Aviso Site sobre uso de Cookies:

A proteção dos dados pessoais é importante para o IIA Brasil. Usamos cookies para analisar o tráfego do site e assim melhorar os nossos serviços. A continuação do uso do nosso site, sem alterar as configurações do seu navegador, confirma a sua aceitação desses cookies.
Para mais informação, consulte a nossa política de cookies.


CONCORDO, continuar...

HOME > IPPF > Normas de Desempenho

Normas de Desempenho

As Normas de Desempenho descrevem a natureza das atividades de Auditoria Interna e fornecem critérios que permitem avaliar o desempenho desses serviços.

O chefe executivo de auditoria deve gerenciar de forma eficaz a atividade de Auditoria Interna, para garantir que agregue valor à organização.

Interpretação:

A atividade de Auditoria Interna é gerenciada de forma eficaz quando:

  • Cumpre com o propósito e a responsabilidade incluídos no estatuto de Auditoria Interna.
  • Está em conformidade com as Normas.
  • Seus membros, individualmente, demonstram conformidade com o Código de Ética e com as Normas.
  • Considera tendências e questões emergentes que poderiam impactar a organização.

A atividade de Auditoria Interna agrega valor à organização e aos seus stakeholders quando considera estratégias, objetivos e riscos; empenha-se para oferecer formas de melhorar os processos de governança, gerenciamento de riscos e controle; e presta, de forma objetiva, serviços relevantes de avaliação.

O chefe executivo de auditoria deve estabelecer um plano baseado em riscos para determinar as prioridades da atividade de Auditoria Interna, de forma consistente com as metas da organização.

Interpretação:

Para desenvolver o plano baseado em riscos, o chefe executivo de auditoria se reúne com a alta administração e com o conselho e adquire um entendimento das estratégias, principais objetivos de negócios, riscos associados e processos de gerenciamento de riscos da organização. O chefe executivo de auditoria deve revisar e ajustar o plano conforme necessário, em resposta às mudanças no negócio, nos riscos, nas operações, nos programas, nos sistemas e nos controles da organização.

2010.A1 – O plano dos trabalhos da atividade de Auditoria Interna deve ser baseado em uma avaliação de riscos documentada, realizada pelo menos anualmente. As contribuições da alta administração e do conselho devem ser consideradas nesse processo.

2010.A2 – O chefe executivo de auditoria deve identificar e considerar as expectativas da alta administração, do conselho e de outros stakeholders em relação às opiniões e outras conclusões da Auditoria Interna.

2010.C1 – O chefe executivo de auditoria deveria considerar aceitar trabalhos de consultoria propostos, de acordo com o potencial desses trabalhos de melhorar o gerenciamento dos riscos, agregar valor e melhorar as operações da organização. Os trabalhos aceitos devem ser incluídos no plano.

O chefe executivo de auditoria deve comunicar os planos e requisitos de recursos da atividade de Auditoria Interna, incluindo mudanças intermediárias significantes, à alta administração e ao conselho para revisão e aprovação. O chefe executivo de auditoria também deve comunicar o impacto das limitações de recursos.

O chefe executivo de auditoria deve assegurar que os recursos de Auditoria Interna sejam apropriados, suficientes e aplicados de forma eficaz para o cumprimento do plano aprovado.

Interpretação:

O termo “apropriado” refere-se à combinação de conhecimentos, habilidades e outras competências necessários para executar o plano. O termo “suficiente” refere-se à quantidade de recursos necessária para cumprir com o plano. Os recursos são “aplicados de forma eficaz” quando são utilizados de forma a otimizar o cumprimento do plano aprovado.

O chefe executivo de auditoria deve estabelecer políticas e procedimentos para orientar a atividade de Auditoria Interna.

Interpretação:

A forma e o conteúdo das políticas e procedimentos dependem do porte e da estrutura da atividade de Auditoria Interna e da complexidade de seu trabalho.

O chefe executivo de auditoria deveria compartilhar informações, coordenar atividades e considerar depositar confiança no trabalho de outros prestadores internos e externos de serviços de avaliação e consultoria, para assegurar a cobertura apropriada e minimizar a duplicação de esforços.

