HOME > IPPF > Normas de Atributos

Normas de Atributos

As Normas de Atributos abordam as características das organizações e das partes que realizam atividades de Auditoria Interna.

O propósito, a autoridade e a responsabilidade da atividade de auditoria interna devem estar formalmente definidos em um estatuto de auditoria interna, consistente com a Missão da Auditoria Interna e os elementos mandatórios da Estrutura Internacional de Práticas Profissionais - IPPF (os Princípios Fundamentais para a Prática Profissional de Auditoria Interna, o Código de Ética, as Normas e a Definição de Auditoria Interna). O executivo-chefe de auditoria deve revisar periodicamente o estatuto de auditoria interna e submetê-lo à aprovação da alta administração e do conselho.

Interpretação:

O estatuto de auditoria interna é um documento formal que define o propósito, a autoridade e a responsabilidade da atividade de auditoria interna. O estatuto de auditoria interna estabelece a posição da atividade de auditoria interna dentro da organização, incluindo a natureza da subordinação funcional do executivo-chefe de auditoria ao conselho; autoriza o acesso aos registros, às pessoas e às instalações físicas pertinentes ao desempenho dos trabalhos de auditoria e define o escopo das atividades de auditoria interna. A aprovação final do estatuto de auditoria interna é de responsabilidade do conselho.

1000.A1 – A natureza dos serviços de avaliação prestados à organização deve ser definida no estatuto de auditoria interna. Se avaliações forem fornecidas para partes externas à organização, a natureza dessas avaliações também deve ser definida no estatuto da auditoria interna.

1000.C1 – A natureza dos serviços de consultoria deve ser definida no estatuto de auditoria interna.

A natureza mandatória dos Princípios Fundamentais para Prática Profissional de Auditoria Interna, do Código de Ética, das Normas e da Definição de Auditoria Interna deve ser reconhecida no estatuto de auditoria interna. O executivo-chefe de auditoria deveria discutir a Missão da Auditoria Interna e os elementos mandatórios da Estrutura Internacional de Práticas Profissionais (IPPF) com a alta administração e com o conselho.

A atividade de auditoria interna deve ser independente e os auditores internos devem ser objetivos ao executar seus trabalhos.

Interpretação:

A independência é a imunidade às condições que ameaçam a capacidade da atividade de auditoria interna de conduzir as responsabilidades de auditoria interna de maneira imparcial. Para atingir o grau de independência necessário para conduzir eficazmente as responsabilidades da atividade de auditoria interna, o executivo-chefe de auditoria tem acesso direto e irrestrito à alta administração e ao conselho. Isso pode ser alcançado através da dupla subordinação. As ameaças à independência devem ser gerenciadas nos níveis do auditor individual, do trabalho de auditoria, funcional e organizacional.

A objetividade é uma atitude mental imparcial que permite aos auditores internos executarem os trabalhos de auditoria de maneira a confiarem no resultado de seu trabalho e que não seja feito nenhum comprometimento da qualidade. A objetividade requer que os auditores internos não subordinem a outros o seu julgamento em assuntos de auditoria. As ameaças à objetividade devem ser gerenciadas nos níveis do auditor individual, do trabalho de auditoria, funcional e organizacional.

O executivo-chefe de auditoria deve se subordinar a um nível dentro da organização que permita à atividade de auditoria interna cumprir suas responsabilidades. O executivo-chefe de auditoria deve confirmar junto ao conselho, pelo menos anualmente, a independência organizacional da atividade de auditoria interna.

Interpretação:

A independência organizacional é alcançada de forma eficaz quando o executivo-chefe de auditoria se subordina funcionalmente ao conselho. Exemplos de subordinação funcional ao conselho implicam que o conselho:

  • Aprove o estatuto de auditoria interna.
  • Aprove o planejamento de auditoria baseado em risco.
  • Aprove o orçamento de auditoria e o plano de recursos.
  • Receba comunicações do executivo-chefe de auditoria quanto ao desempenho da atividade de auditoria interna em relação ao seu planejamento e a outros assuntos.
  • Aprove as decisões referentes à nomeação e demissão do executivo-chefe de auditoria.
  • Aprove a remuneração do executivo-chefe de auditoria.
  • Formule questionamentos apropriados à administração e ao executivo-chefe de auditoria para determinar se existem escopos inadequados ou limitações de recursos.

