HOME > IPPF > Orientações de Implantação

Orientações de Implantação

Orientações de implantação

As Orientações de implantação são restritas aos associados do IIA Brasil.
A Estrutura Internacional de Práticas Profissionais (International Professional Practices Framework - IPPF) é a base conceitual que organiza as informações oficiais promulgadas pelo The Institute of Internal Auditors. O The IIA fornece aos profissionais de Auditoria Interna do mundo todo métodos organizados no IPPF, como as orientações mandatórias e as recomendadas.

As Orientações de Implantação, ajudam os auditores auditores internos na aplicação das Normas, elas direcionam coletivamente a abordagem, as metodologias e a consideração da Auditoria Interna, mas não detalham processos ou procedimentos.


Orientações de Implantação

True
  •    IG1000 – Propósito, autoridade e responsabilidade (traduzido)  Dezembro 2016

    Primeiros Passos

    O estatuto de auditoria interna é um documento crítico, à medida que registra o propósito, a autoridade e a responsabilidade previamente acordados para a atividade de auditoria interna de uma organização. Para criar este documento, o executivo-chefe de auditoria (CAE) deve entender a Missão da Auditoria Interna e os elementos mandatórios da Estrutura Internacional de Práticas Profissionais (IPPF) do IIA – incluindo os Princípios Fundamentais para a Prática Profissional de Auditoria Interna, o Código de Ética, as Normas Internacionais para a Prática Profissional de Auditoria Interna e a Definição de Auditoria Interna.

    Este entendimento fornece o alicerce para a discussão entre o CAE, a alta administração e o conselho para chegarem a um acordo com relação às(aos):

    • Objetivos e responsabilidades da auditoria interna.
    • Expectativas em relação à atividade de auditoria interna.
    • Linhas de subordinação funcional e administrativa do CAE.
    • Nível de autoridade (incluindo o acesso a registros, instalações físicas e pessoas) necessário para que a atividade auditoria interna conduza os trabalhos de auditoria e cumpra os objetivos e responsabilidades previamente acordados.

    O CAE poderá precisar consultar o assessor jurídico ou o secretário do conselho da organização em relação à preferência de formato para os estatutos e como submeter, de forma eficaz e eficiente, o estatuto de auditoria interna proposto à aprovação do conselho.

    Considerações para Implantação

    Com base nos elementos previamente acordados, conforme mencionado acima, o CAE (ou alguém a quem ele tenha delegado) prepara um rascunho do estatuto de auditoria interna. O IIA oferece um modelo de estatuto de auditoria interna que pode ser utilizado como referência. Apesar de variarem de uma organização para outra, normalmente os estatutos incluem as seguintes seções:

    • Introdução – explica o papel geral e o profissionalismo da atividade de auditoria interna. Os elementos relevantes do IPPF são frequentemente citados na introdução.
    • Autoridade – especifica o acesso irrestrito da atividade de auditoria interna aos registros, às instalações físicas e às pessoas necessário para a execução dos trabalhos de auditoria e define a responsabilidade dos auditores internos quanto à salvaguarda de ativos e à confidencialidade.
    • Organização e estrutura de subordinação – documenta a estrutura de subordinação do CAE, que deve se subordinar funcionalmente ao conselho e administrativamente a um nível na organização que permita que a atividade de auditoria interna cumpra suas responsabilidades (veja a Norma 1110 – Independência Organizacional). Essa seção pode detalhar responsabilidades funcionais específicas, tais como a aprovação do estatuto e do planejamento de auditoria interna e a contratação, remuneração e demissão do CAE. Também pode descrever responsabilidades administrativas, tais como dar suporte ao fluxo de informações dentro da organização ou aprovar a gestão de recursos humanos e os orçamentos da atividade de auditoria interna.
    • Independência e objetividade – descreve a importância da independência e da objetividade da auditoria interna e como elas serão preservadas, como, por exemplo, proibindo os auditores internos de assumir responsabilidade operacional ou autoridade sobre as áreas auditadas.
    • Responsabilidades – define as principais áreas de responsabilidade contínua, tais como definir o escopo das avaliações, preparar um planejamento de auditoria e submetê-lo à aprovação do conselho, conduzir trabalhos de auditoria, comunicar resultados, fornecer relatórios por escrito dos trabalhos de auditoria e monitorar as ações corretivas adotadas pela administração.
    • Garantia de qualidade e melhoria – descreve as expectativas para o desenvolvimento, manutenção, avaliação e comunicação dos resultados de um programa de garantia de qualidade e melhoria que cubra todos os aspectos da atividade de auditoria interna.
    • Assinaturas – documenta a concordância entre o CAE, o representante designado pelo conselho e o indivíduo a quem o CAE se subordina. Esta seção inclui a data, nomes e cargos dos signatários.

    Uma primeira versão dessa proposta de estatuto de auditoria interna deve ser discutida com a alta administração e com o conselho para confirmar se descreve fielmente o papel e a expectativas previamente acordados ou para identificar alterações desejadas. Depois de aceita, o CAE apresentará essa primeira versão formalmente durante uma reunião do conselho para que seja discutida e aprovada. O CAE e o conselho também poderão combinar a frequência de revisões para reafirmar que as disposições do estatuto continuam a permitir que atividade de auditoria interna cumpra seus objetivos, ou se alguma alteração será necessária. Se surgir alguma questão no período entre as revisões, o estatuto pode ser consultado e atualizado conforme necessário.

    Considerações para Demonstração de Conformidade

    As atas das reuniões do conselho nas quais o CAE inicialmente discute e depois apresenta formalmente o estatuto de auditoria interna servem como documentação de conformidade. Além disso, o CAE arquiva o estatuto aprovado. Normalmente, o CAE solicita ao conselho que seja criado um item permanente nas pautas da agenda anual de reuniões para discutir, atualizar e aprovar o estatuto de auditoria interna conforme necessário. As atas dessas reuniões também evidenciam que o CAE revisa periodicamente o estatuto de auditoria interna em conjunto com a alta administração e o conselho.

True
  •    IG1010 – Reconhecimento das Orientações Mandatórias no Estatuto de Auditoria Interna (traduzido)  Dezembro 2016

    Primeiros Passos

    Antes de redigir ou revisar o estatuto de auditoria interna, o executivo-chefe de auditoria (CAE) normalmente analisa a Estrutura Internacional de Práticas Profissionais (IPPF) do IIA para renovar seu entendimento da Missão da Auditoria Interna e dos elementos mandatórios, incluindo os Princípios Fundamentais para a Prática Profissional de Auditoria Interna, o Código de Ética, as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e a Definição de Auditoria Interna. É obrigação do CAE revisar o estatuto de auditoria interna periodicamente e apresentá-lo à alta administração e ao conselho para aprovação (veja a Norma 1000 – Propósito, Autoridade e Responsabilidade). Para tanto, é conveniente que o CAE conheça o processo da organização para a submissão do estatuto de auditoria interna para aprovação. O CAE pode também providenciar uma discussão do estatuto com a alta administração e com o conselho como parte do processo periódico de análise e revisão.

    Considerações para Implantação

    Para reconhecer os elementos mandatórios do IPPF no estatuto de auditoria interna, o CAE poderá fazer declarações específicas. Um exemplo é:

    “A atividade de auditoria interna dirigirá a si própria a partir da aderência às Orientações Mandatórias do Instituto dos Auditores Internos, que inclui os Princípios Fundamentais para a Prática Profissional de Auditoria Interna, o Código de Ética, as Normas Internacionais para a Prática Profissional de Auditoria Interna e a Definição de Auditoria Interna. As Orientações Mandatórias do IIA são compostas por requisitos fundamentais para prática profissional de auditoria interna e por princípios mediante os quais a eficácia do desempenho da atividade de auditoria interna é avaliada”.

    Uma alternativa ao uso de uma redação específica é utilizar uma linguagem e um conteúdo em todo o estatuto de auditoria interna que exija a conformidade com as Orientações Mandatórias.

    A discussão do CAE com a alta administração e com o conselho sobre o estatuto de auditoria interna oferece uma boa oportunidade para explicar a Missão da Auditoria Interna e os elementos mandatórios do IPPF, assim como a forma como o estatuto reconhece esses elementos. Após o estatuto ser adotado, é importante que o CAE monitore as Orientações Mandatórias do IIA e discuta quaisquer alterações necessárias na próxima revisão do estatuto.

    Considerações para Demonstração de Conformidade

    A conformidade com a Norma 1010 é evidenciada pelo próprio estatuto de auditoria interna redigido e aprovado que reconheça os Princípios Fundamentais para a Prática Profissional de Auditoria Interna, o Código de Ética, as Normas e a Definição de Auditoria Interna como elementos mandatórios. Essa conformidade também pode ser demonstrada através das atas de reuniões durante as quais esses elementos mandatórios e a Missão da Auditoria Interna são discutidos com a alta administração e com o conselho. Isto inclui as atas de reuniões em que o CAE discutiu as revisões periódicas do estatuto.

True
  •    IG1100 – Independência e Objetividade (traduzido)  Novembro 2016

    Primeiros Passos

    Define-se independência como "a imunidade às condições que ameaçam a capacidade da atividade de auditoria interna de conduzir as responsabilidades de auditoria interna de maneira imparcial”. Muitas vezes, essas condições se originam a partir da posição organizacional e das responsabilidades atribuídas à auditoria interna. Por exemplo, quando a auditoria interna é responsável por outras funções na organização, ela não será considerada independente em relação a essas funções quando estejam sujeitas a auditorias. Da mesma forma, se o executivo-chefe de auditoria (CAE) assumir responsabilidades funcionais mais amplas do que a auditoria interna, tais como o gerenciamento de risco ou a conformidade, a auditoria interna não será independente em relação a essas funções adicionalmente assumidas pelo CAE que também estejam sujeitas a auditorias.

    Entretanto, o CAE não pode simplesmente determinar a independência e a posição organizacional para a auditoria interna; o CAE precisa da ajuda do conselho e da alta administração para endereçar a independência de forma eficaz. Tipicamente, o CAE, o conselho e a alta administração chegam a um entendimento mútuo sobre a responsabilidade, a autoridade e as expectativas da auditoria interna, as quais definem o ponto de partida para a discussão sobre a independência e o posicionamento organizacional.

    Conforme a experiência e as expectativas da alta administração e do conselho, chegar a um consenso pode exigir diversas discussões para aumentar a conscientização da alta administração e do conselho quanto à importância da independência, os meios para alcançá-la e as principais considerações relacionadas, tais como as linhas de subordinação, requisitos profissionais e regulatórios, benchmarking e questões culturais da organização.

    Geralmente, o estatuto da auditoria interna refletirá as decisões tomadas em relação à responsabilidade, autoridade e expectativas da auditoria interna, bem como o posicionamento organizacional e as linhas de subordinação.

    A objetividade refere-se a uma atitude mental imparcial dos auditores internos. Para implantar essa norma, o CAE buscará conhecer as políticas ou atividades na organização e na auditoria interna que possam fortalecer ou dificultar essa mentalidade. Por exemplo, diversas organizações possuem políticas de avaliação de desempenho e de remuneração padronizadas, assim como políticas relacionadas a conflitos de interesses dos funcionários. O CAE procurará entender a natureza das políticas pertinentes identificadas e considerará seu impacto potencial sobre a objetividade da auditoria interna. A auditoria interna muitas vezes irá customizar as políticas aplicadas na organização como um todo para endereçar especificamente as funções de auditoria interna e pode desenvolver outras políticas específicas relevantes para a auditoria interna, tais como políticas relacionadas aos requisitos de treinamento.

    Considerações para Implantação

    Conforme observado acima, CAE trabalha com o conselho e com a alta administração para evitar condições que possam afetar a capacidade da auditoria interna de executar suas responsabilidades de maneira imparcial. Muitas vezes, o CAE tem uma linha de subordinação funcional direta com o conselho e uma linha de subordinação administrativa com um membro da alta administração. A linha de subordinação com o conselho oferece ao CAE acesso direto ao conselho para assuntos sensíveis e permite um posicionamento organizacional adequado. A subordinação administrativa a um membro da alta administração também oferece ao CAE um posicionamento organizacional adequado, além da autoridade para executar funções sem impedimentos e tratar de questões delicadas com outros profissionais da alta administração. Por exemplo, não seria usual que o CAE esteja subordinado a um controller ou a um gerente de nível médio, que possa estar sujeito a auditorias rotineiramente.

    O IIA recomenda que o CAE esteja subordinado administrativamente ao Diretor Presidente (CEO), tanto para deixar claro que o CAE ocupa uma posição de alto nível quanto para que a auditoria interna não esteja posicionada dentro de uma operação que esteja sujeita a auditorias. O CAE também deveria estar ciente de quaisquer requisitos de órgãos reguladores ou normativos que possam especificar um relacionamento de subordinação obrigatório. A Orientação de Implantação da Norma 1110 – Independência Organizacional fornece orientações adicionais sobre as relações de subordinação do CAE.

    Recomenda-se também que o CAE não tenha responsabilidades operacionais além das de auditoria interna, uma vez que tais responsabilidades poderiam estar sujeitas a auditorias. Em algumas organizações, o CAE é solicitado a assumir responsabilidades operacionais, como o gerenciamento de risco ou a conformidade. Nessas situações, o CAE usualmente discute as questões de independência e potenciais prejuízos à objetividade com a alta administração e com o conselho, que deverão implantar salvaguardas para limitar tais prejuízos. As salvaguardas são atividades de supervisão, geralmente assumidas pelo conselho, para monitorar e tratar os conflitos relativos à independência. Exemplos incluem a avaliação periódica das responsabilidades do CAE, o desenvolvimento de processos alternativos para obter avaliações relacionadas às áreas pelas quais o CAE também assumiu a responsabilidade e a consciência quanto a potenciais prejuízos à objetividade ao considerar as avaliações de risco efetuadas pela auditoria interna.

    Para administrar a objetividade da auditoria de forma eficaz, muitos CAEs possuem um manual ou guia de políticas de auditoria interna que descreve as expectativas e os requisitos para se manter uma mentalidade imparcial. Um manual de políticas pode descrever:

    • A importância crucial da objetividade para a profissão de auditoria interna.
    • Situações típicas que poderiam sacrificar a objetividade, em razão de interesse pessoal, autorevisão, parentesco, parcialidade e influências indevidas. Por exemplo, auditar uma área na qual um auditor interno tenha trabalhado recentemente; auditar um familiar ou amigo íntimo; assumir, sem evidências, que uma área que esteja sendo auditada seja aceitável com base, simplesmente, em experiências positivas anteriores.
    • Ações que um auditor interno deveria tomar caso venha a ter conhecimento de um problema real ou potencial relacionado à objetividade, como discutir a questão com um gerente de auditoria interna ou com o CAE.
    • A exigência do preenchimento de formulários, nos quais cada auditor interno considera e divulga periodicamente conflitos de interesses.

    Para reforçar a importância dessas políticas e ajudar a assegurar que todos os auditores internos internalizem essa importância, alguns CAEs manterão seminários ou treinamentos de rotina sobre esses conceitos fundamentais. Esses treinamentos permitem aos auditores internos compreender melhor a objetividade ao considerar cenários que representem prejuízos à objetividade e a melhor maneira de lidar com eles.

    Adicionalmente, ao designar auditores internos para trabalhos de auditoria específicos, o CAE irá considerar possíveis prejuízos à objetividade e evitará designar membros da equipe que possam ter algum conflito.

    É amplamente reconhecido que avaliações de desempenho e práticas de remuneração podem afetar de forma significativa e adversa a objetividade de um indivíduo. Por exemplo, se a avaliação de desempenho, o salário ou gratificações de um auditor interno forem baseados em pesquisas de satisfação do cliente, o auditor interno pode hesitar em incluir resultados negativos nos relatórios que possam levar o cliente a dar uma nota baixa de satisfação. Portanto, o CAE deve ser criterioso ao desenvolver o sistema de avaliação de desempenho e de remuneração para a auditoria interna e considerar se os indicadores utilizados podem representar prejuízos à objetividade do auditor interno. O ideal é que o processo de avaliação promova o equilíbrio entre o desempenho do auditor interno, os resultados da auditoria e avaliações do feedback do cliente. A Orientação de Implantação da Norma 1120 – Objetividade Individual oferece orientações adicionais sobre a objetividade.

    Considerações para Demonstração de Conformidade

    Vários itens podem indicar a conformidade com essa norma, incluindo o próprio estatuto da auditoria interna; o organograma da organização com as atribuições de subordinação; um manual de políticas da auditoria interna que inclua políticas em relação à independência, objetividade, tratamento de conflitos e avaliação de desempenho; registros de treinamentos; e formulários para a divulgação de conflitos de interesses. Se for aplicável, uma documentação que apresente a divulgação de prejuízos, consistente com a Norma 1130 – Prejuízo à Independência ou à Objetividade, também poderá demonstrar a conformidade.

True
  •    IG1110 – Independência Organizacional (traduzido)  Novembro 2016

    Primeiros Passos

    A norma requer que o executivo-chefe de auditoria (CAE) esteja subordinado a um nível dentro da organização que permita à auditoria interna cumprir suas responsabilidades. Sendo assim, é necessário considerar a posição organizacional e as linhas de subordinação/supervisão da auditoria interna para assegurar a independência organizacional.

    O CAE, sozinho, não determina a posição organizacional da auditoria interna, as suas relações de subordinação, ou a natureza da supervisão pelo conselho ou pela alta administração; o CAE necessita da ajuda do conselho e da alta administração para endereçar esses itens de forma eficaz. Tipicamente, o CAE, o conselho e a alta administração chegam a um entendimento comum quanto às responsabilidades, autoridade e expectativas da auditoria interna, bem como quanto ao papel do conselho e da alta administração na supervisão da auditoria interna. De maneira geral, o estatuto de auditoria interna documenta as decisões tomadas quanto à posição organizacional e às linhas de subordinação.

    Também pode ser útil que o CAE esteja ciente dos requisitos regulatórios tanto em relação à posição da auditoria interna quanto às linhas de subordinação do CAE.

    Considerações para Implantação

    Como observado acima, o CAE trabalha em conjunto com o conselho e com a alta administração para determinar a posição organizacional da auditoria interna, inclusive as relações de subordinação do CAE. Para assegurar a efetiva independência organizacional, o CAE tem uma linha de subordinação funcional direta com o conselho. De maneira geral, o CAE também tem uma linha de subordinação administrativa, ou “pontilhada”, com um membro da alta administração.

    A linha de subordinação funcional com o conselho fornece ao CAE acesso direto ao conselho para questões sensíveis e possibilita um posicionamento organizacional adequado. Isso garante que o CAE tenha acesso irrestrito ao conselho, tipicamente o nível mais elevado da governança em uma organização.

    A supervisão funcional exige que o conselho crie condições de trabalho adequadas para permitir a operação de uma atividade de auditoria interna independente e eficaz. Como já destacado, o conselho assume a responsabilidade por aprovar o estatuto de auditoria interna, o planejamento de auditoria interna, o orçamento e o plano de recursos, assim como a avaliação, a remuneração, a nomeação e a destituição do CAE. Além disso, o conselho monitora a capacidade da auditoria interna de operar com independência. Para tanto, o conselho questiona o CAE e os membros da administração a respeito do escopo da auditoria interna, das limitações de recursos ou de outras pressões ou obstáculos à auditoria interna.

    Os CAEs que se encontram diante de um conselho que não assume essas importantes obrigações pela supervisão funcional podem expor ao conselho a Norma 1110 e as práticas de governança recomendadas — inclusive as relacionadas às responsabilidades do conselho — com vistas a buscar uma relação funcional mais sólida ao longo do tempo.

    Para facilitar a supervisão pelo conselho, o CAE apresenta rotineiramente ao conselho atualizações sobre o desempenho, em geral nas reuniões trimestrais do conselho. É comum que o CAE se envolva na organização das pautas das reuniões do conselho e, portanto, pode prever um tempo suficiente para a discussão do desempenho da auditoria interna em relação ao planejado, bem como outras questões, inclusive descobertas significativas ou riscos emergentes que mereçam a atenção do conselho. Além disso, para assegurar que a independência organizacional seja discutida uma vez ao ano, como exigido por esta norma, muitas vezes o CAE define um item permanente da pauta do conselho em uma reunião específica do conselho a cada ano.

    Costumeiramente, o CAE também tem uma linha de subordinação administrativa com a alta administração, o que também permite à auditoria interna ter a posição e a autoridade necessárias para cumprir suas responsabilidades. Por exemplo, o CAE tipicamente não estaria subordinado a um controller, a um gerente de contabilidade ou a uma gerência funcional de nível intermediário. Para elevar esse posicionamento e a credibilidade, o IIA recomenda que o CAE esteja subordinado administrativamente ao diretor-presidente (CEO) para que fique evidente que o CAE ocupa uma posição de alto nível, com autoridade para executar seus deveres sem impedimentos.

    Considerações para Demonstração de Conformidade

    Diversos documentos podem demonstrar a conformidade com esta norma, incluindo o estatuto de auditoria interna e o estatuto do comitê de auditoria, o qual descreve os deveres de supervisão do comitê de auditoria. A descrição do cargo de CAE e sua avaliação de desempenho destacariam as relações de subordinação e de supervisão pelos níveis hierárquicos superiores. Se disponível, a documentação referente à contratação do CAE pode incluir quem o entrevistou e quem tomou a decisão por sua contratação. Além disso, um manual de políticas de auditoria interna que inclua políticas relacionadas aos requisitos de independência e de comunicação com o conselho ou um organograma com as responsabilidades de subordinação também podem demonstrar a conformidade. Os relatórios, pautas e atas de reuniões com o conselho podem demonstrar que a auditoria interna comunicou de forma apropriada itens como o planejamento, o orçamento e o desempenho da auditoria interna, assim como a condição de independência organizacional.

True
  •    IG1111 – Interação Direta com o Conselho (traduzido)  Novembro 2016

    Primeiros Passos

    De forma geral, o executivo-chefe de auditoria (CAE), o conselho e a alta administração já discutiram e chegaram a um acordo sobre a responsabilidade, a autoridade e as expectativas da auditoria interna, bem como sobre a posição organizacional da auditoria interna e as relações de subordinação do CAE necessárias para possibilitar que a auditoria interna cumpra suas obrigações. A relação de subordinação normalmente inclui uma relação de subordinação funcional direta com o conselho. Consulte a Orientação de Implantação 1100 – Independência e Objetividade e a Orientação de Implantação 1110 – Independência Organizacional, para orientações adicionais.

    Considerações para Implantação

    Se o CAE tiver uma relação de subordinação funcional direta com o conselho, então o conselho assume a responsabilidade por aprovar o estatuto da auditoria interna, o planejamento de auditoria interna, o orçamento e o plano de recursos, assim como a avaliação, a remuneração, a nomeação e a destituição do CAE. Além disso, o conselho monitora a capacidade da auditoria interna de operar com independência e de cumprir seu estatuto.

    Com essa relação de subordinação, o CAE terá muitas oportunidades de se comunicar e interagir diretamente com o conselho, conforme exigido por essa norma. Por exemplo, o CAE participará das reuniões do comitê de auditoria e/ou do conselho, geralmente trimestralmente, para comunicar assuntos como a proposta de planejamento de auditoria interna, o orçamento, o progresso e quaisquer dificuldades. Adicionalmente, o CAE também terá a condição de contatar o presidente ou qualquer outro membro do conselho para comunicar questões ou problemas sensíveis enfrentados pela auditoria interna ou pela organização. Normalmente, pelo menos uma vez ao ano, é realizada uma reunião formal privada entre o conselho ou o comitê de auditoria e o CAE (sem a presença da alta administração) para discutir questões ou problemas sensíveis. Também é útil que o CAE participe periodicamente de reuniões, ou converse por telefone, exclusivamente com o presidente do conselho ou do comitê de auditoria, antes das reuniões agendadas ou rotineiramente durante o ano, para assegurar uma comunicação direta e aberta.

    Os CAEs que se encontram sem um acesso direto ao conselho podem expor a Norma 1111 (assim como as normas 1100 e 1110), as práticas de governança recomendadas e os estudos sobre as melhores práticas para o conselho/comitê de auditoria com vistas a buscar uma relação mais sólida e um acesso direto. Além disso, os CAEs nessa situação podem considerar o uso de comunicações escritas para o conselho até que seja estabelecida uma linha de comunicação direta, conforme exigido por esta norma.

    Considerações para Demonstração de Conformidade

    As pautas e as atas das reuniões do conselho usualmente são suficientes para demonstrar que o CAE se comunicou e interagiu diretamente com o conselho. A agenda do CAE também pode servir para demonstrar a conformidade. Além disso, é possível incluir no estatuto do conselho ou do comitê de auditoria uma política que exija reuniões privadas periódicas entre o CAE e o conselho.

True
  •    IG1112 – Papéis do Executivo Chefe de Auditoria além da Auditoria Interna (traduzido)  Dezembro 2016

    Primeiros Passos

    A Interpretação da Norma 1112 observa que quando o executivo-chefe de auditoria (CAE) assume funções e/ou responsabilidades fora do escopo de auditoria interna, a independência organizacional da atividade de auditoria interna ou a objetividade individual do auditor interno podem ser prejudicadas ou parecer ser prejudicadas. Entretanto, em determinadas circunstâncias, o conselho e a alta administração podem considerar conveniente para a organização ampliar as funções do CAE para além da auditoria interna.

    Exemplos de situações nas quais o CAE pode ser solicitado a realizar funções as quais, em geral, são de responsabilidade da administração incluem:

    • Um novo requisito regulatório impõe uma necessidade urgente de desenvolver políticas, procedimentos, controles e atividade de gerenciamento de risco para assegurar a conformidade.
    • Uma organização precisa que as atividades existentes de gerenciamento de risco sejam adaptadas para adicionar um novo segmento de negócio ou mercado regional.
    • Os recursos da organização são muito limitados ou a organização é muito pequena para arcar com uma função de conformidade separada.
    • Os processos da organização não estão maduros e o CAE possui a especialização mais apropriada para introduzir os princípios de gerenciamento de risco na organização.

    Em alguns casos, o CAE pode ter que assumir responsabilidades nas áreas de gerenciamento de risco, desenho e operação de controles e conformidade. Por exemplo, quando um CAE assume uma função que está funcionalmente subordinada à alta administração e não ao conselho, a independência do CAE em relação às responsabilidades de auditoria interna pode ser prejudicada (consulte a Orientação de Implantação 1130 – Prejuízo à Independência ou à Objetividade para outros exemplos de possíveis prejuízos). A Norma 1112 orienta o CAE em tais casos.

    Para implantar a Norma 1112, o CAE deve ter uma compreensão clara do Código de Ética do IIA e dos conceitos de independência e de objetividade, conforme explica a série 1100 de normas e respectivas orientações de implantação. Além disso, vários dos Princípios Fundamentais para a Prática Profissional de Auditoria Interna do IIA abordam a independência e a objetividade do CAE. A declaração da missão e o estatuto da atividade de auditoria interna, o estatuto do comitê de auditoria e as políticas e o código de ética da organização podem incluir orientação pertinente adicional específica da organização.

    Para endereçar os riscos de prejuízo, o CAE deveria obter a compreensão de qualquer função proposta que esteja fora do escopo de auditoria interna e conversar com a alta administração e com o conselho sobre o relacionamento de subordinação, as responsabilidades e as expectativas relacionadas à função. Durante essas discussões, o CAE deveria enfatizar as normas do IIA relacionadas à independência e à objetividade, o potencial prejuízo colocado pela função proposta, os riscos associados à função proposta e as salvaguardas que poderiam reduzir esses riscos.

    Considerações para Implantação

    A Norma 1112 enfatiza a importância de salvaguardas como as atividades de supervisão, geralmente conduzidas pelo conselho, para endereçar os potenciais prejuízos à independência e à objetividade do CAE. Uma dessas salvaguardas é a posição organizacional e o relacionamento de subordinação do CAE. De acordo com a Norma 1110 – Independência Organizacional, "O CAE deve se subordinar a um nível dentro da organização que permita à atividade de auditoria interna cumprir suas responsabilidades”, o que é alcançado de forma eficaz quando o CAE se subordina funcionalmente ao conselho, o que usualmente envolve o conselho supervisionar a contratação, avaliação e a remuneração do CAE, bem como a aprovação pelo conselho do estatuto de auditoria interna e do planejamento de auditoria interna, seu orçamento e recursos. De acordo com a Norma 1000 – Propósito, Autoridade e Responsabilidade, o estatuto da auditoria interna documenta a natureza do relacionamento de subordinação do CAE com o conselho.

    Alterações na organização e em seu pessoal-chave podem levar ao reposicionamento ou à redefinição de funções e responsabilidades. De acordo com a Interpretação da Norma 1112, uma salvaguarda que pode ser usada nessa situação é a avaliação periódica das linhas de subordinação e das responsabilidades. A revisão pelo CAE do estatuto de auditoria interna e a sua discussão com a alta administração e com o conselho, conforme descreve a Norma 1000, deveria incluir quaisquer alterações nas funções ou responsabilidades que possam afetar a atividade de auditoria interna, particularmente aquelas com potencial, real ou aparente, de prejudicar a independência e a objetividade do CAE. Caso as responsabilidades do CAE não relacionadas à auditoria sejam permanentes, o estatuto de auditoria interna deveria descrever a natureza do trabalho. Entretanto, caso essas responsabilidades sejam de curto prazo, talvez não seja necessário alterar o estatuto de auditoria interna e outros documentos. Nesses casos, um plano para a transição dessas responsabilidades para a administração pode ser implantado para salvaguardar a independência e a objetividade do CAE. Esse plano de transição garantiria os recursos adequados e definiria o cronograma para facilitar a aceitação dessas responsabilidades pela administração.

    A Norma 1130 exige que o CAE divulgue os detalhes de qualquer prejuízo à independência ou à objetividade, seja real ou aparente. Essas divulgações, as quais permitem ao conselho avaliar o risco geral de potenciais prejuízos, em geral ocorrem durante uma reunião do conselho e podem incluir a discussão de tópicos relacionados, tais como:

    • Funções e responsabilidades que o CAE está sendo solicitado a assumir.
    • Riscos relacionados, caso o CAE assuma essas responsabilidades e funções.
    • Salvaguardas para a independência e a objetividade do CAE, incluindo considerações sobre a aparência.
    • Controles existentes para confirmar que as salvaguardas estejam operando com eficácia.
    • Um plano de transição, caso a atribuição da responsabilidade seja de curto prazo.
    • Concordância da alta administração e do conselho.

    O conselho pode monitorar a objetividade do CAE ao aumentar o nível de verificação aplicada à avaliação de risco efetuada pelo CAE, ao planejamento de auditoria interna e às comunicações dos trabalhos de auditoria, considerando qualquer potencial parcialidade que o CAE possa ter em relação a uma área na qual tenha desempenhado funções além de auditoria interna. Para ajudar a salvaguardar o CAE contra prejuízos à objetividade, a Norma 1130.A1 proíbe que os auditores internos avaliem operações específicas pelas quais foram responsáveis durante o ano anterior e a Norma 1130.A2 exige que uma parte independente à atividade de auditoria interna supervisione os trabalhos de avaliação sobre as funções as quais o CAE tenha responsabilidade. Caso o CAE tenha responsabilidades em áreas fora do escopo da atividade de auditoria interna que estejam sujeitas à avaliação da auditoria interna, os serviços de avaliação deveriam ser terceirizados junto a um prestador de serviços de avaliação competente e objetivo que se subordinaria de forma independente ao conselho. Esse prestador de serviços de avaliação poderia ser tanto interno quanto externo.

    Uma avaliação externa da atividade de auditoria interna (consulte a Norma 1312 – Avaliações Externas) que inclua uma análise da independência e da objetividade do CAE — especialmente em áreas nas quais o CAE tenha executado funções não relacionadas à auditoria — pode fornecer uma garantia adicional para o conselho, desde que a independência do avaliador externo possa ser verificada.

    Considerações para Demonstração de Conformidade

    A documentação de quaisquer salvaguardas estabelecidas para endereçar potenciais prejuízos à independência e à objetividade do CAE pode ajudar a demonstrar a conformidade com a Norma 1112. Essa documentação pode incluir declarações nas políticas e no código de ética da organização, no estatuto do comitê de auditoria e na declaração da missão da atividade de auditoria interna e no estatuto de auditoria aprovado, especificando as funções e responsabilidades do CAE acordadas com a alta administração e com o conselho. A conformidade também pode ser demonstrada por meio de atualizações periódicas do estatuto de auditoria interna que reflitam as alterações nas funções e responsabilidades da atividade de auditoria interna. Da mesma forma, planos para fazer a transição de funções e responsabilidades que estejam fora do escopo da auditoria interna (por exemplo, atividades de conformidade ou de gerenciamento de risco) do CAE para a administração também podem servir para demonstrar a conformidade. Uma evidência adicional poderia incluir as atas das reuniões do conselho durante as quais o CAE divulgou potenciais prejuízos à independência ou à objetividade e as salvaguardas propostas para mitigação a níveis aceitáveis dos riscos de prejuízo.

    O CAE poderia demonstrar a conformidade ao mostrar que outros prestadores de serviços de avaliação examinaram as áreas as quais o CAE assumiu funções além de auditoria interna e que o planejamento de auditoria interna, as avaliações de risco e as comunicações dos trabalhos de auditoria foram avaliados de forma independente para assegurar a independência e a objetividade. Pesquisas com clientes de auditoria e avaliações do conselho em relação ao desempenho do CAE podem incluir comentários sobre a percepção quanto à independência e à objetividade do CAE. A conformidade também pode ser validada pelos resultados das avaliações externas realizadas por um avaliador independente.

True
  •    IG1120 – Objetividade Individual (traduzido)  Novembro 2016

    Primeiros Passos

    O termo objetividade” refere-se a uma mentalidade imparcial e sem preconceitos do auditor interno, a qual é facilitada ao se evitar conflitos de interesses. Portanto, para implantar esta norma, o executivo-chefe de auditoria (CAE) deve primeiramente entender as políticas ou atividades da organização e da auditoria interna que possam fortalecer ou dificultar essa mentalidade. Por exemplo, diversas organizações mantêm políticas de remuneração e de avaliação de desempenho padronizadas, assim como políticas relacionadas a conflitos de interesse dos funcionários. A auditoria interna com frequência customizará essas políticas para endereçar especificamente as funções de auditoria interna e poderá desenvolver outras políticas relevantes para o departamento, como as políticas que especificam os requisitos de treinamentos. O CAE deve entender a natureza das políticas pertinentes identificadas e considerar seu possível impacto sobre a objetividade da auditoria interna.

    Considerações para Implantação

    Para gerenciar a objetividade da auditoria interna de forma eficaz, muitos CAEs possuem um manual ou guia de políticas de auditoria interna que descreve as expectativas e os requisitos para que todos os auditores internos mantenham uma mentalidade imparcial. Um manual de políticas pode descrever:

    • A importância crucial da objetividade para a profissão de auditoria interna.
    • Situações típicas que poderiam sacrificar a objetividade, como auditar uma área na qual um auditor interno tenha trabalhado recentemente; auditar um familiar ou amigo íntimo; assumir, sem evidências, que uma área que esteja sendo auditada seja aceitável com base, simplesmente, em experiências positivas anteriores.
    • Ações que um auditor interno deveria tomar caso venha a ter conhecimento de um problema real ou potencial relacionado à objetividade, como discutir a questão com um gerente de auditoria interna ou com o CAE.
    • A exigência do preenchimento de formulários, nos quais cada auditor interno considera e divulga periodicamente conflitos de interesses. Muitas vezes, as políticas exigem que os auditores internos indiquem que compreendem a política de conflitos de interesses e que divulguem potenciais conflitos. Os auditores internos assinam declarações anuais indicando que nenhuma ameaça potencial existe ou reconhecendo quaisquer ameaças potenciais conhecidas.

    Para reforçar a importância dessas políticas e ajudar a assegurar que todos os auditores internos internalizem essa importância, alguns CAEs manterão seminários ou treinamentos de rotina sobre esses conceitos fundamentais. Esses treinamentos permitem aos auditores internos compreender melhor a objetividade ao considerar cenários que representem prejuízos à objetividade e a melhor maneira de lidar com eles. Por exemplo, auditores mais experientes e gerentes podem compartilhar experiências pessoais nas quais a objetividade tenha sido questionada ou em que tenham revelado espontaneamente um relacionamento ou uma situação que configurava um conflito. Outro tópico usual de treinamento relacionado é o ceticismo profissional. Esse treinamento reforça a natureza do ceticismo e da criticidade de se evitar a parcialidade e de cultivar uma mentalidade aberta e inquisitiva.

    Adicionalmente, ao designar auditores internos para trabalhos de auditoria específicos, o CAE (ou alguém a quem ele tenha delegado) irá considerar possíveis prejuízos à objetividade e evitará designar membros da equipe que possam ter algum conflito, conforme descrito acima. Por exemplo, quando auditores internos forem transferidos de outros departamentos para a auditoria interna o CAE deve observar a Norma 1130.A1, a qual exige que os auditores internos se abstenham de avaliar operações pelas quais já tenham sido anteriormente responsáveis por pelo menos um ano depois de terem deixado a operação. Além disto, o CAE (ou alguém a quem ele tenha delegado) discutirá com potenciais membros da equipe a natureza de uma tarefa e as pessoas e departamentos envolvidos, explorando a eventual existência de um conflito que possa prejudicar (ou dar a aparência de prejudicar) a objetividade do auditor interno. Os auditores internos são encorajados a comunicar qualquer preocupação que possam ter, para que a gerência de auditoria interna possa determinar se o auditor em questão pode participar do trabalho de auditoria.

    É amplamente reconhecido que avaliações de desempenho e práticas de remuneração podem afetar de forma significativa e adversa a objetividade de um indivíduo. Por exemplo, se a avaliação de desempenho, o salário ou gratificações de um auditor interno forem baseados em pesquisas de satisfação do cliente, o auditor interno pode hesitar em incluir resultados negativos nos relatórios que possam levar o cliente a dar uma nota baixa de satisfação. Ou, se o processo de avaliação do auditor for fortemente focado na quantidade de observações ou no respeito aos limites do orçamento da auditoria, poderia fazer com que o auditor interno perca sua objetividade e tanto reporte uma descoberta de auditoria relacionada a uma questão de menor importância quanto ignore sinais de alerta de novas questões que surjam perto do final do trabalho de auditoria, quando o orçamento já estiver praticamente esgotado. Portanto, o CAE deve ser criterioso ao desenvolver o sistema de avaliação de desempenho e de remuneração para a auditoria interna e considerar se os indicadores utilizados podem representar prejuízos à objetividade do auditor interno. O ideal é que o processo de avaliação promova o equilíbrio entre o desempenho do auditor interno, os resultados da auditoria e as avaliações do feedback do cliente.

    Considerações para Demonstração de Conformidade

    Entre os documentos que podem demonstrar a conformidade com a norma está o manual de políticas internas, o qual inclui os processos de avaliação de desempenho e de remuneração, políticas claras sobre a objetividade e como evitar e reportar conflitos de interesses. Registros e materiais de treinamento podem demonstrar que os auditores internos foram conscientizados da importância da objetividade, da natureza das ameaças à objetividade e de exemplos de conflitos de interesses.