Interpretação:

Ao coordenar as atividades, o chefe executivo de auditoria pode usar, por confiança, o trabalho de outros prestadores de serviços de avaliação e consultoria. Deveria ser estabelecido um processo consistente para embasar essa confiança e o chefe executivo de auditoria deveria considerar a competência, a objetividade e o zelo profissional devido dos prestadores de serviços de avaliação e consultoria. O chefe executivo de auditoria também deveria ter um entendimento claro do escopo, dos objetivos e dos resultados do trabalho realizado por outros prestadores de serviços de avaliação e consultoria. Quando alguma confiança for depositada no trabalho de outros, o chefe executivo de auditoria continua sujeito a prestar contas e responsável por assegurar a devida corroboração das conclusões e opiniões da atividade de Auditoria Interna.

O chefe executivo de auditoria deve reportar periodicamente à alta administração e ao conselho sobre o propósito, a autoridade, a responsabilidade e o desempenho da atividade de Auditoria Interna em relação ao plano e à conformidade com o Código de Ética e com as Normas. O reporte também deve incluir questões significantes de riscos e de controle, incluindo riscos de fraude, questões de governança e outros temas que exijam a atenção da alta administração e/ou do conselho.

Interpretação:

A determinação da frequência e do conteúdo do reporte é feita de forma colaborativa pelo chefe executivo de auditoria, pela alta administração e pelo conselho. A frequência e conteúdo do reporte dependem da importância da informação a ser comunicada e da urgência das relativas ações a serem tomadas pela alta administração e/ou pelo conselho.

O reporte e a comunicação do chefe executivo de auditoria à alta administração e ao conselho devem incluir informações sobre:

  • O estatuto de auditoria.
  • A independência da atividade de Auditoria Interna.
  • O plano de auditoria e o progresso em relação ao plano.
  • Os requisitos de recursos.
  • Os resultados das atividades de auditoria.
  • A conformidade com o Código de Ética e com as Normas, e os planos de ação para abordar quaisquer questões significantes de conformidade.
  • A resposta da gestão ao risco que, no julgamento do chefe executivo de auditoria, pode ser inaceitável para a organização.

Esses e outros requisitos de comunicação do chefe executivo de auditoria são referenciados ao longo das Normas.

Quando um prestador externo de serviços atua como a atividade de Auditoria Interna, o prestador deve manter a organização ciente de que a organização continua responsável por manter uma atividade de Auditoria Interna eficaz.

Interpretação:

Essa responsabilidade é demonstrada através do programa de avaliação e melhoria da qualidade, que avalia a conformidade com o Código de Ética e com as Normas.

A atividade de Auditoria Interna deve avaliar e contribuir para a melhoria dos processos de governança, gerenciamento de riscos e controle da organização, usando uma abordagem sistemática, disciplinada e baseada em riscos. A credibilidade e o valor da Auditoria Interna são aperfeiçoados quando os auditores são proativos, e suas avaliações oferecem novos pontos de vista e consideram o impacto futuro.

A atividade de Auditoria Interna deve avaliar e propor recomendações apropriadas para melhorar os processos de governança da organização para:

  • Tomar decisões estratégicas e operacionais.
  • Supervisionar o gerenciamento de riscos e o controle.
  • Promover a devida ética e valores dentro da organização.
  • Garantir gerenciamento e prestação de contas eficazes quanto ao desempenho da organização.
  • Comunicar informações de riscos e controle às áreas apropriadas da organização.
  • Coordenar as atividades e a comunicação das informações entre o conselho, os auditores externos e internos, outros prestadores de serviços de avaliação e a gestão.

2110.A1 – A atividade de Auditoria Interna deve avaliar a criação, implantação e eficácia dos objetivos, programas e atividades de ética da organização.

2110.A2 – A atividade de Auditoria Interna deve avaliar se a governança de tecnologia da informação da organização apoia as estratégias e os objetivos da organização.

A atividade de Auditoria Interna deve avaliar a eficácia e contribuir para a melhoria dos processos de gerenciamento de riscos.

Interpretação:

Determinar se os processos de gerenciamento de riscos são eficazes é um julgamento que resulta da avaliação do auditor interno quanto a se:

  • Os objetivos da organização apoiam e estão alinhados à missão da organização.
  • Riscos significantes são identificados e avaliados.
  • Respostas apropriadas aos riscos são selecionadas de forma a alinhar os riscos ao apetite a risco da organização.
  • As informações relevantes de riscos são capturadas e comunicadas de forma tempestiva através da organização, permitindo que colaboradores, a gestão e o conselho cumpram com suas responsabilidades.