1110.A1 – A atividade de Auditoria Interna deve estar livre de interferências na determinação do escopo da auditoria interna, na execução dos trabalhos e na comunicação dos resultados. O executivo-chefe de auditoria deve divulgar quando houver esse tipo de interferência ao conselho e discutir as implicações.

O executivo-chefe de auditoria deve se comunicar e interagir diretamente com o conselho.

Nos casos em que o executivo-chefe de auditoria assumir, ou houver a expectativa de assumir, funções e/ou responsabilidades que estejam além das de auditoria interna, salvaguardas devem ser colocadas em prática para limitar o prejuízo à independência ou à objetividade.

Interpretação:

O executivo-chefe de auditoria pode ser solicitado a assumir outras funções e responsabilidades que estejam além das de auditoria interna, tais como a responsabilidade pelas atividades de conformidade ou gerenciamento de risco. Essas funções e responsabilidades podem prejudicar, ou aparentemente prejudicar, a independência organizacional da atividade de auditoria interna ou a objetividade individual do auditor interno. Salvaguardas são atividades de supervisão, frequentemente realizadas pelo conselho, para lidar com esses prejuízos potenciais e podem incluir avaliação periódica das linhas de subordinação e das responsabilidades, assim como o desenvolvimento de processos alternativos para obtenção de avaliações relacionadas às áreas pelas quais o executivo-chefe de auditoria também assumiu a responsabilidade.

Os auditores internos devem adotar uma atitude imparcial e isenta e evitar qualquer conflito de interesses.

Interpretação:

O conflito de interesses é uma situação na qual um auditor interno, que esteja em uma posição de confiança, tenha um interesse profissional ou pessoal conflitante. Tais interesses conflitantes podem tornar difícil exercer suas funções com imparcialidade. Um conflito de interesses existe mesmo que não resulte em nenhum ato antiético ou impróprio. Um conflito de interesses pode criar uma aparência de impropriedade que pode abalar a confiança no auditor interno, na atividade de auditoria interna e na profissão. Um conflito de interesses pode prejudicar a habilidade do indivíduo de executar suas funções e responsabilidades de forma objetiva.

Caso a independência ou a objetividade sejam prejudicadas de fato ou na aparência, os detalhes de tal prejuízo devem ser divulgados às partes apropriadas. A natureza da divulgação dependerá do tipo de prejuízo.

Interpretação:

O prejuízo à independência organizacional e à objetividade individual pode incluir, mas não se limitar, a um conflito de interesses pessoal; limitações de escopo; restrição de acesso aos registros, às pessoas e às instalações e restrições de recursos, tais como de verbas.

A determinação das partes apropriadas para as quais os detalhes do prejuízo à independência ou à objetividade devem ser divulgados depende das expectativas em relação à atividade de auditoria interna e das responsabilidades do executivo-chefe de auditoria junto à alta administração e ao conselho, conforme esteja descrito no estatuto de auditoria interna, assim como da natureza do prejuízo.

1130.A1 – Os auditores internos devem evitar avaliar operações específicas pelas quais tenham sido responsáveis anteriormente. Presume-se que a objetividade esteja prejudicada se um auditor interno prestar serviços de avaliação de uma atividade pela qual tenha sido responsável durante ano anterior.

1130.A2 – Os trabalhos de avaliação de funções pelas quais o executivo-chefe de auditoria tenha assumido responsabilidade devem ser supervisionados por uma parte externa à atividade de auditoria interna.

1130.A3 – A atividade de auditoria interna pode prestar serviços de avaliação onde anteriormente tenha executado serviços de consultoria, desde que a natureza da consultoria não tenha prejudicado a objetividade e com a condição de que a objetividade individual seja gerenciada ao se designar recursos para o trabalho de auditoria.

1130.C1 – Os auditores internos podem prestar serviços de consultoria em relação às operações pelas quais tenham sido responsáveis anteriormente.

1130.C2 – Caso os auditores internos tenham um potencial prejuízo à independência ou à objetividade em relação aos serviços de consultoria propostos, o cliente do trabalho de auditoria deve ser informado antes da aceitação do trabalho de auditoria.

Os trabalhos de auditoria devem ser executados com proficiência e zelo profissional devido.

Os auditores internos devem possuir o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades individuais. A atividade de auditoria interna deve possuir, ou obter, coletivamente o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades.

