosamente, as regiões com maior proporção de alinhamento são América Latina & Caribe (70%) e África Subsaariana (65%), enquanto as regiões com menor proporção são Ásia do Sul (42%) e Ásia Oriental & Pacífico (44%).

Ao analisar esses dados com base na idade do departamento de auditoria, observa-se que quanto mais antigo o departamento, maior é a probabilidade de estar quase totalmente alinhado com o plano estratégico.

Outro ponto relevante é a relação inversa em forma de U entre o tamanho do departamento e o alinhamento estratégico, indicando que departamentos extremamente grandes (com mais de 300 equivalentes de tempo integral) tendem a ter menor alinhamento.

Diferentes setores também mostram variações na proporção de alinhamento estratégico, com as indústrias de utilidades públicas e financeira/seguradora exibindo as maiores proporções.

Interessante ver que não há variação significativa entre organizações privadas e públicas ou entre organizações locais/nacionais e multinacionais.

Outra conclusão importante é a existência de uma relação significativa entre o alinhamento e a conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna do IIA, assim áreas que estão totalmente em conformidade com as Normas estão mais alinhadas (62%) do que aquelas que estão parcialmente em conformidade (48%) ou não estão em conformidade (40%).

Outro ponto é que áreas que possuem um processo formal para rodízio de pessoal como parte do treinamento de gestão também mostraram maior alinhamento (74%). Os itens de ação incluem a construção de uma forte relação com a alta administração e conselheiros e comitês, e a prontidão para adaptar o planejamento e as prioridades da auditoria interna às mudanças significativas nos objetivos estratégicos da organização.

Outro ponto bem importante que o estudo aborda é que a avaliação de riscos é uma função fundamental da auditoria interna, e o estudo apresenta dois métodos predominantes: "avaliação de riscos abrangente" e "avaliação de riscos focada". A abordagem abrangente é geralmente considerada um sinal de maturidade da área de auditoria interna, pois visa uma visão "holística" dos vários riscos que a empresa enfrenta, enquanto a avaliação focada se concentra em riscos específicos de forma isolada. Uma média global de 71% dos CAEs (Executivos-Chefes de Auditoria) utiliza avaliação de riscos abrangente. Este método é mais eficaz para minimizar a probabilidade de riscos negligenciados, que é uma vulnerabilidade inerente à avaliação de riscos focada.

Ao analisar regionalmente, o Oriente Médio & Norte da África (80%) e a América do Norte (76%) têm as maiores proporções de departamentos que dependem de avaliação de riscos abrangente. Em contrapartida, Ásia Oriental & Pacífico (59%) e Ásia do Sul (62%) têm as menores proporções.

Além disso, há uma correlação positiva entre o uso de avaliação de riscos abrangente e a idade do departamento de auditoria interna, o que sugere que áreas mais antigas têm maior probabilidade de adotar essa abordagem.

Outro dado interessante é a relação inversa em forma de "U" entre o tamanho da área de auditoria interna e o uso de avaliação de riscos abrangente. Departamentos de médio porte mostram maior adoção dessa abordagem, enquanto departamentos muito pequenos ou grandes mostram taxas menores de adoção. As variáveis como o tipo de empresa (pública versus privada; local/nacional versus multinacional) e se a auditoria interna é mandatada por lei não mostram diferenças significativas. No entanto, o setor de finanças e seguros (81%) e o setor de alojamento e alimentação (75%) são mais propensos a usar avaliações de riscos abrangentes, enquanto os setores de manufatura (60%) e comércio por atacado (63%) são menos propensos.

A conformidade com as Normas do IIA (Instituto de Auditores Internos) também mostra uma correlação positiva com o uso de avaliação de riscos abrangente, pois o estudo mostrou que áreas que têm um processo formal para rodízio de pessoal como parte do programa de treinamento de gestão também tendem a adotar mais frequentemente essa abordagem.

Para aprimorar a eficácia da avaliação de riscos, os itens de ação incluem: promover discussões em todas as linhas de negócio para construir uma visão holística ampla da empresa; garantir que a avaliação de riscos seja o mais abrangente possível para evitar pontos cegos; e construir conhecimento e entendimento suficientes dos negócios em níveis micro e macro para criar consciência para os "desconhecidos desconhecidos".