A atividade de Auditoria Interna pode coletar, ao longo de múltiplos trabalhos de auditoria, as informações para apoiar essa avaliação. Os resultados desses trabalhos de auditoria, vistos em conjunto, proporcionam uma compreensão dos processos de gerenciamento de riscos da organização e da eficácia desses processos.
Os processos de gerenciamento de riscos são monitorados através de atividades contínuas de gerenciamento, avaliações independentes ou ambos.

2120.A1 – A atividade de Auditoria Interna deve avaliar as exposições a risco relacionadas à governança, operações e sistemas de informação da organização, em relação à:

  • Realização dos objetivos estratégicos da organização.
  • Confiabilidade e integridade das informações financeiras e operacionais.
  • Eficácia e eficiência das operações e dos programas.
  • Salvaguarda de ativos.
  • Conformidade com leis, regulamentos, políticas, procedimentos e contratos.

2120.A2 – A atividade de Auditoria Interna deve avaliar o potencial de ocorrência de fraude e a forma como a organização gerencia o risco de fraude.

2120.C1 – Durante trabalhos de consultoria, os auditores internos devem abordar o risco de forma consistente com os objetivos do trabalho de auditoria e estar alertas à existência de outros riscos significantes.

2120.C2 – Os auditores internos devem incorporar o conhecimento sobre riscos adquirido nos trabalhos de consultoria à sua avaliação dos processos de gerenciamento de riscos da organização.

2120.C3 – Ao auxiliar a gestão no estabelecimento ou na melhoria dos processos de gerenciamento de riscos, os auditores internos devem abster-se de assumir qualquer responsabilidade de gestão, de verdadeiramente gerenciar os riscos.

A atividade de Auditoria Interna deve auxiliar a organização a manter controles eficazes, avaliando a eficácia e eficiência desses controles e promovendo melhorias contínuas.

2130.A1 – A atividade de Auditoria Interna deve avaliar a adequação e a eficácia dos controles implantados em resposta aos riscos que afetam a governança, as operações e os sistemas de informação da organização, em relação à:

  • Realização dos objetivos estratégicos da organização.
  • Confiabilidade e integridade das informações financeiras e operacionais.
  • Eficácia e eficiência das operações e dos programas.
  • Salvaguarda de ativos.
  • Conformidade com leis, regulamentos, políticas, procedimentos e contratos.

2130.C1 – Os auditores internos devem incorporar o conhecimento sobre controles adquirido nos trabalhos de consultoria à sua avaliação dos processos de controle da organização.

Os auditores internos devem desenvolver e documentar um plano para cada trabalho de auditoria, incluindo os objetivos, o escopo, o período e a alocação de recursos do trabalho de auditoria. O plano deve considerar as estratégias, objetivos e riscos da organização que sejam relevantes para o trabalho de auditoria.

No planejamento de trabalhos de auditoria, os auditores internos devem considerar:

  • As estratégias e os objetivos da atividade que está sendo revisada e os meios pelos quais a atividade controla seu desempenho.
  • Os riscos significantes aos objetivos, recursos e operações da atividade e os meios pelos quais o impacto potencial do risco é mantido em um nível aceitável.
  • A adequação e a eficácia dos processos de governança, de gerenciamento de riscos e de controle da atividade, em comparação com um framework ou modelo relevante.
  • As oportunidades de melhorias significantes nos processos de governança, gerenciamento de riscos e controle da atividade.

2201.A1 – Ao planejar um trabalho de auditoria para partes externas à organização, os auditores internos devem estabelecer com elas um entendimento por escrito em relação aos objetivos, ao escopo, às respectivas responsabilidades e a outras expectativas, incluindo restrições na distribuição dos resultados do trabalho de auditoria e acesso aos registros do trabalho de auditoria.

2201.C1 – Os auditores internos devem estabelecer um entendimento com os clientes do trabalho de consultoria em relação aos objetivos, ao escopo, às respectivas responsabilidades e a outras expectativas do cliente. Para trabalhos significativos, esse entendimento deve ser documentado.