Interpretação:

Proficiência é um termo coletivo que se refere ao conhecimento, às habilidades e a outras competências requeridas dos auditores internos para desempenharem eficazmente suas responsabilidades profissionais. Ela engloba a consideração de atividades atuais, tendências e questões emergentes, para possibilitar a assessoria e recomendações relevantes. Os auditores internos são encorajados a demonstrar sua proficiência obtendo as certificações e qualificações profissionais apropriadas, tais como a denominação de Certified Internal Auditor e outras certificações oferecidas pelo The Institute of Internal Auditors e outras organizações profissionais apropriadas.

1210.A1 – O executivo-chefe de auditoria deve obter assessoria e assistência qualificadas caso os auditores internos não possuam os conhecimentos, as habilidades ou outras competências necessárias à realização de todo ou parte do trabalho de auditoria.

1210.A2 – Os auditores internos devem possuir conhecimento suficiente para avaliar o risco de fraude e a maneira com a qual esse risco é gerenciado pela organização, porém não se espera que possuam a especialização de uma pessoa cuja principal responsabilidade seja detectar e investigar fraudes.

1210.A3 – Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução dos trabalhos a que sejam designados. Entretanto, não se espera que todos os auditores internos possuam a especialização de um auditor interno cuja principal responsabilidade seja a auditoria de tecnologia da informação.

1210.C1 – O executivo-chefe de auditoria deve declinar dos trabalhos de consultoria, ou obter assessoria e assistência qualificadas, caso os auditores internos não possuam os conhecimentos, as habilidades ou outras competências necessárias à realização de todo ou parte do trabalho de auditoria.

Os auditores internos devem empregar o zelo e as habilidades esperados de um auditor interno razoavelmente prudente e competente. O zelo profissional devido não implica em infalibilidade.

1220.A1 – Os auditores internos devem exercer o zelo profissional devido levando em consideração:

  • A extensão do trabalho necessária para alcançar os objetivos do trabalho de auditoria.
  • A complexidade relativa, a materialidade ou a significância dos aspectos aos quais os procedimentos de avaliação são aplicados.
  • A adequação e a eficácia dos processos de governança, de gerenciamento de risco e de controle.
  • A probabilidade de erros significativos, fraudes ou não conformidades.
  • O custo da avaliação em relação aos potenciais benefícios.

1220.A2 – No exercício do zelo profissional devido, os auditores internos devem considerar a utilização de auditoria baseada em tecnologia e outras técnicas de análise de dados.

1220.A3 – Os auditores internos devem estar alertas aos riscos significativos que poderiam afetar os objetivos, as operações ou os recursos. Entretanto, os procedimentos de avaliação isoladamente, mesmo quando realizados com o zelo profissional devido, não garantem que todos os riscos significativos serão identificados.

1220.C1 – Os auditores internos devem exercer o zelo profissional devido durante um trabalho de consultoria, levando em consideração:

  • As necessidades e as expectativas dos clientes, incluindo a natureza, a ocasião e a comunicação dos resultados do trabalho de auditoria.
  • A complexidade relativa e a extensão do trabalho necessária para alcançar os objetivos do trabalho.
  • O custo do trabalho de consultoria em relação aos potenciais benefícios.

Os auditores internos devem aperfeiçoar seus conhecimentos, habilidades e outras competências através do desenvolvimento profissional contínuo.

O executivo-chefe de auditoria deve desenvolver e manter um programa de garantia de qualidade e melhoria que compreenda todos os aspectos da atividade de Auditoria Interna.


Interpretação:

Um programa de garantia de qualidade e melhoria é desenhado para permitir uma avaliação da conformidade da atividade de Auditoria Interna com as normas e uma avaliação quanto a se os auditores internos observam o código de ética. O programa também avalia a eficiência e a eficácia da atividade de Auditoria Interna e identifica oportunidades de melhoria. O executivo-chefe de auditoria deveria encorajar a supervisão do conselho no programa de garantia qualidade e melhoria.

O programa de garantia de qualidade e melhoria deve incluir tanto avaliações internas quanto externas.

As avaliações internas devem incluir:

  • Monitoramento permanente do desempenho da atividade de auditoria interna.
  • Autoavaliações, ou avaliações realizadas por outras pessoas da própria organização com conhecimento suficiente das práticas de auditoria interna, periódicas.

Interpretação:

O monitoramento permanente é uma parte integrante da rotina diária de supervisão, revisão e avaliação da atividade de auditoria interna. O monitoramento permanente está incorporado às políticas e às práticas rotineiras utilizadas para gerenciar a atividade de auditoria interna e utiliza os processos, as ferramentas e as informações consideradas necessárias para avaliar a conformidade com o Código de Ética e com as Normas.

As avaliações periódicas são conduzidas para avaliar a conformidade com o Código de Ética e com as Normas.

O conhecimento suficiente das práticas de auditoria interna requer, pelo menos, a compreensão de todos os elementos da Estrutura Internacional de Práticas Profissionais (IPPF).

As avaliações externas devem ser realizadas pelo menos uma vez a cada cinco anos, por um avaliador, ou uma equipe de avaliação, qualificado(a) e independente, de fora da organização. O executivo-chefe de auditoria deve discutir com o conselho:

  • A forma e a frequência da avaliação externa.
  • A qualificação e a independência do avaliador externo, ou equipe de avaliação, incluindo qualquer potencial conflito de interesses.

Interpretação:

As avaliações externas podem ser realizadas por meio de uma avaliação externa completa ou por uma autoavaliação com validação externa independente. O avaliador externo deve concluir quanto à conformidade com o Código de Ética e com as Normas; a avaliação externa pode também incluir comentários operacionais ou estratégicos.

Um avaliador ou equipe de avaliação qualificado(a) demonstram sua competência em duas áreas: a prática profissional de auditoria interna e o processo de avaliação externa. A competência pode ser demonstrada por meio de uma combinação de experiência e de aprendizado teórico. A experiência obtida em organizações similares em porte, complexidade, setor ou segmento de negócio e questões técnicas tem maior valor que a experiência menos relevante. No caso de uma equipe de avaliação, não é necessário que todos os membros da equipe possuam todas as competências; e sim que a equipe como um todo seja qualificada. O executivo-chefe de auditoria utiliza o julgamento profissional para avaliar se um avaliador, ou equipe de avaliação, apresenta a competência suficiente para que seja considerado qualificado(a).

Um avaliador, ou equipe de avaliação, independente significa não haver nenhum conflito de interesses real ou aparente, e não ser parte, ou estar sob o controle, da organização da qual a atividade de auditoria interna faz parte. O executivo-chefe de auditoria deveria encorajar a supervisão do conselho na avaliação externa para reduzir conflitos de interesses percebidos ou potenciais.

O executivo-chefe de auditoria deve comunicar os resultados do programa de garantia de qualidade e melhoria à alta administração e ao conselho. A divulgação deveria incluir:

  • O escopo e a frequência tanto das avaliações internas quanto das avaliações externas.
  • As qualificações e a independência do(s) avaliador(es) ou da equipe de avaliação, incluindo potenciais conflitos de interesses.
  • As conclusões dos avaliadores.
  • Planos de ações corretivas.

Interpretação:

A forma, o conteúdo e a frequência da comunicação dos resultados do programa de garantia de qualidade e melhoria são estabelecidos através de discussões com a alta administração e com o conselho e consideram as responsabilidades da atividade de auditoria interna e do executivo-chefe de auditoria, como disposto no estatuto de auditoria interna. Para demonstrar a conformidade com o Código de Ética e com as Normas, os resultados das avaliações externas e das avaliações internas periódicas são comunicados tão logo essas avaliações sejam concluídas e os resultados do monitoramento permanente são comunicados, pelo menos, anualmente. Os resultados incluem a conclusão do avaliador, ou da equipe de avaliação, quanto ao grau de conformidade.

A indicação de que a atividade de auditoria interna está em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna é apropriada somente se esteja corroborada pelos resultados do programa de garantia de qualidade e melhoria.

Interpretação:

A atividade de auditoria interna está em conformidade com o Código de Ética e com as Normas quando cumpre o que neles está disposto. Os resultados do programa de garantia de qualidade e melhoria incluem os resultados tanto das avaliações internas como das avaliações externas. Todas as atividades de auditoria interna terão avaliações internas. As atividades de auditoria interna com no mínimo cinco anos de existência também terão avaliações externas.

Quando a não conformidade com o Código de Ética ou com as Normas impactar o escopo geral ou a operação da atividade de auditoria interna, o executivo-chefe de auditoria deve divulgar a não conformidade e os respectivos impactos à alta administração e ao conselho.


 

Receba nossa newsletter