Em menos de 20 anos o auditor interno, que em muitos ca­sos era subordinado ao Controller, passou a se reportar ao comitê de auditoria, que é parte do conselho de administra­ção. Até o início dos anos 90 as auditorias internas eram mais focadas na contabilidade, com atenção a verificações físicas, documentação, suporte e validação de saldos.

Esse foco era tão forte que o CFC exigia formação em contabilidade para o exercício da profissão. Existiam auditorias bem estrutura­das e com profissionais bem treinados. Mas, como muitas empresas estavam orientadas a identificar erros e fraudes, a imagem era policialesca. Em outros casos a auditoria atuava em um nível muito operacional, longe da alta administração.

A função não era bem entendida e em muitos casos não se pagava. Assim, quando a economia declinou, veio a “Reen­genharia de Processos”, que “receitava” melhores produtos e serviços, em menor tempo e menor custo. Para reduzir gas­tos, funções que não eram valorizadas, como O & M e audito­ria interna, foram eliminadas ou drasticamente reduzidas.

Quando a economia global mostrou recuperação e as empre­sas estavam mais descentralizadas e com menor segregação de funções, começaram a pipocar erros e fraudes. Assim, surgiram novas oportunidades para a auditoria interna, mas com outra expectativa: evitar a ocorrência de erros e fraudes ao invés de apontá-los. Era a prevenção pela identificação de vulnerabili­dades, com proposição de ajustes para mitigar os riscos de materialização de erros e fraudes.

Nascia o conceito de gestão de riscos, que deu vida nova à auditoria interna, que passou a se subordinar ao diretor-financeiro. Mas, se questionou se o auditor teria independência para apontar problemas na própria área. A melhor prática passou a ser o reporte ao diretor-presidente.

No início dos anos 2000 ocorreram fraudes corporativas de grande repercussão, envolvendo importantes executivos. Havia manipulação de informações contábeis visando melhorar resultados para aumentar os bônus, mostrar cumprimento de metas ao mercado ou esconder perdas. Assim, a mão forte dos reguladores (SOX) definiu processos de controle e de gestão de riscos mais precisos e o auditor interno passou a se reportar ao comitê de auditoria.

A auditoria interna foi levada da área do controller para o comitê de auditoria por circunstâncias externas. E o futuro como será? Conseguirá se manter nesse nível? Outras funções começaram a se estruturar, sofisticar e a ganhar espaço, como compliance e gestão de riscos. Fica o alerta para que a auditoria interna não perca seu espaço junto à alta administração e retorne para um nível operacional.

Isso dependerá não somente do trabalho técnico de qualidade, mas de outras habilidades, como estar mais próximo do presidente e dos membros do comitê de auditoria. Isso requer conhecer mais de temas que estão na agenda da alta administração, como governança e riscos relacionados a emissões de carbono, queda dos juros, câmbio, reputação etc. Sem deixar de fazer, e bem, o básico em termos de identificação de vulnerabilidades e de proposição de melhorias em controles operacionais.

*Paulo Vanca, vice-presidente do Instituto dos Auditores Internos do Brasil - IIA Brasil e sócio-aposentado da PwC