Os objetivos devem ser estabelecidos para cada trabalho da auditoria.

2210.A1 Os auditores internos devem conduzir uma avaliação preliminar dos riscos relevantes para a atividade sob revisão. Os objetivos do trabalho de auditoria devem refletir os resultados dessa avaliação.

2210.A2 Ao desenvolver os objetivos do trabalho de auditoria, os auditores internos devem considerar a probabilidade de erros, fraudes e não conformidades significantes, além de outras exposições.

2210.A3 São necessários critérios adequados para avaliar a governança, o gerenciamento de riscos e os controles. Os auditores internos devem determinar até que ponto a gestão e/ou o conselho estabeleceu critérios adequados para determinar se os objetivos e metas foram alcançados. Se forem adequados, os auditores internos devem utilizar tais critérios em sua avaliação. Se inadequados, os auditores internos devem identificar critérios de avaliação apropriados, por meio de discussão com a gestão e/ou com o conselho.

Interpretação:

Os tipos de critérios podem incluir:

  • Internos (p. ex.: políticas e procedimentos da organização).
  • Externos (p. ex.: leis e regulamentos impostos por órgãos reguladores).
  • Principais práticas de mercado (p. ex.: orientações da indústria e da profissão).

2210.C1 – Os objetivos dos trabalhos de consultoria devem abordar os processos de governança, gerenciamento de riscos e controle na extensão previamente acordada com o cliente.

2210.C2 – Os objetivos dos trabalhos de consultoria devem ser consistentes com os valores, estratégias e objetivos da organização.

O escopo estabelecido deve ser suficiente para alcançar os objetivos do trabalho da auditoria.

2220.A1 – O escopo do trabalho da auditoria deve incluir considerações sobre sistemas, registros, pessoal e propriedades físicas relevantes, incluindo aqueles sob o controle de terceiros.

2220.A2 – Se oportunidades de trabalhos de consultoria significativos surgirem durante um trabalho de avaliação (assurance), um entendimento por escrito específico dos objetivos, do escopo, das respectivas responsabilidades e de outras expectativas que deveriam ser atendidas, assim como os resultados do trabalho de consultoria, deveriam ser comunicados em conformidade com as normas de consultoria.

2220.C1 – Ao executar trabalhos de consultoria, os auditores internos devem assegurar que o escopo do trabalho seja suficiente para endereçar os objetivos previamente acordados. Caso os auditores internos desenvolvam restrições quanto ao escopo durante o trabalho, estas restrições devem ser discutidas com o cliente para se determinar se o trabalho irá continuar.

2220.C2 – Durante os trabalhos de consultoria, os auditores internos devem endereçar os controles de forma consistente com os objetivos do trabalho e estarem alertas para pontos significativos de controle.

Os auditores internos devem determinar os recursos apropriados e suficientes para cumprir os objetivos do trabalho da auditoria, baseado em uma avaliação da natureza e da complexidade de cada trabalho, das restrições de tempo e dos recursos disponíveis.

Interpretação:

Apropriado refere-se à combinação de conhecimentos, habilidades e outras competências necessárias para executar o trabalho da auditoria. Suficiente refere-se à quantidade de recursos necessária para cumprir o trabalho com zelo profissional devido.

Os auditores internos devem desenvolver e documentar programas de trabalho que atendam aos objetivos do trabalho.

2240.A1 – Os programas de trabalho devem incluir os procedimentos para identificar, analisar, avaliar e documentar as informações durante o trabalho da auditoria. O programa de trabalho deve ser aprovado antes de ser implantado e quaisquer ajustes devem ser prontamente aprovados.

2240.C1 – Os programas de trabalho para trabalhos de consultoria podem variar na forma e no conteúdo dependendo da natureza do trabalho.

Os auditores internos devem identificar, analisar, avaliar e documentar informações suficientes para cumprir os objetivos do trabalho da auditoria.

Os auditores internos devem identificar informações suficientes, confiáveis, relevantes e úteis para atingir os objetivos do trabalho de auditoria.

Interpretação:

Informações suficientes são factuais, adequadas e convincentes, de forma que uma pessoa prudente e informada chegaria às mesmas conclusões do auditor. Informações confiáveis são as melhores informações possíveis de se obter através da utilização de técnicas apropriadas de trabalho. Informações relevantes apoiam as observações e recomendações do trabalho de auditoria e são consistentes com os objetivos do trabalho de auditoria. Informações úteis auxiliam a organização a atingir suas metas.