A formação da equipe de auditoria interna é um indicador do grau de maturidade da área, pois segundo os dados globais deste estudo, 53% dos Chefes de Auditoria Executiva (CAEs) relatam que sua equipe tem uma combinação equilibrada de habilidades tradicionais de auditoria e conhecimento da indústria. Em contrapartida, 34% das equipes possuem um perfil mais tradicional voltado para contabilidade e auditoria. O mix de formações é mais comum nas regiões do Oriente Médio e Norte da África, bem como na Europa, com 62% em ambas as regiões. A maturidade da área é diretamente proporcional à diversidade dessas habilidades, variando de 47% nos departamentos mais jovens para 60% nos mais antigos.

Outro indicador de maturidade relacionado a recursos humanos é a existência de um programa de treinamento estruturado e documentado para auditores internos. Cerca de 47% dos CAEs indicam que possuem tal programa. A probabilidade de um departamento ter um programa de treinamento formal aumenta com a idade da área, de 33% nos mais jovens para 66% nos mais antigos. O setor financeiro, em particular, apresenta maior formalização de programas de treinamento, com 62% das empresas tendo um programa estruturado.

Quanto ao conteúdo, a maior parte dos programas de treinamento ainda se concentra no desenvolvimento de habilidades de auditoria interna (68%). Cerca de 53% dos CAEs indicam que também oferecem treinamento para desenvolver conhecimento empresarial. Há uma relação significativa entre a diversificação do programa de treinamento e a idade da área de auditoria interna. A conformidade com os Padrões do IIA também é altamente correlacionada com a natureza dos programas de treinamento.

Pontos relevantes nisto está a construção da equipe, onde é preciso investir na diversificação das habilidades da equipe, balanceando conhecimentos tradicionais de auditoria com conhecimentos específicos da indústria, sem deixar de lado o treinamento contínuo, que consiga assegurar que exista um programa de treinamento estruturado e documentado. Torne o treinamento uma prática contínua na área de auditoria interna. Mas não se esqueça da diversificação do treinamento, garantindo que o programa de treinamento seja diversificado o suficiente para atender às necessidades específicas dos membros da equipe. E por fim, não podemos esquecer do desenvolvimento de habilidades adicionais, onde deve fomentar o desenvolvimento de habilidades em pensamento crítico e liderança através de treinamentos externos ao campo tradicional da auditoria.

Ambientes de negócios dinâmicos exigem atualizações periódicas da avaliação de risco. A maturidade da área de auditoria interna é frequentemente indicada pela frequência com que esta avaliação de risco é atualizada. Segundo os dados apresentados, 59% dos Auditores-Chefes Executivos (CAEs) afirmam que realizam avaliações de risco anuais, com atualizações formais periódicas (36%) ou avaliações de risco contínuas (23%).

Um dado alarmante é que 9% dos CAEs, em várias regiões globais, nunca atualizam suas avaliações de risco. Isso demonstra uma lacuna significativa na gestão de riscos e pode expor a empresa a vulnerabilidades inesperadas.

Além disso, áreas de auditoria mais antigas tendem a atualizar suas avaliações de risco mais frequentemente do que as mais jovens. Empresas listadas atualizam significativamente mais suas avaliações de risco do que as do setor público. Este último ponto pode ser devido a regulamentações mais rigorosas ou a maior escrutínio público.

O estudo também aborda a capacidade dos CAEs de adaptar os planos de auditoria para apoiar mudanças organizacionais. Uma média global de 73% dos CAEs se avaliam como avançados ou especialistas nesse quesito. Este número varia significativamente com a região e o tipo de organização, sendo mais alto na Europa (82%) e América do Norte (79%), e mais baixo na Ásia do Sul (59%) e Ásia Oriental e Pacífico (53%).

O estudo também sugere ações como manter a avaliação de risco tão atualizada quanto necessária para a empresa e construir um conhecimento empresarial suficiente em todos os níveis do departamento de auditoria interna. É também importante atualizar a avaliação de risco quando houver mudanças importantes no perfil de risco da organização, mostrando a importância da agilidade e flexibilidade da área de auditoria interna.

O manual de auditoria interna desempenha um papel importante no estabelecimento de diretrizes padronizadas para os procedimentos de auditoria. De acordo com estatísticas globais, 54% dos Diretores de Auditoria (Chief Audit Executives - CAEs) indicam que os procedimentos de auditoria em suas áreas são documentados e monitorados, servindo como um indicador da maturidade da auditoria interna. Por outro lado, 17% dos CAEs apontam que seus procedimentos de auditoria são ad-hoc e não claramente documentados.

Existem variações regionais notáveis, como por exemplo, o Oriente Médio e o Norte da África têm a menor incidência de documentação e monitoramento (49%), enquanto a Ásia Oriental e o Pacífico têm a maior (56%). Este dado é essencial para gestores de risco, pois pode sinalizar possíveis incoerências na aplicação de normas de auditoria em diferentes regiões.