    Adicionalmente, se houver uma política na organização ou na auditoria interna nesse sentido, podem existir formulários de reconhecimento assinados que divulguem a existência (ou não) de conflitos. Os papéis de trabalho de auditoria documentariam os dados da equipe designada e poderiam ser comparados aos registros do departamento de pessoal ou aos formulários de reconhecimento, para confirmar que conflitos conhecidos foram evitados.

True
  •    IG1130 – Prejuízo à Independência ou à Objetividade (traduzido)  Novembro 2016

    Primeiros Passos

    A norma exige que o executivo-chefe de auditoria (CAE) divulgue prejuízos reais ou aparentes à independência ou à objetividade. Portanto, o CAE deve ter um claro entendimento dos requisitos de independência e de objetividade, conforme descritos no Código de Ética e nas normas 1100, 1110, 1111, 1112 e 1120. Adicionalmente, ao comunicar esses requisitos ao conselho e à alta administração, o CAE ajuda a assegurar que eles compreendam a natureza crucial da independência e da objetividade para que a atividade de auditoria interna seja eficaz. Geralmente, o conselho e a alta administração desejarão discutir como e para quem os prejuízos serão divulgados, conforme a natureza e o impacto potencial desses prejuízos.

    Para compreender e valorizar inteiramente a independência e a objetividade é importante que o auditor interno considere a perspectiva dos diversos stakeholders e as condições que poderiam (ou que pareçam) comprometer a independência ou a objetividade. Muitas vezes, o CAE desenvolverá um manual ou guia de políticas de auditoria interna que inclui uma discussão da independência organizacional e da objetividade do auditor interno, a natureza dos prejuízos e da forma como o auditor interno deve lidar com potenciais prejuízos.

    Considerações para Implantação

    Conforme observado acima, para gerenciar a independência e a objetividade de forma eficaz, incluindo os prejuízos, muitos CAEs possuem um manual ou guia de políticas de auditoria interna que descreve as expectativas e os requisitos relacionados. Além de definir independência e objetividade, esse manual pode identificar as normas específicas relacionadas; descrever os tipos de situações que possam, ou aparentem, criar prejuízos; e especificar as ações esperadas do auditor interno quando se depara com um potencial prejuízo.

    Situações que representam prejuízo geralmente incluem interesses pessoais, autorevisão, parentesco, parcialidade ou influências indevidas. Essas situações podem levar a conflitos de interesses pessoais, limitação de escopo, limitação de recursos ou restrições de acesso aos registros, às pessoas ou às instalações. Exemplos de prejuízos à independência organizacional na auditoria interna incluem os seguintes casos, que, se ocorrerem, também podem sacrificar a objetividade do auditor:

    • O CAE tem responsabilidades por funções além de auditoria interna e conduz uma auditoria em uma área funcional que também esteja sob sua supervisão.
    • O supervisor do CAE tem responsabilidade por funções além de auditoria interna e o CAE conduz uma auditoria no âmbito da responsabilidade funcional de seu supervisor.
    • O CAE não tem comunicação ou interação direta com o conselho.
    • O orçamento da atividade de auditoria interna é tão reduzido que não é possível à auditoria interna cumprir suas responsabilidades definidas no estatuto. (a Norma 2020 – Comunicação e Aprovação fornece orientação adicional sobre a comunicação do impacto gerado pela limitação de recursos).

    Exemplos de prejuízos à objetividade:

    • Um auditor interno audita uma área na qual trabalhou recentemente, ou seja, um funcionário é transferido para a auditoria interna, vindo de outra área funcional da organização e, em seguida, é designado para auditar sua área funcional de origem (a Norma 1130.A1 trata especificamente dessa situação).
    • Um auditor interno audita uma área na qual um parente ou amigo íntimo é funcionário.
    • Um auditor interno assume, sem evidências, que uma área que esteja sendo auditada mitigou riscos de maneira eficaz com base, simplesmente, em uma auditoria positiva anterior ou em experiências pessoais (ou seja, ausência de ceticismo profissional).
    • Um auditor interno modifica a abordagem planejada ou os resultados com base na influência indevida de outra pessoa, geralmente alguém hierarquicamente superior ao auditor, sem uma justificativa adequada.

    Muitas vezes, o manual de políticas de auditoria interna descreve ações adequadas a serem adotadas pelo auditor interno no caso de se deparar, ou ter preocupações, com esse prejuízo. Tipicamente, o primeiro passo é discutir essa preocupação com um gerente de auditoria interna ou com o CAE, para determinar se a situação realmente configura um prejuízo e a melhor maneira de proceder.

    Tanto a natureza do prejuízo quando as expectativas da alta administração e do conselho determinarão as partes adequadas a serem notificadas dos prejuízos e a melhor abordagem de comunicação. Por exemplo:

    • Quando o CAE acredita que um prejuízo não é real, mas reconhece que poderia ser interpretado como um prejuízo, o CAE pode discutir a questão em uma reunião de planejamento do trabalho de auditoria com a administração operacional, documentar a discussão (p.ex., em um memorando de planejamento de auditoria) e explicar por que a preocupação não procede. Essa informação também pode ser apropriada para um relatório final do trabalho de auditoria.
    • Quando o CAE acredita que o prejuízo é real e está afetando a capacidade da auditoria interna de executar suas obrigações de forma independente e objetiva, o CAE provavelmente discutirá o prejuízo com o conselho e com a alta administração buscando apoio para solucionar a situação.
    • Quando um prejuízo vem à tona após a realização da auditoria e constata-se que isso impacta a confiabilidade (ou a aparência de confiabilidade) dos resultados do trabalho de auditoria, o CAE deve discutir o assunto com a administração operacional, com a alta administração e com o conselho (a Norma 2421 – Erros e Omissões dispõe que, se uma comunicação final contiver erro ou omissão significativa, o CAE deverá comunicar a informação correta a todas as partes que tenham recebido a comunicação original).

    O CAE geralmente se envolve pessoalmente na determinação da melhor abordagem de divulgação.

    Considerações para Demonstração de Conformidade

    Vários documentos podem indicar a conformidade com a norma, incluindo o próprio manual de políticas de auditoria interna que inclua políticas sobre independência, objetividade, tratamento de conflitos e a natureza dos prejuízos e como comunicá-los. Entre os outros documentos se incluem as atas de reuniões nas quais tenham sido discutidos prejuízos à independência ou à objetividade; memorandos para arquivamento; ou relatórios que contenham tais divulgações.

True
  •    IG1200 – Proficiência e Zelo Profissional Devido (traduzido)  Novembro 2016

    Primeiros Passos

    A execução de trabalhos com proficiência e zelo profissional devido é responsabilidade de cada auditor interno. A conquista desses dois atributos se inicia com um entendimento das Orientações Mandatórias da Estrutura Internacional de Práticas Profissionais (IPPF), particularmente o Código de Ética do IIA.

    Os auditores internos usualmente desenvolvem sua proficiência por meio de formação acadêmica, experiência, oportunidades de desenvolvimento profissional e qualificações, tais como a certificação mais importante da profissão de auditoria interna, o Certified Intenal Auditor® (CIA®), concedida pelo IIA. Os auditores internos que conquistaram certificações profissionais precisam ter consciência dos requisitos de educação continuada para manterem suas certificações ativas.

    O zelo profissional devido exige compreensão da abordagem sistemática e disciplinada da auditoria interna presente no IPPF, complementada pelas políticas e procedimentos específicos da organização estabelecidos pelo executivo-chefe de auditoria (CAE).

    O CAE é responsável por assegurar a conformidade com esta norma em relação à atividade de auditoria interna como um todo. Como parte do gerenciamento da atividade de auditoria interna, o CAE estabelece políticas e procedimentos que permitem aos auditores internos executar trabalhos de auditoria com proficiência e com zelo profissional devido. Isto envolve o recrutamento e treinamento dos auditores internos pelo CAE, assim como o planejamento, a nformação de equipes e a supervisão dos trabalhos de auditoria, de forma apropriada. Como um ponto de partida, o CAE pode revisar as responsabilidades estabelecidas no estatuto de auditoria interna e no planejamento de auditoria interna e refletir sobre o conhecimento, as habilidades e outras competências que a atividade de auditoria interna precisará possuir para realizar os trabalhos de auditoria planejados.

    Considerações para Implantação

    Para os auditores internos, o zelo profissional devido exige a conformidade com o Código de Ética do IIA e pode implicar na observância do código de conduta da organização e quaisquer códigos de conduta pertinentes a outras designações profissionais obtidas. As atividades de auditoria interna podem ter um processo formal que exija que o auditor interno assine uma declaração anual relacionada ao Código de Ética do IIA ou ao código de conduta da organização.

    Em geral, os auditores internos desenvolvem sua proficiência profissional durante toda a sua carreira ao obter e manter certificações apropriadas, experiência e formação acadêmica profissional, o que inclui o desenvolvimento profissional contínuo. O CAE pode usar o Framework Global de Competências de Auditoria Interna do IIA ou referências semelhantes para estabelecer os critérios para a avaliação da proficiência dos auditores internos. Esses critérios podem ser usados para criar descrições de cargos e um inventário das competências necessárias para a atividade de auditoria interna. Além disso, o CAE pode desenvolver uma estratégia de recrutamento, alocação, treinamento e desenvolvimento profissional da equipe para estabelecer uma atividade de auditoria interna proficiente e assegurar que suas competências permaneçam atualizadas e suficientes.

    Ao desenvolver o planejamento de auditoria interna, o CAE geralmente considera o alinhamento entre o conhecimento, as habilidades e outras competências necessário(as) para concluir o planejamento e os recursos disponíveis entre a atividade de auditoria interna e outros provedores de serviços de avaliação e de consultoria. O CAE e os supervisores de auditoria interna podem comparar as habilidades necessárias para cumprir o escopo e os objetivos de cada trabalho com a proficiência de cada auditor interno disponível.

    Para assegurar que o zelo profissional devido está sendo aplicado, o CAE deve estabelecer políticas e procedimentos (Norma 2040), os quais geralmente incorporam as Orientações Mandatórias do IPPF e fornecem uma abordagem sistemática e disciplinada para o processo do trabalho de auditoria. O CAE pode exigir que cada auditor assine formulários reconhecendo a compreensão das políticas e dos procedimentos.

    Os auditores internos podem usar seu conhecimento para avaliar o escopo e os objetivos do trabalho de auditoria e determinar como concluir o trabalho de auditoria com eficácia. Ao seguir as Orientações Mandatórias do IPPF e as políticas e os procedimentos de auditoria interna para planejar, executar e documentar os trabalhos de auditoria, os auditores internos estão essencialmente exercendo o zelo profissional devido. As Normas 1220 até 1220.A3 identificam os elementos fundamentais que os auditores devem abordar para demonstrar o zelo profissional devido.

    Após a conclusão dos trabalhos de auditoria, o CAE ou o supervisor do trabalho de auditoria geralmente revisa o processo, os resultados e as conclusões dos trabalhos de auditoria. Esse procedimento pode ser seguido por uma reunião com a equipe de auditoria interna que realizou o trabalho de auditoria para discutir observações pertinentes e embasar uma avaliação, pelo supervisor, do grau de diligência com a qual os procedimentos estabelecidos foram seguidos.

    Considerações para Demonstração de Conformidade

    A demonstração da conformidade com a Norma 1200 poderia incluir quaisquer das evidências a seguir:

    • Avaliações da competência da atividade de auditoria interna.
    • Registros de uma estratégia de recrutamento e treinamento, descrições de cargos e currículos.
    • Políticas e procedimentos de auditoria interna e modelos de papéis de trabalho.
    • Evidência de que as políticas e os procedimentos de auditoria interna foram comunicados e formulários assinados pela equipe de auditoria interna reconhecendo que os compreende.
    • A declaração anual assinada pelo auditor interno relacionada ao Código de Ética do IIA e ao código de conduta da organização.
    • O planejamento de auditoria interna e os planejamentos dos trabalhos de auditoria, os quais demonstram a alocação apropriada e suficiente de equipes de auditoria interna.

    O zelo profissional devido dos auditores internos pode ser evidenciado nos papéis de trabalho de auditoria ou em outra documentação dos procedimentos e processos aplicados durante o trabalho de auditoria.

    As documentações das revisões pelos supervisores dos trabalhos de auditoria e pesquisas junto ao cliente após o término dos trabalhos de auditoria ou outras formas de obter feedback dos clientes poderiam indicar a proficiência e o zelo profissional devido exibidos pelos auditores internos individualmente. Avaliações externas independentes, realizadas como parte do programa de garantia de qualidade e melhoria, podem fornecer garantia adicional de que os trabalhos de auditoria foram realizados com proficiência e zelo profissional devido.

True
  •    IG1210 – Proficiência (traduzido)  Novembro 2016

    Primeiros Passos

    Para atender a essa norma, é essencial que os auditores internos compreendam e apliquem as Orientações Mandatórias da Estrutura Internacional de Práticas Profissionais (IPPF) do IIA e possuam determinados conhecimentos, habilidades e competências. O executivo-chefe de auditoria (CAE) é o responsável por assegurar a proficiência coletiva da atividade de auditoria interna, posto que deve gerenciar com eficácia a atividade de auditoria interna e seus recursos para cumprir o planejamento de auditoria interna e adicionar valor à organização (a série 2000 das normas endereça os detalhes do gerenciamento da atividade de auditoria interna e dos recursos de auditoria interna).

    O Framework Global de Competências de Auditoria Interna do IIA define as competências essenciais necessárias para atender aos requisitos do IPPF referentes a todos os níveis profissionais da carreira de auditoria interna, incluindo equipe, gerentes e executivos. Para estar em conformidade com a Norma 1210, o CAE e os auditores internos podem analisar, compreender e refletir sobre as competências que constituem o Framework de Competências.

    Considerações para Implantação

    A fim de cultivar e manter a proficiência da atividade de auditoria interna, o CAE pode desenvolver uma ferramenta de avaliação de competências ou avaliação de habilidades baseada no Framework de Competências ou em outra referência (por exemplo, uma atividade de auditoria interna já consolidada). Dessa forma, o CAE poderia incorporar os critérios básicos de competência de auditoria interna nas descrições de cargos e em materiais de recrutamento para ajudar a atrair e contratar auditores internos com formação acadêmica e experiência adequadas. O CAE pode usar também uma ferramenta de avaliação de competências para conduzir uma avaliação periódica das habilidades da atividade de auditoria interna para identificar deficiências. Ao fazer isso, o CAE deveria considerar os riscos associados à fraude e à TI, bem como as técnicas de auditoria baseadas em tecnologia disponíveis, conforme exigido pelas normas 1210.A2 e 1210.A3.

    O CAE possui outras obrigações relacionadas a assegurar a proficiência coletiva da atividade de auditoria interna, as quais incluem o gerenciamento da atividade de auditoria interna em conformidade com as Orientações Mandatórias do IPPF (Norma 2000 – Gerenciamento da Atividade de Auditoria Interna) e a assegurar que a atividade de auditoria interna tenha a combinação adequada de conhecimentos, habilidades e outras competências para cumprir o planejamento de auditoria interna (Norma 2030 – Gerenciamento de Recursos). Caso a atividade de auditoria interna não possua os recursos adequados e suficientes em sua equipe, espera-se que o CAE obtenha orientação ou assistência competente para suprir quaisquer deficiências. O CAE pode utilizar critérios definidos no Framework de Competências para identificar quaisquer deficiências de proficiência coletiva da atividade de auditoria interna e desenvolver planos para suprir essas deficiências por meio da contratação, treinamento, terceirização ou outros métodos. (A Norma 2050 e sua respectiva orientação de Implantação abordam dos detalhes das atividades de coordenação com outros prestadores de serviços de avaliação e de consultoria internos e externos.)

    Para aperfeiçoar a proficiência da atividade de auditoria interna, o CAE incentivará o desenvolvimento profissional dos auditores internos, através de treinamento em campo, participação em conferências e seminários profissionais ou do incentivo à obtenção de certificações profissionais. Ao analisar regularmente o desempenho de auditores internos, o CAE pode obter uma percepção das necessidades de treinamento e oferecer feedback para ajudar no desenvolvimento individual.

    Esta norma também requer que cada auditor interno possua os conhecimentos, as habilidades e as competências necessários para cumprir suas responsabilidades com eficácia. Os indivíduos podem utilizar o Framework Competências como base para uma autoavaliação. Além disso, a norma estimula os auditores internos a obterem certificações e qualificações apropriadas para proporcionar suporte adicional ao crescimento profissional e aumentar a proficiência tanto individual quanto da atividade de auditoria interna como um todo. Do mesmo modo, a Norma 1230 – Desenvolvimento Profissional Contínuo requer que os auditores internos aprimorem suas competências por meio do desenvolvimento profissional contínuo. Os auditores internos deveriam manter-se informados sobre a educação continuada que pode ser exigida para a manutenção de suas certificações profissionais.

    Visto que a Norma 1210 exige uma proficiência que considere atividades atuais, tendências e questões emergentes, a educação continuada pode proporcionar a oportunidade de aprendizado a respeito de mudanças no segmento de negócio que possam afetar a organização ou a profissão de auditoria interna. O CAE pode ajudar a assegurar a proficiência geral da atividade de auditoria interna nesse aspecto. Por exemplo, o CAE poderia assinar serviços de notícias ou boletins enviados por e-mail sobre o segmento de negócio, o que provavelmente incluirá informações sobre estudos e artigos publicados recentemente. O CAE poderá ainda participar ou recomendar à equipe de auditoria a participação em seminários online ou presenciais. Periodicamente, o CAE poderá programar eventos internos de treinamento para a equipe para introduzir novas tecnologias ou alterações das práticas de auditoria interna.

    Em relação aos trabalhos de auditoria específicos, o CAE assume responsabilidade geral pela supervisão dos trabalhos de auditoria para assegurar a qualidade, a realização dos objetivos e o desenvolvimento dos membros da equipe (Norma 2340 – Supervisão do Trabalho de Auditoria). A proficiência e a experiência dos auditores internos ajudam a determinar a extensão de supervisão necessária. Para manter-se informado, o CAE pode reavaliar periodicamente as habilidades individuais dos auditores internos. Além disso, à medida que um trabalho de auditoria seja concluído, o CAE, ou o supervisor do trabalho de auditoria, pode fazer uma pesquisa e/ou entrevistar o cliente do trabalho de auditoria (formal ou informalmente) para obter feedback sobre a proficiência do auditor interno na realização do trabalho de auditoria.

    As responsabilidades individuais dos auditores internos quanto ao planejamento do trabalho de auditoria incluem considerar a adequação e a suficiência dos recursos para alcançar os objetivos do trabalho de auditoria (Norma 2230 – Alocação de Recursos ao Trabalho de Auditoria). Os auditores internos normalmente analisam os objetivos e o escopo dos trabalhos de auditoria e discutem com o CAE quaisquer limitações em suas competências que poderiam impedir a realização dos objetivos do trabalho de auditoria.

    Considerações para Demonstração de Conformidade

    Cada auditor interno pode comprovar sua proficiência por meio de seus currículos e histórico profissional e pela manutenção de registros de certificações e do desenvolvimento profissional contínuo (por exemplo, cursos para créditos de educação continuada; participação em conferências, workshops e seminários e análises de desempenho).

    O esforço do CAE em estabelecer e manter uma atividade de auditoria interna proficiente pode ser demonstrado por meio de ferramentas de avaliação de competência e através do desenvolvimento de políticas, procedimentos e materiais de treinamento de auditoria interna. Os esforços de recrutamento e contratação de auditores internos proficientes podem ser refletidos em descrições de cargo e outros materiais de recrutamento.

    O CAE, ou um supervisor do trabalho de auditoria, pode manter registros de suas avaliações individuais dos auditores internos e da atividade de auditoria interna como um todo. Essas avaliações podem incluir análises de desempenho individual e discussões após o término do trabalho de auditoria, memorandos e atas de reuniões. A documentação referente ao feedback proveniente de pesquisas e entrevistas com clientes posteriores à realização do trabalho de auditoria, também pode comprovar a proficiência da atividade de auditoria interna, dos auditores internos individualmente ou de ambos.

    Qualquer um dos documentos a seguir poderá fornecer evidência quanto à conformidade da atividade de auditoria interna como um todo:

    • Planejamento de auditoria interna que inclua uma análise das necessidades de recursos.
    • Um inventário das habilidades disponíveis na equipe de auditoria ou perfis individuais que relacionem as qualificações.
    • Um mapa de fontes de avaliação com uma lista das qualificações de provedores de serviço os quais a atividade de auditoria interna deposite confiança.
    • A documentação dos resultados de avaliações internas.
True
  •    IG1220 – Zelo Profissional Devido (traduzido)  Novembro 2016

    Primeiros Passos

    Obter formação acadêmica, experiência, certificações e treinamentos adequados ajuda os auditores internos a desenvolverem o nível de aptidão e especialização necessário à realização de suas obrigações com o zelo profissional devido. Além disso, os auditores internos deveriam compreender e aplicar as Orientações Mandatórias da Estrutura Internacional de Práticas Profissionais (IPPF) e podem considerar útil se familiarizar com as competências fundamentais descritas no Framework Global de Competências de Auditoria Interna do IIA.

    No contexto dos trabalhos de auditoria, o emprego do zelo profissional devido envolve a compreensão dos objetivos e do escopo do trabalho de auditoria, assim como das competências que serão necessárias para executar o trabalho de auditoria e de quaisquer políticas e procedimentos específicos da atividade de auditoria interna e da organização.

    Considerações para Implantação

    Para os auditores internos, o zelo profissional devido exige a conformidade com o Código de Ética do IIA e pode implicar na observância do código de conduta da organização e de quaisquer outros códigos de conduta pertinentes a outras designações profissionais obtidas. As atividades de auditoria interna podem ter um processo formal que exija que o auditor interno assine uma declaração anual relacionada ao Código de Ética do IIA ou ao código de conduta da organização.

    Em conjunto com o IPPF, as políticas e procedimentos da atividade de auditoria interna oferecem uma abordagem sistemática e disciplinada para planejar, executar e documentar o trabalho de auditoria interna. Ao adotar essa abordagem sistemática e disciplinada, os auditores internos estão essencialmente exercendo o zelo profissional devido. No entanto, o que constitui o zelo profissional devido depende parcialmente da complexidade dos trabalhos de auditoria. As Normas 1220.A1, 1220.A2, 1220.A3 e 1220.C1 descrevem os elementos que os auditores internos devem considerar no exercício do zelo profissional devido. Por exemplo, os auditores internos devem considerar a possibilidade de erros significativos, fraudes e não conformidades, além de que se espera que conduzam exames e verificações na mesma extensão que um auditor interno razoavelmente prudente e competente conduziria em circunstâncias idênticas ou similares. Ainda assim, a Norma 1220 também especifica que o zelo profissional devido não implica em infalibilidade. Portanto, não se espera que os auditores internos forneçam certeza absoluta quanto à inexistência de não conformidades ou irregularidades.

    A fim de assegurar o zelo profissional devido no contexto dos trabalhos de auditoria, a Norma 2340 – Supervisão do Trabalho de Auditoria exige que os trabalhos de auditoria sejam adequadamente supervisionados, o que geralmente envolve a revisão por parte dos supervisores dos trabalhos de auditoria dos papéis de trabalho, dos resultados e das conclusões a serem divulgadas. Depois dessas revisões, os supervisores usualmente fornecem feedback aos auditores internos que conduziram o trabalho de auditoria, muitas vezes em reuniões realizadas após o término do trabalho de auditoria. Comentários sobre o zelo profissional devido dos auditores internos podem ser solicitados através de pesquisas realizadas junto aos clientes da auditoria após o término do trabalho de auditoria.

    Ao gerenciar a atividade de auditoria interna (série 2000 das normas) e implantar um programa de garantia de qualidade e melhoria (série 1300 das normas), o executivo-chefe de auditoria (CAE) assume a responsabilidade geral por assegurar que o zelo profissional devido seja exercido. Dessa forma, o CAE normalmente desenvolve ferramentas de avaliação, como autoavaliações, métricas, como indicadores-chave de desempenho e um processo para avaliar o desempenho individual dos auditores internos e da atividade de auditoria interna como um todo. Além de pesquisas junto aos clientes, as ferramentas de avaliação individual dos auditores internos podem incluir revisões conduzidas por outros auditores de mesmo nível e pelo supervisor. A atividade de auditoria interna como um todo pode ser avaliada por meio de avaliações internas e externas, em concordância com as normas 1310 a 1312, bem como por pesquisas junto aos clientes ou métodos semelhantes de obtenção de feedback.

    Considerações para Demonstração de Conformidade

    Os auditores internos demonstram a conformidade com a Norma 1220 mediante a aplicação adequada das Orientações Mandatórias do IPPF, o que seria refletido em seus planejamentos, nos programas de trabalho e nos papéis de trabalho dos trabalhos de auditoria. As revisões de desempenho dos auditores internos podem fazer referência à aplicação do zelo profissional devido. A adequada revisão realizada por supervisores dos trabalhos de auditoria provavelmente será documentada nos papéis de trabalho. O zelo profissional devido também pode ser evidenciado quando o supervisor do trabalho de auditoria conduzir as reuniões de equipe após o término do trabalho de auditoria e ao solicitar feedback dos clientes da auditoria através de pesquisas ou outras ferramentas. Adicionalmente, a evidência pode incluir uma declaração anual relacionada ao Código de Ética do IIA e ao código de conduta da organização. Por fim, as avaliações internas e externas realizadas como parte do programa de garantia de qualidade e melhoria da atividade de auditoria interna também podem indicar que o zelo profissional devido foi mantido.

True
  •    IG1230 – Desenvolvimento Profissional Contínuo (traduzido)  Novembro 2016

    Primeiros Passos

    Para aperfeiçoar suas competências e dar continuidade a seu desenvolvimento profissional, os auditores internos podem refletir sobre os requisitos de seu cargo, incluindo as políticas de treinamento e os requisitos de formação profissional de sua profissão, organização, segmento de negócio e quaisquer certificações ou áreas de especialização. Além disso, os auditores internos podem considerar o feedback proveniente de avaliações de desempenho recentes, os resultados da avaliação referente à sua conformidade com as Orientações Mandatórias da Estrutura Internacional de Práticas Profissionais (IPPF) e os resultados de autoavaliações baseadas no Framework Global de Competências de Auditoria Interna do IIA, ou em um parâmetro de referência similar. Refletir sobre as metas de carreira pode ajudar os auditores internos no planejamento de longo prazo de seu desenvolvimento profissional.

    Considerações para Implantação

    Um auditor interno pode utilizar uma ferramenta de autoavaliação, como o Framework de Competências, como base para criar um plano de desenvolvimento profissional. O plano de desenvolvimento pode abranger treinamentos em campo, coaching, orientação profissional e outras oportunidades de treinamentos internos e externos, de voluntariado ou de certificações. Normalmente, o auditor interno discute o plano com o executivo-chefe de auditoria (CAE) e ambos podem concordar em usar o plano de desenvolvimento profissional como base para desenvolver métricas de desempenho do auditor interno (ou seja, indicadores-chave de desempenho), as quais poderiam ser incorporadas às revisões pelos supervisores, pesquisas com clientes e avaliações anuais de desempenho. Os resultados das revisões podem ajudar o CAE e o auditor interno a priorizar áreas para o desenvolvimento profissional contínuo. Em última análise, cada auditor interno é responsável pela conformidade com a Norma 1230.

    Entre as oportunidades para o desenvolvimento profissional incluem-se participar de conferências, seminários, programas de treinamento, cursos online e seminários pela internet, programas de autoestudo ou cursos presenciais; conduzir projetos de pesquisa; tornar-se voluntário em organizações profissionais e buscar certificações profissionais, como o Certified Internal Auditor® (CIA®) do IIA. O desenvolvimento profissional contínuo em um determinado segmento de negócio ou especialização (por exemplo, análise de dados, serviços financeiros, TI, direito tributário ou desenvolvimento de sistemas) pode agregar competências profissionais adicionais capazes de aprimorar o trabalho de auditoria interna nessas áreas específicas.

    Às vezes, pesquisas com clientes de auditoria interna podem revelar alguma preocupação em relação ao domínio que o auditor interno tem do negócio. O CAE e os auditores internos podem endereçar essas preocupações participando de diversos treinamentos ou oportunidades oferecidas dentro de sua organização para obter um melhor entendimento do negócio.

    Para assegurar que os auditores internos tenham oportunidades de aprimorar seus conhecimentos, habilidades e outras competências, o CAE pode estabelecer uma política de treinamento e desenvolvimento que dê suporte ao desenvolvimento profissional contínuo. Essa política pode especificar uma quantidade mínima de horas de treinamento para cada auditor, como 40 horas, condizente com muitos requisitos de certificação profissional. Os CAEs podem considerar o uso de parâmetros de referência para avaliar as necessidades atuais e emergentes da profissão de auditoria interna, assim como as tendências específicas do segmento de negócio ou área de especialização.

    Para assegurar que seu conhecimento de auditoria interna permaneça atualizado, os auditores internos podem buscar orientação do IIA em relação às normas, melhores práticas, procedimentos e técnicas que poderiam afetar a profissão de auditoria interna ou sua organização e segmento de negócio específico. Isto pode envolver a manutenção de associação junto ao IIA e a outras organizações profissionais, desenvolver relacionamentos em eventos locais e monitorar ou assinar serviços de feeds de notícias relacionados à profissão de auditoria interna e específicos do segmento de negócio.

    Considerações para Demonstração de Conformidade

    Os auditores internos podem demonstrar a conformidade com a Norma 1230 ao manterem arquivos com a documentação ou outras evidências de qualquer dos seguintes:

    • Autoavaliações de competências comparadas a um framework ou parâmetro de referência.
    • Planos de desenvolvimento profissional e de treinamentos.
    • Associação e participação em organizações profissionais.
    • Assinatura de informativos profissionais.
    • Participação em treinamentos (por exemplo, créditos de educação continuada, certificações ou certificados de conclusão).

    O aprimoramento da proficiência adquirido por meio de treinamentos em campo e treinamentos internos na empresa provavelmente será incluído nas avaliações de desempenho, que também podem traçar oportunidades para desenvolvimento profissional futuro. As métricas de desempenho podem refletir as observações de supervisores ou de outros auditores sobre novas habilidades e capacidades aprimoradas. Políticas de auditoria interna, cronogramas de treinamento e pesquisas com a equipe de auditoria interna podem evidenciar que o CAE ofereceu oportunidades para o desenvolvimento profissional contínuo.

True
  •    IG1300 – Programa de Garantia de Qualidade e Melhoria (traduzido)  Dezembro 2016

    Primeiros Passos

    A Norma 1300 atribui ao executivo-chefe de auditoria (CAE) o desenvolvimento e a manutenção de um Programa de Garantia de Qualidade e Melhoria (QAIP) abrangente. O QAIP deve cobrir todos os aspectos operacionais e administrativos da atividade de auditoria interna – inclusive os serviços de consultoria – como discutido nos elementos mandatórios da Estrutura Internacional de Práticas Profissionais (IPPF). Também pode ser propício que o QAIP considere as melhores práticas da profissão de auditoria interna.

    O QAIP é projetado para permitir uma avaliação da conformidade da atividade de auditoria interna em relação às Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e à observância ao Código de Ética do IIA por parte dos auditores internos. Desta forma, deve incluir avaliações internas contínuas e periódicas, bem como avaliações externas conduzidas por um avaliador, ou uma equipe de avaliação, independente e qualificado(a) (consulte a Norma 1310 – Requisitos do Programa de Garantia de Qualidade e Melhoria).

    O CAE deve possuir uma compreensão completa dos elementos mandatórios do IPPF, particularmente as Normas e o Código de Ética. Geralmente, o CAE se reúne com o conselho para obter uma compreensão das expectativas em relação à atividade de auditoria interna, discutir a importância das Normas e do QAIP e estimular o respectivo apoio do conselho.

    O CAE normalmente encontra exemplos de como os QAIPs são desenvolvidos e implantados em outras organizações – particularmente naquelas com natureza e maturidade similares – para um processo de benchmarking. Adicionalmente, o CAE pode consultar as Orientações Suplementares do IIA e outras orientações publicadas sobre o tema, inclusive o Manual de Avaliação da Qualidade da Atividade de Auditoria Interna do IIA.

    Considerações para Implantação

    Um QAIP bem desenvolvido assegura que o conceito de qualidade esteja inserido na atividade de auditoria interna e em todas as suas operações. Não deveria ser necessário que a atividade de auditoria interna avalie individualmente cada trabalho de auditoria para verificar se está em conformidade com as Normas. Preferencialmente, os trabalhos de auditoria deveriam ser realizados de acordo com uma metodologia estabelecida que promova a qualidade e, consequentemente, a conformidade com as Normas. Além disso, essa metodologia, de forma geral, promove a melhoria contínua da atividade de auditoria interna.

    Como é exigido pela Norma 1300, o CAE desenvolve e mantém um QAIP que cubra todos os aspectos da atividade de auditoria interna, com o objetivo final de desenvolver uma atividade de auditoria interna com um escopo e uma qualidade de trabalho que inclua a conformidade com as Normas e a observância ao Código de Ética. O QAIP permite que a atividade de auditoria interna seja avaliada em termos de conformidade com as Normas e avalia se os auditores internos estão observando o Código de Ética. Desta forma, o QAIP inclui avaliações da eficiência e da eficácia da atividade de auditoria interna, o que ajuda a identificar oportunidades de melhoria.

    O CAE avalia periodicamente o QAIP e o atualiza conforme necessário. Por exemplo, à medida que a atividade de auditoria interna atinge níveis mais altos de maturidade, ou que as condições na atividade de auditoria interna se modifiquem, pode ser necessário fazer ajustes no QAIP para assegurar que o QAIP continue a operar de forma eficaz e eficiente e a assegurar aos stakeholders que o programa agrega valor ao melhorar as operações da organização.

    Para implantar a Norma 1300, o CAE deve considerar os requisitos relacionados aos seus cinco componentes essenciais:

    • Avaliações Internas (Norma 1311).
    • Avaliações Externas (Norma 1312).
    • Comunicação dos resultados do QAIP (Norma 1320).
    • Uso apropriado da declaração de conformidade (Norma 1321).
    • Divulgação de não conformidade (Norma 1322).

    Avaliações Internas

    As avaliações internas consistem no monitoramento permanente e em autoavaliações periódicas (consulte a Norma 1311 – Avaliações Internas), que avaliam a conformidade da atividade de auditoria interna com os elementos mandatórios do IPPF, a qualidade e a supervisão do trabalho de auditoria realizado, a adequação das políticas e dos procedimentos de auditoria interna, o valor que a atividade de auditoria interna agrega à organização e a definição de indicadores-chave de desempenho, assim como se estes indicadores-chave estão sendo alcançados.

    O CAE deveria estabelecer um monitoramento permanente e assegurar que revisões da atividade de auditoria interna ocorram regularmente. O monitoramento permanente é realizado principalmente por meio de atividades contínuas, tais como o planejamento e a supervisão dos trabalhos de auditoria, práticas de trabalho padronizadas, procedimentos de documentação e aprovação final dos papéis de trabalho, revisões de relatórios, assim como a identificação de quaisquer deficiências ou áreas com necessidade de melhoria e os planos de ação para endereçá-las. O monitoramento permanente ajuda o CAE a determinar se os processos de auditoria interna estão assegurando a qualidade em cada um dos trabalhos de auditoria.

    São conduzidas autoavaliações periódicas para validar se o monitoramento permanente está operando de forma eficaz e avaliar se a atividade de auditoria interna está em conformidade com as Normas, assim como se os auditores internos estão observando o Código de Ética. A conformidade com as Normas e com o Código de Ética permite que a atividade de auditoria interna também se alinhe à Definição de Auditoria Interna e aos Princípios Fundamentais para a Prática Profissional de Auditoria Interna.

    A Orientação de Implantação 1311 – Avaliações Internas fornece orientação adicional sobre os requisitos do QAIP para as avaliações internas.

    Avaliações Externas

    Além das avaliações internas, CAE também é responsável por assegurar que a atividade de auditoria interna se submeta a uma avaliação externa pelo menos uma vez a cada cinco anos (consulte a Norma 1312 – Avaliações Externas). O objetivo dessa avaliação, a qual deve ser conduzida por um avaliador, ou equipe de avaliação, independente e que seja de fora da organização, é validar a conformidade da atividade de auditoria interna com as Normas e a observância ao Código de Ética pelos auditores internos.

    Uma avaliação externa completa pode ser substituída por uma autoavaliação, desde que seja validada por um avaliador externo qualificado, independente, competente e profissional. Nesses casos, o escopo da autoavaliação com validação externa independente consistiria em um processo de autoavaliação abrangente e integralmente documentado, o qual simule o processo de avaliação externa completo, associado a uma validação presencial conduzida por um avaliador qualificado independente.

    A Orientação de Implantação 1312 – Avaliações Externas fornece orientação adicional sobre os requisitos do QAIP para avaliações externas.

    Comunicação dos Resultados do QAIP

    O CAE deve comunicar os resultados do QAIP à alta administração e ao conselho, nos termos da Norma 1320 – Divulgações do Programa de Garantia de Qualidade e Melhoria. Essa comunicação deveria incluir:

    • O escopo e a frequência das avaliações internas e externas.
    • A qualificação e a independência do avaliador ou da equipe de avaliação.
    • As conclusões dos avaliadores.
    • Qualquer plano de ação corretiva que tenha sido elaborado a partir das avaliações utilizadas para tratar áreas que não estejam em conformidades com as Normas, em conjunto com as oportunidades de melhoria.

    A Orientação de Implantação 1320 – Divulgações do Programa de Garantia de Qualidade e Melhoria fornece orientação adicional sobre as divulgações do QAIP.

    Uso Apropriado da Declaração de Conformidade

    A atividade de auditoria interna somente poderá comunicar – por escrito ou verbalmente – que a atividade de auditoria interna está em conformidade com as Normas se os resultados das avaliações internas e externas do QAIP corroborarem essa afirmação. A Orientação de Implantação 1321 – Uso de “Em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna” fornece orientação adicional sobre o uso apropriado da declaração de conformidade.

    Divulgação de Não Conformidade

    Se uma avaliação interna ou externa concluir que a atividade de auditoria interna não está em conformidade com os elementos mandatórios do IPPF e se essa não conformidade impactar o escopo geral ou a operação da atividade de auditoria interna, o CAE deverá divulgar essa não conformidade, e o respectivo impacto, à alta administração e ao conselho. A Orientação de Implantação 1322 – Divulgação de Não Conformidade fornece orientação adicional sobre como e quando divulgar uma não conformidade.

    Considerações para Demonstração de Conformidade

    Diversas atividades e documentos podem demonstrar a conformidade com a Norma 1300, sendo os mais eminentes dentre eles a própria documentação do QAIP, os resultados das avaliações internas e externas e a documentação evidenciando a comunicação dos resultados do QAIP ao conselho pelo CAE. Esta última geralmente contém as descobertas, planos de ações corretivas e ações corretivas já adotadas para melhorar a conformidade da atividade de auditoria interna com as Normas e com o Código de Ética. Além disso, qualquer documentação das ações adotadas para melhorar a eficiência e a eficácia da atividade de auditoria interna pode ajudar a demonstrar a conformidade com a norma. No caso das avaliações externas, a documentação fornecida pelo avaliador externo, ou equipe de avaliação externa, ou a validação independente por escrito referente à autoavaliação, podem ser utilizadas para indicar a conformidade com a Norma 1300. As atas de reuniões do conselho nas quais os QAIPs e seus resultados foram discutidos e as apresentações ao conselho e à alta administração também ajudam a evidenciar a conformidade.