Os auditores internos devem fundamentar as conclusões e os resultados do trabalho de auditoria com base em análises e avaliações apropriadas.

Os auditores internos devem documentar informações suficientes, confiáveis, relevantes e úteis para apoiar as conclusões e resultados do trabalho de auditoria.

2330.A1 – O chefe executivo de auditoria deve controlar o acesso aos registros dos trabalhos de auditoria. O chefe executivo de auditoria deve obter a aprovação da alta administração e/ou do assessor jurídico antes de liberar tais registros para partes externas, conforme apropriado.

2330.A2 – O chefe executivo de auditoria deve desenvolver requisitos de retenção para os registros do trabalho de auditoria, independentemente do meio no qual cada registro está armazenado. Esses requisitos de retenção devem ser consistentes com as diretrizes da organização e com quaisquer outros regulamentos ou requisitos pertinentes.

2330.C1 – O chefe executivo de auditoria deve desenvolver políticas para reger a custódia e a retenção dos registros dos trabalhos de consultoria, bem como sua liberação para partes internas e externas. Essas políticas devem ser consistentes com as diretrizes da organização e com quaisquer outros regulamentos ou requisitos pertinentes.

Os trabalhos de auditoria devem ser devidamente supervisionados, para assegurar que os objetivos sejam atingidos, que a qualidade seja garantida e que a equipe seja desenvolvida.

Interpretação:

A extensão de supervisão necessária dependerá da proficiência e experiência dos auditores internos e da complexidade do trabalho de auditoria. O chefe executivo de auditoria tem a responsabilidade geral pela supervisão do trabalho de auditoria, seja ele executado por ou para a atividade de Auditoria Interna, mas pode designar membros da atividade de Auditoria Interna com a experiência apropriada para realizar a revisão. As devidas evidências da supervisão são documentadas e mantidas.

Os auditores internos devem comunicar os resultados dos trabalhos de auditoria.

As comunicações devem incluir os objetivos, escopo e resultados do trabalho de auditoria.

2410.A1 – A comunicação final dos resultados do trabalho de auditoria deve incluir as conclusões aplicáveis, assim como recomendações e/ou planos de ação aplicáveis. Quando apropriado, a opinião dos auditores internos deveria ser fornecida. Uma opinião deve levar em consideração as expectativas da alta administração, do conselho e de outros stakeholders, e deve ser apoiada por informações suficientes, confiáveis, relevantes e úteis.

Interpretação:

As opiniões no nível do trabalho de auditoria podem estar na forma de classificações, conclusões ou outras descrições dos resultados. Tal trabalho de auditoria pode ser relativo aos controles associados a um processo, risco ou unidade de negócios especificamente A formulação de tais opiniões requer a consideração dos resultados do trabalho de auditoria e de sua importância.

2410.A2 – Os auditores internos são encorajados a reconhecer o desempenho satisfatório nas comunicações dos trabalhos de auditoria.

2410.A3 – Ao divulgar os resultados do trabalho de auditoria para partes externas à organização, a comunicação deve incluir limitações sobre a distribuição e uso dos resultados.

2410.C1 – A comunicação do progresso e dos resultados de um trabalho de consultoria variará em relação à forma e ao conteúdo, dependendo da natureza do trabalho e das necessidades do cliente.

As comunicações devem ser precisas, objetivas, claras, concisas, construtivas, completas e tempestivas.

Interpretação:

Comunicações precisas são livres de erros e distorções e são fiéis aos fatos que as fundamentam. Comunicações objetivas são justas, imparciais e livres de preconceitos e são o resultado de uma avaliação justa e equilibrada de todos os fatos e circunstâncias relevantes. Comunicações claras são facilmente compreendidas e lógicas, evitam linguagem técnica desnecessária e fornecem todas as informações significantes e relevantes. Comunicações concisas são objetivas e evitam elaboração desnecessária, detalhes supérfluos, redundância e prolixidade. Comunicações construtivas são úteis ao cliente do trabalho de auditoria e à organização e levam a melhorias onde sejam necessárias. Comunicações completas não omitem o que é essencial ao público-alvo e incluem todas as informações e observações significantes e relevantes que apoiam as recomendações e conclusões. Comunicações tempestivas são oportunas e convenientes, dependendo da importância da questão, permitindo à gestão tomar as ações corretivas apropriadas.

