Princípio 1: Governança
A governança de uma organização requer estruturas e processos apropriados que permitam:
- Prestação de contas por parte de um órgão de governança aos stakeholders quanto à supervisão organizacional através da integridade, liderança e transparência.
- Ações (incluindo o gerenciamento de riscos) da gestão para atingir os objetivos da organização por meio da tomada de decisões baseada em riscos e da aplicação de recursos.
- Avaliação e assessoria por uma função de auditoria interna independente, para oferecer clareza e confiança, além de promover e facilitar a melhoria contínua, por meio de investigação rigorosa e comunicação perspicaz.
Princípio 2: Papéis do órgão de governança
O órgão de governança garante que:
- Estruturas e processos adequados estejam em vigor para uma governança eficaz;
- Os objetivos e atividades organizacionais estejam alinhados com os interesses priorizados dos stakeholders.
O órgão de governança:
- Delega responsabilidades e oferece recursos à gestão para atingir os objetivos da organização, garantindo que as expectativas legais, regulatórias e éticas sejam atendidas;
- Estabelece e supervisiona uma função de auditoria interna independente, objetiva e competente para oferecer clareza e confiança no progresso em direção ao atingimento dos objetivos.
Princípio 3: Gestão e os papéis da primeira e segunda linhas
A responsabilidade da gestão de atingir os objetivos organizacionais compreende os papéis da primeira e segunda linhas.
Os papéis de primeira linha estão mais diretamente alinhados com a entrega de produtos e/ou serviços aos clientes da organização, incluindo funções de apoio. Os papéis de segunda linha fornecem assistência no gerenciamento de riscos.
Os papéis de primeira e segunda linha podem ser combinados ou separados. Alguns papéis de segunda linha podem ser atribuídos a especialistas, para fornecer conhecimentos complementares, apoio, monitoramento e questionamento àqueles com papéis de primeira linha. Os papéis de segunda linha podem se concentrar em objetivos específicos do gerenciamento de riscos, como: conformidade com leis, regulamentos e comportamento ético aceitável; controle interno; segurança da informação e tecnologia; sustentabilidade; e avaliação da qualidade. Como alternativa, os papéis de segunda linha podem abranger uma responsabilidade mais ampla pelo gerenciamento de riscos, como o gerenciamento de riscos corporativos (enterprise risk management – ERM). No entanto, a responsabilidade pelo gerenciamento de riscos segue fazendo parte dos papéis de primeira linha e dentro do escopo da gestão.
Princípio 4: Papéis da terceira linha
A auditoria interna presta avaliação e assessoria independentes e objetivas sobre a adequação e eficácia da governança e do gerenciamento de riscos. Isso é feito através da aplicação competente de processos sistemáticos e disciplinados, expertise e conhecimentos. Ela reporta suas descobertas à gestão e ao órgão de governança para promover e facilitar a melhoria contínua. Ao fazê-lo, pode considerar a avaliação de outros prestadores internos e externos.
Princípio 5: A independência da terceira linha
A independência da auditoria interna em relação a responsabilidades da gestão é fundamental para sua objetividade, autoridade e credibilidade. É estabelecida por meio de: prestação de contas ao órgão de governança; acesso irrestrito a pessoas, recursos e dados necessários para concluir seu trabalho; e liberdade de viés ou interferência no planejamento e prestação de serviços de auditoria.
Princípio 6: Criando e protegendo valor
Todos os papéis que trabalham juntos contribuem coletivamente para a criação e proteção de valor quando estão alinhados entre si e com os interesses priorizados dos stakeholders. O alinhamento das atividades é feito através da comunicação, cooperação e colaboração. Isso garante a confiabilidade, coerência e transparência das informações necessárias para a tomada de decisões baseada em riscos.