Orientações Suplementares

Hoje, no ambiente político e de negócios, há um foco crescente na governança, gerenciamento de riscos e controle. São necessários sistemas de governança sólidos para assegurar que as organizações do setor privado atinjam seus objetivos e satisfaçam as expectativas dos stakeholders. As partes interessadas esperam que os conselhos e a gerência aceitem a responsabilidade pela implementação de práticas de governança apropriadas, colocando-os no centro das atenções quando se trata da questão. Ao cumprir suas responsabilidades de supervisão, a diretoria olha para a função de Auditoria Interna para fornecer avaliações sobre as práticas de governança da organização.

Este Guia Prático fornece ao Diretor Executivo de Auditoria (CAE) orientações sobre como avaliar e fazer recomendações apropriadas para melhorar os processos de governança.

O uso de estruturas de gestão de risco em toda a empresa expandiu-se à medida que as organizações reconhecem as vantagens de abordagens coordenadas para a gestão de riscos. A estrutura de gestão de riscos deve ser concebida de acordo com a organização: o seu ambiente interno e externo.

A Avaliação da Adequação da Gestão de Risco utilizando a ISO 31000 detalha três abordagens para a garantia do processo de gestão de riscos: uma abordagem de Elementos de Processo; Uma abordagem baseada em Princípios de Gestão de Riscos; E uma abordagem de Modelo de Maturidade. O processo de garantia utilizado deve ser adaptado às necessidades da organização. Os auditores internos devem ter um meio de medir a eficácia da gestão de riscos em uma organização e formar uma conclusão sobre o nível de maturidade da gestão de risco da organização. Um dos critérios fundamentais que os auditores internos devem considerar é se existe uma estrutura adequada para promover uma abordagem corporativa e sistemática da gestão de riscos.

Este Guia Prático utiliza a ISO 31000 como base para a estrutura de gerenciamento de riscos. Podem ser utilizados outros enquadramentos para efetuar a avaliação dos riscos. Esta orientação não implica em um endosso implícito ou explícito deste ou de qualquer outra estrutura.

A Estrutura Internacional de Práticas Profissionais (IPPF) e as Normas Internacionais Subjacentes para a Prática Profissional de Auditoria Interna (Normas) fornecem ao Diretor Executivo de Auditoria (CAE) e à direção de auditoria interna um enquadramento e orientações relacionadas para avaliar e garantir a eficácia da Auditoria. As Normas também fornecem às partes interessadas da auditoria interna uma base para avaliar a eficácia da atividade. As Normas são aplicáveis a todos os departamentos de auditoria interna, independentemente do tamanho, nível de recursos, complexidade ou objetivo e escopo.

Este Guia Prático fornece uma definição de trabalho do termo pequena atividade de auditoria interna. O guia reconhece os desafios que os CAEs e a liderança de auditoria em pequenas atividades de auditoria podem enfrentar na implementação das Normas, fornece sugestões para atender a esses desafios e discute os benefícios de usar as Normas. Muitos dos desafios discutidos neste guia não são exclusivos de pequenas atividades de auditoria; Grandes atividades podem enfrentar muitos dos mesmos desafios. Contudo, estes desafios são mais frequentemente encontrados e mais difíceis de superar em pequenas atividades de auditoria.

Embora o CAE de uma pequena atividade de auditoria interna seja responsável por assegurar a implantação de todas as Normas, o grau de desafio para a conformidade com cada norma pode variar entre pequenas atividades. O gráfico na Introdução fornece um resumo visual do grau de desafio que o CAE pode enfrentar em conformidade com as Normas. A estrutura baseia-se em discussões informais com pequenos grupos de auditoria e também entre os membros dos comitês do IIA. Embora a conformidade com as Normas possa representar desafios, é possível com o desenvolvimento de uma estratégia e planejamento adequados. As Normas são baseadas em princípios e devem ser aplicadas a atividades de auditoria interna de todos os tamanhos.