Se uma comunicação final contiver erro ou omissão significante, o chefe executivo de auditoria deve comunicar a informação corrigida a todas as partes que tenham recebido a comunicação original.

Indicar que os trabalhos de auditoria são “conduzidos em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna” é apropriado somente se apoiado pelos resultados do programa de avaliação e melhoria da qualidade.

Quando a não conformidade com o Código de Ética ou com as Normas impactar um trabalho de auditoria específico, a comunicação dos resultados deve divulgar:

  • O(s) princípio(s) ou regra(s) de conduta do Código de Ética ou Norma(s) com que não houve conformidade plena.
  • A(s) razão(ões) para a não conformidade.
  • O impacto da não conformidade sobre o trabalho de auditoria e sobre os resultados do trabalho de auditoria comunicados.

O chefe executivo de auditoria deve comunicar os resultados às partes apropriadas.

Interpretação:

O chefe executivo de auditoria é responsável por revisar e aprovar a comunicação final do trabalho de auditoria antes da sua emissão e por decidir a quem e como ela será disseminada. Quando o chefe executivo de auditoria delegar essas tarefas, ele mantém a responsabilidade geral.

2440.A1 – O chefe executivo de auditoria é responsável pela comunicação dos resultados finais às partes que possam assegurar que os resultados recebam a devida consideração.

2440.A2 – Se não houver exigências legais, estatutárias ou regulatórias em contrário, antes de se divulgar os resultados para partes externas à organização, o chefe executivo de auditoria deve:

  • Avaliar o potencial risco à organização.
  • Consultar a alta administração e/ou assessor jurídico, conforme apropriado.
  • Controlar a disseminação através da restrição da utilização dos resultados.

2440.C1 – O chefe executivo de auditoria é o responsável por comunicar os resultados finais dos trabalhos de consultoria aos clientes.

2440.C2 – Durante trabalhos de consultoria, questões de governança, gerenciamento de riscos e controle podem ser identificadas. Sempre que essas questões forem significantes para a organização, devem ser comunicadas à alta administração e ao conselho.

Quando for emitida uma opinião geral, ela deve considerar as estratégias, objetivos e riscos da organização; e as expectativas da alta administração, do conselho e de outros stakeholders. A opinião geral deve estar corroborada por informações suficientes, confiáveis, relevantes e úteis.

Interpretação:
A comunicação incluirá:

  • O escopo, incluindo o período a que se refere a opinião.
  • As limitações de escopo.
  • A consideração de todos os projetos relacionados, incluindo a confiança em outros prestadores de serviços de avaliação.
  • Um resumo das informações que apoiam a opinião.
  • A estrutura de riscos ou controle, ou outros critérios utilizados como base para a opinião geral.
  • A opinião, julgamento ou conclusão geral.

As razões para uma opinião geral desfavorável devem ser declaradas.

O chefe executivo de auditoria deve estabelecer e manter um sistema para monitorar a disposição dos resultados comunicados à gestão.

2500.A1 – O chefe executivo de auditoria deve estabelecer um processo de acompanhamento para monitorar e assegurar que as ações da gestão tenham sido implantadas com eficácia ou que a alta administração tenha aceitado o risco de não se tomar qualquer ação.

2500.C1 – A atividade de Auditoria Interna deve monitorar a disposição dos resultados dos trabalhos de consultoria, na extensão previamente acordada com o cliente.

Quando o chefe executivo de auditoria concluir que a gestão aceitou um nível de risco que pode ser inaceitável para a organização, o chefe executivo de auditoria deve discutir a questão com a alta administração. Se o chefe executivo de auditoria determinar que a questão não foi resolvida, deve comunicá-la ao conselho.

Interpretação:

A identificação de um risco aceito pela gestão pode ser observada a partir de um trabalho de avaliação ou consultoria, do monitoramento do progresso das ações adotadas pela gestão como resultado de trabalhos de auditoria anteriores ou por outros meios. Não é responsabilidade do chefe executivo de auditoria tomar decisões quanto ao risco.

 

Receba nossa newsletter