True
  •    IG1310 – Requerimentos do Programa de Garantia de Qualidade e Melhoria (traduzido)  Dezembro 2016

    Primeiros Passos

    A Norma 1310 informa os requisitos que compõem o programa de garantia de qualidade e melhoria (QAIP), o qual cobre todos os aspectos da atividade de auditoria interna. De maneira específica, a norma indica a exigência de avaliações tanto internas quanto externas.

    O executivo-chefe de auditoria (CAE) deveria estar ciente desses requisitos. As avaliações internas são compostas por processos rigorosos e abrangentes, supervisão e testes contínuos dos trabalhos de auditoria interna e de consultoria, além de validações periódicas da conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e da observância ao Código de Ética do IIA por parte dos auditores internos. As avaliações externas oferecem uma oportunidade para que um avaliador, ou equipe de avaliação, independente conclua se a atividade de auditoria interna está em conformidade com as Normas e se os auditores internos observam o Código de Ética, bem como identifique áreas passíveis de melhoria. O QAIP também inclui medições e análises de métricas de desempenho de forma contínua, tais como o grau de cumprimento do planejamento de auditoria interna, a duração do ciclo, recomendações aceitas e satisfação do cliente.

    Tipicamente, o CAE seria informado de quaisquer resultados prévios, tanto das avaliações internas como das avaliações externas, que indicassem áreas nas quais a atividade de auditoria interna poderia melhorar. O CAE implantaria planos de ação relacionados a quaisquer melhorias identificadas a partir do QAIP.

    Considerações para Implantação

    A Norma 1310 requer que o QAIP inclua avaliações tanto internas quanto externas. As avaliações internas consistem no monitoramento permanente e em autoavaliações periódicas (consulte a Norma 1311 – Avaliações Internas), que avaliam a conformidade da atividade de auditoria interna com os elementos mandatórios do IPPF, a qualidade e a supervisão do trabalho de auditoria realizado, a adequação das políticas e dos procedimentos de auditoria interna, o valor que a atividade de auditoria interna agrega à organização e a definição de indicadores-chave de desempenho, assim como avalia se estes indicadores-chave estão sendo alcançados.

    O CAE deveria estabelecer um monitoramento permanente e assegurar que revisões da atividade de auditoria interna ocorram regularmente. O monitoramento permanente é realizado principalmente por meio de atividades contínuas, tais como o planejamento e a supervisão dos trabalhos de auditoria, práticas de trabalho padronizadas, procedimentos de documentação e aprovação final dos papéis de trabalho, revisões de relatórios, assim como a identificação de quaisquer deficiências ou áreas com necessidade de melhoria e os planos de ação para endereçá-las. O monitoramento permanente ajuda o CAE a determinar se os processos de auditoria interna estão assegurando a qualidade em cada um dos trabalhos de auditoria.

    São conduzidas autoavaliações periódicas para validar se o monitoramento permanente está operando de forma eficaz e avaliar se a atividade de auditoria interna está em conformidade com as Normas, assim como se os auditores internos estão observando o Código de Ética. A conformidade com as Normas e com o Código de Ética permite que a atividade de auditoria interna também se alinhe à Definição de Auditoria Interna e aos Princípios Fundamentais para a Prática Profissional de Auditoria Interna.

    Além das avaliações internas, CAE também é responsável por assegurar que a atividade de auditoria interna se submeta a uma avaliação externa pelo menos uma vez a cada cinco anos (consulte a Norma 1312 – Avaliações Externas). O objetivo dessa avaliação, a qual deve ser conduzida por um avaliador, ou equipe de avaliação, independente e que seja de fora da organização, é validar a conformidade da atividade de auditoria interna com as Normas e a observância ao Código de Ética pelos auditores internos.

    Uma avaliação externa completa pode ser substituída por uma autoavaliação, desde que seja validada por um avaliador externo qualificado, independente, competente e profissional. Nesses casos, o escopo da autoavaliação com validação externa independente consistiria em um processo de autoavaliação abrangente e integralmente documentado, o qual simule o processo de avaliação externa completo, associado a uma validação presencial conduzida por um avaliador qualificado independente.

    As orientações de Implantação das Normas 1311 e 1312 fornecem orientação adicional sobre os requisitos do QAIP para avaliações internas e externas.

    Considerações para Demonstração de Conformidade

    Diversos itens podem indicar a conformidade com a Norma 1310, incluindo toda a documentação que demonstra a conformidade com as Normas 1311 e 1312. Além disso, a conformidade pode ser demonstrada através das atas de reuniões do conselho, nas quais foram discutidos os planos – e os resultados – das avaliações. Um relatório de benchmarking e solicitações de serviços podem demonstrar a diligência da organização ao analisar criteriosamente os avaliadores externos.

    Com relação às avaliações internas, especificamente, qualquer evidência de que atividades de monitoramento permanente foram concluídas de acordo com o QAIP da atividade de auditoria interna pode demonstrar a conformidade (p.ex.: análises de indicadores-chave de desempenho ou revisões de papéis de trabalho). Adicionalmente, é possível demonstrar a conformidade a partir das documentações das avaliações periódicas que tenham sido realizadas, incluindo o escopo do plano e a abordagem de revisão, papéis de trabalho e os relatórios das comunicações. Por fim, os resultados do QAIP (p.ex.: planos de ações corretivas, ações corretivas já adotadas para melhoria da conformidade e para a melhoria da eficiência e eficácia) podem indicar a conformidade.

    O mais importante indicador de conformidade para as avaliações externas é o relatório do avaliador externo, o qual inclui uma conclusão sobre o grau de conformidade e os planos de ações corretivas. Esse relatório geralmente inclui recomendações do avaliador externo sobre formas de melhorar a qualidade, a eficiência e a eficácia da auditoria interna, as quais podem ajudar a atividade de auditoria interna a atender melhor os stakeholders da organização e agregar valor.

True
  •    IG1311 – Avaliações Internas (traduzido)  Dezembro 2016

    Primeiros Passos

    Como a Norma 1311 indica, o executivo-chefe de auditoria (CAE) é responsável por assegurar que a atividade de auditoria interna realize uma avaliação interna que inclua tanto um monitoramento permanente quanto autoavaliações periódicas. As avaliações internas validam que a atividade de auditoria interna continua em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e com o Código de Ética do IIA. O CAE entende que o foco das avaliações internas é a melhoria contínua da atividade de auditoria interna, o que envolve o monitoramento de sua eficiência e eficácia.

    O Manual de Avaliação da Qualidade da Atividade de Auditoria Interna do IIA ou orientações e ferramentas similares podem servir como guia para a realização de uma avaliação interna.

    Considerações para Implantação

    As duas partes inter-relacionadas das avaliações internas — o monitoramento permanente e as autoavaliações periódicas — oferecem uma estrutura eficaz para que a atividade de auditoria interna avalie continuamente sua conformidade com as Normas e se os auditores internos estão observando o Código de Ética. Adicionalmente, podem permitir a identificação de oportunidades de melhoria.

    Monitoramento Permanente

    O monitoramento permanente é realizado principalmente por meio de atividades contínuas, tais como o planejamento e a supervisão dos trabalhos de auditoria, práticas de trabalho padronizadas, procedimentos de documentação e aprovação final dos papéis de trabalho, revisões de relatórios, assim como a identificação de quaisquer deficiências ou áreas com necessidade de melhoria e os planos de ação para endereçá-las. O monitoramento permanente ajuda o CAE a determinar se os processos de auditoria interna estão assegurando a qualidade em cada um dos trabalhos de auditoria. De forma geral, o monitoramento permanente ocorre rotineiramente ao longo do ano por meio da implantação de práticas de trabalho padronizadas. Para facilitar esse processo, o CAE pode desenvolver modelos para uso dos auditores internos durante os trabalhos de auditoria, garantindo consistência na aplicação das Normas.

    Uma supervisão adequada é um elemento fundamental de qualquer programa de garantia de qualidade e melhoria (QAIP). Essa supervisão começa com o planejamento e continua ao longo das fases de execução e comunicação do trabalho de auditoria. A garantia de uma supervisão adequada é obtida através da definição de expectativas, de comunicações contínuas entre os auditores internos durante o trabalho de auditoria e de procedimentos de revisão dos papéis de trabalho, incluindo a aprovação final tempestiva pelo responsável pela supervisão do trabalho de auditoria. A orientação de Implantação 2340 – Supervisão do Trabalho de Auditoria fornece orientação adicional sobre a supervisão de auditoria interna.

    As orientações de implantação das séries 2200, 2300 e 2400 das normas fornecem orientação adicional sobre a execução adequada de um trabalho de auditoria, desde seu planejamento até a divulgação dos resultados.

    Outros mecanismos normalmente usados na atividade de monitoramento permanente incluem:

      • Listas de verificação ou ferramentas de automação para assegurar que os auditores internos cumprem as práticas e os procedimentos estabelecidos e para assegurar a consistência na aplicação das normas de desempenho.
      • Feedback obtidos de clientes de auditoria interna e de outros stakeholders acerca da eficácia e eficiência da equipe de auditoria interna. Esse feedback pode ser solicitado imediatamente após o término do trabalho de auditoria ou com alguma periodicidade (p.ex.: semestral ou anualmente) via ferramentas de pesquisa ou conversas entre o CAE e a administração.
      • Indicadores-chave de desempenho (KPIs) relacionados à equipe e ao trabalho de auditoria, como o número de profissionais certificados na equipe, o montante em anos de experiência em auditoria interna que os auditores possuem, o número de horas de desenvolvimento profissional contínuo os auditores internos realizaram durante o ano e a pontualidade dos trabalhos de auditoria e a satisfação dos stakeholders.
      • Outras métricas que possam ser de grande valor para determinar a eficácia e eficiência da atividade de auditoria interna. Métricas de orçamentos de projetos, sistemas de monitoramento de prazos e um balanço de fechamento do planejamento de auditoria podem ajudar a verificar se foi despendido um volume de tempo apropriado em todos os aspectos do trabalho de auditoria. A variação entre o orçado e o realizado também pode ser uma métrica valiosa para determinar a eficácia e eficiência da atividade de auditoria interna.

    Além de validar a conformidade com as Normas e o Código de Ética, o monitoramento permanente pode identificar oportunidades de melhoria da atividade de auditoria interna. Nesses casos, o CAE normalmente considera essas oportunidades e desenvolve planos de ação. Após as alterações serem implantadas, indicadores-chave de desempenho podem ser empregados para monitorar o sucesso dessa implantação. Os resultados do monitoramento permanente deveriam ser comunicados ao conselho pelo menos uma vez por ano, conforme estabelecido na Norma 1320 – Divulgações do Programa de Garantia de Qualidade e Melhoria.

    Autoavaliações Periódicas

    As autoavaliações periódicas possuem um foco diferente do monitoramento permanente, à medida que, geralmente, fornecem uma revisão mais global e abrangente das Normas e da atividade de auditoria interna. Em contraste, o foco do monitoramento permanente é, geralmente, em revisões conduzidas no contexto dos trabalhos de auditoria. Além disso, as autoavaliações periódicas endereçam a conformidade com cada norma, enquanto que o monitoramento permanente, frequentemente, dedica maior foco às normas de desempenho no contexto do trabalho de auditoria.

    Em geral, as autoavaliações periódicas são conduzidas pelos membros mais experientes da atividade de auditoria interna, por uma equipe dedicada à garantia de qualidade ou indivíduo dentro da atividade de auditoria interna com vasta experiência na Estrutura Internacional de Práticas Profissionais (IPPF), por auditores certificados ou por outros profissionais de auditoria interna qualificados que possam ser designados a partir de qualquer outra área da organização. Sempre que possível, é vantajoso incluir membros da atividade de auditoria interna no processo de autoavaliação, à medida que isso pode representar uma oportunidade de treinamento que aperfeiçoará o entendimento dos auditores internos sobre o IPPF.

    A atividade de auditoria interna conduz autoavaliações periódicas para validar sua conformidade contínua com as Normas e com o Código de Ética e também para avaliar:

      • A qualidade e a supervisão do trabalho realizado.
      • A adequação e propriedade das políticas e dos procedimentos de auditoria interna.
      • As formas as quais a atividade de auditoria interna agrega valor.
      • A realização dos indicadores-chave de desempenho.
      • O grau de atendimento das expectativas dos stakeholders.

    Para ter sucesso, o indivíduo ou a equipe que conduz a autoavaliação usualmente avalia cada norma para determinar se a atividade de auditoria interna está atuando em conformidade. Isto pode incluir entrevistas detalhadas e pesquisas com stakeholders. Durante esse processo, normalmente o CAE consegue avaliar a qualidade das práticas de auditoria da atividade de auditoria interna, incluindo a aderência às políticas e aos procedimentos para a condução dos trabalhos de auditoria. As autoavaliações periódicas podem ser conduzidas por um membro da atividade de auditoria interna ou por outras pessoas dentro da organização com conhecimento suficiente das práticas de auditoria interna, principalmente das Normas e do Código de Ética.

    A atividade de auditoria interna pode adotar medidas adicionais para apoiar a autoavaliação periódica, tais como conduzir revisões após o término do trabalho de auditoria ou análises dos KPIs.

      • Revisão após o término do trabalho de auditoria – A atividade de auditoria interna pode selecionar uma amostra de trabalhos de auditoria dentro de um período específico e conduzir uma revisão para avaliar a conformidade com as políticas de auditoria interna (consulte a Norma 2040 – Políticas e Procedimentos) e a conformidade com as Normas e com o Código de Ética. Essas revisões normalmente são conduzidas por uma equipe de auditoria interna que não se envolveu no respectivo trabalho de auditoria. Em uma organização maior ou mais madura, esse processo pode ser conduzido por um especialista, ou equipe de especialistas, de garantia de qualidade. Em organizações menores, o CAE ou o indivíduo responsável pela revisão dos papéis de trabalho pode utilizar uma lista de verificação, após emissão do relatório final, para realizar essa revisão e fechar o arquivo.
      • Análise dos KPIs – A atividade de auditoria interna também pode monitorar e analisar os KPIs relacionados à eficiência das práticas padronizadas de trabalho de auditoria interna (p.ex.: horas dos trabalhos de auditoria orçadas versus realizadas, percentual de cumprimento do planejamento de auditoria, número de dias entre o término do trabalho de campo e emissão do relatório, percentual de observações de auditoria implantadas e a tempestividade das correções relacionadas às observações de auditoria). Outras métricas normalmente usadas incluem o número de profissionais certificados na equipe, o montante em anos de experiência em auditoria interna que os auditores possuem e o número de horas de desenvolvimento profissional contínuo os auditores internos realizaram durante o ano.

    Após a autoavaliação periódica, quando apropriado, o CAE pode desenvolver um plano de ação para endereçar as oportunidades de melhoria. Esse plano deveria incluir cronogramas para essas ações.

    Os resultados das autoavaliações periódicas, que indicam o nível de conformidade da atividade de auditoria interna com as Normas e com o Código de Ética, devem ser comunicados ao conselho tão logo sejam concluídas as autoavaliações, conforme exigido pela Norma 1320. Uma autoavaliação periódica realizada um pouco antes de uma avaliação externa pode ajudar a reduzir o tempo e os esforços necessários para concluir essa avaliação externa (consulte a Norma 1312 – Avaliações Externas).

    Considerações para Demonstração de Conformidade

    Diversos itens podem indicar a conformidade com a Norma 1311, incluindo qualquer evidência de que as atividades de monitoramento foram realizadas de acordo com o QAIP da atividade de auditoria interna. Exemplos podem incluir listas de verificação preenchidas que dão suporte às revisões dos papéis de trabalho, resultados de pesquisas e KPIs relacionados à eficácia e eficiência da atividade de auditoria interna, tais como uma análise horas dos trabalhos de auditoria orçadas versus realizadas. Adicionalmente, é possível demonstrar a conformidade a partir das documentações das avaliações periódicas que tenham sido realizadas, incluindo o escopo do plano e a abordagem de revisão, papéis de trabalho e os relatórios das comunicações. Finalmente, as apresentações ao conselho e à administração, atas de reuniões e os resultados das autoavaliações periódicas e do monitoramento permanente – incluindo os planos de ações corretivas, ações corretivas já adotadas para melhoria da conformidade, da eficiência e da eficácia – podem indicar a conformidade.

True
  •    IG1312 – Avaliações Externas (traduzido)  Dezembro 2016

    Primeiros Passos

    Como indica esta norma, o executivo-chefe de auditoria (CAE) é responsável por assegurar que a atividade de auditoria interna conduza uma avaliação externa ao menos uma vez a cada cinco anos a ser realizada por um avaliador, ou equipe de avaliação, independente e de fora da organização. Sendo uma exigência do programa de garantia de qualidade e melhoria (QAIP) da atividade de auditoria interna, a avaliação externa atesta que a atividade de auditoria interna está em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e que os auditores internos observam o Código de Ética do IIA. Desta forma, é crucial que o CAE reveja regularmente a Estrutura Internacional de Práticas Profissionais (IPPF) e esteja ciente de quaisquer mudanças que precisariam ser comunicadas para todos da atividade de auditoria interna.

    O CAE normalmente conhece diferentes tipos de avaliações externas, assim como vários recursos disponíveis para prestação desse tipo de serviço. Além disso, o CAE normalmente está ciente de quaisquer políticas que possam existir na organização para a adequada contratação de prestadores externos de serviços. Adicionalmente, o CAE também deve estar ciente dos requisitos de independência para um avaliador externo, ou equipe de avaliação externa, e entender as situações que poderiam prejudicar a independência ou a objetividade, ou gerar conflitos de interesses.

    Considerações para Implantação

    Normalmente, o CAE discute com a alta administração e com o conselho a frequência e o tipo de avaliação externa que será realizada. Essas discussões permitem que o CAE oriente os stakeholders e obtenha uma compreensão e avalie as expectativas da organização.

    As Normas exigem que a atividade de auditoria interna se submeta a uma avaliação externa pelo menos uma vez a cada cinco anos. Contudo, ao discutir essa exigência com a alta administração e com o conselho, o CAE pode determinar ser apropriado conduzir revisões com maior frequência. Há vários motivos para considerar uma maior frequência de avaliações externas, tais como mudanças na liderança (isto é, na alta administração ou o CAE), alterações significativas nos procedimentos ou nas políticas de auditoria interna, a fusão de duas ou mais organizações de auditoria em uma única atividade de auditoria interna ou um nível significativo de rotatividade da equipe. Além disso, questões ambientais ou específicas do segmento de negócio podem justificar revisões mais frequentes.

    As avaliações externas avaliam a conformidade da atividade de auditoria interna com as Normas e avaliam se os auditores internos estão observando o Código de Ética. Conforme observado na Norma 1320 – Divulgações do Programa de Garantia de Qualidade e Melhoria, os resultados das avaliações externas, incluindo a conclusão do avaliador, ou da equipe de avaliação, quanto à conformidade devem ser comunicados à alta administração e ao conselho tão logo sejam concluídas.

    Duas Abordagens

    As avaliações externas podem ser realizadas aplicando-se uma das seguintes abordagens: uma avaliação externa completa ou uma autoavaliação com validação externa independente (SAIV). Uma avaliação externa completa seria conduzida por um avaliador externo, ou equipe de avaliação externa, independente e qualificado(a). A equipe deveria ser composta por profissionais competentes e liderada por um líder de equipe de projeto experiente e profissional. O escopo de uma avaliação externa completa tipicamente inclui três componentes essenciais:

    • O nível de conformidade com as Normas e com o Código de Ética. Isto pode ser avaliado por meio de uma análise do estatuto, dos planos, das políticas, dos procedimentos e das práticas da atividade de auditoria interna. Em alguns casos, a análise também pode incluir requisitos regulatórios e legais aplicáveis.
    • A eficiência e eficácia da atividade de auditoria interna. Isto pode ser medido ao avaliar a infraestrutura e os processos da atividade de auditoria interna, incluindo o QAIP e ao avaliar o conhecimento, a experiência e a especialização da equipe de auditoria interna.
    • O quanto a atividade de auditoria interna atende às expectativas do conselho, da alta administração e da administração operacional e agrega valor à organização.

    A segunda abordagem para atender ao requisito de uma avaliação externa é uma SAIV. Esse tipo de avaliação externa normalmente é conduzido pela atividade de auditoria interna e posteriormente é validada por um avaliador externo qualificado e independente. O escopo de uma SAIV tipicamente consiste de:

    • Um processo de autoavaliação abrangente e completamente documentado que simule todo o processo de avaliação externa, pelo menos quanto à avaliação da conformidade da atividade de auditoria interna com as Normas e com o Código de Ética.
    • Uma validação presencial de um avaliador externo qualificado e independente.
    • Uma atenção limitada a outras áreas, tais como benchmarking; análise, consulta e emprego das melhores práticas; e entrevistas com a alta administração e com a administração operacional.

    Qualificações do Avaliador Externo

    Independentemente da abordagem selecionada para a avaliação externa, um avaliador externo, ou equipe de avaliação externa, qualificado(a) e independente deve ser contratado(a) para conduzir a avaliação. O CAE usualmente consulta a alta administração e o conselho para selecionar o avaliador ou a equipe de avaliação. Avaliadores ou equipes de avaliação devem ser competentes em duas áreas principais: as práticas profissionais de auditoria interna (incluindo um profundo conhecimento do IPPF) e o processo de avaliação externa de qualidade. As qualificações e competências preferenciais geralmente incluem:

    • Certificação profissional de auditoria interna (p.ex.: Certified Internal Auditor).
    • Conhecimento das melhores práticas de auditoria interna.
    • Suficiente experiência recente na prática de auditoria interna em nível gerencial, que demonstre conhecimentos práticos e aplicação do IPPF.

    As organizações podem desejar outras qualificações e competências para os líderes das equipes de avaliação e validadores independentes, incluindo:

    • Um nível adicional de competência e experiência adquiridas com trabalhos anteriores de avaliação externa.
    • A conclusão do treinamento em avaliação da qualidade do IIA ou treinamento semelhante.
    • Experiência como CAE (ou cargo equivalente na alta administração de auditoria interna).
    • Especialização técnica e experiência no segmento de negócio, relevantes.

    Indivíduos com especialização em outras áreas podem oferecer assistência, quando apropriado. Exemplos incluem especialistas em gerenciamento de risco corporativo, auditoria de TI, amostragem estatística, sistemas de monitoramento e autoavaliação de controles.

    O CAE deveria determinar o conjunto de habilidades desejadas para a avaliação externa e aplicar o julgamento profissional ao selecionar o avaliador ou a equipe de avaliação. Com base nas necessidades da atividade de auditoria interna, por exemplo, o CAE poderá optar por indivíduos com experiência em auditoria interna em organizações de porte, complexidade e segmento de negócios semelhantes, à medida que tais profissionais podem agregar mais valor. Cada indivíduo da equipe não precisa possuir todas as competências preferenciais; na verdade, a equipe como um todo deve possuir as qualificações necessárias para oferecer os melhores resultados.

    Objetividade e Independência do Avaliador

    O CAE, a alta administração e o conselho deveriam considerar e discutir diversos fatores relacionados à independência e à objetividade ao selecionar um avaliador ou uma equipe de avaliação. Avaliadores externos, equipes de avaliação externas e suas organizações deveriam estar isentos de conflitos de interesses reais, potenciais ou aparentes que pudessem prejudicar a objetividade. Prejuízos potenciais podem incluir relações passadas, presentes ou futuras com a organização, seus funcionários ou sua atividade de auditoria interna (por exemplo, auditoria externa das demonstrações financeiras quando a auditoria externa depositar confiança no trabalho da atividade de auditoria interna; assistência à atividade de auditoria interna; relacionamentos pessoais; participação prévia ou futura em avaliações internas de qualidade; ou serviços de consultoria em governança, gerenciamento de risco, relatórios financeiros, controle interno ou outras áreas relacionadas).

    Nos casos em que os avaliadores em potencial são ex-funcionários da organização a qual a atividade de auditoria interna faz parte, se deveria levar em consideração por quanto tempo o avaliador se mantém independente. (Independente, nesse contexto, significa não ter nenhum conflito de interesse nem fazer parte, ou estar sob a influência, da organização à qual a atividade de auditoria interna faz parte).

    Indivíduos de outros departamentos da organização, embora organizacionalmente separados da atividade de auditoria interna, não são considerados independentes para fins de condução de uma avaliação externa. No setor público, atividades de auditoria interna em entidades separadas em um mesmo nível de governo não são consideradas independentes se estiverem subordinadas ao mesmo CAE. Da mesma forma, não são considerados independentes os indivíduos de uma organização relacionada (isto é, uma matriz; uma afiliada do mesmo grupo de entidades ou uma entidade com responsabilidades de fiscalização, supervisão ou garantia de qualidade em relação à organização que esteja sujeita à avaliação).

    Avaliações recíprocas entre duas organizações similares não são consideradas independentes. Contudo, avaliações recíprocas entre três ou mais organizações similares — organizações do mesmo segmento de negócio, associação regional ou outro grupo de afinidades — podem ser consideradas independentes. Porém, deve ser exercido o zelo para assegurar que a independência e a objetividade não sejam prejudicadas e que todos os membros da equipe sejam capazes de exercer integralmente suas responsabilidades.

    Considerações para Demonstração de Conformidade

    O relatório do avaliador externo é o principal documento utilizado para demonstrar a conformidade com a Norma 1312. Esse relatório geralmente inclui recomendações do avaliador externo e planos de ações da administração para melhorar a qualidade, a eficiência e a eficácia da auditoria interna, os quais podem fornecer novas ideias ou maneiras para que a auditoria interna atenda melhor aos stakeholders da organização e agregue valor.

    Outros documentos que podem ajudar a demonstrar a conformidade incluem as atas de reuniões do conselho nas quais os planos e os resultados de avaliações externas foram discutidos. Um relatório de benchmarking e solicitações de serviços podem demonstrar a diligência da organização ao analisar criteriosamente os avaliadores externos.

True
  •    IG1320 – Reporte do Programa de Garantia de Qualidade e Melhoria (traduzido)  Dezembro 2016

    Primeiros Passos

    A Norma 1320 informa os critérios mínimos do programa de garantia de qualidade e melhoria (QAIP) que o executivo-chefe de auditoria (CAE) deve comunicar à alta administração e ao conselho. Rever os requisitos relacionados a cada elemento da norma pode ajudar o CAE a se preparar para implantar essa norma.

    Como indica essa norma, o CAE é responsável por comunicar os resultados de todo o programa. Para tanto, o CAE deve compreender os requisitos do QAIP (consulte a Norma 1300 – Programa de Garantia de Qualidade e Melhoria). Normalmente, o CAE se reúne regularmente com a alta administração e com o conselho para entender e acordar previamente as expectativas quanto às comunicações referentes à atividade de auditoria interna, incluindo as relacionadas ao QAIP. O CAE também considera as responsabilidades relacionadas ao QAIP que estão detalhadas no estatuto de auditoria interna.

    O CAE deveria estar ciente de quaisquer avaliações internas, incluindo avaliações periódicas e o monitoramento permanente, bem como avaliações externas realizadas. Dessa forma, o CAE deveria ter o conhecimento do nível de conformidade da atividade de auditoria interna com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e com o Código de Ética do IIA.

    Considerações para Implantação

    Normalmente, os aspectos referentes ao QAIP estão documentados no manual de políticas e procedimentos da atividade de auditoria interna (consulte a Norma 2040 – Políticas e Procedimentos) e no estatuto de auditoria interna (consulte a Norma 1010 – Reconhecimento das Orientações Mandatórias no Estatuto de Auditoria Interna). O CAE pode começar revendo essas informações para entender os requisitos de comunicação referentes às divulgações do QAIP, as quais incluem quatro elementos essenciais:

    • O escopo e a frequência das avaliações internas e externas.
    • As qualificações e a independência dos avaliadores.
    • As conclusões dos avaliadores.
    • Planos de ações corretivas.

    Escopo e Frequência das Avaliações Internas e Externas

    O escopo e a frequência tanto das avaliações internas quanto das avaliações externas devem ser discutidos com o conselho e com a alta administração (consulte a Norma 1311 – Avaliações Internas e a Norma 1312 – Avaliações Externas). O escopo deveria considerar as responsabilidades da atividade de auditoria interna e do CAE, como previsto no estatuto de auditoria interna. O escopo pode incluir as expectativas do conselho e da alta administração relacionadas à atividade de auditoria interna, bem como as expectativas manifestadas por outros stakeholders. Também pode incluir a avaliação das práticas de auditoria interna em confronto com as Normas, bem como em confronto com outros requisitos regulatórios que possam impactar a atividade de auditoria interna. A frequência das avaliações externas varia dependendo do porte e da maturidade da atividade de auditoria interna.

    Avaliações Internas

    O CAE deveria estabelecer um meio para a comunicação dos resultados das avaliações internas, pelo menos anualmente, para melhorar a credibilidade e a objetividade da atividade de auditoria interna. A Interpretação da Norma 1320 estipula que os resultados de avaliações internas periódicas deveriam ser comunicados tão logo sejam concluídas e os resultados do monitoramento permanente deveriam ser comunicados pelo menos uma vez por ano.

    Avaliações internas periódicas podem incluir uma avaliação da conformidade da atividade de auditoria interna com as Normas para dar suporte à declaração de conformidade da atividade de auditoria interna (consulte a Norma 1321 – Uso de “Em Conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna”). Organizações de maior porte podem conduzir avaliações internas periódicas anuais, ao passo que atividades de auditoria interna de menor porte ou com menor nível de maturidade podem realizá-las com menor frequência (p.ex.: a cada dois anos). Por exemplo, a atividade de auditoria interna pode realizar uma avaliação periódica sobre um período de vários anos e comunicar os resultados do trabalho conduzido durante cada período separadamente.

    O monitoramento permanente normalmente inclui divulgações dos indicadores-chave de desempenho da auditoria interna. O CAE poderá preparar um relatório anual à alta administração e ao conselho sobre os resultados do monitoramento permanente e incluir eventuais recomendações de melhoria.

    Geralmente, os responsáveis por conduzir o monitoramento permanente e as avaliações internas periódicas comunicam os resultados diretamente ao CAE enquanto realizam as avaliações. Em uma atividade de auditoria interna de menor porte, o CAE pode exercer um papel direto de maior relevância no processo de avaliação interna. Os resultados das avaliações internas incluem, quando apropriado, planos de ações corretivas e seu progresso em relação ao planejado. O CAE poderá distribuir os relatórios das avaliações internas a vários stakeholders, incluindo a alta administração, o conselho e os auditores externos.

    A Orientação de Implantação 1311 – Avaliações Internas fornece informações adicionais sobre o monitoramento permanente e as avaliações internas periódicas.

    Avaliações Externas

    O CAE deve discutir a frequência das avaliações externas com a alta administração e com o conselho. As Normas exigem que a atividade de auditoria interna se submeta a uma avaliação externa pelo menos uma vez a cada cinco anos. Contudo, ao discutir essa exigência com a alta administração e com o conselho, o CAE pode determinar ser apropriado conduzir revisões com maior frequência. Há vários motivos para considerar uma maior frequência de avaliações externas, tais como mudanças na liderança (isto é, na alta administração ou o CAE), alterações significativas nos procedimentos ou nas políticas de auditoria interna, a fusão de duas ou mais organizações de auditoria em uma única atividade de auditoria interna ou um nível significativo de rotatividade da equipe. Além disso, questões ambientais ou específicas do segmento de negócio podem justificar revisões mais frequentes.

    Qualificações e Independência dos Avaliadores

    Ao selecionar um avaliador ou uma equipe de avaliação, o CAE normalmente discute com a alta administração e com o conselho as qualificações do(s) potencial(ais) avaliador(es) e os diversos fatores relacionados à independência e à objetividade, incluindo conflitos de interesse reais, potenciais ou aparentes. Mais tarde, ao divulgar os resultados da avaliação externa, o CAE normalmente confirma as qualificações e a independência do avaliador externo ou da equipe de avaliação externa. Quaisquer conflitos de interesses reais, potenciais ou aparentes deveriam ser comunicados à alta administração e ao conselho. A Orientação de Implantação 1312 – Avaliações Externas fornece informações adicionais sobre a qualificação e a independência de avaliadores externos.

    Conclusões dos Avaliadores

    Os relatórios das avaliações externas contém a expressão de uma opinião ou conclusão sobre os resultados da avaliação externa. Além da conclusão sobre o grau geral de conformidade da atividade de auditoria interna com as Normas, o relatório pode incluir uma avaliação para cada norma e/ou série de normas. O CAE deveria explicar a escala de classificação da(s) conclusão(ões) da avaliação à alta administração e ao conselho, bem como o impacto dos resultados. Apresentamos a seguir um exemplo de uma escala de classificação que pode ser utilizada para demonstrar o grau de conformidade:

    • Conformidade geral Esta é a classificação mais alta, a qual significa que uma atividade de auditoria interna possui um estatuto, políticas e processos, assim como a execução e os resultados dos mesmos, que são considerados em conformidade com as Normas.
    • Conformidade parcial – Deficiências na prática são consideradas como desvios em relação às Normas, mas essas deficiências não impedem que a atividade de auditoria interna cumpra suas responsabilidades.
    • Em desconformidade – Deficiências na prática são consideradas de tal magnitude que prejudicam seriamente ou impedem que a atividade de auditoria interna cumpra de forma adequada todas as áreas, ou áreas significativas, de suas responsabilidades.

    Planos de Ações Corretivas

    Durante uma avaliação externa, o avaliador pode fornecer recomendações para tratar áreas em desconformidade com as Normas e para endereçar oportunidades de melhoria. O CAE deveria comunicar à alta administração e ao conselho eventuais planos de ações para tratar as recomendações das avaliações externas. O CAE também pode considerar a inclusão das recomendações e dos planos de ação provenientes das avaliações externas nos processos de monitoramento existentes da atividade de auditoria interna relacionados às descobertas provenientes dos trabalhos de auditoria interna (consultar a Norma 2500 – Monitoramento do Progresso). O CAE normalmente comunicará ao conselho a implantação definitiva das recomendações identificadas durante a avaliação externa, seja como parte do progresso de monitoramento da atividade de auditoria interna ou de um acompanhando separado até a próxima avaliação interna (Norma 1311), ou como parte do QAIP.

    Considerações para Demonstração de Conformidade

    Diversos itens podem indicar a conformidade com a Norma 1320, incluindo as atas de reuniões do conselho ou de outras reuniões que documentam as discussões com a alta administração e com o conselho sobre o escopo e a frequência tanto das avaliações internas quanto das avaliações externas. As atas de reuniões do conselho ou de outras reuniões também deveriam fornecer uma documentação que deu suporte à avaliação das qualificações e da independência do avaliador externo ou da equipe de avaliação externa. Adicionalmente, a documentação da contratação pode demonstrar o processo referente aos requisitos de contratação dos serviços do avaliador externo.

    Outros documentos podem indicar a conformidade com a norma, especificamente os relacionados à comunicação das avaliações internas periódicas e das avaliações externas. As comunicações de auditoria interna podem incluir uma cópia do relatório da avaliação externa. Este relatório geralmente contém detalhes que corroboram a conclusão do avaliador e pode incluir uma classificação de avaliação em relação a cada norma. O avaliador externo pode efetuar uma apresentação à alta administração e ao conselho, ou o CAE pode comunicar os resultados do QAIP diretamente.

True
  •    IG1321 – Uso “Em Conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna” (traduzido)  Dezembro 2016

    Primeiros Passos

    Tanto as avaliações internas quanto as avaliações externas da atividade de auditoria interna são realizadas para avaliar, e expressar uma opinião sobre, a conformidade da atividade de auditoria interna com as Normas Internacionais para Prática Profissional de Auditoria Interna (Normas) e com o Código de Ética do IIA. Também podem incluir recomendações para melhoria.

    O executivo-chefe de auditoria (CAE) deveria compreender os requisitos de um programa de garantia de qualidade e melhoria (QAIP) e estar familiarizado com os resultados de avaliações internas e externas recentes da atividade de auditoria interna. O CAE normalmente compreende as expectativas do conselho quanto ao uso da declaração “Em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna”. O CAE poderá discutir o uso dessa declaração periodicamente com o conselho para obter e manter uma compreensão das expectativas do conselho sobre esse assunto.

    Considerações para Implantação

    Os auditores internos podem comunicar – por escrito ou verbalmente – que a atividade de auditoria interna está em conformidade com as Normas somente se os resultados do QAIP, incluindo os resultados de avaliações internas e externas, corroborarem tal declaração, conforme exigido pela Norma 1312. Uma vez que uma avaliação externa tenha validado a conformidade com as Normas, a atividade de auditoria interna poderá continuar a usar a declaração — desde que as avaliações internas continuem corroborando tal declaração — até a próxima avaliação externa.

    As situações a seguir demonstram o uso adequado da declaração de conformidade:

    • Se os resultados da avaliação interna atual ou da avaliação externa mais recente não confirmarem a conformidade geral com as Normas e com o Código de Ética do IIA, a atividade de auditoria interna deve deixar de indicar que está operando em conformidade.
    • Se uma atividade de auditoria interna existir por pelo menos há cinco anos e não tiver se submetido a uma avaliação externa, essa atividade de auditoria interna não poderá indicar que está operando em conformidade com as Normas.
    • Se uma atividade de auditoria interna tiver se submetido a uma avaliação externa nos últimos cinco anos, mas não tiver realizado uma avaliação interna em concordância com divulgações ao conselho sobre a frequência das avaliações internas, o CAE deveria considerar se ainda está operando em conformidade e, se apropriado, indicar a conformidade até que seja validada por uma avaliação interna.
    • Uma atividade de auditoria interna que exista há menos de cinco anos pode indicar que está operando em conformidade com as Normas somente se uma avaliação interna documentada (isto é, autoavaliação periódica) corroborar tal conclusão.
    • Se a última avaliação externa conduzida de acordo com a Norma 1312 – Avaliações Externas tiver ocorrido há mais de cinco anos, a atividade de auditoria interna deve deixar de indicar que está operando em conformidade, até que uma avaliação externa atual seja conduzida e corrobore tal conclusão.
    • Se uma avaliação externa refletir uma conclusão geral de que a atividade de auditoria interna não estava operando em conformidade com as Normas, a atividade de auditoria interna deve imediatamente deixar de usar quaisquer declarações que indiquem a conformidade com as Normas. A atividade de auditoria interna não pode voltar a usar a declaração de conformidade até que tenha solucionado a não conformidade e seja submetida a uma nova avaliação externa para validar a declaração geral de conformidade com as Normas.

    É importante observar que as Normas se baseiam em princípios. Ao avaliar a conformidade com as Normas, pode haver situações nas quais a atividade de auditoria interna esteja apenas parcialmente em conformidade com uma ou mais normas. A atividade de auditoria interna pode demonstrar uma clara intenção e o comprometimento, em última análise, em respeitar os Princípios Fundamentais para a Prática Profissional de Auditoria Interna, nos quais as Normas se baseiam, porém pode haver algumas oportunidades de melhoria para alcançar a plena conformidade com as Normas. Nesses casos, a atividade de auditoria interna deveria considerar a conclusão de conformidade geral ao determinar a possibilidade de usar ou não a declaração de conformidade.