A idade e o tamanho da área de auditoria interna também influenciam essas práticas, pois as mais antigas têm maior probabilidade (73%) de documentar e monitorar procedimentos de auditoria em comparação com as mais jovens (42%). Quando se trata do tamanho da área, a relação mostra um formato de U invertido, com médias empresas tendo mais procedimentos documentados e monitorados em comparação com grandes corporações.

O censo também indica que uma grande maioria dos CAEs possui um estatuto de auditoria interna (85%), manuais operacionais (71%) e códigos de conduta/ética (70%). No entanto, apenas cerca de metade (52%) tem uma declaração de missão escrita separadamente para seu departamento de auditoria interna.

É mais comum encontrar essas políticas e documentos em empresas listadas e em áreas de auditoria que são usadas como campos de treinamento para gestão. Este dado é especialmente relevante para gestores de risco e CAEs em empresas não listadas ou áreas mais jovens, onde o desenvolvimento dessas diretrizes pode ser uma área de melhoria.

Algumas dicas sobre este ponto poderiam começar em relação a documentação e monitoramento, aonde deve assegurar que os procedimentos de auditoria sejam documentados e continuamente monitorados. Esse monitoramento deve ser integrado no Programa de Garantia e Melhoria da Qualidade (Quality Assurance and Improvement Program - QAIP). Deve ainda se preocupar com uma boa estratégia de Auditoria Interna, e precisa dedicar um tempo para refletir sobre a estratégia de auditoria interna e garantir que ela seja explícita, documentada e comunicada em toda a empresa. Não se esqueça dos indicadores chave de desempenho (KPIs), que consigam traduzir bem a estratégia de auditoria interna e para permitir o monitoramento contínuo do cumprimento da estratégia. Esses KPIs devem ser uma parte central do QAIP. Por fim, não se esqueça da importância da revisão anual dos procedimentos, alinhado com o perfil de risco atual da entidade e dos riscos.

O uso da tecnologia no apoio às atividades de auditoria interna tornou-se um indicador de maturidade para as áreas de auditoria. Vários CAEs mostraram em pesquisas globais uma correlação entre o grau de tecnologia adotado e vários outros fatores como a idade da área, o tamanho da empresa e o grau de conformidade com padrões de auditoria.

O uso extensivo de tecnologia, incluindo mineração e análise de dados, é relatado por 39% dos CAEs. Por outro lado, 23% ainda dependem apenas de sistemas e processos manuais. O nível de maturidade tecnológica parece ter uma correlação linear com a idade da área de auditoria: quanto mais antigo, mais propenso a usar tecnologia de forma extensa.

O estudo mostrou que as regiões da América do Norte e do Sul da Ásia têm um uso significativamente mais elevado de tecnologia nas áreas de auditoria (50% e 45%, respectivamente), em comparação com o Leste Asiático e o Pacífico (28%). Além disso, empresas internacionais ou multinacionais têm mais probabilidade de usar tecnologia (43%) em comparação com organizações locais (33%).

A adoção da tecnologia também varia entre setores. As áreas de auditoria nas indústrias de finanças e seguros (46%) e de serviços profissionais, científicos e técnicos (42%) são mais propensas a usar TI em comparação com os setores de construção (29%) e manufatura (29%). Há também uma correlação positiva com o tamanho da empresa: empresas maiores tendem a usar mais tecnologia em seus processos de auditoria.

A conformidade com os padrões de auditoria interna também é um fator importante. As áreas que estão em conformidade total com os padrões têm maior probabilidade de usar tecnologia (47%) em comparação com aqueles que não estão em conformidade (23%) ou estão parcialmente em conformidade (32%).

No que se refere ao uso de ferramentas específicas, como mineração de dados e análise de dados, uma média global de 47% dos CAEs indica que fazem uso moderado ou extensivo dessas ferramentas. Apenas 31% usam auditoria contínua ou em tempo real de forma moderada ou extensa.

Dicas sobre este tema começam pela preocupação de integrar tecnologia em todo o processo de auditoria para melhorar a eficiência e eficácia, incluindo ferramentas de mineração e análise de dados, assim como implementar elementos de auditoria contínua ou em tempo real, na medida em que o ambiente de controle e TI permita, para aumentar a eficiência e eficácia.

O Programa de Garantia e Melhoria da Qualidade (sigla em inglês de: QAIP) é uma exigência dos padrões de auditoria interna e serve como um indicador de maturidade para os departamentos de auditoria. Este estudo aborda as nuances e as correlações do QAIP com base em diversas métricas e variáveis.

