Tendo a finalidade de regulamentar a função de auditoria interna das instituições financeiras, o Banco Central do Brasil publicou a resolução 4.588 em 29 de junho de 2017, que regulamenta a atividade de Auditoria Interna no país, e determinou que todas as instituições financeiras devem seguir as normas e procedimentos estabelecidos pelo Instituto dos Auditores Internos do Brasil.
Este é um grande marco para a profissão da auditoria interna, principalmente para aqueles que exercem essa obstinada função em instituições financeiras, uma vez que desde 1998 — com a publicação da resolução 2554, onde a Auditoria Interna era apenas citada como um importante órgão de governança — o Bacen não se pronunciava em relação à atividade, mesmo com o documento publicado pelo BIS (Bank for International Settlements) em 2001 e posteriormente substituído em 2012, no qual este teve a finalidade de “orientar” a função de auditoria interna das instituições financeiras.
Esta é a grande diferença. O Bacen, ao publicar esta resolução, regulamenta a atividade de auditoria interna — utilizando as normas do IIA como referência em seis capítulos –, e também aspectos relacionados, que vão desde as características essenciais (independente, contínua, dispor de recursos suficientes, mandatos do CAE – Chief Audit Executive) até aos deveres da administração, atribuindo ao conselho de administração por parte da instituição a responsabilidade de assegurar a observância das normas e procedimentos aplicáveis à atividade de auditoria interna.
Em relação aos membros da equipe de auditoria interna é definido que estes devem atuar com total independência. Portanto, não devem ser responsáveis pela execução de nenhuma atividade de controle. No entanto, serão competentes para coletar, entender, examinar e avaliar as informações e de julgar os resultados.
Devem também reportar ao Conselho de Administração e ao Comitê de Auditoria (quando constituído), devendo a instituição garantir permanente canal de comunicação com a alta administração, que permita que ajam corretivamente, de forma apropriada e tempestiva, em resposta às recomendações decorrentes dos trabalhos de auditoria interna. Devem ter também autoridade para avaliar as funções próprias e as funções terceirizadas da instituição tendo livre acesso a quaisquer informações.
Além disso, a resolução menciona que a política de remuneração dos membros da equipe de auditoria interna deve ser determinada independentemente do desempenho das áreas de negócios, de forma a não gerar conflito de interesses, algo que ocorria ainda em alguns bancos.
O escopo da atividade de auditoria interna deve considerar todas as funções da instituição, incluindo as terceirizadas, e no caso de instituição líder de conglomerado prudencial, deve considerar também as funções das instituições integrantes do conglomerado, o que vai sensibilizar sobre maneira o plano de auditoria interna dos próximos anos.
Na minha opinião, faltou recomendar, conforme orientação do próprio IIA, o planejamento das atividades em um universo de até três anos para que se possa projetar rotação de ênfase das atividades. É indicado que se revisite o planejamento, no mínimo, anualmente, para considerar as mudanças em nas organizações e no cenário externo.
Interessante ressaltar que, com a publicação desta resolução, o Bacen fica autorizado a determinar a inclusão e a execução de trabalhos no escopo da auditoria interna e a adoção de medidas com vistas ao aperfeiçoamento dos processos de auditoria interna, o que na prática já acontece de forma extraoficial.
Outro aspecto que nos entusiasma é o conceito agora regulamentado relacionado ao foco em riscos, preconizando uma atuação na avaliação dos demais órgãos de governança (2o linha de defesa) e considerando os riscos atuais e potenciais riscos futuros das instituições.
Agora vamos observar as mudanças que deverão ocorrer na prática, mas não subestimemos a importância que o regulador esta dando a nossa atividade, uma vez que este documento detalhado de 7 páginas recém-publicadas substitui ao publicado pela resolução 2554, em uma única seção, há aproximadamente 20 anos.
Rodrigo Abbruzzini é Head de GRC, Auditoria Interna e Externa na IAUDIT . Diretor de Riscos e Processos da ANEFAC, é palestrante em temas relacionados a Compliance, Auditoria Interna e Governança nos Congressos da ANEFAC, CRC, ABRAPP, ABAC e Informa Group.