    Nos casos em que um trabalho de auditoria específico não esteja em conformidade com as Normas, a atividade de auditoria interna pode ser obrigada a divulgar essa ausência de conformidade. O CAE é responsável por divulgar esses casos de não conformidade. A Orientação de Implantação 1322 – Divulgação de Não Conformidade fornece informações adicionais sobre a não conformidade com as Normas.

    Considerações para Demonstração de Conformidade

    Diversos itens podem indicar a conformidade com a Norma 1321, inclusive cópias de avaliações internas e externas nas quais o avaliador conclui que a atividade de auditoria interna está em conformidade com as Normas. Os relatórios dos trabalhos de auditoria, o estatuto de auditoria interna, os materiais do conselho, atas de reuniões e outras comunicações também podem demonstrar a conformidade com essa norma.

True
  •    IG1322 – Divulgação de Não Conformidade (traduzido)  Dezembro 2016

    Primeiros Passos

    O executivo-chefe de auditoria (CAE) é responsável por assegurar que a atividade de auditoria interna se submeta ao monitoramento permanente, à autoavaliações periódicas e à avaliações externas independentes, conforme exigido pelo programa de garantia de qualidade e melhoria. Essas avaliações internas e externas são realizadas, em parte, para avaliar e expressar uma opinião sobre a conformidade da atividade de auditoria interna com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e com o Código de Ética do IIA. O CAE deveria estar familiarizado com os resultados das avaliações internas e externas recentes da atividade de auditoria interna.

    A Norma 1322 se aplica aos casos em que o CAE conclui que a atividade de auditoria interna não está em conformidade com as Normas e com o Código de Ética e que essa ausência de conformidade pode impactar o escopo geral ou a operação da atividade de auditoria interna. É importante que o CAE tenha uma compreensão dos elementos mandatórios da Estrutura Internacional de Práticas Profissionais (IPPF), da forma como potenciais desvios de conformidade poderiam afetar o escopo geral da atividade de auditoria interna e das expectativas do conselho e da alta administração quanto à divulgação de quaisquer questões de conformidade.

    Considerações para Implantação

    Os resultados de quaisquer avaliações internas e externas, assim como o nível de conformidade da auditoria interna com as Normas, devem ser comunicados à alta administração e ao conselho pelo menos uma vez por ano. Essas avaliações podem revelar prejuízos à independência ou à objetividade, restrições de escopo, limitações de recursos ou outras condições que podem afetar a capacidade da atividade de auditoria interna de cumprir suas responsabilidades com os stakeholders. Essas não conformidades são, geralmente, comunicadas ao conselho assim que sejam identificadas e registradas nas atas de reuniões.

    Se uma atividade de auditoria interna deixar de se submeter a uma avaliação externa pelo menos uma vez a cada cinco anos, por exemplo, ela não poderia declarar que está em conformidade com as Normas (consulte a Orientação de Implantação 1321 – Uso de “Em Conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna”). Nesse caso, o CAE deve avaliar o impacto dessa não conformidade.

    Outros exemplos comuns de não conformidade podem incluir situações nas quais:

    • Um auditor interno tenha sido designado a um trabalho de auditoria apesar de não satisfazer os requisitos de objetividade individual (consulte a Norma 1120 – Objetividade Individual).
    • Uma atividade de auditoria interna tenha realizado um trabalho de auditoria sem possuir coletivamente os conhecimentos, as habilidades e a experiência necessários(as) para cumprir suas responsabilidades (consulte a Norma 1210 – Proficiência).
    • O CAE tenha deixado de considerar o risco ao elaborar o planejamento de auditoria interna (consulte a Norma 2010 – Planejamento).

    Nesses casos, o CAE precisaria avaliar a não conformidade e determinar se a mesma impacta o escopo geral ou a operação da atividade de auditoria interna. Também é importante que o CAE considere se, e o quanto, uma situação de não conformidade poderia afetar a capacidade da atividade de auditoria interna de cumprir suas responsabilidades profissionais e/ou as expectativas dos stakeholders. Essas responsabilidades podem incluir a capacidade para fornecer uma avaliação confiável sobre áreas específicas da organização, para concluir o planejamento de auditoria e endereçar áreas de alto risco.

    Após essa consideração, o CAE divulgará a não conformidade, assim como o respectivo impacto, à alta administração e ao conselho. Geralmente, as divulgações dessa natureza envolvem uma discussão com a alta administração e a comunicação ao conselho durante uma reunião do conselho. O CAE também pode discutir a não conformidade durante sessões privadas com o conselho, reuniões individuais com o presidente do conselho ou por outros métodos apropriados.

    Considerações para Demonstração de Conformidade

    Para demonstrar a conformidade com a Norma 1322, a atividade de auditoria interna deveria manter a documentação da ocorrência e da natureza de qualquer não conformidade com as Normas ou com o Código de Ética. Outros itens que podem indicar a conformidade com a Norma 1322 incluem a documentação que dê suporte à determinação do impacto geral da não conformidade, as atas de reuniões do conselho nas quais a não conformidade da atividade de auditoria interna com o Código de Ética ou com as Normas foi comunicada, ou memorandos ou e-mails para a alta administração e para o conselho discutindo essa não conformidade. Isto pode incluir os resultados de quaisquer avaliações internas ou externas realizadas, bem como quaisquer comunicações que documentem a não conformidade e seu impacto no escopo ou na operação da atividade de auditoria interna.

True
  •    IG2000 – Gerenciamento da Atividade de Auditoria Interna (traduzido)  Outubro 2016

    Primeiros Passos

    Essa norma informa os critérios mínimos que o executivo-chefe de auditoria (CAE) deve atender ao gerenciar a atividade de auditoria interna. A revisão dos requisitos relacionados a cada elemento da Interpretação pode ajudar o CAE a se preparar para implantar essa norma.

    Como esta norma indica, o CAE é responsável por gerenciar a atividade de auditoria interna de forma a permitir que a atividade de auditoria interna como um todo esteja em conformidade com as Normas e que os auditores internos individualmente estejam em conformidade com as Normas e observam o Código de Ética. Assim, é crucial que o CAE reveja regularmente a Estrutura Internacional de Práticas Profissionais (IPPF) para considerar dos detalhes da conformidade.

    A Norma 2000 destaca diversos fundamentos necessários para atender ao princípio de que a atividade de auditoria interna agrega valor à organização. O CAE pode começar por revisar o propósito e a responsabilidade da atividade de auditoria interna, que foram previamente acordados entre o CAE, a alta administração e o conselho e registrados no estatuto de auditoria interna. Estudar o organograma pode ajudar o CAE a identificar os stakeholders, a estrutura e as relações de subordinação da organização. Estudar o plano estratégico da organização dará ao CAE uma visão sobre a estratégia, os objetivos e os riscos da organização. Os riscos a serem considerados devem incluir tendências e questões emergentes, como as que envolvem o segmento de negócio da organização, a própria profissão de auditoria interna, os requisitos regulatórios e as situações política e econômica. O CAE pode reunir informações adicionais ao conversar com a alta administração e com o conselho sobre o plano estratégico.

    Essas considerações prévias e a preparação servem como base para que o CAE possa gerenciar a atividade de auditoria interna de forma a agregar valor, ao melhorar os processos de governança, de gerenciamento de risco e de controle da organização e ao fornecer avaliações pertinentes.

    Considerações para Implantação

    Após considerar as informações acima mencionadas, o CAE desenvolve uma estratégia e uma abordagem de auditoria interna que estejam alinhadas com as metas e expectativas da liderança da organização. Além disso, conforme estabelecido na Norma 2010, o CAE cria um planejamento de auditoria interna baseado em risco para determinar as prioridades dos trabalhos de auditoria de avaliação e de consultoria da atividade de auditoria interna. Esse processo leva em conta contribuições da alta administração e do conselho, assim como uma avaliação de risco anual documentada (Norma 2010.A1).

    No planejamento de auditoria interna, o CAE normalmente define o escopo e os resultados a serem entregues, especifica os recursos necessários para cumprir o planejamento e prepara uma abordagem para desenvolver a atividade de auditoria interna e avaliar seu desempenho e progresso em relação ao que foi planejado. De acordo com a Norma 2020, o CAE é responsável por comunicar o planejamento, os recursos necessários e o impacto das limitações de recursos ao conselho e à alta administração e por receber suas aprovações. As alterações interinas significativas no planejamento também devem ser comunicadas e aprovadas.

    Conforme previsto na Norma 2030, o CAE também deve assegurar que os recursos da auditoria interna sejam aplicados de forma eficaz para alcançar os objetivos do planejamento aprovado. Para implantar uma abordagem sistemática e disciplinada de gerenciamento da atividade de auditoria interna, o CAE considera as Orientações Mandatórias do IPPF e estabelece políticas e procedimentos de auditoria interna (Norma 2040). A documentação relacionada às políticas e aos procedimentos de auditoria interna geralmente é reunida em um manual de auditoria interna para ser usado pela atividade de auditoria interna. Essa documentação pode incluir métodos e ferramentas para o treinamento dos auditores internos. O CAE pode exigir que os auditores internos reconheçam por meio de assinatura em formulários que leram e compreenderam as políticas e os procedimentos.

    A Norma 2000 introduz a responsabilidade do CAE quanto a assegurar que a atividade de auditoria interna agrega valor à organização ao fornecer, de forma objetiva, avaliação relevante e sugestões para a melhoria dos processos de governança, de gerenciamento de risco e de controle da organização. A série 2100 das normas e as respectivas orientações de implantação descrevem os requisitos e os processos que permitem que a atividade de auditoria interna realize esses objetivos.

    O CAE assegura um gerenciamento eficaz através do monitoramento da conformidade com as Orientações Mandatórias do IPPF por parte dos auditores internos individualmente e da atividade de auditoria interna como um todo. O CAE também é responsável por implantar um programa de garantia de qualidade e melhoria, conforme exigido pela Norma 1300 e pela implantação de métodos e ferramentas relacionadas à série 1200 das normas.

    O CAE também deve avaliar a eficácia da atividade de auditoria interna em alcançar a conformidade com a Norma 2000. Normalmente, o CAE desenvolve métricas para avaliar a eficácia e a eficiência da atividade de auditoria interna. Entre as ferramentas que o CAE pode usar para essa finalidade incluem solicitar feedback por meio de pesquisas junto aos clientes após o término das auditorias, conduzir avaliações de desempenho anuais dos auditores internos, implantar o programa de garantia de qualidade e melhoria e comparar a atividade de auditoria interna da organização com grupos de auditoria interna contemporânea dentro do mesmo segmento de negócio (benchmarking).

    Considerações para Demonstração de Conformidade

    A evidência da forma como a atividade de auditoria interna está sendo gerenciada e se está agregando valor à organização pode ser encontrada nos resultados das pesquisas junto aos clientes realizadas após o término dos trabalhos de auditoria e em outras fontes de feedback. Além disso, as avaliações internas e externas ajudam a aferir a conformidade da atividade de auditoria interna com as Orientações Mandatórias do IPPF, incluindo as métricas de desempenho relacionadas ao gerenciamento da atividade de auditoria interna. Os resultados das comparações contra o padrão do segmento de negócio (ou seja, benchmarking) também podem ser usados.

    Como a Norma 2000 exige a evidência de conformidade não apenas no contexto da atividade de auditoria interna, mas também do contexto do auditor interno individual, as evidências que corroboram a série 1200 das normas também podem ser úteis. Essas evidências podem incluir as avaliações dos supervisores e as revisões de pares dos auditores internos e do CAE, com as métricas vinculadas ao desempenho e à conformidade.

    A evidência de conformidade com a série 2000 das normas (ou seja, normas 2010 até 2070) fornece evidência adicional da conformidade com a Norma 2000.

True
  •    IG2010 – Planejamento (traduzido)  Outubro 2016

    Primeiros Passos

    O planejamento de auditoria interna destina-se a assegurar que a cobertura de auditoria interna examine adequadamente as áreas com maior exposição aos principais riscos que poderiam afetar a capacidade da organização de realizar seus objetivos. Essa norma orienta o executivo-chefe de auditoria (CAE) a começar a preparação do planejamento de auditoria interna por uma consulta junto à alta administração e ao conselho para compreender as estratégias, os objetivos de negócio, os riscos e os processos de gerenciamento de risco da organização. Assim, o CAE considera a maturidade dos processos de gerenciamento de risco da organização, inclusive se a organização usa um framework formal de gerenciamento de risco para avaliar, documentar e gerenciar o risco.

    A preparação do CAE normalmente envolve a revisão dos resultados de todas as avaliações de risco que a administração tenha realizado. O CAE pode usar ferramentas como entrevistas, pesquisas, reuniões e seminários para reunir informações adicionais sobre os riscos junto à administração em diversos níveis da organização, assim como junto ao conselho e a outros stakeholders.

    Considerações para Implantação

    Essa revisão da abordagem da organização em relação ao gerenciamento de risco pode ajudar o CAE a decidir como organizar ou atualizar o universo de auditoria, o qual consiste de todas as áreas de risco que poderiam estar sujeitas à auditoria, resultando em uma lista de possíveis trabalhos de auditoria que poderiam ser realizados. O universo da auditoria inclui projetos e iniciativas relacionadas ao planejamento estratégico da organização e pode ser organizado por unidades de negócios, linhas de produtos ou de serviços, processos, programas, sistemas ou controles.

    Relacionar os riscos críticos aos objetivos e aos processos de negócios específicos ajuda o CAE a organizar o universo de auditoria e a priorizar os riscos. O CAE utiliza uma abordagem de fatores de risco para considerar os riscos internos e externos. Os riscos internos podem afetar os principais produtos e serviços, pessoal e sistemas. Os fatores de risco relevantes relacionados aos riscos internos incluem o grau de mudança nos riscos desde que a área foi auditada pela última vez, a qualidade dos controles e outros. Os riscos externos podem estar relacionados à concorrência, fornecedores ou outras questões ligadas ao segmento de negócio. Os fatores de risco relevantes podem incluir mudanças iminentes na legislação ou nos regulamentos e outros fatores políticos e econômicos.

    Para assegurar que o universo de auditoria cubra todos os principais riscos da organização (na medida do possível), a atividade de auditoria interna geralmente revisa de forma independente e corrobora os principais riscos identificados pela alta administração. De acordo com a Norma 2010.A1, o planejamento de auditoria interna deve ser baseado em uma avaliação de risco documentada, realizada no mínimo anualmente, que considere as contribuições da alta administração e do conselho. Conforme observado no Glossário, os riscos são medidos em termos de impacto e de probabilidade.

    Ao desenvolver o planejamento de auditoria interna, o CAE também considera quaisquer solicitações feitas pelo conselho e/ou pela alta administração e a capacidade da atividade de auditoria interna em depositar confiança no trabalho de outros provedores internos e externos de serviços de avaliação (de acordo com a Norma 2050).

    Assim que as informações mencionadas acima tiverem sido reunidas e revisadas, o CAE desenvolve um planejamento de auditoria interna, que normalmente inclui:

    • Uma lista dos trabalhos de auditoria propostos (especificando se os trabalhos de auditoria têm a natureza de avaliação ou de consultoria).
    • As razões para a seleção de cada trabalho de auditoria proposto (p.ex.: a classificação de risco, tempo decorrido desde a última auditoria, mudanças na administração, etc.).
    • Os objetivos e o escopo de cada trabalho de auditoria proposto.
    • Uma lista de iniciativas ou projetos que resultam da estratégia da auditoria interna, mas que não sejam diretamente relacionados a um trabalho de auditoria.

    Embora sejam normalmente preparados anualmente, os planejamentos de auditoria podem ser desenvolvidos de acordo com outro ciclo. Por exemplo, a atividade de auditoria interna pode manter um planejamento de auditoria flexível de 12 meses e reavaliar os projetos trimestralmente. Ou, a atividade de auditoria interna pode desenvolver um planejamento de auditoria para vários anos e avaliar o planejamento anualmente.

    O CAE discute o planejamento de auditoria interna com o conselho, com a alta administração e com outros stakeholders para criar um alinhamento entre as prioridades dos diferentes stakeholders. O CAE também reconhece as áreas de risco que não estejam endereçadas no planejamento. Por exemplo, essa discussão pode ser uma oportunidade para o CAE revisar as funções e responsabilidades do conselho e da alta administração com relação ao gerenciamento de risco e as normas relativas à manutenção da independência e da objetividade da atividade de auditoria interna (Normas 1100 a 1130.C2). O CAE também reflete sobre qualquer feedback recebido dos stakeholders antes da finalização do planejamento.

    O planejamento de auditoria interna é flexível o suficiente para permitir que o CAE o revise e ajuste conforme seja necessário, em resposta a mudanças nos negócios, nos riscos, nas operações, nos programas, nos sistemas e nos controles da organização. As alterações significativas devem ser comunicadas ao conselho e à alta administração para revisão e aprovação, de acordo com a Norma 2020.

    Considerações para Demonstração de Conformidade

    A evidência de conformidade com a Norma 2010 pode ser encontrada no planejamento de auditoria interna documentado, assim como na avaliação de risco na qual o planejamento foi baseado. Podem existir evidências em atas das reuniões nas quais o CAE discutiu o universo de auditoria e a avaliação de risco com o conselho e com a alta administração. Além disso, os memorandos arquivados podem ser usados para documentar conversas semelhantes com os membros da administração nos diversos níveis da organização.

True
  •    IG2020 – Comunicação e Aprovação (traduzido)  Outubro 2016

    Primeiros Passos

    Antes de apresentar o planejamento de auditoria interna, os requisitos de recursos da atividade de auditoria interna e o impacto das limitações de recursos à alta administração e ao conselho, o executivo-chefe de auditoria (CAE) determina os recursos necessários para implantar o planejamento, baseado nas prioridades definidas a partir dos riscos identificados durante o processo de planejamento (Norma 2010). Os recursos podem incluir pessoas (p.ex., horas de trabalho e habilidades), tecnologias (p.ex., ferramentas e técnicas de auditoria), cronogramas/agendas (disponibilidade de recursos) e verbas. Uma parte dos recursos é normalmente reservada para endereçar mudanças que possam surgir em relação ao planejamento de auditoria, tais como riscos imprevistos que poderiam afetar a organização e solicitações de trabalhos de consultoria por parte da alta administração e/ou do conselho. Por exemplo, a necessidade de um novo projeto de auditoria interna pode surgir quando novos riscos sejam considerados em razão de alienações de investimentos ou fusões, incertezas políticas ou mudanças nos requisitos regulatórios.

    Seria conveniente que o CAE, o conselho e a alta administração concordassem previamente quanto aos critérios que caracterizariam uma alteração significativa o suficiente para justificar uma nova discussão e o protocolo para comunicar essas mudanças. Pode ser útil registrar esses critérios no estatuto de auditoria interna ou em outro documento.

    Considerações para Implantação

    O CAE usualmente especifica os itens de auditorias que compõem o planejamento de auditoria interna para, então, avaliar os tipos e a quantidade de recursos necessários para realizar cada projeto de auditoria. Essas estimativas são normalmente baseadas nas experiências passadas em projetos específicos ou em comparações com projetos similares. O CAE pode fazer uma comparação entre os recursos necessários para cumprir as prioridades do planejamento e os recursos disponíveis da atividade de auditoria interna para determinar se existe alguma insuficiência. Essa comparação pode ser usada como base para determinar o impacto das limitações de recursos.

    O CAE geralmente se reúne individualmente com alguns executivos da alta administração para solicitar suas opiniões sobre o planejamento de auditoria interna proposto, antes que seja formalmente apresentado ao conselho para aprovação. Durante as reuniões, o CAE pode abordar quaisquer preocupações que os executivos da alta administração possam apresentar, incorporar seus feedback (quando apropriado) e obter o apoio desses executivos. O processo pode envolver a coleta de informações adicionais sobre o cronograma dos trabalhos de auditoria propostos e a disponibilidade de recursos. Isto poderia provocar mudanças que afetariam o escopo do trabalho. A perspectiva que o CAE adquire a partir dessas discussões ajuda a determinar se deveriam ser efetuados quaisquer ajustes no planejamento de auditoria interna antes de ser apresentado ao conselho para aprovação.

    A apresentação do planejamento de auditoria interna ao conselho, pelo CAE, normalmente ocorre durante uma reunião, a qual pode incluir a presença da alta administração. O planejamento de auditoria interna proposto pode incluir:

    • Uma lista dos trabalhos de auditoria propostos (especificando se os trabalhos de auditoria têm a natureza de avaliação ou de consultoria).
    • As razões para a seleção de cada trabalho de auditoria proposto (p.ex.: a classificação de risco, tempo decorrido desde a última auditoria, mudanças na administração, etc.).
    • Os objetivos e o escopo de cada trabalho de auditoria proposto.
    • Uma lista de iniciativas ou projetos que resultam da estratégia da auditoria interna, mas que não sejam diretamente relacionados a um trabalho de auditoria.

    As limitações de recursos afetam as prioridades no planejamento de auditoria interna. Por exemplo, se os recursos não forem suficientes para conduzir todos os trabalhos de auditoria propostos no planejamento, alguns trabalhos de auditoria podem ser adiados e alguns riscos podem não ser endereçados. Durante a apresentação ao conselho, o CAE discute sobre o planejamento de auditoria interna proposto e a avaliação de risco na qual ele foi baseado, indicando os riscos que serão endereçados, assim como quaisquer riscos que não poderão ser endereçados devido às limitações de recursos. Os membros do conselho podem discutir essas informações e fazer recomendações antes de aprovar definitivamente o planejamento de auditoria interna.

    O planejamento de auditoria interna é desenvolvido para ser flexível o suficiente para que o CAE possa ajustá-lo, caso seja necessário, em resposta a mudanças nos negócios, nos riscos, nas operações, nos programas, nos sistemas e nos controles da organização. No entanto, o CAE deve revisar as mudanças significativas no planejamento de auditoria, as respectivas justificativas e os potenciais impactos em conjunto com o conselho e com a alta administração, e obter suas aprovações. As reuniões regulares com o conselho que já estejam agendadas, a cada trimestre ou semestre, oferecem oportunidades para revisar e ajustar o planejamento de auditoria interna.

    Considerações para Demonstração de Conformidade

    O CAE pode demonstrar a conformidade com a Norma 2020 ao manter registro da distribuição do planejamento de auditoria interna. A conformidade também pode ser evidenciada por meio de uma cópia dos materiais apresentados nas reuniões com o conselho, incluindo o planejamento de auditoria interna proposto para revisão e aprovação. Discussões individuais com executivos da alta administração poderiam ser documentadas em memorandos, e-mails ou anotações feitas durante o processo de avaliação de riscos pela atividade de auditoria interna. Normalmente, as minutas das reuniões com o conselho contêm registros das discussões do conselho e da aprovação do planejamento de auditoria interna, de quaisquer mudanças interinas e/ou do impacto de quaisquer limitações de recursos.

True
  •    IG2030 – Gerenciamento de Recursos (traduzido)  Outubro 2016

    Primeiros Passos

    Ao desenvolver o planejamento de auditoria interna (Norma 2010) e revisá-lo com o conselho e com a alta administração (Norma 2020), o executivo-chefe de auditoria (CAE) considera e discute os recursos necessários para cumprir as prioridades do planejamento. Para implantar a Norma 2030, o CAE usualmente começa por obter um entendimento mais profundo dos recursos disponíveis à atividade de auditoria interna para o planejamento de auditoria interna aprovado pelo conselho.

    O CAE pode considerar cuidadosamente a quantidade de profissionais na equipe de auditoria interna e as horas produtivas de trabalho disponíveis para cumprir o planejamento dentro das restrições de cronograma da organização. As horas produtivas de trabalho normalmente excluem fatores como folgas remuneradas e tempo dedicado a treinamento e tarefas administrativas. Para obter uma visão geral do conhecimento, das habilidades e de outras competências, coletivamente, da atividade de auditoria interna, o CAE pode revisar uma avaliação de habilidades documentada, se houver, ou reunir informações a partir de avaliações de desempenho dos membros da equipe e de pesquisas após o término do trabalho de auditoria.

    O CAE também pode desejar refletir sobre o orçamento aprovado e considerar as verbas disponíveis para treinamento, tecnologia ou para a contratação de mais auditores para cumprir o planejamento.

    Considerações para Implantação

    Ao fazer a alocação de recursos específicos aos trabalhos de auditoria identificados no planejamento de auditoria interna aprovado, o CAE pode considerar como os recursos disponíveis correspondem às habilidades específicas e ao cronograma que sejam necessários para conduzir os trabalhos de auditoria. Durante esse processo, o CAE normalmente se empenha para preencher quaisquer insuficiências que possam ter sido identificadas.

    Para suprir as insuficiências relacionadas aos conhecimentos, às habilidades e às competências da equipe de auditoria interna, o CAE poderia oferecer treinamentos para a equipe atual, solicitar que um especialista interno da organização atue como auditor convidado, contratar mais auditores para a equipe ou contratar um prestador externo de serviços. Se a quantidade de recursos for insuficiente para cobrir os trabalhos de auditoria planejados de forma eficiente e eficaz, o CAE pode contratar mais auditores para a equipe, contratar um prestador de serviço para a coparticipação nos trabalhos de auditoria ou para a terceirização completa dos trabalhos de auditoria, fazer uso de um ou mais auditores convidados ou desenvolver um programa de rotação de escopo de auditorias.

    Ao elaborar um cronograma para os trabalhos de auditoria interna, o CAE considera a agenda da organização, as agendas de cada auditor interno e a disponibilidade das entidades auditáveis. Por exemplo, se um trabalho de auditoria precisar ser realizado durante um período específico do ano, os recursos necessários para conduzir esse trabalho de auditoria também precisam estar disponíveis nesse mesmo período. Da mesma forma, se uma entidade auditável estiver indisponível ou com restrições durante um determinado período do ano, devido a necessidades do negócio, o trabalho de auditoria seria agendado para evitar esse período.

    Como o CAE deve comunicar o impacto das limitações de recursos (Norma 2020) e o desempenho da atividade de auditoria interna em relação a seu planejamento (Norma 2060), é importante que o CAE avalie continuamente a adequação geral dos recursos. Para afirmar que os recursos são apropriados, suficientes e aplicados com eficácia, o CAE estabelece métricas que avaliam o desempenho da atividade de auditoria interna e solicita feedback junto aos clientes da auditoria interna.

    Considerações para Demonstração de Conformidade

    A documentação que evidencia a conformidade com a Norma 2030 poderia incluir o planejamento de auditoria interna, o qual contém o cronograma estimado dos trabalhos de auditoria e os recursos alocados. Adicionalmente, uma comparação após o término dos trabalhos de auditoria das horas orçadas em relação às horas reais pode ser documentada para corroborar a eficácia da aplicação dos recursos. Os resultados das avaliações dos clientes quanto ao desempenho da atividade de auditoria interna e dos auditores internos individualmente são frequentemente mencionados nos relatórios pós-auditoria, pesquisas e relatórios anuais.

True
  •    IG2040 – Políticas e Procedimentos (traduzido)  Outubro 2016

    Primeiros Passos

    Para estabelecer as políticas e os procedimentos que orientem a atividade de auditoria interna, o executivo-chefe de auditoria (CAE) considera diversos fatores. É essencial assegurar que as políticas e os procedimentos de auditoria interna estejam alinhados com as Orientações Mandatórias da Estrutura Internacional de Práticas Profissionais (IPPF). Adicionalmente, o alinhamento com o estatuto de auditoria interna ajuda a assegurar que as expectativas dos stakeholders sejam consideradas.

    O CAE pode começar o desenvolvimento das políticas e dos procedimentos reunindo informações, exemplos e modelos, como os disponibilizados pelo IIA. Os modelos podem ser customizados para se ajustarem à organização e às necessidades específicas da atividade de auditoria interna.

    É importante que o CAE considere as estratégias, as políticas e os processos existentes na organização, inclusive se a liderança da organização tem a expectativa de revisar e/ou aprovar as políticas e os procedimentos de auditoria interna.

    Considerações para Implantação

    A implantação da Norma 2040 por parte do CAE dependerá fortemente da estrutura, da maturidade e da complexidade da organização e da atividade de auditoria interna. À medida que uma atividade de auditoria interna de grande porte e madura possa ter um manual operacional de auditoria interna formal que inclua as políticas e os procedimentos, uma organização de menor porte ou menos madura poderá não ter. Em vez disso, as políticas e os procedimentos podem ser publicados em documentos separados ou serem integrados a um programa de software de gerenciamento da auditoria.

    Os tópicos a seguir são geralmente incluídos em um manual de auditoria interna, ou documentados de outra forma, para ajudar a orientar a atividade de auditoria interna:

    • Políticas de auditoria interna.
      • O propósito e as responsabilidades em geral da atividade de auditoria interna.
      • Aderência às Orientações Mandatórias do IPPF.
      • Independência e objetividade.
      • Ética.
      • Proteção de informações confidenciais.
      • Retenção de registros.
    • Procedimentos de auditoria interna.
      • Preparação de um planejamento de auditoria baseado em riscos.
      • Planejamento de trabalhos de auditoria e elaboração de programa de trabalho de auditoria.
      • Realização dos trabalhos de auditoria.
      • Documentação dos trabalhos de auditoria.
      • Comunicação dos resultados/relatórios.
      • Processos de monitoramento e acompanhamento.
    • Programa de garantia de qualidade e melhoria.
    • Questões administrativas.
      • Oportunidades de treinamento e de certificação.
      • Requisitos de educação continuada.
      • Avaliações de desempenho.

    Para assegurar que o pessoal de auditoria interna esteja devidamente informado sobre as políticas e os procedimentos de auditoria interna, o CAE pode emitir documentos individuais, materiais de treinamento ou um manual abrangente; assim como sessões de treinamento podem ser conduzidas para revisar essas informações. O CAE pode solicitar que os auditores internos assinem formulários de reconhecimento, indicando que leram e entenderam as políticas e os procedimentos.

    As políticas e procedimentos de auditoria interna deveriam ser revisados periodicamente, seja pelo CAE ou por um gerente de auditoria interna encarregado de monitorar os processos e questões emergentes de auditoria interna. Tais revisões podem ser incluídas nas avaliações internas da atividade de auditoria interna (Norma 1311) e na avaliação externa que ocorre ao menos uma vez a cada cinco anos (Norma 1312).

    Sugestões de mudanças operacionais podem surgir como resultado do programa de garantia de qualidade e melhoria ou a partir do feedback dos auditores internos ou das entidades auditadas (p.ex., por meio de uma pesquisa de satisfação junto ao cliente). Eventuais mudanças realizadas nos procedimentos podem ser comunicadas por escrito e/ou discutidas durante reuniões da equipe de auditoria interna para ajudar a assegurar que essas mudanças sejam entendidas. Também podem ser realizados treinamentos (p.ex., para demonstrar novos procedimentos).

    Considerações para Demonstração de Conformidade

    A própria documentação das políticas e dos procedimentos evidencia a conformidade com a Norma 2040. As evidências de que as políticas e os procedimentos de auditoria interna tenham sido claramente comunicados ao pessoal de auditoria interna podem incluir as pautas e as minutas das reuniões da equipe de auditoria interna, e-mails, formulários de reconhecimento assinados, agendas de treinamento ou documentação semelhante.

True
  •    IG2050 – Coordenação e Confiança (traduzido)  Outubro 2016

    Primeiros Passos

    Os papéis dos provedores de serviços de avaliação e de consultoria variam entre as organizações. Sendo assim, para dar início à coordenação dos esforços entre os provedores de serviço, o executivo-chefe de auditoria (CAE) identifica os diversos papéis dos provedores de serviços de avaliação e de consultoria existentes a partir da revisão do organograma da organização e das pautas ou atas de reuniões do conselho. Os papéis são geralmente categorizados entre provedores internos e provedores externos.

    • A categoria de provedores internos é composta pelas funções de supervisão as quais, ou se subordinam, ou fazem parte da alta administração. Entre essas funções podem estar incluídas as áreas ambiental, de controle financeiro, de saúde e segurança, de segurança de TI, jurídica, de gerenciamento de risco, de conformidade ou de garantia de qualidade. Essas áreas são geralmente consideradas como atividades da “segunda linha de defesa”, de acordo com o modelo de Três Linhas de Defesa do IIA.
    • Os provedores externos de serviços de avaliação podem se subordinar à alta administração ou a stakeholders externos, ou serem contratados pelo CAE e se subordinarem a ele.

    Assim que os provedores de serviços de avaliação e de consultoria tenham sido identificados, o CAE considera o tipo e a quantidade de informações que podem ser compartilhadas com os mesmos, de acordo com os requisitos de confidencialidade da organização. É importante que o CAE considere as limitações de compartilhamento de informações confidenciais, especialmente com as partes externas.

    Considerações para Implantação

    O CAE se reúne com cada um dos provedores de serviços para obter informações suficientes para a coordenação das atividades de avaliação e de consultoria da organização. Dentro das restrições dos requisitos de confidencialidade da organização, as partes compartilham os objetivos, o escopo e o cronograma das próximas revisões, avaliações e auditorias; os resultados de auditorias anteriores; e a possibilidade de aproveitarem mutuamente seus trabalhos.

    O processo de coordenação das atividades de avaliação varia entre as organizações. Em organizações de menor porte, a coordenação pode ser informal. Em organizações de grande porte ou altamente subordinada a órgãos reguladores, a coordenação pode ser formal e complexa.

    Uma forma de coordenar a cobertura de avaliação é criar um mapa de avaliação ligando as categorias de riscos significativos identificadas com as fontes de avaliação relevantes e classificando o nível de avaliação promovida para cada categoria de risco. Como o mapa é abrangente, ele irá expor insuficiências e duplicidades na cobertura de avaliação, permitindo que o CAE avalie a suficiência dos serviços de avaliação associados a cada área de risco. Os resultados podem ser discutidos com outros provedores de serviços de avaliação para que as partes possam chegar a um acordo sobre como coordenar as atividades para minimizar a duplicidade de esforços e maximizar a eficiência e a eficácia da cobertura de avaliação.

    Outra abordagem para coordenar a cobertura de avaliação é um modelo de avaliação combinado, no qual a auditoria interna pode coordenar os esforços de avaliação com as funções da segunda linha de defesa, como a função de conformidade, para reduzir a natureza, a frequência e a redundância dos trabalhos de auditoria interna.

    Exemplos das atividades de coordenação incluem:

    • Sincronizar a natureza, a extensão e o cronograma dos trabalhos planejados.
    • Assegurar um entendimento compartilhado sobre as técnicas, os métodos e a terminologia de avaliação.
    • Promover o acesso aos programas de trabalho, papéis de trabalho e relatórios entre as partes.
    • Aproveitar os trabalhos realizados por todos para minimizar a duplicidade de esforços.
    • Manter reuniões ocasionais para determinar a necessidade de ajustar o cronograma do trabalho planejado, com base nos resultados dos trabalhos já concluídos.

    O CAE pode optar por aproveitar (depositar confiança) o trabalho de outros provedores de serviços por diversos motivos, tais como avaliar áreas que exigem uma especialização não disponível na atividade de auditoria interna ou aumentar a cobertura do risco para além do planejamento de auditoria interna. No entanto, mesmo se a atividade de auditoria interna depositar confiança no trabalho de outro provedor de serviços, o CAE continuará com a responsabilidade final pelas conclusões e opiniões da auditoria interna. Sendo assim, é essencial que o CAE estabeleça um processo consistente e um conjunto de critérios para determinar se a atividade de auditoria interna pode depositar confiança no trabalho de outro provedor de serviços. Como parte desse processo, o CAE pode:

    • Avaliar a objetividade ao considerar se o provedor tem, ou parece ter, algum conflito de interesses e se esses conflitos foram divulgados.
    • Considerar a independência ao examinar as relações de subordinação do provedor de serviços e seus impactos.
    • Confirmar a competência ao verificar se a experiência profissional, qualificações, certificações e afiliações do provedor de serviços são apropriadas e atuais.
    • Avaliar o zelo profissional devido ao examinar os elementos da prática que o provedor de serviços utiliza para conduzir os trabalhos (p.ex., a metodologia utilizada pelo provedor de serviços e se o trabalho foi adequadamente planejado, supervisionado, documentado e revisado).

    O CAE também pode procurar entender o escopo, os objetivos e os resultados do trabalho efetivamente realizado para determinar o nível de confiança que pode ser depositada no trabalho do provedor de serviços. O CAE normalmente considera se as descobertas do provedor de serviços parecem razoáveis e se estão fundamentadas em evidências de auditoria suficientes, confiáveis e relevantes. O CAE determina a necessidade de trabalhos ou testes adicionais para obter evidência suficiente para sustentar ou aumentar o nível de confiança desejado. Se houver a necessidade de trabalho adicional, a atividade de auditoria interna pode testar novamente os resultados de outro provedor de serviços.

    Considerações para Demonstração de Conformidade

    As evidências de conformidade com a Norma 2050 poderiam incluir as comunicações relacionadas aos diferentes papéis e responsabilidades de avaliação e de consultoria, as quais podem ser documentadas nas anotações feitas durante as reuniões com cada provedor de serviços de avaliação ou de consultoria ou nas atas de reuniões com o conselho e com a alta administração. A conformidade com os requisitos para se depositar confiança no trabalho de outros provedores de serviços também pode ser evidenciada por meio da documentação que o CAE possui dos processos e dos critérios aplicados para verificar se a atividade de auditoria interna pode aproveitar o trabalho do provedor de serviços. A conformidade com o requisito de coordenação dos provedores de serviços de avaliação e de consultoria é evidenciada por meio de mapas de avaliação e/ou planejamentos de auditoria interna combinados que identifiquem qual provedor de serviços é o responsável por prestar os serviços de avaliação e de consultoria em cada área.

True
  •    IG2060 – Reporte para a Alta Administração e o Conselho (traduzido)  Outubro 2016

    Primeiros Passos

    Comunicar-se de forma eficaz com a alta administração e com o conselho é uma responsabilidade essencial do executivo-chefe de auditoria (CAE) e esta norma reúne os principais requisitos mencionados ao longo das Normas a serem atendidos pelo CAE em relação às comunicações. Ao implantar as normas relacionadas à comunicação, o CAE usualmente desejará compreender as expectativas da alta administração e do conselho relacionadas às comunicações, as quais podem estar declaradas no estatuto do comitê de auditoria. As partes geralmente discutem e determinam de forma colaborativa a frequência e a forma das comunicações da auditoria interna e o cronograma de comunicações que seja mais apropriado para a organização, assim como a importância e a urgência dos diversos tipos de informações de auditoria. Também pode ser útil combinar previamente os protocolos para que o CAE divulgue eventos de risco e controle importantes e urgentes, assim como as respectivas ações a serem adotadas pela alta administração e pelo conselho.

    Adicionalmente, o CAE pode considerar útil preparar ou revisar:

    • O estatuto da auditoria interna, incluindo o propósito, a autoridade e a responsabilidade da atividade de auditoria interna.
    • O planejamento de auditoria interna e os indicadores-chave de desempenho para medir o progresso da atividade de auditoria interna em relação ao cumprimento do planejamento.
    • O programa de garantia de qualidade e melhoria, o qual avalia a conformidade da atividade de auditoria interna com as Orientações Mandatórias da Estrutura Internacional de Práticas Profissionais (IPPF).
    • Os processos para a identificação de questões significativas de risco e de controle.

    Considerações para Implantação

    Embora permita flexibilidade na frequência e no conteúdo dessas comunicações, a Norma 2060 observa que esses fatores dependerão da importância das informações e da urgência com a qual a alta administração e/ou o conselho podem precisar agir com relação às comunicações. Adicionalmente, algumas normas possuem requisitos específicos quanto à frequência. Por exemplo, itens que devem ser comunicados pelo menos uma vez por ano incluem a independência organizacional da atividade de auditoria interna (Norma 1110) e os resultados do monitoramento permanente do desempenho da atividade de auditoria interna (Norma 1320).

    Para manter e rastrear uma comunicação consistente e eficaz com a alta administração e com o conselho, o CAE pode considerar usar uma lista de verificação de todos os requisitos de comunicação mencionados ao longo das Normas, que incluiria os seguintes tópicos:

    • Estatuto de auditoria interna.
    • Independência organizacional da atividade de auditoria interna.
    • Planejamentos de auditoria interna, requisitos de recursos e desempenho.
    • Resultados dos trabalhos de auditoria.
    • Programa de garantia de qualidade e melhoria.
    • Conformidade com o Código de Ética e com as Normas.
    • Questões significativas de risco e de controle e a aceitação de risco pela administração.

    Uma lista de verificação pode incluir um cronograma de comunicações e lembretes sobre quaisquer requisitos de aprovação. Estabelecer um item permanente nas pautas das reuniões do conselho assegura a oportunidade para o CAE se comunicar regularmente.

    Estatuto de Auditoria Interna

    De acordo com a Norma 1000 – Propósito, Autoridade e Responsabilidade, o propósito, a autoridade e a responsabilidade da atividade de auditoria interna devem estar formalmente definidos em um estatuto de auditoria interna. O CAE é responsável por revisar periodicamente o estatuto e submetê-lo à aprovação da alta administração e do conselho. A Missão da Auditoria Interna e os elementos mandatórios do IPPF, os quais estão reconhecidos no estatuto da auditoria interna, também deveriam ser discutidos de acordo com a Norma 1010 – Reconhecimento das Orientações Mandatórias no Estatuto de Auditoria Interna.

    Independência Organizacional da Atividade de Auditoria Interna

    A independência organizacional da atividade de auditoria interna deve ser confirmada para o conselho anualmente, de acordo com a Norma 1110 – Independência Organizacional. Além disso, qualquer interferência na determinação do escopo de auditoria interna, na realização do trabalho ou na comunicação dos resultados assim como as implicações dessa interferência deve ser divulgada ao conselho, de acordo com a Norma 1110.A1. Um relacionamento de subordinação independente é essencial para facilitar a capacidade do CAE de se comunicar diretamente com o conselho, conforme exigido pela Norma 1111 – Interação Direta com o Conselho.

    Planejamentos de Auditoria Interna, Requisitos de Recursos e Desempenho

    A Norma 2020 – Comunicação e Aprovação e a respectiva Orientação de Implantação especificam detalhes da comunicação dos planejamentos da atividade de auditoria interna e dos requisitos de recursos. A Norma 2060 acrescenta a exigência da comunicação do desempenho da atividade de auditoria interna em relação ao seu planejamento. Trata-se de uma oportunidade para o CAE ilustrar o aumento e a proteção do valor promovido pela atividade de auditoria interna e a implantação de suas recomendações. Para quantificar o nível de desempenho, muitos CAEs usam indicadores-chave de desempenho, tais como o percentual de cumprimento do planejamento de auditoria, o percentual de recomendações de auditoria aceitas ou implantadas, a situação das ações corretivas da administração ou o tempo médio de emissão de relatórios. Além disso, atualizações sobre quaisquer solicitações especiais feitas pelo conselho e/ou pela alta administração podem ser discutidas durante as reuniões do conselho.

    Resultados dos Trabalhos de Auditoria

    A série 2400 de normas trata dos requisitos de comunicação dos resultados dos trabalhos de auditoria, incluindo as informações que as comunicações dos trabalhos de auditoria devem conter, a qualidade dessas informações e o protocolo no caso de erros e omissões ou não conformidade com o Código de Ética ou com as Normas que afetarem um trabalho de auditoria específico. A Norma 2440 – Disseminação dos Resultados discute as responsabilidades do CAE relacionadas à comunicação final dos trabalhos de auditoria e a Norma 2450 – Opiniões Gerais descreve os critérios para emissão de uma opinião geral.

    Programa de Garantia de Qualidade e Melhoria

    A série 1300 das normas trata da responsabilidade do CAE pelo desenvolvimento e manutenção de um programa de garantia de qualidade e melhoria que inclua avaliações internas e externas. A Norma 1320 – Divulgações do Programa de Garantia de Qualidade e Melhoria relaciona os requisitos que devem ser atendidos pelo CAE em relação à comunicação com a alta administração e com o conselho, incluindo que essa divulgação deve ocorrer tão logo as avaliações sejam concluídas. No entanto, os resultados do monitoramento permanente do desempenho da atividade de auditoria interna, que faz parte do processo de avaliação interna, devem ser comunicados pelo menos anualmente.

    Com relação à avaliação externa da atividade de auditoria interna, que deve ser conduzida pelo menos uma vez a cada cinco anos, a Norma 1312 - Avaliações Externas exige que o CAE discuta com o conselho as qualificações e a independência do avaliador externo, ou equipe de avaliação externa, incluindo qualquer potencial conflito de interesses. O CAE deveria encorajar o conselho a supervisionar a avaliação externa para reduzir conflitos de interesses aparentes ou potenciais.

    Conformidade com o Código de Ética e com as Normas

    A Norma 1320 – Divulgações do Programa de Garantia de Qualidade e Melhoria e sua respectiva Orientação de Implantação também descrevem os detalhes das divulgações de conformidade da atividade de auditoria interna com o Código de Ética e com as Normas. A Norma 1322 – Divulgação de Não Conformidade declara: “Quando a não conformidade com o Código de Ética ou com as Normas impactar o escopo geral ou a operação da atividade de auditoria interna, o executivo-chefe de auditoria deve divulgar a não conformidade e os respectivos impactos à alta administração e ao conselho”. A Norma 1322 também descreve as considerações para divulgações de não conformidade. A Norma 2431 – Divulgação de Não Conformidade do Trabalho de Auditoria estipula as informações que devem ser divulgadas quando a não conformidade impactar um trabalho de auditoria específico. Além disso, a Norma 2060 determina que o CAE deve comunicar os planos de ação para tratar quaisquer questões significativas relacionadas à conformidade.

    Questões Significativas de Risco e de Controle e a Aceitação do Risco pela Administração

    O propósito principal das comunicações do CAE é proporcionar avaliações e opiniões para a alta administração e para o conselho a respeito da governança da organização (Norma 2110), gerenciamento de risco (Norma 2120) e controles (Norma 2130). Pode-se obter um entendimento profundo desses processos com a implantação da série 2100 das normas. A Norma 2060 identifica a responsabilidade do CAE quanto a comunicar questões significativas de risco e de controle que poderiam afetar negativamente a organização e sua capacidade de alcançar seus objetivos. Questões significativas são aquelas que exigem a atenção da alta administração e do conselho, as quais podem incluir conflitos de interesses, deficiências de controles, erros, fraudes, atos ilegais, ineficácias e ineficiências.

    Se acreditar que a alta administração aceitou um nível de risco que a organização consideraria inaceitável, o CAE deveria primeiramente discutir a questão com a alta administração. Se o CAE e a alta administração não conseguirem resolver a questão, a Norma 2600 estabelece que o CAE comunique a questão ao conselho. Caso a urgência dessas questões for tal que não se possa esperar por uma reunião já agendada do conselho (p.ex., uma fraude significativa), é aconselhável que o CAE busque outros meios para realizar a comunicação o mais breve possível.

    Considerações para Demonstração de Conformidade

    As discussões do CAE com a alta administração e com o conselho a respeito do conteúdo do estatuto, do desempenho da atividade de auditoria interna em relação ao planejamento de auditoria e das exposições a riscos ou questões de controle significativas podem ser documentadas em pautas e atas das reuniões com o conselho e com a alta administração. As discussões entre essas partes também podem ser documentadas em relatórios e apresentações com listas de distribuição anexadas. As atas de reuniões específicas, relatórios e outras comunicações enviadas eletronicamente também podem demonstrar a conformidade com a Norma 2060. Os resultados de pesquisas junto ao conselho e à alta administração e as avaliações de desempenho do CAE podem conter feedback que indique a qualidade e a eficácia das comunicações do CAE com relação a essa norma. O CAE também pode manter uma lista de verificação de comunicações que documente a frequência das comunicações e os requisitos de aprovação.

True
  •    IG2070 – Prestadores Externos de Serviços e a Responsabilidade da Organização sobre a Auditoria Interna (traduzido)  Dezembro 2016

    Primeiros Passos

    Quando um prestador externo de serviços é contratado pela organização para atuar como sendo a atividade de auditoria interna, é importante que esse prestador externo de serviço compreenda a série 1300 das normas e possa conscientizar a organização da responsabilidade da mesma por manter um programa de garantia de qualidade e melhoria (QAIP) que cubra todos os aspectos da atividade de auditoria interna. O prestador externo de serviços deveria assegurar que o QAIP englobe todos os aspectos das operações e do gerenciamento da auditoria interna, de acordo com os elementos mandatórios da Estrutura Internacional de Práticas Profissionais (IPPF) e as melhores práticas profissionais de auditoria interna.

    O QAIP conclui sobre a qualidade da atividade de auditoria interna e de seus serviços dentro da organização e pode produzir recomendações para a melhoria contínua. O QAIP deve incluir o monitoramento permanente, autoavaliações periódicas e avaliações externas conduzidas por uma parte independente e qualificada para corroborar a conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e com o Código de Ética do IIA.

    As orientações de implantação da série 1300 das normas oferecem outras informações sobre os requisitos do QAIP, incluindo as avaliações internas e avaliações externas, a divulgação de resultados ao conselho e à alta administração e o uso da declaração “em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna”.

    Considerações para Implantação

    Quando uma organização terceiriza o trabalho da auditoria interna, ela não está liberada da responsabilidade por manter uma atividade de auditoria interna eficaz. Portanto, mesmo que a atividade de auditoria interna seja terceirizada, a organização mantém a responsabilidade por assegurar que a atividade de auditoria interna cumpra suas responsabilidades com eficácia e eficiência e em conformidade com as Normas e que cada auditor interno atue em conformidade com as Normas e observe o Código de Ética.

    Conforme exigido pela Norma 1300 – Programa de Garantia de Qualidade e Melhoria, um QAIP inclui tanto avaliações internas quanto avaliações externas. Quando uma organização contrata um prestador externo de serviços para desempenhar o papel de executivo-chefe de auditoria (CAE), esse prestador externo de serviços deve conscientizar a organização de que é a organização a responsável por manter uma atividade eficaz de auditoria interna, o que contempla assegurar que o QAIP inclua tanto avaliações internas quanto avaliações externas em conformidade com as Normas.

    O CAE ou o prestador externo de serviços contratado para desempenhar o papel de CAE deveria assegurar que a organização esteja ciente de suas responsabilidades relacionadas ao QAIP. Normalmente, um contrato (isto é, um acordo de trabalho) entre a organização e o prestador externo de serviços especifica as responsabilidades do prestador externo de serviços e os produtos fornecidos pelo QAIP. Um prestador externo de serviços contratado para desempenhar o papel de CAE e para operar uma atividade de auditoria interna terceirizada da organização também pode se reunir com a alta administração e com o conselho para discutir as responsabilidades da organização e a natureza e os requisitos de um QAIP. Esses requisitos estão descritos na série 1300 das normas.

    • A Norma 1300 – Programa de Garantia de Qualidade e Melhoria explica que o CAE deve desenvolver e manter um QAIP que cubra todos os aspectos da atividade de auditoria interna. Quando um prestador externo de serviços assume o papel de CAE, ele pode, concretamente, desenvolver e manter o QAIP, se isso estiver incluído no acordo contratual. No entanto, a organização contratante ainda mantém a responsabilidade final pela qualidade da atividade de auditoria interna.
    • A Norma 1310 – Requisitos do Programa de Garantia de Qualidade e Melhoria estipula que o QAIP deve incluir tanto avaliações internas quanto avaliações externas.
    • A Norma 1311 – Avaliações Internas determina que as avaliações internas mandatórias devem incluir tanto o monitoramento permanente quanto autoavaliações periódicas. Quando a atividade de auditoria interna é totalmente terceirizada junto a um prestador externo de serviços, o monitoramento permanente e as autoavaliações periódicas podem ser realizados pelo prestador externo de serviços, de acordo com o contrato.
    • A Norma 1312 – Avaliações Externas explica os requisitos das avaliações externas, incluindo sua forma e frequência (pelo menos uma vez a cada cinco anos), assim como os requisitos de qualificação e independência do avaliador externo ou da equipe de avaliação externa. É importante observar que, quando toda a atividade de auditoria interna for terceirizada junto a um prestador externo de serviços, o escopo das avaliações externas é baseado apenas no trabalho conduzido para a organização contratante. Adicionalmente, a organização deveria assegurar que o avaliador externo ou a equipe de avaliação externa selecionado(a) para realizar a avaliação externa atenda aos requisitos de independência.
    • A Norma 1320 – Divulgações do Programa de Garantia de Qualidade e Melhoria estabelece as responsabilidades do CAE pela comunicação dos resultados do QAIP à alta administração e ao conselho. O prestador externo de serviços contratado para desempenhar o papel de CAE e para operar a atividade de auditoria interna terceirizada da organização normalmente se reúne com o conselho e com a alta administração para discutir os requisitos das comunicações e expectativas relacionadas.
    • A Norma 1321 – Uso de “Em Conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna indica que a atividade de auditoria interna só pode comunicar por escrito ou verbalmente a conformidade com as Normas se os resultados do QAIP (incluindo as avaliações internas e as avaliações externas) sustentarem essa declaração.
    • A Norma 1322 – Divulgação de Não Conformidade exige que o CAE ou o prestador externo de serviços contratado para desempenhar o papel de CAE divulgue à alta administração e ao conselho quaisquer casos nos quais a atividade de auditoria interna não esteja em conformidade com as Normas ou o Código de Ética e como essa desconformidade impacta o escopo ou a operação geral da atividade de auditoria interna.

    Considerações para Demonstração de Conformidade

    Diversos documentos podem indicar a conformidade com a Norma 2070. Primeiramente, o contrato (isto é, acordo de trabalho) entre a organização e o prestador externo de serviços pode oferecer evidências da responsabilidade da organização em relação à manutenção de um QAIP. Os dois principais produtos dessas responsabilidades são as documentações do QAIP e dos resultados das avaliações internas e das avaliações externas. Para as avaliações internas, a documentação normalmente consiste dos resultados dos esforços de monitoramento permanente, bem como das descobertas, dos planos de ação corretiva e das ações corretivas já adotadas como resultado das avaliações internas periódicas para melhorar a conformidade com os elementos mandatórios do IPPF. Adicionalmente, qualquer documentação de ações realizadas para melhorar a eficiência e eficácia da auditoria interna pode ajudar a demonstrar a conformidade com a norma. Para as avaliações externas, a documentação produzida pelo avaliador externo ou equipe de avaliação externa, ou uma validação independente por escrito de uma autoavaliação, podem ser usadas para indicar a conformidade.

    Pautas e atas de reuniões com a alta administração e com o conselho podem indicar que o prestador externo de serviços comunicou as responsabilidades da organização em relação à manutenção de uma atividade de auditoria interna eficaz. Os registros de reuniões também poderiam evidenciar que o CAE comunicou os resultados do QAIP, conforme exigido pelas Normas. As evidências de tais comunicações também poderiam incluir memorandos para arquivo ou outros documentos por escrito.

True
  •    IG2100 – Natureza do Trabalho (traduzido)  Dezembro 2016

    Primeiros Passos

    A conformidade com a Norma 2100 exige um completo entendimento dos conceitos de governança, de gerenciamento de risco e de controle, conforme definido nas Normas Internacionais para a Prática Profissional de Auditoria Interna, bem como das normas individuais que se aplicam especificamente a esses conceitos: Norma 2110 – Governança, Norma 2120 – Gerenciamento de Risco e Norma 2130 – Controle. Também é importante para a atividade de auditoria interna entender os objetivos da organização.

    Uma vez que esse entendimento tenha sido obtido, o executivo-chefe de auditoria (CAE) usualmente entrevista a alta administração e o conselho para entender os papéis e responsabilidades de cada stakeholder em relação à governança, ao gerenciamento de risco e ao controle. Normalmente, o conselho é responsável por orientar o processo de governança e a alta administração é responsável por liderar os processos de gerenciamento de risco e de controle.

    Os auditores internos precisam ter uma compreensão do negócio para realizar avaliações significativas e podem usar os frameworks consagrados de governança, de gerenciamento de risco e de controle para orientar sua avaliação. Além disso, os auditores internos podem usar seu conhecimento, experiência e melhores práticas para destacar proativamente as deficiências observadas e fazer recomendações para melhoria.

    Para ajudar a atividade de auditoria interna a entender as estratégias e os riscos do negócio, o CAE geralmente analisará os estatutos do conselho e do comitê, as pautas e atas de reuniões e o planejamento estratégico da organização. O CAE também analisará a missão, os principais objetivos, os principais riscos e os controles-chave da organização utilizados para mitigar esses riscos a níveis aceitáveis. Através dessa análise, a atividade de auditoria interna poderá obter uma percepção das definições, frameworks, modelos e processos de governança, de gerenciamento de risco e de controle usados pela organização. Também pode ser útil para os auditores internos entender as principais funções da organização relacionadas a esses três processos, as quais podem incluir o presidente do conselho, o CEO e outros executivos da alta administração (por exemplo, das funções: financeira, de ética, de risco, de conformidade, de recursos humanos e de TI), além de outros.

    Para obter mais informações sobre governança, gerenciamento de risco e controle, consulte as orientações de implantação das normas 2110, 2120 e 2130.

    Considerações para Implantação

    Para começar a implantar essa norma, o CAE geralmente discute com o conselho e com a alta administração os requisitos da norma, os papéis e responsabilidades, bem como as melhores estratégias para a atividade de auditoria interna avaliar e contribuir de forma eficiente e eficaz para a governança, o gerenciamento de risco e o controle.

    O CAE pode documentar no estatuto da auditoria interna quaisquer expectativas relacionadas aos papéis e responsabilidades do conselho, da alta administração e da atividade de auditoria interna. O objetivo dessa documentação é salvaguardar a independência da atividade de auditoria interna a partir da afirmação de que a alta administração e o conselho são responsáveis pela governança, pelo gerenciamento de risco e pelo controle, enquanto que a atividade de auditoria interna é responsável pela realização de atividades de avaliação objetiva e de consultoria relacionadas a esses três processos.

    Para conceber uma estratégia adequada para avaliar os processos de governança, de gerenciamento de risco e de controle da organização, o CAE geralmente considera o nível de maturidade dos três processos, assim como a cultura da organização e a experiência dos indivíduos responsáveis por esses processos. Então, o CAE avalia os riscos relacionados aos três processos. O CAE pode usar frameworks consagrados adotados pela alta administração para orientar essa avaliação (p.ex., os frameworks de gerenciamento de riscos corporativos e de controles internos publicados pelo Committee of Sponsoring Organizations of the Treadway Commission, o King Report on Corporate Governance ou a ISO 31000). Durante a avaliação, o CAE documenta e discute com a alta administração quaisquer observações e conclusões relevantes. O CAE também faz recomendações para fortalecer os processos e pode submeter observações significativas para o conselho.

    Se um framework consagrado não tiver sido adotado para orientar os processos de governança, de gerenciamento de risco e de controle interno da organização, o CAE pode considerar recomendar um framework apropriado para orientar a alta administração em sua busca pela melhoria desses processos.

    Considerações para Demonstração de Conformidade

    A documentação que pode demonstrar a conformidade com a norma inclui o estatuto de auditoria interna, que formaliza os papéis e responsabilidades da atividade de auditoria interna com relação à governança, ao gerenciamento de risco e ao controle. Adicionalmente, a conformidade pode ser evidenciada pelo planejamento de auditoria interna ou pelas atas das reuniões nas quais o CAE, o conselho e a alta administração discutiram os elementos da norma. Os planejamentos dos trabalhos de auditoria podem demonstrar a abordagem disciplinada, sistemática e baseada em risco da atividade de auditoria interna e os relatórios dos trabalhos de auditoria podem demonstrar resultados relevantes e de valor agregado.

    Outras evidências de conformidade estão descritas nas orientações de implantação das normas 2110, 2120 e 2130.

True
  •    IG2110 – Governança (traduzido)  Dezembro 2016

    Primeiros Passos

    Para atender a essa norma, o executivo-chefe de auditoria (CAE) e os auditores internos começam pela obtenção de um entendimento claro sobre o conceito de governança e as características dos processos típicos de governança. Também deveriam considerar a definição formal de governança, conforme é apresentada no glossário das Normas Internacionais para a Prática Profissional de Auditoria Interna e se familiarizar com os frameworks e modelos de governança globalmente aceitos (p.ex., os frameworks do Committee of Sponsoring Organizations of the Treadway Commission ou a ISO 31000).

    Os frameworks, modelos e requisitos de governança variam de acordo com o tipo de organização e as jurisdições regulatórias. A forma como uma organização desenha e pratica os princípios de uma governança eficaz também depende de fatores como porte, complexidade, ciclo de vida, maturidade, estrutura de stakeholders e requisitos legais aos quais a organização esteja sujeita. A abordagem do CAE para avaliar a governança e fazer recomendações para a administração irá variar com base no framework ou modelo que a organização utiliza.

    Em seguida, o CAE pondera se o planejamento de auditoria interna existente engloba os processos de governança da organização e endereça os riscos associados. A governança não existe como um conjunto de processos e estruturas independentes. Pelo contrário, a governança, o gerenciamento de risco e o controle estão inter-relacionados. Por exemplo, as atividades de governança eficazes consideram o risco ao estabelecer a estratégia. Da mesma forma, o gerenciamento de risco depende de uma governança eficaz (por exemplo, liderança pelo exemplo; apetite, tolerância e cultura de risco; e a supervisão do gerenciamento de risco). Da mesma forma, uma governança eficaz depende dos controles internos e da comunicação com o conselho sobre a eficácia desses controles.

    O CAE pode analisar os estatutos do conselho e do comitê, assim como as pautas e as atas das reuniões, para obter uma visão do papel que conselho desempenha na governança da organização, especialmente no tocante à tomada de decisões estratégicas e operacionais. O CAE também pode conversar com outras pessoas que desempenham papéis importantes na governança (p.ex., o presidente do conselho, alto-funcionários eleitos ou nomeados de uma entidade governamental, diretor de ética, diretor de recursos humanos, auditor externo independente, diretor de conformidade, diretor de risco, etc.) para obter um entendimento mais claro sobre os processos e atividades de avaliação específicos já implantados na organização. Se a organização atuar em um segmento de negócios altamente regulamentado, o CAE pode desejar revisar quaisquer questões de governança identificadas pelos reguladores.

    Entender a governança é essencial para se discutir com o conselho e com a alta administração sobre:

    • Como a organização define a governança e a natureza dos processos de governança na organização.
    • Os requisitos da Norma 2110.
    • O papel da atividade de auditoria interna.
    • Quaisquer alterações na abordagem e no planejamento da atividade de auditoria interna que possam melhorar sua conformidade com a norma.

    Essa discussão ajudará a assegurar a concordância e o alinhamento das expectativas com o conselho e com a alta administração sobre o que constitui a governança, de forma que se possa conduzir um planejamento e uma abordagem de auditoria interna adequados.

    Considerações para Implantação

    Os processos de governança são considerados durante a avaliação de risco efetuada pela atividade de auditoria interna e o desenvolvimento do planejamento de auditoria. O CAE geralmente identifica os processos de governança de maior risco para a organização, os quais são endereçados através de projetos de avaliação e de consultoria descritos no planejamento final de auditoria. Além disso, a Norma 2110 identifica, especificamente, a responsabilidade da atividade de auditoria interna quanto a avaliar e fazer recomendações apropriadas para a melhoria dos processos de governança da organização relacionados à:

    • Tomar decisões estratégicas e operacionais – Para avaliar os processos de governança da organização voltados para a tomada de decisões estratégicas e operacionais, a atividade de auditoria interna pode revisar os relatórios de auditorias passadas, as atas das reuniões do conselho, o manual de políticas do conselho ou os documentos de governança relacionados, os quais podem ajudar a entender como essas decisões são discutidas e, por fim, tomadas. Essa revisão geralmente revela se foram desenvolvidos e estabelecidos processos de tomada de decisão coerentes. Além disso, entrevistas com os líderes dos departamentos podem revelar quais processos levaram às decisões estratégicas e operacionais.
    • Supervisionar o gerenciamento de risco e o controle – Para determinar a forma como uma organização conduz a supervisão de suas atividades de gerenciamento de risco e de controle, a atividade de auditoria interna normalmente revisa o processo de elaboração da avaliação de risco anual. A atividade de auditoria interna também pode revisar as atas das reuniões nas quais a estratégia de gerenciamento de risco e as avaliações de risco já conduzidas foram discutidas e pode também entrevistar o pessoal-chave envolvido no gerenciamento de risco, como os diretores financeiro, de conformidade e de risco. As informações obtidas podem ser comparadas com um benchmarking e tendências do segmento de negócio, para assegurar que todos os riscos relevantes foram considerados.
    • Promover a ética e os valores apropriados dentro da organização – Para avaliar a forma como uma organização promove a ética e os valores, tanto internamente como entre seus parceiros externos de negócios, a atividade de auditoria interna revisa os objetivos, os programas e as atividades da organização relacionados. Essas revisões poderiam incluir as declarações de missão e de valores, o código de conduta, os processos de contratação e de treinamento, a política de combate à fraude e de denúncias, o canal de denúncias e os processos de investigação. Pesquisas e entrevistas podem ser usadas para estimar se os esforços da organização estão resultando em uma conscientização suficiente sobre seus padrões e valores éticos.
    • Assegurar a gestão eficaz e a prestação de contas do desempenho da organização – Para avaliar a forma como uma organização assegura a eficácia da gestão de desempenho e da prestação de contas, a atividade de auditoria interna poderia revisar as políticas e os processos da organização relacionados à remuneração da equipe, definição de objetivos e avaliação de desempenho. A atividade de auditoria interna também pode revisar as métricas associadas (p.ex., indicadores-chave de desempenho) e os planos de incentivo (p.ex., bônus) para determinar se os mesmos são adequadamente elaborados e executados para impedir ou detectar o comportamento inaceitável ou a tomada de risco excessivo, assim como para dar suporte às ações alinhadas aos objetivos estratégicos da organização.
    • Comunicar as informações relacionadas a risco e controle às áreas apropriadas da organização – Para avaliar a forma como uma organização comunica as informações sobre risco e controle às áreas apropriadas, a atividade de auditoria interna poderia acessar relatórios internos, newsletters, memorandos e e-mails relevantes, assim como as atas de reuniões da equipe para determinar se as informações sobre riscos e controles são completas, precisas e distribuídas tempestivamente. Pesquisas e entrevistas poderiam ser usadas para estimar o entendimento dos funcionários sobre suas responsabilidades quanto aos processos de risco e de controle e o impacto para a organização caso essas responsabilidades não sejam cumpridas. Normalmente, durante os trabalhos de auditoria de avaliação e de consultoria, a atividade de auditoria interna também avalia a forma como a área sob revisão comunica as informações de risco e de controle.
    • Coordenar as atividades e a comunicação de informações entre o conselho, os auditores externos e internos, outros provedores de avaliações e a administração – Para avaliar a capacidade de uma organização de coordenar as atividades e comunicar as informações entre as diversas partes, a atividade de auditoria interna poderia identificar as reuniões que incluem esses grupos (p.ex., conselho, comitê de auditoria e comitê financeiro) e determinar com qual frequência elas ocorrem. Os membros da atividade de auditoria interna podem comparecer às reuniões como participantes ou observadores e revisar as atas dessas reuniões, assim como os planos de trabalho e os relatórios distribuídos entre os grupos, para entender como essas partes coordenam as atividades e se comunicam entre si.

    Os auditores internos podem atuar de diferentes maneiras para avaliar e recomendar formas de melhorar as práticas de governança. Podem fornecer avaliações independentes e objetivas sobre o desenho e a eficácia dos processos de governança na organização. Além de ou ao invés de fornecer as avaliações, podem optar por prestar serviços de consultoria. Essa abordagem pode ser a preferida, especialmente se existirem questões já conhecidas ou se o processo de governança ainda não estiver maturo. Seja prestando serviços de consultoria ou de avaliação, o CAE pode decidir usar métodos de monitoramento contínuo, tais como designar auditores internos para observar reuniões dos órgãos relacionados à governança e fornecer aconselhamento de forma contínua. Normalmente, não se conduz uma única auditoria de governança. Pelo contrário, a avaliação da atividade de auditoria interna em relação aos processos de governança será, provavelmente, baseada em informações obtidas a partir de diversas tarefas de auditoria ao longo do tempo.

    Uma avaliação geral apropriada da governança levaria em conta:

    • Os resultados das auditorias dos processos de governança específicos, identificados acima.
    • Questões de governança decorrentes de auditorias não especificamente focadas em governança, como:
      • Planejamento estratégico.
      • Processos de gerenciamento de risco.
      • Eficiência e eficácia operacional.
      • Controle interno sobre as divulgações financeiras.
      • Risco associado a TI, fraude e outras áreas.
      • Conformidade com as leis e regulamentos aplicáveis.
    • Os resultados das avaliações conduzidas pela administração (p.ex., inspeções de conformidade, auditorias de qualidade, autoavaliações de controle).
    • O trabalho de provedores externos de avaliação (p.ex., investigadores jurídicos, auditores gerais de órgãos de governo e firmas de auditoria externa) e reguladores.
    • O trabalho de provedores internos de avaliação, ou das funções de segunda linha de defesa (p.ex., saúde e segurança, conformidade e qualidade).
    • Outras informações sobre questões de governança, como incidentes desfavoráveis que indicam uma oportunidade para a melhoria dos processos de governança.

    Durante as fases de planejamento, avaliação e emissão de relatórios, os auditores internos consideram as potenciais natureza e ramificações dos resultados e asseguram uma comunicação apropriada com o conselho e com a alta administração.

    Considerações para Demonstração de Conformidade

    A conformidade com a Norma 2110 pode ser documentada por meio de relatórios de auditoria interna específicos para cada um dos processos de governança ou um relatório geral sobre a governança que inclua os resultados dos serviços de avaliação e as recomendações provenientes dos serviços de consultoria. Essa documentação também pode incluir as atas de uma reunião do conselho durante a qual o CAE discutiu a avaliação geral da atividade de auditoria interna em relação às práticas de governança. Os materiais de reuniões do conselho podem apresentar evidências de que o conselho foi adequadamente informado sobre a remuneração e os pacotes de incentivo e de que monitorou o desempenho dos alto-executivos. Declarações de reconhecimento assinadas pela equipe e pelos parceiros de negócios demonstram os esforços da organização em promover a conscientização de sua ética e de seus valores.

True
  •    IG2120 – Gerenciamento de Riscos (traduzido)  Dezembro 2016

    Primeiros Passos

    Para atender a essa norma, o executivo-chefe de auditoria (CAE) e os auditores internos começam pela obtenção de um entendimento claro sobre o apetite a risco, assim como das missões e objetivos de negócio da organização. Também é importante obter um completo entendimento das estratégias de negócio da organização e dos riscos identificados pela administração.

    Os riscos podem ser de natureza financeira, operacional, legal/regulatória ou estratégica. A definição de gerenciamento de risco no glossário das Normas Internacionais para a Prática Profissional de Auditoria Interna deveria ser considerada, juntamente com os frameworks e modelos de gerenciamento de risco publicados globalmente. Adicionalmente, a Orientação de Implantação 2100 – Natureza do Trabalho pode ser útil para obter a fundamentação necessária para implantar a Norma 2120.

    Posto que essa norma atribui à atividade de auditoria interna a responsabilidade por avaliar a eficácia dos processos de gerenciamento de risco, os auditores internos geralmente obterão um entendimento do atual ambiente de gerenciamento de risco da organização e das ações corretivas adotadas para endereçar os riscos já identificados. É importante saber como a organização identifica, avalia e supervisiona os riscos antes dos auditores internos começarem a implantar a Norma 2120.

    A atividade de auditoria interna consideraria em sua avaliação de risco o porte, a complexidade, o ciclo de vida, a maturidade, a estrutura de stakeholders e o ambiente competitivo e jurídico da organização. As alterações recentes no ambiente da organização (p.ex., novos regulamentos, novos membros da administração, nova estrutura organizacional, novos processos e novos produtos) podem ter introduzido novos riscos. O CAE também pode revisar a maturidade das práticas de gerenciamento de risco da organização e determinar até que ponto a atividade de auditoria interna confiará na avaliação de risco efetuada pela administração.

    Por fim, a atividade de auditoria interna deveria ter um processo estabelecido para planejar, auditar e comunicar questões de gerenciamento de risco. Os auditores internos também avaliarão o gerenciamento de risco durante as revisões efetuadas em trabalhos de avaliação e de consultoria relacionadas a uma área ou processo específico.

    Considerações para Implantação

    Por meio da implantação da Norma 2120, o CAE e toda a atividade de auditoria interna demonstrarão, em última análise, seu entendimento do processo de gerenciamento de risco da organização e buscarão oportunidades de melhoria. O CAE consideraria, a partir de conversas com a alta administração e com o conselho, o apetite a risco, a tolerância a risco e a cultura de risco da organização. A atividade de auditoria interna deveria alertar a administração sobre novos riscos, assim como riscos que não foram adequadamente mitigados, e oferecer recomendações e planos de ação para responder adequadamente ao risco (p.ex., aceitar, explorar, transferir, mitigar ou evitar). Adicionalmente, a atividade de auditoria interna deveria obter informações suficientes para avaliar a eficácia dos processos de gerenciamento de risco da organização.

    Ao revisar o planejamento estratégico, o plano de negócio e as políticas da organização e manter discussões com o conselho e com a alta administração, o CAE pode obter uma percepção para avaliar se os objetivos estratégicos da organização sustentam e estão alinhados com sua missão, valores e apetite a risco. As entrevistas com a administração intermediária podem trazer uma percepção adicional quanto ao alinhamento com a missão, com os objetivos e com o apetite a risco da organização no nível das unidades de negócio.

    Os auditores internos deveriam explorar por completo a forma como a organização identifica e aborda os riscos e como determina quais riscos são aceitáveis. A atividade de auditoria interna geralmente avaliará as responsabilidades e os processos relacionados a risco atribuídos ao conselho e aos indivíduos em funções-chave no gerenciamento de risco. Para tanto, os auditores internos podem revisar as avaliações de risco recentemente concluídas, assim como os relatórios relacionados emitidos pela alta administração, auditores externos, reguladores e por outras origens.

    Adicionalmente, a atividade de auditoria interna geralmente conduz suas próprias avaliações de risco. Discussões com a administração e com o conselho e uma revisão das políticas e atas das reuniões da organização geralmente revelarão o apetite a risco da organização, o que permite ao CAE e à atividade de auditoria interna alinhar suas recomendações de respostas ao risco. A atividade de auditoria interna pode considerar a utilização de um framework já estabelecido de gerenciamento de risco ou de controle (p.ex., os frameworks do Committee of Sponsoring Organizations of the Treadway Commission ou a ISO 31000) para auxiliar na identificação do risco. Para permanecer atualizada sobre exposições a riscos potenciais e oportunidades, a atividade de auditoria interna também pode pesquisar a respeito de novos desenvolvimentos e tendências relacionados ao segmento de negócio, assim como processos que podem ser usados para monitorar, avaliar e responder a esses riscos e oportunidades.

    Ao seguir estes passos, os auditores internos podem conduzir gap analyses de forma independente para determinar se os riscos significativos estão sendo identificados e avaliados de forma adequada e, dessa forma, a atividade de auditoria interna estará numa posição adequada para avaliar o processo de avaliação de risco elaborada pela administração. Ao revisar o processo de gerenciamento de risco, é importante que os auditores internos identifiquem e discutam os riscos e as respectivas respostas escolhidas. Por exemplo, a administração pode optar por aceitar o risco e o CAE precisaria determinar se essa decisão é apropriada, de acordo com o apetite a risco ou com a estratégia de gerenciamento de risco da organização. Se concluir que a administração aceitou um nível de risco que pode ser inaceitável para a organização, o CAE deve discutir essa questão com a alta administração e pode precisar comunicar a questão ao conselho, de acordo com a Norma 2600 – Comunicação da Aceitação de Riscos. Nos casos em que a administração decide adotar uma estratégia de mitigação do risco em resposta aos riscos identificados, a atividade de auditoria interna pode avaliar a adequação e o cronograma das ações corretivas tomadas, se necessário. Isso pode ser feito por meio da revisão do desenho do controle e de testes dos controles e por procedimentos de monitoramento.

    Para avaliar se informações relevantes sobre risco são capturadas e comunicadas tempestivamente em toda a organização, os auditores internos podem entrevistar membros das equipes em diferentes níveis e determinar se os objetivos da organização, os riscos significativos e o apetite a risco estão suficientemente articulados e se são compreendidos por toda a organização. Geralmente, a atividade de auditoria interna também avalia a adequação e o cronograma da divulgação, por parte da administração, dos resultados do gerenciamento de risco. A atividade de auditoria interna pode revisar as atas de reuniões do conselho para determinar se os riscos mais significativos estão sendo comunicados tempestivamente ao conselho e se o conselho está agindo para assegurar que a administração responda adequadamente.

    Por fim, a atividade de auditoria interna deveria tomar as medidas necessárias para assegurar que está gerenciando seus próprios riscos, tais como os riscos associados a erros de auditoria, a avaliações inadequadas e a reputação. Da mesma forma, todas as ações corretivas relacionadas deveriam ser monitoradas.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a Norma 2120 incluem o estatuto da auditoria interna, que descreve os papéis e responsabilidades da atividade de auditoria interna com relação ao gerenciamento de risco e o planejamento de auditoria interna. Adicionalmente, a conformidade pode ser evidenciada em atas de reuniões nas quais os elementos da norma – tais como as recomendações de gerenciamento de risco oferecidas pela atividade de auditoria interna – foram discutidos entre o CAE, o conselho e a alta administração, ou das reuniões entre a atividade de auditoria interna e os comitês, forças-tarefa e membros-chave da alta-administração pertinentes.

    As avaliações de risco realizadas pela atividade de auditoria interna e os planos de ação para endereçar esses riscos geralmente demonstram a avaliação realizada e a melhoria dos processos de gerenciamento de risco, respectivamente.

True
  •    IG2130 – Controle (traduzido)  Dezembro 2016

    Primeiros Passos

    Para atender a essa norma, o executivo-chefe de auditoria (CAE) e os auditores internos começam pela obtenção de um entendimento claro sobre o conceito de controle e as características dos processos típicos de controle. Também devem considerar a definição formal de controle, conforme consta no glossário das Normas Internacionais para a Prática Profissional de Auditoria Interna, assim como devem considerar a Orientação de Implantação 2100 – Natureza do Trabalho. A partir de conversas com a alta administração e com o conselho, o CAE consideraria o apetite a risco, a tolerância a risco e a cultura de risco da organização. É importante que os auditores internos entendam os principais riscos que poderiam inibir a capacidade da organização de alcançar esses objetivos e os controles implantados para mitigar os riscos a níveis aceitáveis.

    Os auditores internos podem considerar útil revisar os resultados de avaliações dos controles-chave já realizadas, os planos de ação relacionados e efeitos potenciais de quaisquer alterações recentes nos negócios que possam introduzir novos riscos. Os auditores internos podem desejar consultar o departamento jurídico da organização, o diretor de conformidade ou outras partes pertinentes a respeito das leis e regulamentos que a organização deve observar. É proveitoso para a atividade de auditoria interna entender como a organização se mantém ciente e assegura a conformidade quanto às mudanças nos requisitos regulatórios.

    É importante que auditores internos obtenham um completo entendimento do(s) framework(s) de controle adotado(s) formal ou informalmente pela organização e se familiarizem com frameworks de controle abrangentes e globalmente reconhecidos, como o Controle Interno - Estrutura Integrada emitido pelo Committee of Sponsoring Organizations of the Treadway Commission. Embora os componentes, processos e atribuições de responsabilidade pelos controles sejam semelhantes entre os diferentes frameworks, a terminologia utilizada pode variar.

    Os auditores internos também deveriam entender as responsabilidades relacionadas à manutenção de controles eficazes. A alta administração geralmente supervisiona o estabelecimento, o gerenciamento e a avaliação do sistema de controle. Normalmente, a administração é responsável pela avaliação dos controles nas suas respectivas áreas. A atividade de auditoria interna fornece graus variáveis de avaliações sobre a eficácia dos processos de controle existentes. A divisão de responsabilidade pode estar descrita em uma política de gerenciamento de controle da organização.

    Por fim, a atividade de auditoria interna deveria ter um processo estabelecido para planejar, auditar e comunicar questões de controle.

    Considerações para Implantação

    Por meio da implantação da Norma 2120, o CAE e toda a atividade de auditoria interna deveriam demonstrar, em última análise, seu entendimento dos processos de controle da organização, assim como deveriam alertar a administração sobre novas questões em relação aos controles e oferecer recomendações e planos de ação para ações corretivas e para o monitoramento. A atividade de auditoria interna deveria obter informações suficientes para avaliar a eficácia dos processos de controle da organização.

    Os controles são projetados para mitigar riscos nos níveis da entidade, de atividades e de transações. Uma avaliação competente da eficácia dos controles implica em avaliar controles no contexto dos riscos que ameaçam os objetivos em cada um desses níveis. Uma matriz de risco e controle pode ajudar o auditor interno ao facilitar essas avaliações. Essa matriz pode auxiliar a atividade de auditoria interna a:

    • Identificar os objetivos e os riscos quem ameaçam a realização dos mesmos.
    • Determinar a significância dos riscos, levando em consideração seu impacto e probabilidade.
    • Verificar se a resposta aos riscos significativos é apropriada (p.ex., aceitar, explorar, transferir, mitigar ou evitar).
    • Identificar os controles-chave que a administração utiliza para gerenciar os riscos.
    • Avaliar a adequação do desenho dos controles para ajudar a determinar se pode ser adequado testar os controles quanto à sua eficácia.
    • Testar os controles que foram considerados como adequadamente desenhados para determinar se estão operando conforme planejado.

    Ao empregar uma matriz de risco e controle, a atividade de auditoria interna pode considerar útil entrevistar a administração; revisar planos, políticas e processos da organização; utilizar walk-throughs, pesquisas, questionários de controle interno e fluxogramas para obter informações sobre a adequação do desenho do controle; e utilizar inspeções, confirmações, auditoria contínua e análises de dados para testar a eficácia do controle.

    Para avaliar a eficiência dos controles, a atividade de auditoria interna geralmente verifica se a administração avalia e monitora os custos e benefícios dos controles. Isso incluiria questionar se os recursos utilizados nos processos de controle excedem os benefícios e se os processos de controle criam preocupações significativas para o negócio (p.ex., erros, atrasos ou duplicidade de esforços).

    Também pode ser útil que os auditores internos avaliem se o nível de um controle é apropriado em relação ao risco ao qual ele está endereçado. Uma ferramenta que diversos auditores internos adotam para documentar visualmente essa relação é um mapa de risco e controle, o qual compara a significância do risco em contraposição à eficácia do controle.

    Para promover a melhoria contínua na manutenção de controles eficazes, a atividade de auditoria interna geralmente fornece ao conselho e à alta administração uma avaliação geral ou reúne os resultados de avaliações de controle acumuladas a partir de trabalhos de auditoria individuais. O CAE pode recomendar a implantação de um framework de controle, se algum já não tiver sido implantado. Adicionalmente, os auditores internos podem fazer recomendações para melhorar o ambiente de controle (p.ex., através do exemplo da alta administração que promova uma cultura de comportamento ético e de baixa tolerância em relação a não conformidades).

    Outras medidas que a atividade de auditoria interna pode tomar para promover a melhoria contínua da eficácia de controle incluem:

    • Oferecer treinamentos sobre processos controles e de automonitoramento contínuo.
    • Facilitar sessões de avaliação de controle (ou de risco e controle) para a administração.
    • Ajudar a administração a estabelecer uma estrutura lógica para a documentação, análise e avaliação do desenho e da operação de controles da organização.
    • Auxiliar no desenvolvimento de um processo para a identificação, avaliação e remediação de deficiências de controle.
    • Ajudar a administração a se manter atualizada em relação a questões emergentes, leis e regulamentos relacionados aos requisitos de controle.
    • Monitorar os avanços tecnológicos que podem auxiliar a eficiência e eficácia do controle.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a Norma 2130 incluem as avaliações e os testes de controles realizadas(os) pela atividade de auditoria interna. Essa documentação é normalmente encontrada nos papéis de trabalho dos auditores e pode incluir:

    • Atas de reuniões com stakeholders pertinentes, nas quais os controles foram discutidos.
    • Matrizes e mapas de risco e controle.
    • Descrições de walk-throughs.
    • Resultados de pesquisas e entrevistas com a administração.
    • Resultados de testes de controles.

    A conformidade também pode ser demonstrada por meio dos planejamentos e dos relatórios de trabalhos de auditoria individuais, acompanhamento de questões levantadas nos relatórios de auditoria e/ou em uma avaliação geral dos controles. Também se demonstra a conformidade quando a administração mantém um conjunto adequado de procedimentos operacionais e de controle para comunicar à equipe os controles esperados. A melhoria contínua pode ser evidenciada a partir da atualização constante dos padrões de procedimentos operacionais e de controle para refletir um ambiente em transformação.

True
  •    IG2200 – Planejamento do Trabalho de Auditoria Interna (traduzido)  Dezembro 2016

    Primeiros Passos

    Planejar o trabalho de auditoria é crucial para uma auditoria interna eficaz. Isso é essencial não apenas para a Norma 2200, mas para as outras normas dessa série também.

    Ao planejar um trabalho de auditoria, os auditores internos geralmente começam pelo entendimento sobre o planejamento anual de auditoria interna da organização, pela conscientização sobre o processo de planejamento e pelas discussões que levam ao seu desenvolvimento (consulte a Orientação de Implantação 2010 – Planejamento), assim como pelo entendimento sobre quaisquer alterações significativas que afetam a organização desde que o trabalho de auditoria foi incluído no planejamento anual de auditoria interna. Os auditores internos também precisam compreender como as estratégias, os objetivos e os riscos da organização impactam o trabalho de auditoria interna.

    É importante que os auditores internos compreendam o processo de planejamento de trabalhos de auditoria utilizado pela atividade de auditoria interna da organização, o qual usualmente está descrito no manual de políticas e procedimentos de auditoria interna. Os auditores internos também deveriam obter um entendimento do escopo do trabalho de auditoria e das expectativas dos stakeholders em relação a esse trabalho e deveriam se familiarizar com as auditorias anteriores (internas ou externas) ou revisões de conformidade conduzidas na área sob revisão. Adicionalmente, os auditores internos usualmente se familiarizam com as estratégicas, os objetivos e os riscos relacionados ao departamento, área ou processo que serão revisados no trabalho de auditoria que será realizado. Pode ser útil aos auditores internos investigar se a administração conduziu uma avaliação de risco na área sob revisão e, caso afirmativo, ter um entendimento da opinião da administração sobre a avaliação de risco, assim como sobre quaisquer riscos e controles relacionados à área do trabalho de auditoria que será realizado.

    Os auditores internos deveriam considerar os recursos necessários para o trabalho de auditoria (consulte a Orientação de Implantação 2030 – Gerenciamento de Recursos) e determinar como os recursos podem ser utilizados da forma mais eficaz.

    As orientações de implantação da Norma 2201 – Considerações para o Planejamento; da Norma 2210 – Objetivos do Trabalho de Auditoria; da Norma 2220 – Escopo do Trabalho de Auditoria; da Norma 2230 – Alocação de Recursos ao Trabalho de Auditoria; e da Norma 2240 – Programa de Trabalho de Auditoria fornecem orientações adicionais sobre o processo de planejamento dos trabalhos de auditoria.

    Considerações para Implantação

    Ao implantar a Norma 2200, é importante que os auditores internos estabeleçam os objetivos do trabalho de auditoria como uma parte crucial do planejamento do trabalho de auditoria. Para tanto, os auditores internos deveriam revisar quaisquer avaliações de risco recentes conduzidas pela administração, bem como a avaliação de risco da auditoria interna concluída durante o planejamento anual, visto que os objetivos do trabalho de auditoria estarão relacionados aos riscos da área sob revisão. Outras considerações incluem as avaliações de risco e relatórios de auditoria de trabalhos de auditoria anteriores relacionados à área sob revisão. Uma vez que os objetivos baseados no risco tenham sido estabelecidos, o escopo do trabalho de auditoria pode ser determinado, definindo as fronteiras dentro das quais os auditores internos trabalharão.

    Para estabelecer os objetivos do trabalho de auditoria, os auditores internos geralmente identificam os dados necessários dentro do escopo do trabalho de auditoria e comunicam o escopo à administração da área sob revisão, concedendo à administração tempo adequado para se prepararem. Os auditores internos também se comunicam com a administração ou outras pessoas importantes da área sob revisão para assegurar a disponibilidade dessas pessoas logo no início do processo.

    Durante todo o processo de planejamento do trabalho de auditoria, os auditores internos tipicamente conservam a documentação das discussões e das conclusões a que chegaram durante as reuniões e incluem esses documentos nos papéis de trabalho de auditoria. Durante a fase de planejamento do trabalho de auditoria, os auditores internos determinarão o nível de formalismo e a documentação necessários. O manual de políticas de auditoria interna da organização pode especificar os passos para um processo formal e incluir modelos pertinentes.

    Durante o planejamento do trabalho de auditoria, os auditores internos podem começar a desenvolver um programa de trabalho de auditoria, considerando o orçamento, a logística e o formato da comunicação final do trabalho de auditoria. O executivo-chefe de auditoria geralmente determina como, quando e para quem os resultados do trabalho de auditoria serão comunicados (consulte a Norma 2440 – Disseminação dos Resultados), assim como o nível necessário de supervisão direta da equipe de auditoria, específica ao planejamento do trabalho de auditoria (consulte a Norma 2340 – Supervisão do Trabalho de Auditoria). O último passo do planejamento antes dos auditores internos darem início ao trabalho de campo geralmente envolve a obtenção da aprovação do programa de trabalho de auditoria por parte da gerência de auditoria. No entanto, o planejamento do trabalho de auditoria e o programa de trabalho de auditoria podem ser ajustados – sujeitos à aprovação por parte da gerência de auditoria – durante o trabalho de campo, quando novas informações forem obtidas.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a Norma 2200 incluem o planejamento do trabalho de auditoria documentado que abranja as considerações sobre o planejamento, o escopo do trabalho de auditoria, os objetivos, as alocações de recursos e o programa de trabalho de auditoria aprovado. Um manual de políticas e procedimentos de auditoria interna pode incluir modelos de documentação aprovados relacionados ao planejamento de trabalhos de auditoria. A documentação pode incluir anotações feitas nas reuniões de planejamento que precederam ao trabalho de auditoria, tais como atas, lista de participantes, cronograma do trabalho de auditoria e recursos disponíveis, entre outros itens importantes. Essas anotações são geralmente registradas nos papéis de trabalho de auditoria.

    Adicionalmente, as comunicações ao cliente do trabalho de auditoria a ser realizado, como as comunicações que abordam os objetivos e o escopo do trabalho de auditoria, podem demonstrar a conformidade. Qualquer documentação de uma reunião inicial ou de abertura seguinte ao desenvolvimento do programa de trabalho de auditoria também pode servir para demonstrar a conformidade com a Norma 2200.

    Outras evidências de conformidade estão descritas nas orientações de implantação da Norma 2201 – Considerações para o Planejamento; da Norma 2210 – Objetivos do Trabalho de Auditoria; da Norma 2220 – Escopo do Trabalho de Auditoria; da Norma 2230 – Alocação de Recursos ao Trabalho de Auditoria; e da Norma 2240 – Programa de Trabalho de Auditoria.

True
  •    IG2201 – Considerações sobre o Planejamento (traduzido)  Dezembro 2016

    Primeiros Passos

    Os auditores internos devem planejar cuidadosamente os trabalhos de auditoria para cumprir com eficácia as metas e os objetivos previstos no planejamento anual de auditoria interna e para aderir às políticas e aos procedimentos estabelecidos da atividade de auditoria interna da organização. O planejamento do trabalho de auditoria normalmente começa com uma revisão da documentação que dá suporte ao planejamento anual de auditoria interna.

    Os auditores internos podem planejar de forma eficaz um trabalho de auditoria ao começarem por obter um entendimento da missão, da visão, dos objetivos, dos riscos, do apetite a risco, do ambiente de controle, da estrutura de governança e dos processos de gerenciamento de risco da área ou processo sob revisão. Uma pesquisa preliminar pode ser uma ferramenta valiosa para ajudar os auditores internos a obter o entendimento suficiente sobre a área ou processo a ser auditada(o).

    Desenvolver uma matriz de risco e controle – ou revisar uma já existente – é uma prática comum usada pelos auditores internos para identificar os riscos que podem impactar os objetivos, os recursos e/ou as operações da área ou processo sob revisão. A matriz de risco e controle pode fornecer informações essenciais sobre os principais riscos identificados, assim como quaisquer controles de mitigação. Também pode ser usada para identificar os principais objetivos dos subprocessos da área ou processo a ser auditada(o).

    Durante o planejamento do trabalho de auditoria, os auditores internos geralmente reúnem informações sobre as políticas e os procedimentos do cliente de auditoria e buscam entender os sistemas de TI usados pela área ou processo sob revisão, juntamente com as fontes, os tipos e a confiabilidade das informações usadas no processo e as que serão consideradas como evidência. Os auditores internos também obtêm e revisam os resultados dos trabalhos realizados por outros provedores internos ou externos de avaliação e/ou os resultados de auditorias anteriores da área ou processo sob revisão, se aplicável.

    É importante que os auditores internos determinem se novos processos ou novas condições podem ter introduzido novos riscos. Adicionalmente, é útil que os auditores internos determinem os recursos preliminares e as informações necessários, incluindo as habilidades de auditoria interna necessárias para conduzir o trabalho de forma eficaz.

    Considerações para Implantação

    Para implantar a Norma 2201, é importante que os auditores internos identifiquem, entendam e documentem a missão, os objetivos estratégicos, as metas, os indicadores-chave de desempenho, os riscos e os controles da área ou processo a ser auditada(o). Geralmente, os auditores internos avaliam se os riscos são gerenciados dentro de um nível tolerável através de processos de governança, de gerenciamento de risco e de controle.

    Os auditores internos podem realizar discussões com a administração da área ou processo sob revisão para entender as estratégias e os objetivos. Essas discussões podem ser complementadas por uma revisão dos documentos relacionados à estratégia, aos planos de negócio, aos orçamentos e às atas de reuniões. Os riscos significativos podem ser identificados nessa documentação. Os auditores internos podem usar seu entendimento sobre o negócio e o conhecimento sobre o ambiente para avaliar, de forma independente, os fatores de risco considerados pela administração do negócio.

    Entender as estratégias, os objetivos e os riscos da área ou processo a ser auditada(o) pode ajudar os auditores internos a avaliar a adequação e a eficácia de seus processos de governança, de gerenciamento de risco e de controle. Os auditores internos podem revisar a estrutura da organização, os papéis e responsabilidades da administração, os relatórios gerenciais e os procedimentos operacionais para obter um entendimento sobre os processos de governança, de gerenciamento de risco e de controle. Também é importante que os auditores internos revisem as anotações feitas durante as reuniões que ocorreram no decorrer da fase de planejamento do trabalho de auditoria para determinar a necessidade de testes adicionais serem incluídos ao programa de trabalho.

    A administração pode manter documentos de fluxos de processos e de controle para atender aos requisitos regulatórios, tais como a Sarbanes-Oxley (EUA) e o Turnbull (Reino Unido), ou outras regras de listagem em bolsa. Os auditores internos podem revisar essa documentação para identificar os controles-chave. Posteriormente, os auditores internos podem considerar a utilização de um framework ou modelo pertinente, tais como os frameworks do The Committee of Sponsoring Organizations of the Treadway Commission ou a ISO 31000, para auxiliar na avaliação.

    Durante o planejamento do trabalho de auditoria, é importante que os auditores internos considerem a forma como a atividade de auditoria interna poderia agregar valor. Nesse sentido, os auditores internos aplicam seu julgamento profissional, conhecimento e experiência para identificar oportunidades de fazer melhorias significativas aos processos de governança, de gerenciamento de risco e de controle da organização.

    Ao planejar um trabalho de auditoria, os auditores internos estabelecem os objetivos e o escopo do trabalho de auditoria em conformidade com a Norma 2210 - Objetivos do Trabalho de Auditoria e com a Norma 2220 – Escopo do Trabalho de Auditoria. Fazer isso permite aos auditores internos considerarem o que deve ser testado no processo ou área sob revisão. Também possibilita que priorizem as áreas dentro do escopo do trabalho de auditoria com base na significância dos riscos identificados. Essa priorização é geralmente determinada pela probabilidade de ocorrência de um risco e pelo impacto que esse risco teria na organização se ocorresse. Riscos com uma maior probabilidade de ocorrência e de maior impacto geralmente recebem a prioridade mais alta nos testes.

    Além disso, os auditores internos geralmente conversam com os indivíduos que trabalham na área ou processo sob revisão. Isso que pode melhorar o entendimento e levar a um planejamento de trabalho de auditoria mais eficaz.

    A Orientação de Implantação 2210 – Objetivos do Trabalho de Auditoria e a Orientação de Implantação 2220 – Escopo do Trabalho de Auditoria fornecem orientações adicionais.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a norma incluem um memorando de planejamento bem documentado e que apresente, entre outras coisas, que os auditores internos consideraram os itens listados na Norma 2201. Outros documentos que podem também demonstrar a conformidade são as anotações feitas durante um walk-through, os fluxogramas de processos, os papéis de trabalho e uma matriz de risco e controle.

    Adicionalmente, os auditores internos geralmente têm a documentação de qualquer discrepância que possam ter descoberto entre as políticas e os procedimentos da área ou processo sob revisão, o que pode servir para demonstrar a conformidade. As oportunidades de melhoria significativa nos processos de governança, de gerenciamento de risco e de controles da organização podem ser documentadas em atas de reuniões, em apresentações ou na comunicação final à administração.

True
  •    IG2210 – Objetivos do Trabalho da Auditoria (traduzido)  Dezembro 2016

    Primeiros Passos

    A Norma 2210 declara de forma transparente que os auditores internos devem estabelecer os objetivos como parte do planejamento de cada trabalho de auditoria. Os objetivos são geralmente desenvolvidos com base nos principais riscos identificados relacionados à área ou processo sob revisão.

    Geralmente, os auditores internos começam o processo de estabelecimento dos objetivos do trabalho de auditoria pela revisão das considerações de planejamento (consulte a Orientação de Implantação 2201 – Considerações para o Planejamento) e o planejamento anual de auditoria interna, para obter um entendimento completo sobre o motivo da realização do trabalho de auditoria e sobre aquilo que organização tem como meta. Os auditores internos podem considerar útil começar com um entendimento da missão, da visão e das metas de curto e longo prazos da organização, assim como sobre as políticas e os procedimentos e como os mesmos estão relacionados à área ou processo sob revisão. Adicionalmente, é importante que os auditores internos entendam completamente as estratégias, a missão e os objetivos da área ou processo sob revisão, bem como seus inputs e outputs.

    Antes de estabelecer os objetivos do trabalho de auditoria, é útil que os auditores internos verifiquem se foi realizada uma avaliação de risco durante a fase de planejamento do trabalho de auditoria e obtenham um entendimento completo dos riscos tanto da organização quanto da área ou processo sob revisão. Além disso, é essencial entender as expectativas dos stakeholders, incluindo a alta administração e o conselho.

    Considerações para Implantação

    Os auditores internos podem formular objetivos preliminares do trabalho de auditoria a partir da revisão do planejamento anual de auditoria interna e dos resultados de trabalhos de auditoria anteriores, discussões com os stakeholders e ao considerar a missão, a visão e os objetivos da área ou processo sob revisão. Esses objetivos preliminares serão aprimorados através de exercícios de avaliação de risco que abranjam a governança, o gerenciamento de risco e os controles da área ou processo sob revisão. Os objetivos do trabalho de auditoria articulam aquilo que o trabalho de auditoria está especificamente tentando realizar e determinam o escopo do trabalho de auditoria (consulte a Orientação de Implantação 2220 – Escopo do Trabalho de Auditoria).

    Os objetivos do trabalho de auditoria ajudam os auditores internos a determinar quais procedimentos devem ser realizados. Também ajudam a priorizar os testes de risco e controle dos processos e sistemas durante o trabalho de auditoria. Os testes de risco e controle geralmente fornecem uma avaliação sobre a adequação do desenho, da eficácia operacional, da conformidade, da eficiência, da precisão e da divulgação.

    É importante que os auditores internos estabeleçam objetivos que tenham um propósito claro, sejam concisos e estejam correlacionados à avaliação de risco. Os auditores internos frequentemente utilizam as melhores práticas e frameworks, tais como os frameworks do Committee of Sponsoring Organizations of the Treadway Commission ou a ISO 31000, ao estabelecer os objetivos para endereçar riscos e controles.

    Durante o planejamento do trabalho de auditoria, é útil que os auditores internos desenvolvam um memorando de planejamento, onde possam documentar os objetivos, o escopo, a avaliação de risco e as áreas priorizadas para os testes. O memorando de planejamento também é um documento importante para a comunicação dos objetivos, do escopo e de outras informações importantes sobre o contexto do trabalho, aos membros da equipe de auditoria.

    A Orientação de Implantação 2300 – Execução do Trabalho de Auditoria fornece orientações adicionais sobre como alcançar os objetivos do trabalho de auditoria.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a Norma 2210 incluem o memorando de planejamento contendo a descrição dos objetivos do trabalho de auditoria, assim como o programa de trabalho de auditoria aprovado, o qual também lista os objetivos. Os objetivos do trabalho de auditoria também deveriam ser articulados na comunicação final do trabalho de auditoria.

    Outras documentações que podem ilustrar a conformidade incluem os registros que dão suporte ao trabalho de auditoria, tais como as atas de reuniões ou anotações de discussões com os stakeholders. Esses documentos podem demonstrar como os objetivos do trabalho de auditoria foram estabelecidos. Adicionalmente, as políticas e os procedimentos de auditoria interna que descrevem os passos que os auditores internos deveriam seguir durante o trabalho de auditoria podem ajudar a demonstrar a conformidade com a Norma 2210.

True
  •    IG2220 – Escopo do Trabalho da Auditoria (traduzido)  Dezembro 2016

    Primeiros Passos

    Ao implantar a Norma 2220, os auditores internos assumem a responsabilidade por estabelecer um escopo para o trabalho de auditoria que seja suficiente para alcançar os objetivos do trabalho de auditoria. Como um trabalho de auditoria geralmente não consegue cobrir tudo, os auditores internos devem determinar o que será ou não incluído. Ao estabelecerem o escopo do trabalho de auditoria, os auditores internos geralmente consideram fatores como as fronteiras da área ou processo, os locais que estarão dentro ou fora do escopo, os subprocessos, os componentes da área ou processo e o período.

    Os auditores internos geralmente revisam as considerações tomadas no planejamento (consulte Orientação de Implantação 2201 – Considerações para o Planejamento) e os objetivos do trabalho de auditoria (consulte a Orientação de Implantação 2210 – Objetivos do Trabalho de Auditoria) para obterem o entendimento dos principais riscos identificados durante a fase de planejamento. Isso permite aos auditores internos alcançar um completo entendimento sobre a forma como melhor relacionar o escopo do trabalho de auditoria aos objetivos. É importante que os auditores internos considerem cuidadosamente quais serão as fronteiras do trabalho de auditoria, já que o escopo deve ter a abrangência suficiente para que seja possível alcançar os objetivos do trabalho de auditoria.

    Considerações para Implantação

    Durante o planejamento, os auditores internos geralmente elaboram uma minuta da declaração de escopo, a qual descreve especificamente o que será ou não incluído no trabalho de auditoria (p.ex., as fronteiras da área ou processo, os locais que estarão dentro ou fora do escopo, os subprocessos, ou componentes da área ou processo e o período). O período pode ser expresso com base em um ponto no tempo, um trimestre fiscal, ano civil ou outro período de tempo predeterminado.

    Para assegurar que o escopo seja suficiente para alcançar os objetivos do trabalho de auditoria e esteja alinhado ao planejamento anual de auditoria interna da organização, os auditores internos devem exercer um julgamento profissional criterioso com base em experiências relevantes e/ou com ajuda da supervisão. Ao determinar o escopo, é útil revisar os objetivos do trabalho de auditoria para assegurar que cada objetivo possa ser cumprido de acordo com os parâmetros estabelecidos. Os auditores internos geralmente consideram e documentam quaisquer limitações de escopo, assim como quaisquer solicitações do cliente ou de stakeholders para a inclusão ou a exclusão de itens no escopo. Se encontrarem limitações de escopo, os auditores internos devem reportá-las na comunicação final do trabalho de auditoria.

    Ocasionalmente, os auditores internos podem decidir aproveitar e, portanto, depositar confiança no trabalho realizado por outros – como auditores externos e grupos de conformidade da organização – e pode ser útil documentar essa confiança depositada na declaração de escopo. A Norma 2050 – Coordenação e Confiança e a respectiva Orientação de Implantação fornecem orientações adicionais sobre a confiança depositada pela atividade de auditoria interna em trabalhos realizados por outros.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a Norma 2220 incluem uma descrição do processo de planejamento de trabalhos de auditoria no estatuto ou nas políticas e procedimentos de auditoria interna, nos quais geralmente se explica como o escopo é definido. O programa de trabalho de auditoria, aprovado pela gerência de auditoria interna, geralmente mostra se o escopo do trabalho de auditoria está adequadamente alinhado aos objetivos e endereça os principais riscos identificados.

    Geralmente, a declaração de escopo encontra-se claramente documentada nas comunicações finais do trabalho de auditoria. Outras documentações que podem demonstrar a conformidade incluem memorandos de planejamento, aprovações assinadas, avisos de trabalho de auditoria e apontamentos de reuniões nas quais o escopo tenha sido discutido.

True
  •    IG2230 – Alocação de Recursos para o Trabalho da Auditoria (traduzido)  Dezembro 2016

    Primeiros Passos

    Para atender à Norma 2230, os auditores internos devem assegurar que recursos sejam alocados para alcançar os objetivos do trabalho de auditoria. É crucial que os auditores internos designados a um trabalho de auditoria possuam o conhecimento, as habilidades, a experiência e outras competências necessárias para conduzir o trabalho de auditoria de forma competente e minuciosa. Também é importante que a atividade de auditoria interna inclua uma quantidade suficiente de recursos para cobrir as necessidades do trabalho de auditoria com a atenção necessária aos detalhes e com zelo profissional.

    Antes de determinar a melhor forma de alocar os recursos ao trabalho de auditoria, os auditores internos geralmente obtêm um entendimento dos objetivos e do escopo do trabalho de auditoria através da revisão da documentação do planejamento. Também é essencial que os auditores internos entendam a natureza e a complexidade do trabalho de auditoria através de discussões com os principais stakeholders, incluindo a administração da área a ser auditada.

    É importante que os auditores internos façam um inventário não apenas dos recursos em termos de equipe, mas também das tecnologias disponíveis que possam ser úteis ou necessárias para conduzir um trabalho de auditoria com qualidade. Também podem considerar a necessidade de outros recursos ou tecnologias externas para concluir o trabalho de auditoria.

    Ao revisar o programa de trabalho de auditoria, os auditores internos podem obter um entendimento completo do tempo que cada passo deve levar. Eles devem estar cientes do número de horas orçadas para o trabalho de auditoria, assim como de quaisquer restrições de tempo, idioma, logística ou outras restrições em relação a qualquer parte relevante (p.ex., membros da atividade de auditoria interna, administração da área sob revisão, alta administração, conselho e/ou partes externas).

    Se a atividade de auditoria interna não dispuser dos recursos apropriados e suficientes na equipe, espera-se que o executivo-chefe de auditoria (CAE) obtenha orientação ou assistência competente para preencher quaisquer insuficiências. A Orientação de Implantação 1210 – Proficiência oferece orientações adicionais sobre como obter os conhecimentos, as habilidades e outras competências necessárias para cumprir as responsabilidades de auditoria interna.

    Considerações para Implantação

    Os auditores internos normalmente avaliam o programa de trabalho de auditoria e exercem seu melhor julgamento profissional para determinar o tipo e a quantidade de recursos a serem alocados a um trabalho de auditoria para cumprir seus objetivos da melhor forma possível. É importante designar pessoal apropriado ao trabalho de auditoria considerando-se a disponibilidade, os conhecimentos, as habilidades e as experiências dessas pessoas. Conjuntos de habilidades especializadas (p.ex., divulgações financeiras, TI, análise de custos, movimentação de ativos, construção, específicas ao segmento de negócio, entre outras) podem ser inestimáveis para a atividade de auditoria interna, se utilizados devidamente. Portanto, é importante que os auditores internos sejam cuidadosos na seleção dos melhores recursos disponíveis para o trabalho de auditoria.

    Se as habilidades especializadas dos auditores internos disponíveis não forem suficientes para a condução do trabalho de auditoria, os auditores internos normalmente consideram a opção de buscar treinamento adicional ou se uma supervisão mais estreita seria o mais apropriado. Em situações nas quais a equipe de auditoria interna existente não possui a experiência ou o conhecimento necessários para conduzir o trabalho de auditoria, os auditores internos podem considerar complementar os recursos existentes com outras opções, tais como utilizar auditores convidados, contratar um especialista no assunto ou empregar uma coparticipação.

    Os auditores internos deveriam discutir com o CAE quaisquer preocupações relacionadas aos recursos alocados ao trabalho de auditoria. Os auditores internos podem considerar monitorar o tempo real incorrido na condução do trabalho de auditoria em contraposição ao tempo orçado. As causas e os efeitos de excessos de horas significativos podem ser documentados como uma lição aprendida para planejamentos futuros.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a Norma 2230 incluem o programa de trabalho de auditoria aprovado, o qual normalmente mostra que a atividade de auditoria interna utilizou recursos apropriados e suficientes para o trabalho de auditoria, incluindo pessoal com apropriadas experiência, habilidades e competências de auditoria interna. A documentação suporte geralmente mostra a distribuição das atividades para cada auditor interno, assim como os cronogramas atribuídos ao trabalho de auditoria.

    Outros documentos que podem ilustrar a conformidade com a Norma 2230 incluem as anotações do planejamento da atividade de auditoria interna, os quais podem descrever as tecnologias ou outros recursos que foram considerados durante a fase de planejamento do trabalho de auditoria. Além disso, as planilhas de horas ou a documentação de apontamento usada para monitorar as horas orçadas em contraposição às horas realmente incorridas podem ajudar a demonstrar a conformidade. Uma pesquisa junto ao cliente, após o término da auditoria, em relação à qualidade dos recursos de auditoria interna e a pontualidade do relatório de auditoria também pode ajudar a demonstrar a conformidade.

True
  •    IG2240 – Programa de Trabalho da Auditoria (traduzido)  Dezembro 2016

    Primeiros Passos

    Para implantar a Norma 2240, os auditores internos começam com um entendimento claro e minucioso dos objetivos e do escopo do trabalho de auditoria, assim como dos principais riscos e controles na área ou processo sob revisão. Normalmente, os auditores internos possuem um entendimento completo dos recursos disponíveis para o trabalho de auditoria.

    Antes de desenvolver o programa de trabalho, os auditores internos podem acreditar ser útil considerar vários aspectos do trabalho de auditoria a ser realizado, incluindo:

    • O tamanho apropriado da amostra para os testes e as metodologias a serem utilizadas.
    • A relação de riscos ou matriz de riscos e como aplicá-las no desenvolvimento do programa de trabalho.
    • O escopo do trabalho de auditoria.
    • Como os objetivos do trabalho de auditoria serão alcançados.
    • Se os recursos necessários estão disponíveis.
    • Os julgamentos efetuados e as conclusões produzidas durante a fase de planejamento do trabalho de auditoria.

    Considerações para Implantação

    Ao desenvolver um programa de trabalho, os auditores internos geralmente consideram os riscos da área ou processo sob revisão. O programa de trabalho é baseado nos objetivos e no escopo do trabalho de auditoria. O programa de trabalho normalmente inclui os planos para a alocação dos recursos e descreve as técnicas ou metodologias que serão usadas para conduzir o trabalho de auditoria (p.ex., técnicas de amostragem). É importante que os auditores internos determinem quais testes ou passos de auditoria são necessários para avaliar os riscos da área ou processo sob revisão e para testar os controles existentes. Adicionalmente, deveriam assegurar que os testes sejam específicos o suficiente para evitar a ampliação indevida do escopo.

    Para desenvolver um programa de trabalho eficaz, os auditores internos consideram a natureza, a extensão e o momento dos testes de auditoria necessários para alcançar os objetivos do trabalho de auditoria. Cada procedimento de auditoria no programa de trabalho deveria ser projetado para testar o controle específico que enderece o risco. Também é importante que o programa de trabalho seja desenvolvido e documentado de forma a assegurar que todos os membros da equipe do trabalho de auditoria entendam o que precisam fazer e quais tarefas continuam pendentes.

    O formato dos programas de trabalho pode variar dependendo do trabalho de auditoria ou da organização. Os formatos mais comumente usados incluem modelos padronizados ou listas de verificação para documentar a finalização dos passos planejados, memorandos que resumem as tarefas concluídas e colunas inseridas na matriz de risco e controle. Programas de trabalho bem documentados ajudam na comunicação dos papéis, das responsabilidades e das tarefas aos membros da equipe do trabalho de auditoria. Podem incluir assinaturas de finalização dos trabalhos já concluídos, nomes dos auditores internos que conduziram o trabalho e a data em que o trabalho foi concluído.

    Segundo a Norma 2240.A1, os programas de trabalho devem ser aprovados pela gerência de auditoria interna antes do início do trabalho de campo. No entanto, com novas informações e conhecimentos obtidos durante o trabalho de campo, poderá haver ajustes no programa de auditoria, sujeitos à imediata aprovação pela gerência de auditoria interna.

    Considerações para Demonstração de Conformidade

    O próprio programa de trabalho, com a aprovação documentada, normalmente demonstra a conformidade com a Norma 2240. Quaisquer alterações no programa de trabalho também deveriam ter sua aprovação documentada. A supervisão do trabalho de auditoria e as devidas assinaturas de finalização para cada tarefa do programa de trabalho, por parte do auditor interno responsável por realizar a tarefa, também podem ajudar a demonstrar a conformidade.

    Outros documentos que podem ilustrar a conformidade com a Norma 2240 incluem as anotações ou memorandos de reuniões que mostrem os passos do planejamento para o desenvolvimento do programa de trabalho. Adicionalmente, a conformidade pode ser demonstrada através das anotações das reuniões de planejamento com a equipe do trabalho de auditoria, durante as quais os produtos do trabalho a serem entregues e o propósito tenham sido discutidos com o cliente do trabalho de auditoria, ou as evidências de que tais reuniões tenham ocorrido.

True
  •    IG2300 – Execução do Trabalho da Auditoria (traduzido)  Dezembro 2016

    Primeiros Passos

    Nas Normas Internacionais para a Prática Profissional de Auditoria Interna, o processo do trabalho de auditoria é dividido em três fases, com uma série de normas representando cada uma delas: planejamento (série 2200), execução e supervisão (série 2300) e comunicação (série 2400). Na realidade, as normas nesses grupos não são cumpridas de forma separada e sequencial. Pelo contrário, parte do trabalho de auditoria pode ser efetuada durante o processo de planejamento; e o planejamento, a supervisão e a comunicação ocorrem durante toda a execução de um trabalho de auditoria. Portanto, ao se preparar para executar um trabalho de auditoria, os auditores internos deveriam revisar todos os três grupos de normas e as respectivas orientações de implantação simultaneamente.

    Antes de conduzir o trabalho de auditoria, os auditores internos podem tirar proveito de uma revisão das informações produzidas durante o processo de planejamento, as quais deveriam incluir:

    • Os objetivos do trabalho de auditoria que refletem os resultados de uma avaliação preliminar de riscos realizada pela atividade de auditoria interna (Norma 2210 – Objetivos do Trabalho de Auditoria e Norma 2210.A1).
    • Os critérios que serão usados para avaliar a governança, o gerenciamento de risco e os controles da área ou processo sob revisão (Norma 2210.A3).
    • O programa de trabalho de auditoria (o qual contém as conclusões obtidas durante a fase de planejamento), as tarefas do trabalho de auditoria e os procedimentos que serão utilizados para identificar, analisar e documentar as informações do trabalho de auditoria (Norma 2240 – Programa de Trabalho de Auditoria e Norma 2240.A1)

    O trabalho realizado durante a fase de planejamento é normalmente documentado nos papéis de trabalho e referenciado no programa de trabalho. Esse trabalho pode incluir:

    • Uma matriz de risco e controle, que correlacione os riscos e controles à abordagem, aos resultados, às observações e às conclusões dos testes.
    • Mapas de processo, fluxogramas e/ou descrições narrativas dos processos de controle.
    • Os resultados da avaliação da adequação do desenho dos controles.
    • Um plano e uma abordagem para testar a eficácia dos controles-chave.

    O nível das análises e do detalhamento aplicado durante a fase de planejamento varia dependendo da atividade de auditoria interna e do trabalho de auditoria. A avaliação da adequação do desenho dos controles é frequentemente realizada como parte do planejamento do trabalho de auditoria, pois ajuda os auditores internos a identificar claramente os controles-chave que serão testados para verificação de sua eficácia. No entanto, o momento mais apropriado para conduzir essa avaliação depende da natureza do trabalho de auditoria; se não for realizada durante o planejamento, a avaliação do desenho dos controles poderá ocorrer como uma etapa específica da execução do trabalho de auditoria ou os auditores internos poderão fazer a avaliação do desenho do controle enquanto testam a eficácia dos controles.

    Considerações para Implantação

    A série 2300 das normas engloba a realização de testes delineados na fase de planejamento e a avaliação e documentação dos resultados. Ao refletirem sobre as informações necessárias para alcançar os objetivos do trabalho de auditoria, os auditores internos deveriam considerar as expectativas do conselho e da alta administração. O tipo de informação necessária e as análises aplicadas podem variar se o trabalho de auditoria for projetado para proporcionar uma avaliação com conclusões e/ou uma opinião (Norma 2410.A1) ou para consultoria e recomendações (Norma 2410.C1).

    Os auditores internos abordam os trabalhos de auditoria com uma mentalidade objetiva, e também inquisitiva, e buscam estrategicamente por informações (p.ex., evidência de auditoria) que poderiam ajudar a alcançar os objetivos do trabalho de auditoria. A cada passo do processo do trabalho de auditoria, os auditores internos exercem ceticismo profissional para avaliar se as informações são suficientes e apropriadas para oferecer uma base razoável para que as conclusões e/ou recomendações possam ser formuladas, ou se deveriam ser reunidas mais informações. A Norma 2330 – Documentação das Informações exige que os auditores internos documentem as informações resultantes da execução do trabalho de auditoria; e que as evidências devem dar uma sustentação lógica às conclusões e aos resultados do trabalho de auditoria.

    A Interpretação da Norma 2310 – Identificação das Informações define que “Informação suficiente é factual, adequada e convincente de forma que uma pessoa prudente e informada chegaria às mesmas conclusões que o auditor”. Portanto, as informações do trabalho de auditoria deveriam ser reunidas e documentadas de forma que uma pessoa prudente e bem-informada, como outro auditor interno ou um avaliador externo, pudesse repetir o trabalho de auditoria e alcançar um resultado que confirmasse os resultados do auditor interno, levando de forma lógica às mesmas conclusões.

    Os auditores internos devem basear suas conclusões e os resultados do trabalho de auditoria em análises e avaliações apropriadas (consulte a Norma 2320 – Análise e Avaliação). Para trabalhos de avaliação e alguns trabalhos de consultoria, a meta final é concluir se o desenho e a operação dos controles-chave dão suporte à capacidade da área ou processo objeto do trabalho de auditoria de alcançar seus objetivos.

    Como parte do programa de trabalho, os auditores internos normalmente criam um plano de testes para reunir evidências da eficácia operacional dos controles-chave que tiverem sido adequadamente desenhados (consulte a Norma 2240 – Programa de Trabalho de Auditoria). Geralmente, os controles secundários (isto é, aqueles que melhoram o processo, mas não são essenciais) e os controles que possuam uma deficiência no seu desenho (isto é, aqueles que provavelmente não cumprirão seu propósito, mesmo se estiverem operando apropriadamente) não precisam ser incluídos no contexto de testes de eficácia. Se os detalhes do plano de testes não forem suficientes, pode ser necessário que os auditores internos forneçam detalhes adicionais sobre os testes necessários para obter informações suficientes, tais como os critérios e a população dos testes, a metodologia de amostragem e o tamanho da amostra. A Norma 2240.A1 exige que eventuais ajustes sejam prontamente aprovados.

    A abordagem dos auditores internos para a avaliação normalmente inclui uma combinação de procedimentos de auditoria manuais e técnicas de auditoria auxiliadas por computador (CAATs). As categorias gerais de procedimentos manuais de auditoria incluem indagação (p.ex., entrevistas ou pesquisas), observação, inspeção, validação, rastreamento, reexecução, confirmação e procedimentos analíticos (p.ex., análise de índices, análise de tendências ou benchmarking). As CAATs incluem os softwares de auditoria generalizada e os programas especializados que testam a lógica de processamento e os controles de outros softwares e sistemas. Os procedimentos de avaliação são discutidos de forma mais detalhada na Orientação de Implantação 2320 – Análise e Avaliação.

    À medida que as avaliações são concluídas, os resultados podem ser registrados em uma coluna inserida na matriz de risco e controle, a qual é usualmente documentada como um papel de trabalho. As inclusões na matriz normalmente incluem uma referência ou um conector para papéis de trabalho adicionais que documentam os detalhes dos procedimentos de teste e análises aplicados, os resultados e qualquer suporte adicional às conclusões do auditor interno. As informações de auditoria interna, os resultados dos testes e os fundamentos para as conclusões também podem ser apresentados na forma de um sumário do trabalho realizado.

    O executivo-chefe de auditoria usualmente estabelece uma abordagem de uso geral para a documentação dos papéis de trabalho a qual é incluída no manual de políticas e procedimentos da atividade de auditoria interna. Essa documentação é discutida de forma mais detalhada na Orientação de Implantação 2330 – Documentação das Informações.

    Considerações para Demonstração de Conformidade

    A conformidade com a Norma 2300 pode ser evidenciada a partir dos papéis de trabalho que descrevem as ações, as análises e as avaliações realizadas durante um trabalho de auditoria, assim como a lógica que dá sustentação às conclusões, opiniões e/ou recomendações. Os papéis de trabalho normalmente incluem uma descrição de quaisquer CAATs ou softwares que tenham sido usados durante o trabalho de auditoria. Adicionalmente, as comunicações finais do trabalho de auditoria usualmente demonstram a conformidade. Pesquisas feitas após o término da auditoria e outros mecanismos de obtenção de feedback podem confirmar que os objetivos do trabalho de auditoria foram alcançados, a partir da perspectiva do conselho e da alta administração. A documentação da supervisão do trabalho de auditoria pode oferecer evidência de conformidade.

True
  •    IG2310 – Identificação das Informações (traduzido)  Dezembro 2016

    Primeiros Passos

    A atividade de auditoria interna usa uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de governança, de gerenciamento de risco e de controle. A abordagem sistemática e disciplinada exige que os auditores internos identifiquem, analisem, avaliem e documentem informações para dar sustentação aos resultados do trabalho de auditoria e às conclusões dos auditores internos. A Norma 2310 define os critérios das informações que devem ser identificadas.

    Ao planejar o trabalho de auditoria, os auditores internos começam reunindo informações, as quais incluem as evidências de auditoria. Uma revisão dos objetivos do trabalho de auditoria e do programa de trabalho de auditoria ajuda os auditores internos se prepararem para identificar informações suficientes, confiáveis, relevantes e úteis. O programa de trabalho indica os procedimentos que os auditores internos usam para conduzir o trabalho de auditoria.

    Pode ser útil que os auditores internos revisem as políticas da organização e as leis relativas à privacidade dos dados na jurisdição pertinente antes de começar o trabalho de auditoria. Também podem consultar os advogados da organização ou outros especialistas em assuntos pertinentes, para abordar quaisquer questões ou preocupações que possam surgir sobre o acesso a informações pessoais.

    O processo de identificação de informações é facilitado por uma comunicação aberta e colaborativa entre o auditor interno e o pessoal da organização, especialmente aqueles diretamente envolvidos na área ou processo sob revisão. Estabelecer e manter canais eficazes de comunicação é um aspecto importante da condução do trabalho de auditoria. A independência organizacional da atividade de auditoria interna também é essencial para uma comunicação aberta (consulte a Norma 1110 – Independência Organizacional).

    Considerações para Implantação

    Durante o planejamento do trabalho de auditoria, os auditores internos reúnem informações sobre o cliente de auditoria e documentam essas informações nos papéis de trabalho. O nível das análises e do detalhamento aplicado durante a fase de planejamento varia dependendo da atividade de auditoria interna e do trabalho de auditoria. A avaliação da adequação do desenho dos controles é frequentemente realizada como parte do planejamento do trabalho de auditoria, pois ajuda os auditores internos a identificar os controles-chave que serão testados para verificação de sua eficácia. Dessa forma, as evidências de auditoria podem resultar dos testes no desenho dos processos de controle.

    De acordo com a Norma 2310, a confiabilidade das informações de auditoria depende do uso de técnicas de trabalho de auditoria apropriadas. Algumas técnicas demoram mais ou exigem mais recursos do que outras, mas podem valer o investimento, pois permitem um maior nível de confiança. No geral, os procedimentos manuais simples de auditoria incluem:

    • Inspecionar evidências físicas, como os bens físicos da área sob revisão.
    • Examinar documentos tanto do cliente de auditoria quanto de fontes externas.
    • Reunir evidência testemunhal, através de entrevistas, pesquisas ou autoavaliações de risco e controle.
    • Conduzir um walk-through, para observar um processo em ação.
    • Examinar dados monitorados continuamente via tecnologia.

    Procedimentos mais complexos para analisar e avaliar informações são discutidos de forma mais detalhada na Orientação de Implantação 2320 – Análise e Avaliação.

    A suficiência e a confiabilidade das informações aumentam quando a informação é atualizada, corroborada e/ou é obtida diretamente por um auditor interno (p.ex., observando um processo ou revisando uma documentação) ou a partir de um terceiro independente. As informações também são mais confiáveis quando coletadas a partir de um sistema no qual os controles estão operando de forma eficaz.

    Talvez uma das características mais importantes de informações suficientes e confiáveis é que deveriam ser reunidas e documentadas de modo que uma pessoa prudente e bem-informada (p.ex., um supervisor de auditoria interna ou um avaliador externo) seria capaz de repetir os passos e os testes descritos nos papéis de trabalho, alcançar os mesmos resultados e logicamente chegar às mesmas conclusões que os auditores internos que conduziram o trabalho originalmente. Portanto, é importante que o executivo-chefe de auditoria (CAE) estabeleça um sistema de documentação, incluindo a terminologia preferencial e notações padronizadas (p.ex., símbolos e ticks) e que os auditores internos utilizem esse sistema de forma consistente. A documentação é discutida de forma mais detalhada na Orientação de Implantação 2330 – Documentação das Informações.

    Como os recursos para os trabalhos de auditoria não são ilimitados, é importante que os auditores internos identifiquem e priorizem as informações mais relevantes e úteis (isto é, aquelas que dêem sustentação ou credibilidade às observações e recomendações do trabalho de auditoria). Também é importante que os auditores internos avaliem de forma crítica todas as informações do trabalho de auditoria como um todo, em vez de confiar em exemplos específicos, visto que suas conclusões e recomendações são baseadas em evidências persuasivas, e não absolutas.

    Considerações para Demonstração de Conformidade

    A conformidade com a Norma 2310 pode ser evidenciada pelo programa de trabalho e pelos papéis de trabalho que dão suporte ao trabalho de auditoria, os quais podem ser armazenados eletronicamente ou fisicamente em papel. Os papéis de trabalho são normalmente organizados na mesma ordem do programa de trabalho e com referências de ligação ao programa de trabalho, independentemente de terem a forma de páginas individuais ou como passos de auditoria em um sistema computadorizado de auditoria. Como resultado da supervisão, as evidências que dão suporte aos objetivos são obtidas através da identificação de informações suficientes, confiáveis, relevantes e úteis.

    Para confirmar que as informações fornecidas foram úteis para a organização, pode-se realizar pesquisas junto ao pessoal da área sob revisão (após as comunicações do trabalho de auditoria terem sido concluídas). Além disso, o CAE monitora a disposição dos resultados do trabalho de auditoria comunicados à administração, o que pode oferecer evidência da utilidade das informações comunicadas.

True
  •    IG2320 – Análise e Avaliação (traduzido)  Dezembro 2016

    Primeiros Passos

    Ao planejar o trabalho de auditoria, os auditores internos devem desenvolver um programa de trabalho para alcançar os objetivos do trabalho de auditoria (consulte a Norma 2240 – Programa de Trabalho de Auditoria). Para trabalhos de avaliação, o programa de trabalho deve incluir procedimentos para identificar, analisar, avaliar e documentar as informações do trabalho de auditoria (Norma 2240.A1). A série 2300 das normas descreve implantação eficaz desses procedimentos planejados.

    A Norma 2320 exige que os auditores internos analisem e avaliem as informações obtidas durante o trabalho de auditoria antes de tirarem conclusões. Durante o planejamento do trabalho de auditoria e da criação do programa de trabalho, os auditores internos já podem ter concluído diversos passos do trabalho de auditoria e gerado informações importantes, incluindo uma matriz de risco e controle e uma avaliação da adequação do desenho dos controles. O programa de trabalho frequentemente trás referências de ligação com os papéis de trabalho que documentam o trabalho concluído, as informações produzidas e as decisões resultantes. Exemplos de papéis de trabalho típicos incluem: memorandos ou listas de verificação de planejamento, fluxogramas ou descrições narrativas dos principais processos, um mapa de riscos do processo e uma matriz de risco e controle que documente as relações entre riscos, controles, abordagem de teste, resumos de entrevistas, resultados, evidências e conclusões.

    Considerações para Implantação

    A transição do planejamento para a execução de um trabalho de auditoria pode não ser totalmente nítida, pois essas duas fases envolvem algum grau de análise e avaliação das informações de auditoria. Frequentemente, durante o processo de planejamento, os auditores internos identificam os controles e avaliam a adequação de seus desenhos, pois isso os ajuda a identificar os controles-chave que deverão passar por testes adicionais para a avaliação da eficácia dos mesmos.

    Conduzir o trabalho de auditoria geralmente envolve a realização dos testes indicados no programa de trabalho para reunir evidências sobre a eficácia operacional dos controles-chave. Com base na matriz de risco e controle e no programa de trabalho, os auditores internos provavelmente terão uma lista de procedimentos e testes específicos a serem conduzidos. Outros fatores geralmente estabelecidos no programa de trabalho incluem declarações da administração; objetivos, critérios, abordagem, procedimentos e população dos testes; e a metodologia de amostragem e o tamanho das amostras. No entanto, pode ser que ainda seja necessário determinar alguns detalhes nos estágios iniciais da execução do trabalho de auditoria.

    Em última análise, os auditores internos buscam chegar a conclusões a partir do resultado da execução do programa de trabalho (p.ex., uma conclusão quanto a se os controles são eficazes na mitigação dos riscos a níveis aceitáveis). Com informações suficientes, tanto sobre a adequação do desenho quanto à eficácia operacional dos controles, os auditores internos podem concluir se os controles existentes são adequados para ajudar a área ou processo sob revisão a alcançar seus objetivos.

    A extensão dos testes depende de se os resultados dos testes produziram evidências de auditoria suficientes com base nas quais os auditores internos possam fundamentar suas conclusões ou recomendações. Se os procedimentos de teste indicados no programa de trabalho não fornecerem informações suficientes para se chegar a conclusões e recomendações, pode ser necessário que os auditores internos ajustem o plano de testes e realizem testes adicionais. A Norma 2240.A1 exige que os ajustes no programa de trabalho sejam prontamente aprovados.

    Análises

    As abordagens de teste frequentemente incluem uma combinação de procedimentos manuais de auditoria e técnicas de auditoria auxiliadas por computador (CAATs); essas últimas incluem softwares de auditoria generalizada e programas especializados em testar a lógica de processamento e os controles de outros softwares e sistemas. Como as informações de teste descritas anteriormente, os procedimentos de teste do trabalho de auditoria normalmente são determinados durante o desenvolvimento do programa de trabalho de auditoria (Norma 2240).

    Os auditores internos podem testar toda a população ou uma amostra representativa das informações. Se optarem por selecionar uma amostra, são responsáveis por aplicar métodos para assegurar que a amostra selecionada represente a população como um todo e/ou o período de tempo para o qual os resultados serão generalizados. O uso de CAATs pode permitir a análise de uma população inteira de informações, em vez de apenas uma amostra. Mais detalhes sobre técnicas de amostragem e CAATs podem ser encontrados nas Orientações Suplementares do IIA.

    Procedimentos manuais de auditoria simples incluem reunir informações por meio de indagação (ex., entrevistas ou pesquisas), observação e inspeção. Outros procedimentos manuais de auditoria podem consumir mais tempo para serem conduzidos, mas geralmente oferecem um maior nível de confiança. Exemplos de procedimentos manuais de auditoria incluem:

    • Validação – Os auditores internos testam a validade das informações documentadas ou registradas, fazendo o caminho inverso até um recurso tangível ou registro previamente preparado.
    • Rastreamento – Os auditores internos testam se as informações estão completamente documentadas ou registradas, rastreando as informações a partir de um documento, registro ou recurso tangível até um documento preparado posteriormente.
    • Reexecução – Os auditores internos testam a precisão de um controle ao reexecutar a tarefa, o que pode fornecer evidência direta da eficácia operacional do controle.
    • Confirmação independente – Os auditores internos solicitam e obtêm verificação por escrito da precisão das informações a partir de um terceiro independente.

    Procedimentos analíticos são usados para comparar informações com as expectativas, com base em uma fonte independente (isto é, imparcial) e na premissa de que seja razoável esperar que certas relações entre as informações sejam constantes, na falta de evidência do contrário. Procedimentos analíticos também podem ser usados durante o planejamento do trabalho de auditoria (série 2200 das normas). Exemplos de procedimentos analíticos incluem:

    • Análise de índices, de tendências e de regressão.
    • Testes de razoabilidade.
    • Comparações entre períodos.
    • Projeções.
    • Benchmarking de informações em comparação com indústrias ou unidades organizacionais semelhantes.

    Os auditores internos podem fazer uma investigação mais profunda sobre quaisquer desvios significativos em relação às expectativas para determinar a causa e/ou razoabilidade dessa variação (p.ex., fraude, erro ou mudança nas condições). Resultados inexplicáveis podem indicar a necessidade de acompanhamento adicional e podem implicar a presença de um problema significativo que deveria ser comunicado à alta administração e ao conselho (consulte a Norma 2060 – Comunicações à Alta Administração e ao Conselho).

    Avaliações

    Os auditores internos aplicam sua experiência, lógica e exercem ceticismo profissional para avaliar as informações descobertas durante todo o trabalho de auditoria e chegar a conclusões lógicas. Os auditores internos geralmente abordam os trabalhos de auditoria com uma mentalidade objetiva e inquisitiva, estrategicamente buscando por informações que poderiam levá-los a cumprir os objetivos do trabalho de auditoria. A cada passo do processo do trabalho de auditoria, os auditores internos aplicam sua experiência e exercem ceticismo profissional para avaliar se as evidências são suficientes e apropriadas para formular conclusões e/ou recomendações. De acordo com a Norma 2330 – Documentação das Informações, os auditores internos devem documentar as informações que dão suporte, de forma lógica, aos resultados e às conclusões do trabalho de auditoria. No entanto, isso não significa que os auditores internos deveriam excluir informações relevantes que possam contradizer essas conclusões.

    Os auditores internos frequentemente realizam uma análise da causa raiz para identificar o motivo subjacente para a ocorrência de um erro, problema, oportunidade perdida ou caso de não conformidade. As análises de causa raiz permitem aos auditores internos agregar percepções que podem melhorar a eficácia e eficiência dos processos de governança, de gerenciamento de risco e de controle da organização. No entanto, às vezes essas análises também exigem recursos extensos, como tempo e conhecimento especializado. Portanto, ao conduzir uma análise da causa raiz, os auditores internos devem exercitar o zelo profissional devido ao considerar o esforço em relação aos potenciais benefícios (Norma 1220.A1).

    Embora questões complexas possam exigir análises mais rigorosas, em certos casos uma análise da causa raiz pode ser tão simples quanto perguntar “por quê?” repetidamente, na tentativa de identificar a causa raiz de uma variação. Por exemplo:

    O funcionário caiu. Por quê? Porque havia óleo no chão. Por quê? Porque uma peça apresentava um vazamento. Por quê? Porque a peça falha repetidamente. Por quê? Porque os padrões de qualidade dos fornecedores são insuficientes.

    Na maioria dos casos, uma causa raiz pode ser rastreada até uma decisão, ação ou falta de ação por parte de uma ou de várias pessoas. No entanto, determinar a verdadeira causa raiz pode ser difícil e subjetivo, mesmo depois que os auditores internos tenham feito uma análise de dados quantitativos e qualitativos. Em alguns casos, múltiplos erros com vários graus de influência podem estar combinados para formar a causa raiz de uma questão, ou a causa raiz poderia envolver um risco associado a uma questão mais ampla, como a cultura organizacional. Portanto, os auditores internos podem escolher incluir contribuições de diversos stakeholders internos e externos. Em alguns casos, os auditores internos podem oferecer várias possibilidades de causa raiz para a consideração da administração, com base em uma avaliação independente e objetiva de diversos cenários de como a causa raiz causa um problema. Quando o prazo ou o nível de habilidade necessário para concluir uma análise da causa raiz exceder a disponibilidade da atividade de auditoria interna, o executivo-chefe de auditoria pode recomendar que a administração enderece a questão subjacente e realize trabalhos adicionais para identificar a causa raiz.

    Considerações para Demonstração de Conformidade

    Os papéis de trabalho geralmente documentam informações suficientes sobre as análises, os resultados e as conclusões do trabalho de auditoria, permitindo que o leitor entenda o fundamento das conclusões. Os papéis de trabalho também normalmente descrevem a população, o processo e o método de amostragem dos testes que os auditores internos aplicaram. São feitas referências cruzadas entre os papéis de trabalho e o programa de trabalho. As revisões da supervisão do trabalho de auditoria (Norma 2340 – Supervisão do Trabalho de Auditoria) podem oferecer validações adicionais.

True
  •    IG2330 – Documentação das Informações (traduzido)  Dezembro 2016

    Primeiros Passos

    Os papéis de trabalho de auditoria são usados para documentar as informações geradas ao longo do processo do trabalho de auditoria, incluindo o planejamento; os testes, as análises e as avaliações dos dados; e a formulação dos resultados e das conclusões do trabalho de auditoria. Os papéis de trabalho podem ser mantidos nas formas de papel, eletrônica ou ambos. O uso de softwares de auditoria interna pode melhorar a consistência e a eficiência.

    O conteúdo, a organização e o formato dos papéis de trabalho geralmente variam de acordo com a organização e com a natureza do trabalho. No entanto, é importante que haja o máximo possível de consistência entre os papéis de trabalho da atividade de auditoria interna, à medida que essa consistência normalmente ajuda a facilitar o compartilhamento de informações dos trabalhos de auditoria e a coordenação das atividades de auditoria. Como o executivo-chefe de auditoria (CAE) é responsável por essa coordenação e por desenvolver as políticas e os procedimentos da atividade de auditoria interna (consulte a Norma 2050 – Coordenação e Confiança e a Norma 2040 – Políticas e Procedimentos), é racional que o CAE desenvolva diretrizes e procedimentos para a preparação de papéis de trabalho para vários tipos de trabalhos de auditoria. O uso de formatos ou modelos padronizados, embora flexíveis, de papéis de trabalho aumenta a eficiência e consistência do processo dos trabalhos de auditoria. Entre os elementos usualmente padronizados dos papéis de trabalho estão incluídos o layout geral, notações por “ticks” (isto é, símbolos usados para representar procedimentos específicos de auditoria), um sistema de referência cruzada com outros papéis de trabalho e especificação das informações que deveriam ser mantidas permanentemente ou transferidas para outros trabalhos de auditoria. Antes de documentar as informações do trabalho de auditoria, os auditores internos deveriam revisar e entender os procedimentos específicos relacionados à preparação de papéis de trabalho de sua organização, notações padronizadas e quaisquer modelos disponíveis ou softwares utilizados pela atividade de auditoria interna.

    Considerações para Implantação

    A Norma 2310 – Identificação das Informações declara que “Os auditores internos devem identificar informações suficientes, confiáveis, relevantes e úteis para alcançar os objetivos do trabalho de auditoria”. Essas características são igualmente importantes para serem consideradas pelos auditores internos ao documentar informações nos papéis de trabalho. Papéis de trabalho eficazes contêm informações que sejam suficientes e relevantes aos objetivos, observações, conclusões e recomendações do trabalho de auditoria, o que torna essas informações úteis para ajudar a organização a atingir suas metas.

    As informações documentadas em papéis de trabalho eficazes também são confiáveis, pois são obtidas através do uso de técnicas apropriadas de trabalho de auditoria, as quais são documentadas. Talvez ainda mais importante, os papéis de trabalho contêm informações suficientes e relevantes que permitiriam que uma pessoa prudente e bem-informada, como outro auditor interno ou um auditor externo, chegasse às mesmas conclusões que os auditores internos que conduziram o trabalho de auditoria. Portanto, a documentação dos papéis de trabalho é uma parte importante do processo sistemático e disciplinado do trabalho de auditoria, pois organiza a evidência de auditoria de forma a permitir a reexecução do trabalho e dá suporte às conclusões e resultados do trabalho de auditoria.

    Os papéis de trabalho podem incluir os seguintes elementos:

    • Índices ou números de referência.
    • Título ou cabeçalho que identifique a área ou processo sob revisão.
    • Data ou período do trabalho de auditoria.
    • Escopo do trabalho realizado.
    • Declaração do propósito para a obtenção e análise dos dados.
    • Fonte(s) dos dados tratados no papel de trabalho.
    • Descrição da população avaliada, incluindo tamanho da amostra e método de seleção.
    • Metodologia usada para a análise dos dados.
    • Detalhes dos testes conduzidos e das análises realizadas.
    • Conclusões que incluam referência cruzada ao papel de trabalho onde estão documentadas as observações de auditoria.
    • Proposta de trabalho de acompanhamento a ser realizado.
    • Nome do(s) auditor(es) interno(s) que conduziu(iram) o trabalho de auditoria.
    • Notação de revisão e nome do(s) auditor(es) interno(s) que revisou(aram) o trabalho.

    Geralmente, os papéis de trabalho são organizados de acordo com a estrutura desenvolvida no programa de trabalho e com referências cruzadas com informações relevantes. O resultado final é uma coleção completa da documentação (eletrônica, em papel ou ambos) dos procedimentos concluídos, das informações obtidas, das conclusões produzidas, das recomendações decorrentes e da base lógica para cada um dos passos. Essa documentação constitui a fonte primária de suporte à comunicação dos auditores internos com os stakeholders, incluindo a alta administração, o conselho e a administração da área ou processo sob revisão.

    A revisão de supervisão dos papéis de trabalho é normalmente usada para o desenvolvimento da equipe de auditoria interna (consulte a Norma 2340 – Supervisão do Trabalho de Auditoria). Uma revisão de supervisão também pode ser usada como base para avaliar a conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna e como parte do programa de garantia de qualidade e melhoria (consulte a Norma 1300 – Programa de Garantia de Qualidade e Melhoria).

    Considerações para Demonstração de Conformidade

    Papéis de trabalho devidamente preparados e concluídos, sejam armazenados em papel ou eletronicamente, demonstram a conformidade com a Norma 2330. As evidências de que as informações do trabalho de auditoria sejam suficientes, confiáveis, relevantes e úteis podem ser demonstradas na implantação eficaz, por parte da administração, das ações recomendadas. Ao comunicar os resultados do trabalho de auditoria às partes apropriadas, o CAE também pode receber feedback sobre a qualidade das informações do trabalho de auditoria documentadas. Da mesma forma, pesquisas realizadas após o término do trabalho de auditoria junto aos indivíduos que receberam as informações do trabalho de auditoria também podem evidenciar a conformidade.

True
  •    IG2340 – Supervisão do Trabalho da Auditoria (traduzido)  Dezembro 2016

    Primeiros Passos

    O executivo-chefe de auditoria (CAE) tem a responsabilidade geral pela supervisão dos trabalhos de auditoria para assegurar que os objetivos sejam alcançados, que a qualidade seja assegurada e que a equipe seja desenvolvida. Portanto, ao planejar a forma como o trabalho de auditoria será supervisionado, o CAE deveria revisar os objetivos do trabalho de auditoria e as políticas e os procedimentos de auditoria interna que dão suporte ao cumprimento da Norma 2340. Mesmo antes do início do processo de planejamento do trabalho de auditoria, o CAE usualmente já terá desenvolvido políticas e procedimentos de auditoria interna para endereçar a forma como os trabalhos de auditoria serão planejados, executados e supervisionados (consulte a Norma 2040 – Políticas e Procedimentos). Essas políticas e procedimentos podem especificar softwares ou modelos que os auditores internos deveriam usar para estabelecer formatos consistentes para os programas de trabalho ou para os papéis de trabalho. Da mesma forma, as políticas e os procedimentos podem endereçar as oportunidades de desenvolvimento da equipe, como uma política que exija reuniões após o término do trabalho de auditoria entre o(s) auditor(es) interno(s) que conduziu(iram) o trabalho e o CAE, ou o supervisor encarregado do trabalho de auditoria.

    As avaliações das habilidades da equipe de auditoria interna são contínuas, não apenas uma parte do processo do trabalho de auditoria. Essas avaliações de habilidades geralmente fornecem informações suficientes sobre as competências dos auditores internos para permitir que o CAE faça uma adequada alocação dos auditores internos para trabalhos de auditoria segundo os necessários conhecimentos, habilidades e outras competências. Da mesma forma, permitem que o CAE faça a alocação de um supervisor qualificado para o trabalho de auditoria.

    Considerações para Implantação

    A supervisão de um trabalho de auditoria é um processo que começa no planejamento do trabalho de auditoria e continua ao longo de todo o trabalho de auditoria. Durante a fase de planejamento, o supervisor do trabalho de auditoria é responsável pela aprovação do programa de trabalho de auditoria e pode assumir a responsabilidade por outros aspectos do processo de planejamento (consulte a Norma 2240.A1). O critério principal para a aprovação do programa de trabalho é se este foi projetado para alcançar os objetivos do trabalho de forma eficiente. Adicionalmente, o programa de trabalho deve incluir procedimentos para identificar, analisar, avaliar e documentar as informações do trabalho de auditoria. A Norma 2240.A1 estabelece que quaisquer ajustes ao programa de trabalho devem ser aprovados. A supervisão do trabalho de auditoria também envolve assegurar que o programa de trabalho seja cumprido e autorizar quaisquer alterações ao programa de trabalho.

    O supervisor do trabalho de auditoria normalmente mantém uma comunicação permanente com o(s) auditor(es) interno(s) designado(s) para conduzir o trabalho de auditoria e com a administração da área ou processo sob revisão. O supervisor do trabalho de auditoria usualmente revisa os papéis de trabalho de auditoria que descrevem os procedimentos de auditoria realizados, as informações identificadas e as observações e as conclusões preliminares produzidas ao longo do trabalho de auditoria. O supervisor avalia se as informações, os testes e os resultados são suficientes, confiáveis, relevantes e úteis para alcançar os objetivos do trabalho de auditoria e para dar suporte aos resultados e às conclusões do trabalho de auditoria, conforme exigido pela Norma 2330 – Documentação das Informações.

    A Norma 2420 – Qualidade das Comunicações exige que as comunicações do trabalho de auditoria sejam precisas, objetivas, claras, concisas, construtivas, completas e tempestivas. Os supervisores dos trabalhos de auditoria revisam as comunicações e os papéis de trabalho em busca desses elementos, pois os papéis de trabalho fornecem o principal suporte às comunicações do trabalho de auditoria.

    Ao longo do trabalho de auditoria, o supervisor do trabalho de auditoria e/ou o CAE se reúne com o(s) auditor(es) interno(s) designado(s) para conduzir o trabalho de auditoria para discutir o processo do trabalho de auditoria, o que oferece oportunidades para o treinamento, o desenvolvimento e a avaliação do(s) auditor(es) interno(s). Ao revisar as comunicações e os papéis de trabalho de auditoria, os quais documentam todos os aspectos do processo do trabalho de auditoria, os supervisores podem solicitar evidências adicionais ou esclarecimentos. Os auditores internos podem ter a oportunidade para melhorar seu trabalho ao responder aos questionamentos feitos pelo supervisor do trabalho de auditoria.

    Usualmente, as notas de revisão do supervisor são retiradas da documentação final assim que evidências adequadas tenham sido fornecidas ou que os papéis de trabalho tenham sido complementados com a inclusão de informações adicionais que enderecem as preocupações e/ou questionamentos do supervisor. Uma alternativa é que a atividade de auditoria interna mantenha um registro separado das preocupações e questionamentos do supervisor do trabalho de auditoria, das medidas adotadas para resolvê-los e dos resultados dessas medidas.

    O CAE é responsável por todos os trabalhos de auditoria interna e todos os julgamentos profissionais significativos feitos ao longo dos trabalhos de auditoria, seja pela própria atividade de auditoria interna ou por outros que estejam realizando o trabalho para a atividade de auditoria interna. Portanto, o CAE usualmente desenvolve políticas e procedimentos projetados para minimizar o risco de que os auditores internos formulem julgamentos ou tomem atitudes que sejam inconsistentes com o julgamento profissional do CAE e que, desta forma, poderiam afetar adversamente o trabalho de auditoria. Usualmente, o CAE estabelece uma forma de resolver quaisquer diferenças de julgamento profissional que possam surgir. Isto pode incluir discussões sobre os fatos pertinentes, realizar investigações ou pesquisas adicionais e documentar e concluir sobre os pontos de vista divergentes nos papéis de trabalho de auditoria. Se houver uma diferença de julgamento profissional sobre alguma questão envolvendo a ética, essa questão pode ser encaminhada aos indivíduos que tem a responsabilidade pela ética na organização.

    Considerações para Demonstração de Conformidade

    As evidências de conformidade com a Norma 2340 podem incluir os papéis de trabalho de auditoria, rubricados e datados pelo supervisor do trabalho de auditoria (se documentados manualmente) ou aprovados eletronicamente (se documentados em um software de papéis de trabalho eletrônicos). Outras evidências podem incluir uma lista de verificação preenchida referente a revisão dos papéis de trabalho de auditoria e/ou um memorando com comentários de revisão.

    A garantia da qualidade no contexto dos trabalhos de auditoria também pode ser demonstrada pela manutenção, por parte do CAE, de um programa de garantia de qualidade e melhoria e através dos resultados de pesquisas de feedback junto aos indivíduos diretamente envolvidos sobre suas experiências no trabalho de auditoria. Os auditores internos podem ter a oportunidade de oferecer feedback sobre o supervisor do trabalho de auditoria através de mecanismos de revisão por pares, como as pesquisas.

True
  •    IG2400 – Comunicação dos Resultados (traduzido)  Dezembro 2016

    Primeiros Passos

    A norma exige que os auditores internos comuniquem os resultados do trabalho de auditoria. Dessa forma, os auditores internos devem ter um claro entendimento dos requisitos de comunicação do trabalho de auditoria. O executivo-chefe de auditoria (CAE) também deve entender as expectativas do conselho e da alta administração quanto à comunicação relacionada aos resultados dos trabalhos de auditoria.

    Os auditores internos deveriam entender as políticas e os procedimentos do manual de auditoria – ou qualquer outra expectativa dos stakeholders – e o uso de quaisquer modelos padronizados para assegurar a consistência ao desenvolverem as observações e as conclusões. A Norma 2040 – Políticas e Procedimentos e a respectiva Orientação de Implantação oferecem informações adicionais sobre as responsabilidades do CAE relacionadas às políticas e aos procedimentos.

    Considerações para Implantação

    Normalmente, o manual de políticas e procedimentos de auditoria interna estabelece o processo para documentar aquilo que dará suporte a uma observação/conclusão relacionada ao trabalho de auditoria. A atividade de auditoria interna pode desenvolver um plano de comunicação do trabalho de auditoria para oferecer orientações detalhadas sobre a forma como os auditores internos comunicarão as observações ao longo do trabalho de auditoria, bem como os resultados finais do trabalho de auditoria.

    Ao comunicar os resultados, os auditores internos consideram o plano de comunicação, incluindo os critérios para as comunicações (Norma 2410), a qualidade das comunicações (Norma 2420) e a disseminação dos resultados (Norma 2440). Após verificar se essas normas de comunicação foram observadas, o auditor interno confirma a forma como os resultados do trabalho de auditoria serão comunicados. Os papéis de trabalho indicarão quais resultados serão comunicados verbalmente e quais serão comunicados por escrito.

    Considerações para Demonstração de Conformidade

    Os documentos que podem demonstrar a conformidade com a Norma 2400 incluem um manual de políticas e procedimentos de auditoria interna que contenha:

    • Políticas relativas à comunicação de não conformidades com leis, regulamentos ou outros temas.
    • Políticas para a comunicação de informações sensíveis, dentro e fora da cadeia de comando.
    • Políticas para a comunicação para fora da organização.

    Outros documentos poderiam incluir um plano de comunicação, registros de observações e de comunicações sucessivas a hierarquias superiores, documentos de comunicações intermediárias e preliminares, documentos da comunicação final do trabalho de auditoria e documentos de comunicações do monitoramento e do acompanhamento.

True
  •    IG2410 – Critérios para a Comunicação (traduzido)  Dezembro 2016

    Primeiros Passos

    As comunicações do trabalho de auditoria representam um componente crucial da forma como a atividade de auditoria interna demonstra valor. O formato e o conteúdo dessas comunicações podem variar dependendo da organização ou do tipo de trabalho de auditoria.

    A comunicação para os stakeholders requer um planejamento cuidadoso. É útil desenvolver um plano de comunicação dos trabalhos de auditoria e discutir e acordar previamente esse plano com os stakeholders, se possível.

    Para assegurar que os critérios de comunicação sejam observados, a atividade de auditoria interna deve estar ciente da Norma 2200 – Planejamento do Trabalho de Auditoria, da Norma 2210 – Objetivos do Trabalho de Auditoria, da Norma 2220 – Escopo do Trabalho de Auditoria, da Norma 2300 – Execução do Trabalho de Auditoria, da Norma 2310 – Identificação das Informações, da Norma 2320 – Análise e Avaliação, da Norma 2330 – Documentação das Informações e da Norma 2340 – Supervisão do Trabalho de Auditoria. O escopo e os objetivos do trabalho de auditoria são normalmente comunicados:

    • Durante o planejamento do trabalho de auditoria.
    • Durante o trabalho de auditoria, se houver desvios em relação ao escopo e aos objetivos planejados.
    • Na comunicação final do trabalho de auditoria.

    Uma supervisão adequada assegura que o escopo e os objetivos do trabalho de auditoria sejam alcançados e que existam controles apropriados relacionados à qualidade das comunicações dos resultados.

    Considerações para Implantação

    É importante considerar o plano de comunicação de um trabalho de auditoria no início, ou próximo ao início, do trabalho de auditoria. Normalmente, o plano aborda por que, como, a quem e o que os auditores internos irão comunicar. Por exemplo, os auditores internos irão comunicar os objetivos, o escopo, os resultados intermediários e os resultados finais do trabalho de auditoria. O plano também pode especificar o uso de um formato específico de comunicação. (O processo de decisão quanto ao que deveria e não deveria ser comunicado formalmente será documentado nos papéis de trabalho de auditoria). O plano de comunicação normalmente é discutido com os stakeholders relevantes, como os responsáveis pela área sob revisão, antes de qualquer trabalho de campo. O plano pode ser atualizado periodicamente, se as circunstâncias demandarem alterações.

    Ao planejar a comunicação final do trabalho de auditoria, os auditores internos considerarão quaisquer discussões iniciais e comunicações intermediárias que possam ter sido feitas à administração da área sob revisão. Esses auditores internos revisarão cuidadosamente todos os papéis de trabalho relevantes, inclusive os sumários, e considerarão diversos fatores adicionais, incluindo:

    • Expectativas dos stakeholders.
    • Objetivos do trabalho de auditoria.
    • Metas estratégicas da área sob revisão.
    • Escopo do trabalho de auditoria e quaisquer limitações de escopo.
    • Resultados do trabalho de auditoria.

    Os auditores internos também deveriam considerar o requisito da Norma 2410.A1 quanto a incluir na comunicação final do trabalho de auditoria as conclusões aplicáveis, assim como as recomendações e/ou planos de ação aplicáveis. As opiniões no contexto do trabalho de auditoria podem incluir uma classificação, conclusão ou outra descrição dos resultados e de sua significância, conforme explicado mais detalhadamente na Interpretação da Norma 2410.A1.

    A comunicação com a administração é um processo contínuo ao longo do trabalho de auditoria. A atividade de auditoria interna agrega valor ao desenvolver comunicações (tanto verbais quanto escritas) que conduzam a mudanças positivas na organização. Ao comunicar os resultados do trabalho de auditoria, os auditores internos são encorajados a reconhecer o desempenho satisfatório e incluir quaisquer declarações sobre as limitações de distribuição e/ou uso dos resultados, conforme comunicado na Norma 2410.A2 e na Norma 2410.A3.

    Considerações para Demonstração de Conformidade

    Os materiais que podem demonstrar a conformidade com a Norma 2410 incluem políticas e procedimentos escritos da atividade de auditoria interna que enderecem a consistência do formato do relatório do trabalho de auditoria e quaisquer materiais — como registros, memorandos internos ou correspondência por e-mail — que demonstrem a forma como o plano de comunicação final foi desenvolvido. A conformidade pode ser demonstrada por meio da aderência ao plano de comunicação ou evidenciada por um relatório escrito (com um conteúdo apropriado), pelos papéis de trabalho e/ou por atas de reuniões nas quais questões e resultados foram discutidos.

    Uma carta-proposta ou relatório da atividade da auditoria interna que aborde as reuniões iniciais com o cliente podem demonstrar a conformidade, à medida que estes usualmente descrevem o programa de trabalho de auditoria, os objetivos e o escopo do trabalho de auditoria, bem como os parâmetros previamente acordados para a comunicação final. Um relatório final que inclua os objetivos, o escopo e os resultados do trabalho de auditoria, bem como as conclusões aplicáveis e com recomendações e/ou planos de ação, também pode demonstrar a conformidade. O relatório final pode reconhecer o desempenho satisfatório e explicitar quaisquer limitações relacionadas à comunicação ou uso dos resultados às partes externas à organização.

True
  •    IG2420 – Qualidade das Comunicações (traduzido)  Dezembro 2016

    Primeiros Passos

    As comunicações ocorrem ao longo do trabalho de auditoria. Dessa forma, a Norma 2420 é aplicável em todos os estágios do trabalho de auditoria, incluindo o planejamento e a execução do trabalho de auditoria, a comunicação dos resultados, o monitoramento do progresso e a comunicação da aceitação do risco. Visto que comunicações de alta qualidade do trabalho de auditoria são cruciais, os auditores internos prestam muita atenção aos detalhes ao redigir as comunicações e consideram as características das comunicações de qualidade descritas na Interpretação da Norma 2420.

    Para assegurar a conformidade com a Norma 2420, os auditores internos deveriam entender as expectativas da organização quanto à comunicação, incluindo as expectativas dos stakeholders em relação às datas limites para essas comunicações. Essas questões são geralmente endereçadas em um plano de comunicação preestabelecido, conforme explicado na Orientação de Implantação 2410 – Critérios para as Comunicações.

    Os auditores internos podem revisar as políticas e os procedimentos da atividade de auditoria interna, os quais, geralmente, estão compilados em um manual de auditoria interna, para identificar quaisquer modelos que deveriam ser usados; os modelos geralmente ajudam a assegurar uma comunicação adequada e consistente durante todas as fases do trabalho de auditoria. Revisar as orientações do estilo de redação usado pela organização antes de redigir a comunicação final pode ajudar os auditores internos a apresentar uma comunicação final alinhada ao estilo de redação aceito pela organização.

    Considerações para Implantação

    A Interpretação da Norma 2420 define as características específicas de uma comunicação de qualidade: precisa, objetiva, clara, concisa, construtiva, completa e tempestiva. Os auditores internos podem considerar as seguintes informações adicionais relacionadas a cada característica:

    • Precisa – A Interpretação destaca que comunicações precisas são livres de erros e distorções e são fiéis aos fatos subjacentes. Para manter a precisão, é importante usar uma redação criteriosa e suportada pela evidência reunida durante o trabalho de auditoria. Adicionalmente, de acordo com o Código de Ética do IIA, os auditores internos são obrigados a “divulgar todos os fatos materiais de seu conhecimento que, caso não sejam divulgados, podem distorcer o relatório sobre as atividades objeto da revisão.” Se ocorrer um erro nas comunicações, o executivo-chefe de auditoria (CAE) deve comunicar as informações corrigidas, conforme descrito na Norma 2421 – Erros e Omissões.
    • Objetiva – Para assegurar a objetividade nas comunicações, os auditores internos utilizam uma linguagem imparcial e dão foco às deficiências e à execução dos processos. A objetividade começa com uma atitude mental imparcial que os auditores internos deveriam possuir ao realizar o trabalho. Objetividade é um princípio ético descrito no Código de Ética do IIA e na Norma 1120 – Objetividade Individual. Os Princípios Fundamentais para a Prática Profissional de Auditoria Interna também destacam a importância da objetividade e especificam que para que a atividade de auditoria interna seja considerada eficaz, os auditores internos e a atividade de auditoria interna deveriam ser objetivos e livres de influências indevidas (independentes).
    • Clara – A clareza nas comunicações é aumentada quando os auditores internos utilizam uma linguagem facilmente entendida pelo público-alvo e que seja consistente com a terminologia usada no segmento de negócio e pela organização. Além disso, comunicações claras evitam linguagem técnica desnecessária. A Interpretação da Norma 2420 também pontua que as comunicações claras são lógicas, uma característica marcante da abordagem sistemática, disciplinada e baseada no risco do trabalho de auditoria interna. Dessa forma, a clareza é aumentada quando os auditores internos comunicam observações e descobertas importantes e sustentam de forma lógica as recomendações e conclusões de um trabalho de auditoria específico.
    • Concisa – Os auditores internos asseguram que as comunicações são adequadamente concisas ao evitar redundâncias e excluir informações desnecessárias, insignificantes ou não relacionadas ao trabalho de auditoria.
    • Construtiva – É útil que os auditores internos utilizem um tom construtivo durante toda a comunicação que reflita a severidade das observações. As comunicações construtivas permitem um processo colaborativo para determinar soluções que facilitem uma alteração positiva para a área ou processo que seja o objeto do trabalho de auditoria e/ou para a organização. Por fim, conforme indicado na Definição da Auditoria Interna, os auditores internos buscam auxiliar a organização a concretizar seus objetivos.
    • Completa – Para assegurar que as comunicações sejam completas, é útil que os auditores internos considerem quaisquer informações essenciais para o público-alvo. As comunicações completas escritas geralmente permitem que o leitor chegue às mesmas conclusões que a atividade de auditoria interna.
    • Tempestiva – Finalmente, é importante que os auditores internos apresentem todas as comunicações até as datas limites estabelecidas durante a fase de planejamento. O prazo limite mais oportuno pode ser diferente para cada organização. Para determinar o prazo limite mais conveniente, os auditores internos geralmente buscam referências e conduzem outras pesquisas relativas à área ou processo que seja o objeto do trabalho de auditoria. Adicionalmente, o CAE ou o auditor interno pode estabelecer indicadores-chave de desempenho que avaliem a pontualidade.

    Considerações para Demonstração de Conformidade

    Os materiais que podem demonstrar a conformidade com a Norma 2420 incluem os documentos da comunicação final aprovados pelo executivo-chefe de auditoria, assim como a respectiva documentação suporte. Os auditores internos deveriam ser capazes de mostrar que esses documentos estão alinhados com o plano de comunicação final. Nos casos de comunicações que ocorrem sem um relatório escrito, as atas de reuniões podem fornecer evidência da conformidade.

True
  •    IG2421 – Erros e Omissões (traduzido)  Dezembro 2016

    Primeiros Passos

    O executivo-chefe de auditoria (CAE) deveria entender as expectativas do conselho e da alta administração sobre quais erros ou omissões seriam considerados significativos. O termo significância é definido no glossário das Normas Internacionais para a Prática Profissional de Auditoria Interna como “a importância relativa de um assunto dentro do contexto no qual está sendo considerado, incluindo fatores quantitativos e qualitativos, tais como: magnitude, natureza, efeito, relevância e impacto. O julgamento profissional auxilia o auditor interno ao avaliar a significância de assuntos dentro do contexto dos objetivos pertinentes.”

    Considerações para Implantação

    Ao tomar conhecimento de um erro ou omissão na comunicação final do trabalho de auditoria, o CAE poderá considerar os seguintes questionamentos para ajudar a determinar sua significância:

    • O erro ou a omissão mudaria os resultados do trabalho de auditoria?
    • O erro ou a omissão mudaria a opinião de alguém sobre a severidade das descobertas?
    • O erro ou a omissão mudaria uma conclusão?
    • O erro ou a omissão mudaria uma opinião?
    • O erro ou a omissão mudaria uma ação recomendada?

    Se a resposta para qualquer um dos questionamentos acima for “sim”, o CAE pode julgar que o erro ou a omissão é significativo. O CAE geralmente busca encontrar a causa do erro ou da omissão para impedir a ocorrência de uma situação semelhante no futuro e para determinar se a causa precisa ser incluída na comunicação à alta administração e ao conselho. O CAE, então, determina o método de comunicação mais apropriado para assegurar que a informação correta seja recebida por todas as partes que receberam a comunicação original. A comunicação eficaz sobre erros e omissões e suas causas tem o objetivo de proteger a integridade e o status da atividade de auditoria interna.

    Considerações para Demonstração de Conformidade

    A conformidade com a Norma 2421 pode ser demonstrada pela existência de políticas e de procedimentos de auditoria interna que abordem a forma como lidar com erros e omissões. Correspondências por e-mail e outros registros podem documentar a forma como o CAE avaliou a significância e a causa do erro ou da omissão.

    Materiais que fornecem evidência como a agenda do CAE, atas de reuniões do conselho e de outras reuniões nas quais um erro ou omissão foi discutido, memorandos internos e correspondências por e-mail poderão mostrar as informações específicas que foram comunicadas, além de como e quando a comunicação ocorreu. Por fim, os documentos das comunicações finais original e corrigida evidenciam a conformidade.

True
  •    IG2430 – Uso de “Conduzido em Conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna” (traduzido)  Dezembro 2016

    Primeiros Passos

    Para atender à Norma 2430, o executivo-chefe de auditoria (CAE) deveria entender as exigências relacionadas ao desenvolvimento e à manutenção de um programa de garantia de qualidade e melhoria (QAIP) (série 1300 das normas) e estar familiarizado com os resultados das avaliações internas e externas mais recentes da atividade de auditoria interna. O CAE também pode considerar as expectativas do conselho quanto ao uso da declaração “conduzido em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna” nos relatórios dos trabalhos de auditoria.

    Considerações para Implantação

    Quando uma atividade de auditoria interna emite relatórios sobre um trabalho de auditoria não é obrigatório indicar que o trabalho foi conduzido em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas). No entanto, o uso dessa declaração promove a credibilidade da atividade de auditoria interna. A Norma 2430 proíbe o uso dessa declaração, a menos que os resultados do QAIP da atividade de auditoria interna incluindo as avaliações internas e externas mais recentes corroborem a conclusão de que a atividade de auditoria interna esteja, de forma geral, em conformidade com as Normas. A Orientação de Implantação 1300 Programa de Garantia de Qualidade e Melhoria fornece orientações adicionais sobre os requisitos do QAIP.

    Se uma atividade de auditoria interna não estiver em conformidade com as Normas, a mesma pode optar por declarar que o trabalho de auditoria não foi conduzido em conformidade com as Normas. Contudo, essa declaração não é obrigatória.

    Considerações para Demonstração de Conformidade

    Se os relatórios dos trabalhos de auditoria interna incluírem a declaração “conduzido em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna”, os resultados do QAIP geralmente serão suficientes para demonstrar a conformidade com a Norma 2340. A decisão da atividade de auditoria interna de usar ou não essa declaração nas comunicações finais pode ser documentada em um modelo de relatório de trabalho de auditoria ou em outros registros das comunicações dos trabalhos de auditoria e/ou nas políticas e nos procedimentos de auditoria interna. Uma revisão abrangente desses documentos indicaria se a declaração foi usada de forma apropriada. Em contrapartida, a atividade de auditoria interna pode optar por não incluir uma declaração de conformidade em quaisquer relatórios dos trabalhos de auditoria, sendo que a documentação dessa decisão também será aceitável como evidência de conformidade com a Norma 2430.

True
  •    IG2431 – Declaração de Não Conformidade do Trabalho da Auditoria (traduzido)  Dezembro 2016

    Primeiros Passos

    A Norma 2431 exige a divulgação quando os resultados de um trabalho de auditoria específico são impactados pela não conformidade com o Código de Ética ou com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas). Dessa forma, os auditores internos deveriam ter um entendimento do Código de Ética do IIA e das Normas. Também deveriam entender as potenciais áreas de não conformidade no contexto dos trabalhos de auditoria e as expectativas da alta administração e do conselho quanto à divulgação de quaisquer questões de não conformidade.

    O Código de Ética do IIA compreende princípios amplos relevantes para a profissão e a prática de auditoria interna e regras de conduta mais específicas, as quais descrevem o comportamento esperado tanto das entidades como dos indivíduos que realizam serviços de auditoria interna em conformidade com a Definição de Auditoria Interna (incluindo membros do IIA, os que possuem certificações do IIA e os candidatos às certificações). A finalidade do Código de Ética é promover uma cultura ética na profissão global de auditoria interna.

    Conforme descrito na Introdução das Normas, “Os propósitos das Normas são:

    1. Orientar a aderência aos elementos mandatórios da Estrutura Internacional de Práticas Profissionais (IPPF).
    2. Fornecer um framewok para a execução e a promoção de um amplo espectro de serviços de auditoria interna de valor agregado.
    3. Estabelecer as bases para a avaliação do desempenho da auditoria interna.
    4. Promover a melhoria dos processos e operações das organizações.

    As Normas formam um conjunto de requisitos mandatórios, baseados em princípios, que compreende:

    • Declarações dos requisitos fundamentais para a prática profissional de auditoria interna e para a avaliação da eficácia do desempenho, que são internacionalmente aplicáveis nos níveis organizacional e individual.
    • Interpretações que esclarecem termos ou conceitos contidos nas Normas.”

    Considerações para Implantação

    Em determinados momentos, certas circunstâncias podem impedir os auditores internos de cumprir o Código de Ética ou as Normas durante a realização de um trabalho de auditoria. Geralmente, essas circunstâncias constituem casos nos quais a independência e/ou a objetividade de um auditor interno são prejudicadas, ou quando um auditor interno se depara com dados não confiáveis, falta de informações, limitação de escopo ou outras restrições. Nesses casos, o auditor interno deveria identificar quaisquer princípios, regras de conduta ou normas em relação aos quais a plena conformidade não foi alcançada e determinar se a não conformidade impacta os resultados do trabalho de auditoria. Se a não conformidade afetar os resultados, as comunicações do trabalho de auditoria devem descrever o motivo da não conformidade e como os resultados e as comunicações foram afetados(as).

    Pode ser útil ponderar diversos cenários nos quais a Norma 2431 seria aplicável:

    • Em uma situação na qual se acredite que um prejuízo à objetividade ou à independência de um auditor interno tenha impacto sobre os resultados do trabalho de auditoria, a comunicação dos resultados deve divulgar a não conformidade com a Norma 1120 Objetividade Individual e com o princípio da objetividade do Código de Ética.
    • Em uma situação na qual a atividade de auditoria interna realizou um trabalho de auditoria para o qual não possuía, coletivamente, o conhecimento, as habilidades e a experiência necessários para cumprir suas responsabilidades, a comunicação dos resultados deve divulgar a não conformidade com a Norma 1210 Proficiência e com o princípio da competência do Código de Ética.
    • Se a atividade de auditoria interna encontrar quaisquer restrições de acesso a registros, pessoas ou instalações, e essas restrições impactarem o escopo do trabalho de auditoria, a comunicação dos resultados deve divulgar a não conformidade com a Norma 2220.A1.
    • Se os recursos da auditoria interna forem insuficientes para alcançar os objetivos do trabalho de auditoria, a comunicação deve divulgar a não conformidade com a Norma 2230 Alocação de Recursos ao Trabalho de Auditoria.

    Divulgações dessa natureza são geralmente registradas nos papéis de trabalho de auditoria. É importante que o CAE considere se as situações de não conformidade afetam a capacidade da atividade de auditoria interna de cumprir suas responsabilidades profissionais e/ou atender às expectativas dos stakeholders. Então, o CAE determinaria como e se deveria comunicar essas questões à alta administração e ao conselho. Geralmente, essas divulgações são feitas por meio de uma discussão com a alta administração e são comunicadas ao conselho durante uma reunião. O CAE pode discutir a não conformidade antecipadamente durante uma reunião privada com o conselho, em uma reunião particular com o presidente do conselho ou por qualquer outro método apropriado. Para assegurar uma divulgação completa, o CAE também deveria considerar se a não conformidade deveria ser incluída na comunicação final do trabalho de auditoria.

    Considerações para Demonstração de Conformidade

    Os materiais que podem demonstrar a conformidade com a Norma 2431 incluem:

    • As políticas e procedimentos escritos do departamento que tratam a divulgação nos papéis de trabalho de auditoria de não conformidades com o Código de Ética e/ou com as Normas.
    • Os memorandos, e-mails ou outras comunicações escritas que identifiquem os princípios ou as regras de conduta do Código de Ética e as normas com relação às quais a conformidade não foi alcançada; que expliquem o(s) motivo(s) para a não conformidade; e que descrevam o impacto da não conformidade no trabalho de auditoria e nos resultados comunicados do trabalho de auditoria.
    • As atas das reuniões ou outros registros que documentem a divulgação verbal da não conformidade, o(s) motivo(s) para a não conformidade e o impacto da não conformidade no trabalho de auditoria e nos resultados comunicados do trabalho de auditoria.
    • As evidências de divulgação na comunicação final do trabalho de auditoria.
True
  •    IG2440 – Divulgação dos Resultados (traduzido)  Dezembro 2016

    Primeiros Passos

    A Norma 2440 estabelece a responsabilidade do executivo-chefe de auditoria (CAE) pela comunicação final dos resultados a todas as partes apropriadas após o término de um trabalho de auditoria. Ao se preparar para implantar essa norma, o CAE pode considerar útil revisar os requisitos relacionados a cada elemento descrito na Interpretação.

    O CAE geralmente terá um entendimento de quaisquer protocolos de comunicação da organização, assim como de seu organograma. O CAE deveria também considerar as expectativas da alta administração e do conselho em relação às comunicações dos trabalhos de auditoria.

    O estatuto da auditoria e os protocolos de comunicação da organização podem ajudar o CAE a determinar o processo para a divulgação para fora da organização. As considerações incluiriam fatores como a quais destinatários endereçar ou enviar cópias da comunicação final e quando notificar os reguladores que supervisionam o segmento de negócio da organização.

    As orientações de implantação da Norma 2400 Comunicação dos Resultados, da Norma 2410 Critérios para as Comunicações e da Norma 2420 Qualidade das Comunicações fornecem orientações adicionais sobre a comunicação dos resultados dos trabalhos de auditoria.

    Considerações para Implantação

    Por meio de discussões com o conselho e a revisão de quaisquer protocolos de comunicação da organização, o CAE determina quem receberá os resultados dos trabalhos de auditoria e como será o formato dessas comunicações. Antes de comunicar os resultados, pode ser vantajoso que o CAE revise a minuta da(s) comunicação(ões) dos trabalhos de auditoria.

    Ao determinar os destinatários do relatório, o CAE pode levar em consideração se há quaisquer necessidades relacionadas aos negócios que determinam as partes que devem receber os resultados, assim como se alguma parte tem alguma responsabilidade pelo gerenciamento dos planos de ação. Também se pode considerar os protocolos da organização que asseguram que indivíduos de níveis apropriados de responsabilidade recebam uma cópia do relatório. A alta administração e o conselho podem ser incluídos na distribuição, de acordo com suas expectativas. Para assegurar a consistência, a atividade de auditoria interna pode desenvolver uma lista de distribuição padronizada das partes que receberão todas as comunicações, assim como os níveis da administração que deveriam ser incluídos em uma lista de distribuição dos resultados de trabalhos de auditoria relacionados à suas respectivas áreas de responsabilidade. No entanto, o CAE pode expandir a lista de distribuição quando necessário, o que geralmente incluirá a alta administração da organização.

    Os resultados podem ser comunicados verbalmente ou por escrito e o formato pode ser diferente dependendo do destinatário. O CAE determina qual formato usar para cada destinatário. Por exemplo, alguns destinatários podem receber um sumário executivo, enquanto outros receberão um relatório completo. Pode ser apropriado disponibilizar os resultados em uma reunião na qual haja uma apresentação e a oportunidade para discussão. Independentemente do método de comunicação, o CAE deveria determinar quem entregará e quem receberá os resultados.

    A(s) comunicação(ões) final(ais) requer(em) a aprovação do CAE ou de alguém designado pelo CAE. Em uma atividade de auditoria interna de menor porte, o CAE pode preparar pessoalmente a(s) comunicação(ões) finai(is) dos trabalhos de auditoria. No entanto, em organizações maiores, o CAE receberá e revisará a(s) comunicação(ões) e determinará o grau de confiança a depositar no auditor interno que elaborou o relatório antes de dar a sua aprovação final.

    O CAE pode entregar cópias eletrônicas e/ou impressas das comunicações finais dos trabalhos de auditoria às partes internas e externas apropriadas, conforme acordado previamente na fase de planejamento do trabalho de auditoria e/ou conforme requerido pelo estatuto da auditoria e pelos protocolos de comunicação. Geralmente, os destinatários são as partes que podem atuar sobre os resultados do trabalho de auditoria.

    Manter uma lista completa dos destinatários dos resultados dos trabalhos de auditoria interna é importante para o caso de erro ou omissão serem identificados após a disseminação dos resultados. A Norma 2421 trata da responsabilidade do CAE quanto à comunicação de erro ou omissão.

    Para assegurar a conformidade com as obrigações legais e com os protocolos da organização, é importante que o CAE tenha muito cuidado e consideração ao preparar a disseminação dos resultados para fora da organização. Além disso, o CAE deveria considerar as consequências da comunicação de informações sensíveis, à medida que essas informações podem impactar o valor de mercado, a reputação, os lucros ou a competitividade da organização. O CAE pode considerar útil consultar as áreas jurídicas e de conformidade da organização.

    É importante observar que o CAE pode delegar a autoridade para implantar a Norma 2440, mas a responsabilidade não pode ser delegada. Quando a autoridade para implantar a Norma 2440 for delegada, o CAE manterá a responsabilidade e obrigação de prestar contas.

    Considerações para Demonstração de Conformidade

    O CAE pode demonstrar a conformidade com a Norma 2440 ao verificar o nível de revisão e ao assegurar a aprovação final de todos os papéis de trabalho antes da emissão da(s) comunicação(ões) final(ais). Além disso, as cópias arquivadas de qualquer comunicação escrita dos resultados pela administração, pelo comitê de auditoria, pelo CEO, pelas partes externas ou por outros podem demonstrar a conformidade. A evidência da comunicação verbal de resultados pode ser mantida por meio de atas de reunião, apresentações e memorandos que identifiquem quem estava presente durante comunicação. É importante manter registros que comprovem a aprovação pelo CAE da(s) comunicação(ões) final(ais) e a entrega dos resultados do trabalho de auditoria aos destinatários identificados no plano de comunicação.

True
  •    IG2450 – Opiniões Gerais (traduzido)  Dezembro 2016

    Primeiros Passos

    Uma opinião geral é uma classificação, conclusão e/ou outra descrição dos resultados fornecidos pelo executivo-chefe de auditoria (CAE) ao endereçar de forma abrangente os processos de governança, de gerenciamento de risco e/ou de controle da organização. Uma opinião geral é o julgamento profissional do CAE baseado nos resultados de diversos trabalhos de auditoria individuais e outras atividades similares tais como as revisões de outros provedores de avaliação referente a um intervalo de tempo específico.

    Opiniões gerais são diferentes de conclusões, à medida que uma conclusão é emitida a partir de um trabalho de auditoria e uma opinião geral é emitida com base em diversos trabalhos de auditoria. Além disso, uma conclusão faz parte das comunicações de um trabalho de auditoria, enquanto que uma opinião geral é comunicada separadamente das comunicações dos trabalhos de auditoria.

    A Interpretação da Norma 2310 Identificação das Informações define os termos suficiente, confiável, relevante e útil:

    • Informação suficiente é factual, adequada e convincente, de forma que uma pessoa prudente e informada chegaria às mesmas conclusões que o auditor.
    • Informação confiável é a melhor informação possível de ser obtida através da utilização de técnicas de auditoria apropriadas.
    • Informação relevante dá sustentação às observações e recomendações do trabalho de auditoria e é consistente com os objetivos do trabalho de auditoria.
    • Informação útil auxilia a organização a alcançar as suas metas.

    A Interpretação da Norma 2450 indica os componentes necessários para comunicar uma opinião geral; o CAE deveria entender todos esses componentes antes de emitir uma opinião geral. Adicionalmente, antes de emitir uma opinião geral, o CAE deveria ter um bom entendimento das estratégias, dos objetivos e dos riscos da organização, assim como sobre as expectativas do conselho e da alta administração.

    Considerações para Implantação

    O CAE começa considerando como uma opinião se relacionará às estratégias, aos objetivos e aos riscos da organização. O CAE também considera se a opinião solucionará um problema, agregará valor e/ou fornecerá à administração ou a outros stakeholders convicção em relação a uma tendência ou condição geral da organização. Discussões com a alta administração, com o conselho e com outros stakeholders relevantes podem ajudar o CAE a entender as expectativas quanto ao escopo da opinião geral.

    O CAE então determina o escopo da opinião geral a ser fornecida, incluindo o período de tempo ao qual a opinião irá se referir, e considera se há quaisquer limitações de escopo. Após obter essas informações, o CAE pode determinar quais trabalhos de auditoria seriam relevantes para a opinião geral. Todos os trabalhos de auditoria ou projetos relacionados são considerados, incluindo os realizados por outros provedores internos e externos de avaliação. Entre os provedores internos de avaliação se incluem outras funções que compreendem a segunda linha de defesa da organização. Entre os provedores externos de serviços pode-se incluir o trabalho de auditores externos ou de reguladores. Para cada projeto de um provedor interno ou externo de avaliação considerado, o CAE precisará avaliar o projeto para determinar o nível de confiança que se pode depositar no trabalho do projeto. Caso decida se embasar no trabalho de outro provedor de avaliação, o CAE permanecerá responsável pela opinião geral que tenha produzido como resultado dessa confiança depositada.

    Por exemplo, uma opinião geral pode ser baseada em conclusões agregadas de trabalhos de auditoria nos níveis local, regional e nacional da organização, juntamente com os resultados reportados por entidades externas, tais como terceiros independentes ou reguladores. A declaração de escopo fornece o contexto para a opinião geral ao especificar o período de tempo, as atividades, as limitações e outras variáveis que descrevem as fronteiras da opinião geral.

    Ao revisar as conclusões dos trabalhos de auditoria e outras comunicações nas quais a opinião geral será baseada, o CAE assegura que essas conclusões e os outros resultados comunicados foram baseados em informações suficientes, confiáveis, relevantes e úteis. O CAE, então, resume as informações nas quais a opinião geral será baseada. Além disso, o CAE identifica os frameworks de risco ou de controle relevantes ou outros critérios que serão usados como base para a opinião geral.

    Após considerar as informações pertinentes, o CAE emite uma opinião geral utilizando uma linguagem clara e concisa e descreve como a opinião se relaciona às estratégias, aos objetivos e aos riscos da organização. A comunicação deveria incluir os seis elementos listados na Interpretação da Norma 2450.

    Se a opinião geral for desfavorável, o CAE deve explicar os motivos que dão suporte a essa conclusão.

    Por fim, o CAE decide como comunicar a opinião geral (verbalmente ou por escrito). As opiniões gerais são geralmente comunicadas por escrito, embora não haja essa exigência das Normas. A Orientação de Implantação 2440 Disseminação dos Resultados fornece outras orientações sobre considerações adicionais para as comunicações.

    É importante observar que o CAE não é obrigado a emitir uma opinião geral; a emissão dessa opinião é feita a critério da organização e seria discutida com a alta administração e com o conselho. No entanto, quando uma opinião geral for solicitada, a Norma 2450 fornece informações adicionais para auxiliar o CAE em relação aos requisitos relacionados à comunicação de uma opinião geral.

    Considerações para Demonstração de Conformidade

    Com relação a opiniões gerais por escrito, uma cópia da opinião é geralmente suficiente para demonstrar a conformidade. Com relação a opiniões gerais comunicadas verbalmente, pode-se demonstrar a conformidade por meio de resumos, notas de apresentação, slides e documentos semelhantes produzidos pelo CAE. Outros materiais que podem demonstrar a conformidade com a Norma 2450 incluem as comunicações finais dos trabalhos de auditoria e as comunicações externas nas quais a opinião geral foi baseada, memorandos, e-mails, pautas e atas de reuniões do conselho e de outras reuniões.

True
  •    IG2500 – Monitoramento do Progresso (traduzido)  Novembro 2016

    Primeiros Passos

    Para cumprir essa norma, o executivo-chefe de auditoria (CAE) começa por obter um claro entendimento do tipo de informação e do nível de detalhe que o conselho e a alta administração esperam da atividade de auditoria interna em relação ao monitoramento dos resultados dos trabalhos de auditoria. Os resultados geralmente se referem a observações desenvolvidas em trabalhos de avaliação e de consultoria que tenham sido comunicados à administração para a adoção de uma ação corretiva.

    Considerando que serão necessárias interações periódicas com a administração responsável pela implantação das ações corretivas, é geralmente útil solicitar a opinião da administração quanto a como criar um processo de monitoramento eficaz e eficiente.

    Adicionalmente, o CAE pode desejar fazer um benchmark junto a outros CAEs ou funções de conformidade que monitoram pendências, a fim de identificar as melhores práticas comprovadamente eficazes. Essas discussões podem abordar áreas como:

    • Os níveis de automação e de detalhamento.
    • Tipos das observações monitorados (isto é, todas ou somente as observações de maior risco).
    • Como e com que frequência a situação das ações corretivas pendentes é determinada.
    • Quando a auditoria interna confirma, de forma independente, a eficácia das ações corretivas.
    • A frequência, estilo e nível de divulgação realizada.

    Considerações para Implantação

    Os processos de monitoramento podem ser sofisticados ou bem simples, dependendo de vários fatores, incluindo o porte e a complexidade da organização de auditoria e a disponibilidade de softwares de rastreamento de exceções. Seja sofisticado ou simples, é importante que o CAE desenvolva um processo que capture as observações relevantes, as ações corretivas acordadas e as situações atualizadas dessas ações. Para as observações pendentes, as informações rastreadas e capturadas normalmente incluem:

    • As observações comunicadas à administração e suas respectivas classificações de risco.
    • A natureza das ações corretivas acordadas.
    • O cronograma/prazos/idade das ações corretivas e as alterações nas metas de datas.
    • A administração/proprietário do processo responsável por cada ação corretiva.
    • A situação atualizada das ações corretivas e se a auditoria interna confirmou essa situação.

    Geralmente, o CAE desenvolverá ou adquirirá uma ferramenta, mecanismo ou sistema para rastrear, monitorar e divulgar essas informações. Com base nas informações fornecidas à auditoria interna pela administração responsável, a situação das ações corretivas é periodicamente atualizada no sistema, muitas vezes pela própria administração através de um sistema compartilhado de rastreamento de exceções.

    A frequência e a abordagem do monitoramento (até que ponto a equipe de auditoria trabalha para verificar se a ação corretiva foi adotada) são determinadas com base no julgamento profissional do CAE, assim como nas expectativas definidas pelo conselho e pela alta administração. Por exemplo, alguns CAEs podem optar por investigar periodicamente, por exemplo, trimestralmente, a situação de todas as ações corretivas que deveriam ter sido concluídas no período anterior. Outros podem optar por realizar periodicamente trabalhos de auditoria de acompanhamento com foco nas recomendações significativas, para avaliar especificamente a qualidade das ações corretivas adotadas. Outros podem escolher fazer o acompanhamento das ações pendentes durante uma próxima auditoria agendada para a mesma área da organização. A abordagem é determinada com base no nível de risco avaliado, assim como na disponibilidade de recursos.

    Igualmente, a forma da divulgação é determinada com base no julgamento do CAE e nas expectativas acordadas previamente. Alguns CAEs divulgarão a situação de todas as observações de todos os trabalhos de auditoria de forma detalhada. Outros divulgarão apenas as observações classificadas como de maior risco, talvez resumidas por processo de negócio ou por executivo responsável, com dados estatísticos como o percentual de ações corretivas em andamento conforme previsto, atrasadas e concluídas no prazo. Em alguns casos, pode-se solicitar ao CAE que divulgue não apenas se a ação corretiva foi concluída, mas também se essa ação corrigiu a questão subjacente. Capturar e avaliar uma melhoria positiva com base na execução de ações corretivas é considerado como uma melhor prática.

    Considerações para Demonstração de Conformidade

    A conformidade é normalmente comprovada pela existência de um sistema de rastreamento de exceções, permanentemente atualizado, o qual poderia ser uma planilha, banco de dados ou outra ferramenta que contenha as observações de auditorias já realizadas, os respectivos planos, a situação e a confirmação da auditoria interna das ações corretivas, conforme descrito acima. Além disso, é comum existir relatórios de posicionamento das ações corretivas preparados para informar a alta administração e o conselho.

True
  •    IG2600 – Comunicação da Aceitação de Riscos (traduzido)  Novembro 2016

    Primeiros Passos

    Para implantar esta norma com sucesso, o executivo-chefe de auditoria (CAE) deve, primeiramente, entender a visão e a tolerância da organização aos diversos tipos de riscos da organização. As organizações variam quanto à quantidade e aos tipos de risco que consideram aceitáveis. Por exemplo, algumas organizações podem aceitar níveis mais altos de riscos financeiros ao adotar iniciativas como se expandir para uma nova localização com um governo instável; ou ao fazer um investimento significativo em um empolgante novo produto com probabilidade relativamente baixa de atingir sucesso, mas que trará grandes retornos caso tenha sucesso. Outras organizações são mais avessas a tais riscos financeiros, evitando tais situações. Além disso, as organizações consideram diferentes fatores para determinar o nível de risco aceitável; por exemplo, o potencial impacto e a probabilidade de um evento de risco, a vulnerabilidade da organização e o período de tempo necessário para que a administração solucione um risco inaceitável.

    Se a organização tiver uma política formal de gerenciamento de risco, a qual pode incluir um processo de aceitação de riscos, é importante que o CAE e a atividade de auditoria interna entendam essa política.

    Conforme exigido pela Norma 2500, o CAE também deve estabelecer e manter um sistema de monitoramento da disposição dos resultados das auditorias internas.

    Também é útil que o CAE saiba como as questões de mais alto risco são normalmente comunicadas dentro da organização. As políticas existentes podem definir uma abordagem preferencial de comunicação; por exemplo, uma política de gerenciamento de risco da organização pode tratar o prazo ideal, a hierarquia das divulgações e outras considerações semelhantes.

    Considerações para Implantação

    Ao monitorar a disposição dos resultados e das respectivas ações corretivas, o CAE pode ficar ciente de observações de alto risco não corrigidas tempestivamente ou que possam representar um risco maior do que a organização normalmente toleraria, sendo, portanto, inaceitável para a organização.

    No entanto, o processo de monitoramento contínuo não é a única forma pela qual um CAE identifica um risco inaceitável. Um CAE eficaz emprega diversas formas de ficar a par dos riscos da organização. Por exemplo, o CAE pode receber informações de membros da atividade de auditoria interna sobre riscos significativos identificados durante seus trabalhos de avaliação ou de consultoria. Ou a organização pode utilizar um processo de gerenciamento de risco corporativo (ERM) para identificar e monitorar riscos significativos e o CAE pode estar envolvido nesse processo. Além disso, ao desenvolver e manter uma rede colaborativa de comunicação com a administração, o CAE pode ficar ciente de uma área de risco emergente na organização. Os CAEs também se esforçam em se manterem atualizados com relação às tendências do segmento de negócio e mudanças regulatórias, para ajudá-los a reconhecer riscos potenciais e emergentes.

    Independentemente da forma como um risco inaceitável seja identificado, se o CAE reconhecer esse risco como sendo de um nível tão alto que a organização normalmente não o toleraria e acreditar que esse risco não está sendo mitigado a um nível aceitável, então deve comunicar a situação à alta administração. Antes de tal comunicação, o CAE geralmente discute a questão com os membros da administração responsáveis pela área de risco, para compartilhar preocupações, entender a perspectiva da administração e chegar a um comum acordo para solucionar a questão sobre o risco. No entanto, se não for possível chegar a um acordo, o CAE deve levar essa preocupação ao conhecimento da alta administração. Após uma discussão semelhante com a alta administração, se a questão sobre o risco permanecer sem solução, o CAE deve comunicar a questão ao conselho. Será, então, uma decisão do conselho quanto a forma como abordar a preocupação junto à administração.

    O CAE faz uso de seu julgamento para determinar a melhor forma, a urgência e a quem comunicar essas questões, com base na natureza, na urgência, nas possíveis consequências e em quaisquer políticas que possam estar em vigor. Por exemplo, o diretor jurídico deveria ser consultado quando uma lei ou regulamento pode ter sido violado? O risco deve ser comunicado de forma particular a um executivo da alta administração ou em uma reunião multifuncional com diversos especialistas presentes?

    Esta norma aplica-se a riscos altamente significativos que o CAE julgue estarem além do nível de tolerância da organização, incluindo:

    • Riscos que possam prejudicar a reputação da organização.
    • Riscos que possam prejudicar pessoas.
    • Riscos que resultariam em multas regulatórias significativas, limitações na condução de negócios ou outras penalidades financeiras ou contratuais.
    • Distorções materiais.
    • Fraudes ou outros atos ilegais.
    • Impedimentos significativos à realização dos objetivos estratégicos.

    Considerações para Demonstração de Conformidade

    As evidências de conformidade podem ser encontradas em atas de reuniões nas quais uma questão de risco significativo foi discutida com a equipe da administração executiva, com o conselho ou com um comitê de riscos. Se o CAE comunicar uma situação de risco inaceitável em reuniões individuais ou durante uma sessão privada, um memorando para arquivo pode ser usado para documentar as medidas adotadas para alertar a administração e o conselho. Além disso, uma indicação indireta de conformidade seria a existência de uma política no manual de auditoria interna que descreva os requisitos desta norma e o processo de divulgação da organização.

True
  •    DOWNLOAD - ORIENTAÇÕES PRÁTICAS   (Vigência até 31/12/2016)

    As Orientações Práticas que apoiaram o IPPF de 2013 ainda estão disponíveis individualmente. As Orientações de Implementação substituíram as Orientações Práticas em 1º de janeiro de 2017. Embora as Orientações Práticas incluam conteúdo relevante, nem todo o conteúdo foi incorporado às Orientações de Implementação.

    Como Normas e Orientação estão atualmente em processo de atualização da Orientação Suplementar existente, o conteúdo relevante das Orientações Práticas será incorporado na Orientação Suplementar, quando apropriado.

Receba nossa newsletter