Cerca de 34% dos CAEs relatam ter um QAIP bem definido, incluindo uma revisão externa de qualidade e, em alguns casos, um vínculo formal com atividades contínuas de melhoria e treinamento de pessoal. O consenso entre os entrevistados é que o refinamento contínuo da abordagem, metodologia e ferramentas é fundamental para fornecer serviços de alta qualidade.

Vários indicadores de maturidade são geridos direta ou indiretamente através de um QAIP robusto. Um sistema de gestão de desempenho que inclui KPIs multidimensionais, benchmarking regular e pesquisas de satisfação dos stakeholders são citados como elementos importantes. A integração de revisões de qualidade na metodologia de auditoria é considerada um avanço significativo para a maturidade da auditoria interna.

Na Europa (42%) e na América do Norte (40%), os QAIPs das áreas de auditoria interna participantes são significativamente mais desenvolvidos, enquanto o Sul da Ásia (20%) e a América Latina e o Caribe (22%) estão na extremidade inferior. O uso do QAIP aumenta significativamente com a idade das áreas de auditoria interna, assim como com o tamanho da empresa.

Áreas de auditoria interna no setor financeiro (40%) e organizações do setor público (38%) têm uma maior prevalência de QAIPs bem definidos, incluindo revisões externas de qualidade. A presença de um QAIP também é mais comum em empresas de grande porte e aquelas que estão em conformidade total com os padrões de auditoria interna.

A conformidade com os padrões está fortemente relacionada ao desenvolvimento de um QAIP. Cerca de 50% das áreas que estão em conformidade total com os padrões têm um QAIP bem definido, em comparação com apenas cerca de 17% dos que não estão em conformidade total ou parcial.

Dicas sobre este tema e para quem ainda não tem, é desenvolver logo um QAIP para a área de auditoria interna, incluindo um sistema de gestão de desempenho robusto, de acordo com as diretrizes fornecidas pelos padrões e práticas consultivas do IIA. Mas sem deixar de adaptar o QAIP à estratégia de auditoria interna, baseando-o nos KPIs documentados acima. E como sempre é fundamental criar uma cultura dentro do departamento de auditoria interna em torno da garantia e melhoria contínua da qualidade.

Para resumir um pouco deste estudo, ele identificou 11 indicadores listados acima para avaliar a maturidade dos departamentos de auditoria interna, que mostrou que uma área madura deve ter profissionais qualificados, treinamento sólido, uso de co-sourcing para assuntos especializados, atualização do plano de auditoria pelo menos trimestralmente, independência, uso de tecnologia e análise de dados, alinhamento com objetivos estratégicos e metas operacionais, e atualização constante em relação a riscos emergentes e melhores práticas. Pouca coisa não?

A pesquisa encontrou uma relação entre a maioria dos indicadores de maturidade e o tamanho da área de auditoria interna. Em outras palavras, a presença dos indicadores de maturidade aumenta até um certo tamanho médio da área, em seguida, diminui para áreas muito grandes. Esta relação também foi observada em relação ao tamanho da empresa em um dos casos. Diferenças regionais e setoriais também foram observadas. Áreas de auditoria interna em indústrias/segmentos regulamentados, como bancos e seguros, tendem a ser mais maduras.

Os entrevistados identificaram que a maturidade pode ser medida pelo número e natureza dos encontros com a alta gestão e membros do conselho, bem como pelo grau de envolvimento solicitado pelos stakeholders em questões críticas para a empresa. No entanto, alguns entrevistados mantêm ceticismo quanto à mensuração da percepção dos stakeholders sobre a maturidade da auditoria interna, considerando-a mais uma "arte do que uma ciência".

O estudo também sugere que a idade da área de auditoria é um forte indicativo de sua maturidade, embora a idade por si só não seja um motor de maturidade. A conformidade total com os padrões é altamente associada a áreas de auditoria interna mais maduras.

Podem baixar o documento em:

https://www.theiia.org/globalassets/site/foundation/latest-research-and-products/practitioner-reports/cbok/cbok-pdfs/cbok-2015-benchmarking-internal-audit-maturity.pdf

Outra dica é assistir este webnar no link abaixo falando sobre este tema com o Fernando Lage, CCSA_CRMA e Camila Zoldan Marçal Souto da KPMG em:

https://www.youtube.com/live/9WPf7zgXMks?si=VcA1K_raglKdXxcb&t=557

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante