Normas de Atributos

A natureza mandatória dos Princípios Fundamentais para a Prática Profissional de Auditoria Interna, do Código de Ética, das Normas e da Definição de Auditoria Interna deve ser reconhecida no estatuto de Auditoria Interna. O chefe executivo de auditoria deveria discutir a Missão da Auditoria Interna e os elementos mandatórios do International Professional Practices Framework com a alta administração e com o conselho.

A atividade de Auditoria Interna deve ser independente e os auditores internos devem ser objetivos ao executar seus trabalhos.

Interpretação:

A independência é a liberdade de condições que ameacem a habilidade da atividade de Auditoria Interna de cumprir com as responsabilidades de Auditoria Interna de maneira imparcial. Para atingir o grau de independência necessário para cumprir com eficácia com as responsabilidades da atividade de Auditoria Interna, o chefe executivo de auditoria tem acesso direto e irrestrito à alta administração e ao conselho. Isso pode ser alcançado por meio de uma relação de duplo reporte. As ameaças à independência devem ser gerenciadas nos níveis do auditor individual, do trabalho de auditoria, funcional e organizacional.
A objetividade é uma atitude mental imparcial que permite que os auditores internos executem os trabalhos de auditoria de forma que confiem no resultado de seu trabalho e que não haja qualquer prejuízo à qualidade. A objetividade requer que os auditores internos não subordinem a outros o seu julgamento em assuntos de auditoria. As ameaças à objetividade devem ser gerenciadas nos níveis do auditor individual, do trabalho de auditoria, funcional e organizacional.

O chefe executivo de auditoria deve reportar a um nível dentro da organização que permita à atividade de Auditoria Interna cumprir com suas responsabilidades. O chefe executivo de auditoria deve confirmar junto ao conselho, pelo menos anualmente, a independência organizacional da atividade de Auditoria Interna.

Interpretação:

A independência organizacional é alcançada de forma eficaz quando o chefe executivo de auditoria reporta funcionalmente ao conselho. Exemplos de reporte funcional ao conselho implicam que o conselho:

• Aprove o estatuto de Auditoria Interna.
• Aprove o plano de auditoria baseado em riscos.
• Aprove o orçamento e o plano de recursos da Auditoria Interna.
• Receba comunicações do chefe executivo de auditoria sobre o desempenho da atividade de Auditoria Interna em relação ao seu plano e outros assuntos.
• Aprove as decisões referentes à nomeação e demissão do chefe executivo de auditoria.
• Aprove a remuneração do chefe executivo de auditoria.
• Faça os devidos questionamentos à gestão e ao chefe executivo de auditoria, para determinar se há limitações inapropriadas de escopo ou de recursos.

1110.A1 – A atividade de Auditoria Interna deve estar livre de interferências na determinação do escopo da Auditoria Interna, na execução do trabalho e na comunicação dos resultados. O chefe executivo de auditoria deve divulgar tal interferência ao conselho e discutir as consequências.

O chefe executivo de auditoria deve se comunicar e interagir diretamente com o conselho.

Nos casos em que o chefe executivo de auditoria assumir, ou houver a expectativa de que assuma, papéis e/ou responsabilidades que vão além da Auditoria Interna, devem existir salvaguardas em prática para limitar o prejuízo à independência ou à objetividade.

Interpretação:

Pode-se solicitar ao chefe executivo de auditoria que assuma outros papéis e responsabilidades além da Auditoria Interna, tais como a responsabilidade pelas atividades de conformidade ou gerenciamento de riscos. Esses papéis e responsabilidades podem prejudicar, ou parecer prejudicar, a independência organizacional da atividade de Auditoria Interna ou a objetividade individual do auditor interno. Salvaguardas são aquelas atividades de supervisão, frequentemente realizadas pelo conselho, para lidar com esses prejuízos potenciais, e podem incluir atividades como a avaliação periódica das linhas de reporte e das responsabilidades, assim como o desenvolvimento de processos alternativos para obtenção de avaliações relacionadas às áreas de responsabilidade adicional.

Os auditores internos devem ter uma atitude imparcial e isenta, e evitar qualquer conflito de interesses.

Interpretação:

O conflito de interesses é uma situação na qual um auditor interno, que esteja em uma posição de confiança, tenha um interesse profissional ou pessoal conflitante. Tais interesses conflitantes podem dificultar o exercício imparcial de seus deveres. Um conflito de interesses pode existir, mesmo sem resultar em qualquer ato antiético ou impróprio. Um conflito de interesses pode criar uma aparência de impropriedade que pode abalar a confiança no auditor interno, na atividade de Auditoria Interna e na profissão. Um conflito de interesses poderia prejudicar a habilidade do indivíduo de cumprir com seus deveres e responsabilidades de forma objetiva.

Caso a independência ou a objetividade seja prejudicada de fato ou aparentemente, os detalhes de tal prejuízo devem ser divulgados às partes apropriadas. A natureza da divulgação dependerá do tipo de prejuízo.

Interpretação:

O prejuízo à independência organizacional e à objetividade individual pode incluir, mas não se limita a um conflito de interesses pessoal, limitações de escopo, restrições de acesso aos registros, pessoal e instalações, e limitações de recursos, tais como verbas.
A determinação das partes apropriadas às quais os detalhes do prejuízo à independência ou à objetividade devem ser divulgados depende das expectativas relativas à responsabilidade da atividade de Auditoria Interna e do chefe executivo de auditoria junto à alta administração e ao conselho, conforme descritas no estatuto de Auditoria Interna, assim como da natureza do prejuízo.

1130.A1 – Os auditores internos devem evitar avaliar operações específicas pelas quais tenham sido responsáveis anteriormente. Presume-se que a objetividade esteja prejudicada se um auditor interno prestar serviços de avaliação de uma atividade pela qual tenha sido responsável durante o ano anterior.

1130.A2 – Os trabalhos de avaliação de funções pelas quais o chefe executivo de auditoria seja responsável devem ser supervisionados por uma parte externa à atividade de Auditoria Interna.

1130.A3 – A atividade de Auditoria Interna pode prestar serviços de avaliação onde anteriormente tenha executado serviços de consultoria, desde que a natureza da consultoria não tenha prejudicado a objetividade e que a objetividade individual seja gerenciada ao designar recursos ao trabalho de auditoria.

1130.C1 – Os auditores internos podem prestar serviços de consultoria em relação a operações pelas quais tenham sido responsáveis anteriormente.

1130.C2 – Caso os auditores internos tenham prejuízos em potencial à independência ou à objetividade em relação aos serviços de consultoria propostos, deve ser feita divulgação ao cliente do trabalho de auditoria antes da aceitação do trabalho de auditoria.

Os trabalhos de auditoria devem ser executados com proficiência e zelo profissional devido.

Os auditores internos devem possuir o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades individuais. A atividade de Auditoria Interna deve possuir ou obter coletivamente o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades.

Interpretação:

Proficiência é um termo coletivo que se refere ao conhecimento, às habilidades e a outras competências exigidas dos auditores internos para que cumpram com suas responsabilidades profissionais com eficácia. Ela engloba a consideração de atividades atuais, tendências e questões emergentes, para possibilitar a assessoria e recomendações relevantes. Os auditores internos são encorajados a demonstrar sua proficiência por meio da obtenção das certificações e qualificações profissionais apropriadas, tais como a designação de Certified Internal Auditor e outras certificações oferecidas pelo The Institute of Internal Auditors e por outras organizações profissionais apropriadas.

1210.A1 – O chefe executivo de auditoria deve obter assessoria e assistência qualificadas, caso os auditores internos não possuam o conhecimento, as habilidades ou outras competências necessárias à realização de todo ou de parte do trabalho de auditoria.

1210.A2 – Os auditores internos devem possuir conhecimento suficiente para avaliar o risco de fraude e a forma como esse risco é gerenciado pela organização, mas não se espera que possuam a expertise de uma pessoa cuja principal responsabilidade seja detectar e investigar fraudes.

1210.A3 – Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informação e sobre as técnicas de auditoria baseadas em tecnologia disponíveis para a execução de seus trabalhos. Entretanto, não se espera que todos os auditores internos tenham a expertise de um auditor interno cuja principal responsabilidade seja a auditoria de tecnologia da informação.

1210.C1 – O chefe executivo de auditoria deve recusar o trabalho de consultoria, ou obter assessoria e assistência competentes, caso os auditores internos não possuam o conhecimento, as habilidades ou outras competências necessárias à realização de todo ou de parte do trabalho de auditoria.

Os auditores internos devem empregar o zelo e as habilidades esperados de um auditor interno razoavelmente prudente e competente. O zelo profissional devido não implica infalibilidade.

1220.A1 – Os auditores internos devem exercer o zelo profissional devido, ao considerar:

• A extensão de trabalho necessária para alcançar os objetivos do trabalho de auditoria.
• A relativa complexidade, materialidade ou significância das questões às quais os procedimentos de avaliação são aplicados.
• A adequação e a eficácia dos processos de governança, de gerenciamento de riscos e de controle.
• A probabilidade de erros, fraudes ou não conformidades significantes.
• O custo da avaliação em relação aos potenciais benefícios.

1220.A2 – No exercício do zelo profissional devido, os auditores internos devem considerar a utilização da auditoria baseada em tecnologia e de outras técnicas de análise de dados.

1220.A3 – Os auditores internos devem estar alertas aos riscos significantes que poderiam afetar os objetivos, as operações ou os recursos. Entretanto, os procedimentos de avaliação isoladamente, mesmo quando realizados com o zelo profissional devido, não garantem que todos os riscos significantes sejam identificados.

1220.C1 – Os auditores internos devem exercer o zelo profissional devido durante um trabalho de consultoria, ao considerar:

• As necessidades e as expectativas dos clientes, incluindo a natureza, a ocasião e a comunicação dos resultados do trabalho de auditoria.
• A relativa complexidade e extensão do trabalho necessárias para alcançar os objetivos do trabalho.
• O custo do trabalho de consultoria em relação aos potenciais benefícios.

Os auditores internos devem aperfeiçoar seus conhecimentos, habilidades e outras competências através do desenvolvimento profissional contínuo.

O chefe executivo de auditoria deve desenvolver e manter um programa de avaliação e melhoria da qualidade que cubra todos os aspectos da atividade de Auditoria Interna.

Interpretação:

Um programa de avaliação e melhoria da qualidade é criado para permitir uma avaliação da conformidade da atividade de Auditoria Interna com as Normas e se os auditores internos seguem o Código de Ética. O programa também avalia a eficiência e a eficácia da atividade de Auditoria Interna e identifica oportunidades de melhoria. O chefe executivo de auditoria deveria encorajar a supervisão do programa de avaliação e melhoria da qualidade por parte do conselho.

O programa de avaliação e melhoria da qualidade deve incluir avaliações internas e externas.

As avaliações internas devem incluir:

• Monitoramento contínuo do desempenho da atividade de Auditoria Interna.
• Autoavaliações, ou avaliações realizadas por outras pessoas de dentro da organização com conhecimento suficiente das práticas de Auditoria Interna, periódicas.

Interpretação:

O monitoramento contínuo é uma parte integrante da rotina diária de supervisão, revisão e mensuração da atividade de Auditoria Interna. O monitoramento contínuo está incorporado às políticas e às práticas rotineiras utilizadas para gerenciar a atividade de Auditoria Interna e usa os processos, as ferramentas e as informações considerados necessários para avaliar a conformidade com o Código de Ética e com as Normas.
As avaliações periódicas são conduzidas para avaliar a conformidade com o Código de Ética e com as Normas.
O conhecimento suficiente das práticas de Auditoria Interna requer, pelo menos, a compreensão de todos os elementos do International Professional Practices Framework.

As avaliações externas devem ser realizadas pelo menos uma vez a cada cinco anos, por um avaliador ou equipe de avaliação qualificada e independente, externa à organização. O chefe executivo de auditoria deve discutir com o conselho:

• A forma e a frequência da avaliação externa.
• A qualificação e a independência do avaliador externo, ou equipe de avaliação, incluindo qualquer potencial conflito de interesses.

Interpretação:

As avaliações externas podem ser realizadas por meio de uma avaliação externa completa ou por uma autoavaliação com validação externa independente. O avaliador externo deve concluir quanto à conformidade com o Código de Ética e com as Normas; a avaliação externa pode também incluir comentários operacionais ou estratégicos.
Um avaliador ou equipe de avaliação qualificada demonstra sua competência em duas áreas: a prática profissional de Auditoria Interna e o processo de avaliação externa. A competência pode ser demonstrada por meio de uma combinação de experiência e aprendizado teórico. A experiência obtida em organizações similares em porte, complexidade, setor ou indústria e questões técnicas tem maior valor que experiências menos relevantes. No caso de uma equipe de avaliação, não é necessário que todos os membros da equipe possuam todas as competências; e sim que a equipe como um todo seja qualificada. O chefe executivo de auditoria utiliza o julgamento profissional para avaliar se o avaliador ou equipe de avaliação apresenta competência suficiente para que seja considerada qualificada.
Avaliador (ou equipe de avaliação) independente significa não ter qualquer conflito de interesses real ou aparente, e não fazer parte ou não estar sob o controle da organização à qual a atividade de Auditoria Interna pertence. O chefe executivo de auditoria deveria encorajar a supervisão da avaliação externa por parte do conselho, para reduzir conflitos de interesses percebidos ou em potencial.

O chefe executivo de auditoria deve comunicar os resultados do programa de avaliação e melhoria da qualidade à alta administração e ao conselho. A divulgação deveria incluir:

• O escopo e a frequência das avaliações internas e externas.
• As qualificações e a independência do(s) avaliador(es) ou equipe de avaliação, incluindo potenciais conflitos de interesses.
• As conclusões dos avaliadores.
• Planos de ações corretivas.

Interpretação:

A forma, o conteúdo e a frequência da comunicação dos resultados do programa de avaliação e melhoria da qualidade são estabelecidos através de discussões com a alta administração e com o conselho e consideram as responsabilidades da atividade de Auditoria Interna e do chefe executivo de auditoria, como dispostas no estatuto de Auditoria Interna. Para demonstrar a conformidade com o Código de Ética e com as Normas, os resultados das avaliações externas e das avaliações internas periódicas são comunicados tão logo essas avaliações sejam concluídas e os resultados do monitoramento contínuo são comunicados pelo menos anualmente. Os resultados incluem o parecer do avaliador, ou da equipe de avaliação, quanto ao grau de conformidade.

 

A indicação de que a atividade de Auditoria Interna está em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna é apropriada somente se for corroborada pelos resultados do programa de avaliação e melhoria da qualidade.

Interpretação:

A atividade de Auditoria Interna está em conformidade com o Código de Ética e com as Normas quando atinge os resultados neles descritos. Os resultados do programa de avaliação e melhoria da qualidade incluem os resultados das avaliações internas e externas. Todas as atividades de Auditoria Interna terão resultados de avaliações internas. As atividades de Auditoria Interna com no mínimo cinco anos de existência também terão resultados de avaliações externas.

Quando a não conformidade com o Código de Ética ou com as Normas impactar o escopo geral ou a operação da atividade de Auditoria Interna, o chefe executivo de auditoria deve divulgar a não conformidade e seu impacto à alta administração e ao conselho.