À medida que a demanda por valor de auditoria interna muda de uma visão retrospectiva para uma perspectiva prospectiva, espera-se que os auditores internos se adaptem com métodos inovadores para avaliar e comunicar os resultados da auditoria interna. As partes interessadas precisam de relatórios claros e concisos que priorizem as observações de engajamento com base na urgência e no impacto global. Esta nova orientação foi criada para apoiar os profissionais na redação de relatórios que ressoam com as partes interessadas e efetivamente comunicar mensagens-chave em tempo hábil.

Relatórios de auditoria: comunicando os resultados de engajamento de garantia oferece orientação para profissionais de auditoria sobre, como efetivamente comunicar os resultados de compromissos de auditoria interna para as partes interessadas. O guia aborda considerações-chave, como adaptar o relatório a vários públicos-alvo, estruturar o relatório para maximizar o impacto e contabilizar o seguimento e a ação corretiva.

O Guia Prático do IIA: A auditoria de programas anti-suborno e anticorrupção oferece aos profissionais de auditoria interna uma visão sobre a natureza do suborno e corrupção em organizações em todo o mundo. Ele discute o cenário atual do negócio e salienta que nenhuma organização, independentemente de ser pública, privada, grande ou pequena é imune aos impactos devastadores que o suborno e as corrupções trazem. O guia fornece uma visão geral dos principais componentes necessários para auditar efetivamente programas de prevenção e dissuasão.

O Guia Prático é organizado abordando as seguintes áreas:

• A visão legislativa global
• Riscos e controles de suborno e corrupção
• O papel da auditoria interna na luta contra a corrupção
• Coordenação com outras funções de conformidade
• Desafios que resultam quando o suborno e a corrupção atingem níveis elevados
• Comparações de legislação em países selecionados, exemplos de riscos e controles e um exemplo de programa de auditoria

Além disso, o Guia Prático identifica áreas de alto risco e bandeiras vermelhas para suborno e corrupção, ao mesmo tempo em que fornece etapas de auditoria para abordar cada área de alto risco. Componentes de um programa eficaz de combate à corrupção também são discutidos.

A estrutura da auditoria e o funcionamento dos programas de Compensação e Benefícios Executivos (ECB) é um papel legítimo e apropriado para a auditoria interna. Se uma avaliação de risco indicar que uma revisão é justificada, o Chefe Executivo de Auditoria (CAE) deve adicionar o BCE ao plano de auditoria, que a Diretoria examinará e aprovará. A auditoria interna irá escolher a abordagem de auditoria e conceber procedimentos de auditoria baseados em risco. Este Guia Prático fornece discussões relacionadas a tal auditoria e inclui várias considerações que podem ser relevantes para as atividades de negócios ou o perfil de risco de uma organização.

São necessários sistemas de governança fortes para os programas do BCE, uma vez que a direção está muitas vezes em posição de conceber e recomendar a sua própria compensação. Existem vários riscos específicos que os auditores internos devem considerar, incluindo mercado de trabalho, conformidade, relatórios financeiros, reputação, operacionais e riscos de relacionamento externo. Os programas do BCE também estão sujeitos a riscos de fraude.

Devido à natureza sensível desta área, a auditoria interna deve ter uma abordagem de auditoria apropriada e acesso às informações necessárias. Embora possa haver obstáculos para a obtenção dessas informações, a auditoria interna precisa prosseguir de acordo com sua Carta.

O escopo da auditoria pode incluir um foco no conselho, gerenciamento e relações de negócios estendidas. Há uma série de aspectos únicos nas auditorias de cada uma dessas áreas de foco que devem ser consideradas antes de realizar o trabalho de auditoria.

Este guia ajudará os auditores internos com uma explicação da abordagem de auditoria, considerações de auditoria como acesso a informações e comunicações privilegiadas, bem como as habilidades e conhecimentos necessários para servir na equipe de auditoria. Uma seção sobre desenvolvimento de programas de auditoria inclui vários conceitos, testes em potencial e perguntas para ajudar os auditores a criar um programa de auditoria. O apêndice fornece definições relativas a vários tipos de compensação e benefícios.

Os programas do BCE apresentam riscos que exigem uma governança e processos de gestão eficazes. Os auditores internos desempenham um papel importante na garantia de que existem controles adequados e eficazes em torno dos programas do BCE.

Este guia fornece aos auditores internos orientação na auditoria de relações de negócios externas ou ampliadas (EBRs). A gerência também pode usar este guia para gerenciar e monitorar os riscos associados a esses relacionamentos.

Ao contemplar as responsabilidades do EBR da atividade de auditoria interna, considere o seguinte:

• 1. As organizações têm vários EBRs que satisfazem uma variedade de necessidades empresariais.
• 2. Cada relacionamento apresenta riscos.
• 3. É responsabilidade da gerência gerenciar esses riscos e perceber os benefícios.
• 4. A auditoria interna desempenha um papel fundamental na assistência à gestão e na validação dos esforços da administração.

As organizações conduzem negócios com os parceiros do EBR por uma variedade de razões. As organizações podem buscar benefícios como aumentar as receitas através de acordos de licenciamento e distribuição, reduzir custos em áreas de uma organização que estão fora das suas competências essenciais ou aumentar os recursos existentes focados nas suas competências essenciais. No entanto, com esses relacionamentos de negócios também vêm inerentes e riscos de controle associados ao trabalho com parceiros de negócios externos. Ao associar-se com parceiros externos, uma organização frequentemente apresenta riscos semelhantes aos que experimentaria internamente, sem a associação externa (por exemplo, uma organização ainda corre riscos para os processos terceirizados). Além disso, a organização está exposta a riscos impostos pela associação com o terceiro, bem como às atividades do terceiro, incluindo reputação, marca e riscos econômicos. Os auditores internos podem ajudar a gerência a identificar, avaliar, e controlar estes riscos.

As gerências das organizações são responsáveis pela gestão e monitoramento de seus EBRs e riscos relacionados. Ao entrar em um relacionamento comercial permite que uma organização crie benefícios e compartilhe alguns riscos com o EBR, a organização ainda mantém a responsabilidade final e responsabilidade sobre uma série de riscos. Nem todos os riscos podem ser atribuídos para o parceiro de negócios. A organização precisa monitorar e gerenciar esses riscos.

A organização é responsável pelas atividades de gerenciamento de riscos que abrangem tarefas como seleção de parceiros de negócios, eficácia do contrato, controles de gerenciamento de contrato de parceiros/clientes, monitoramento e relatórios de conformidade de contratos e gerenciamento de relacionamento comercial. Sem os controles adequados para enfrentar os riscos associados a essas responsabilidades, a organização pode perder receita ou incorrer em custos mais elevados, bem como ter operações ineficientes, erros de comunicação, e até mesmo marcas danificadas, além de relações de negócios impactadas.

Ao assumir a propriedade e o controle dessas responsabilidades, as organizações têm a capacidade de reduzir o risco e ajudar a promover uma relação de confiança e responsabilidade com seus parceiros de negócios. Com boa supervisão de seus relacionamentos de negócios, uma organização pode contabilizar todas as receitas e, potencialmente, reduzir custos - a organização pode receber todos os benefícios da relação de negócios.

Os auditores internos precisam entender todos os elementos associados aos EBRs, desde iniciar uma relação, contratar e definir uma relação, adquirir, gerenciar e monitorar a relação contínua (incluindo considerações de controle ambiental da objetividade e independência dos responsáveis pela gestão e monitoramento); Finalmente descontinuando o relacionamento. Depois de compreender as expectativas de ambas as partes, juntamente com os processos apropriados para gerenciar e monitorar o relacionamento, o auditor interno desenvolve um programa de auditoria interna apropriado com objetivos relevantes de auditoria para auditorias internas de relações externas. Além disso, os procedimentos de auditoria interna podem incluir elementos de avaliação da adesão (e cumprimento de) condições contratuais para determinar se as obrigações monetárias e não monetárias são cumpridas.

É importante que as organizações saibam que estão recebendo o que estão pagando, que estão coletando o que estão ganhando ou, simplesmente, que estão recebendo os benefícios previstos do relacionamento. Os procedimentos de auditoria interna podem revelar ganhos perdidos ou economias de custos, melhorar a precisão dos relatórios e aumentar o valor resultante do relacionamento através de um ou mais dos seguintes itens: limitar a atividade fraudulenta, aumentar a confiança com os participantes no relacionamento, promover o feedback, melhorar os relacionamentos e ajudar a melhorar o controle interno e externo.

Uma das muitas e desafiadoras e formidáveis questões de gerenciamento de riscos enfrentadas pelas organizações hoje em dia é proteger a privacidade de informações pessoais sobre clientes, funcionários e parceiros de negócios. Como consumidores, estamos preocupados em como as empresas e organizações usam e protegem essas informações. Como proprietários ou gerentes de negócios, queremos: atender às necessidades e expectativas de nossos clientes, parceiros de negócios e funcionários; Manter compromissos de acordo com acordos contratuais; E cumprir com as leis e regulamentos aplicáveis de privacidade e segurança de dados.

A privacidade é um problema global. Muitos países adotaram uma legislação de privacidade que rege o uso de informações pessoais, bem como a exportação dessas informações além-fronteiras. Para que as empresas operem eficazmente neste ambiente, elas precisam entender e cumprir essas leis de privacidade. Exemplos de legislação de privacidade influente incluem a Lei de Proteção de Informações Pessoais e Eletrônicos do Canadá (PIPEDA), a Diretiva da União Européia (UE) sobre Privacidade de Dados e atos de privacidade da Austrália, Japão e Nova Zelândia. Legislação de privacidade do setor da indústria dos Estados Unidos inclui o Gramm-Leach Bliley Act (GLBA) para o setor de serviços financeiros e a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA) para a indústria de cuidados de saúde.

Apesar de todas essas leis, manchetes de mídia têm demonstrado que a privacidade e proteção de informações pessoais não é absoluta. Existem inúmeras notícias relacionadas a violações de segurança que envolvem a perda ou divulgação de informações pessoais. Isso pode ser parcialmente devido ao fato de que um maior número de organizações está terceirizando processos de negócios e aplicativos que contêm informações pessoais, além de usar tecnologias mais recentes que podem aumentar seu perfil de risco de privacidade.

Várias partes interessadas, tais como juntas, comitês de auditoria ou outros grupos de supervisão querem garantia em torno dos processos da organização que protegem a informação privada. Este Guia Prático, que substitui o Guia de Auditoria de Tecnologia Global (GTAG) do IIA "Gerenciando e Auditando Riscos de Privacidade", publicado em junho de 2006, fornece aos profissionais uma base para atender às complexas e variadas expectativas que acompanham as questões de privacidade.

O ambiente de controle é a base sobre a qual um sistema efetivo de controle interno é construído e operado em uma organização que se esforça para

1. Alcançar seus objetivos estratégicos
2. Fornecer relatórios financeiros confiáveis para partes interessadas internas e externas
3. Operar seus negócios com eficiência e eficácia
4. Cumprir todas as leis e regulamentos aplicáveis
5. Assegurar seus ativos

Parte da culpa pela crise financeira de 2008 e outras falhas proeminentes do século 21 pode ser apropriadamente atribuída a falhas no ambiente de controle.

O objetivo deste Guia Prático é fornecer orientação ao auditor interno sobre a importância do ambiente de controle; Como determinar quais elementos do ambiente de controle devem ser abordados por compromissos no plano de auditoria periódica; Como escopo, pessoal e planejar tais compromissos; E quais os itens a considerar na realização de trabalhos de auditoria relacionados, incluindo avaliação e comunicação de deficiências.

A gestão da continuidade do negócio (BCM) é uma abordagem de gestão de risco baseada no valor do negócio. Corresponde aos recursos e riscos de continuidade do negócio. O objetivo do BCM é permitir a qualquer organização restaurar atividades operacionais críticas, gerenciar comunicações e minimizar os efeitos financeiros e outros de um desastre, interrupção de negócios ou outros eventos importantes. Este guia prático discute especificamente as definições de Gerenciamento de Continuidade de Negócios (MBC) e Gerenciamento de Crises (CM), as atividades que podem ser realizadas pela auditoria interna antes, durante e após a crise e avaliação da auditoria interna de elementos-chave do BCM. Além disso, auxiliares de prática são fornecidos nos apêndices.

No ambiente de negócios de hoje, onde há um foco crescente na governança, gerenciamento de risco e controle, nomear um CAE é um empreendimento crítico para qualquer organização. Esta atividade imperativa é uma das principais responsabilidades do conselho da organização. O CAE terá um alto grau de interação com a gerência sênior eo conselho e, portanto, precisa demonstrar os atributos corretos e habilidade para o cargo. O papel único da CAE na organização requer independência e objetividade, ao mesmo tempo que demonstra uma capacidade de parceiro dentro da organização para agregar valor às suas operações. Independência e objetividade são fundamentais para o papel do CAE, porque o indivíduo deve estar disposto a levantar questões difíceis com a alta administração eo conselho, mesmo que isso se mostre impopular. Para manter a credibilidade, os CAEs devem demonstrar a capacidade de escalar questões difíceis para um nível adequado para garantir que elas sejam adequadamente tratadas. Além disso, um CAE exibe os atributos de integridade, curiosidade intelectual e foco na qualidade da auditoria. As principais categorias de habilidades para um CAE incluem técnicas, negócios, comunicação e habilidades de gerenciamento de pessoas. Durante o processo de nomeação de um CAE e avaliações periódicas, a gerência sênior eo conselho normalmente considerarão esses atributos e habilidades. Um CAE pode querer considerá-los quando avaliar o seu próprio desempenho e considerando suas necessidades de desenvolvimento.

Geralmente, o conselho supervisionaria a rescisão do CAE. As diretorias vão querer determinar se a rescisão é justificada e apropriada. É razoável que a CAE espere que a diretoria considere encerrar seus serviços quando houver evidência de que os requisitos de desempenho profissional não foram cumpridos, que houve violação material do Código de Ética do IIA ou do código de conduta interno da organização ou Tem sido material não-conformidade com as normas da IPPF.

O gerenciamento de riscos é fundamental para o controle organizacional e crítico para proporcionar uma governança corporativa sólida. Ele toca todas as atividades da organização. A criação de um sistema de gestão de risco eficaz a nível da empresa é uma responsabilidade fundamental da direcção e do conselho de administração; Que são responsáveis pela adoção de uma abordagem holística para a identificação de riscos organizacionais, criação de controles para mitigar esses riscos e monitoramento e revisão dos riscos identificados e controles estabelecidos. Devem assegurar que a gestão de riscos esteja integrada na organização, tanto a nível estratégico como operacional.

Norma 2050: Estados Coordenadores: "O diretor executivo de auditoria deve compartilhar informações e coordenar atividades com outros provedores internos e externos de serviços de garantia e consultoria para assegurar uma cobertura adequada e minimizar a duplicação de esforços". Esta responsabilidade exige a inclusão e participação do CAE Na estrutura do provedor de certificação da organização. Este quadro pode consistir em auditoria interna, auditoria externa, governança, gerenciamento de risco ou outras funções / divulgações de controle de negócios realizadas pela equipe de gerenciamento da organização. A inclusão e participação neste quadro ajuda a garantir que o CAE esteja ciente dos riscos e controles da organização em relação às metas e objetivos organizacionais.

Para que a auditoria interna permaneça relevante, ela deve se adaptar às mudanças nas expectativas e manter o alinhamento com os objetivos organizacionais. A estratégia de auditoria interna é fundamental para permanecer relevante - desempenhando um papel importante na obtenção de um equilíbrio entre custo e valor, ao mesmo tempo em que faz contribuições significativas para a governança global da organização, gerenciamento de riscos e controles internos. Um processo sistemático e estruturado pode ser usado para desenvolver o plano estratégico de auditoria interna, ajudando a permitir que a atividade de auditoria interna atinja sua visão e missão. Este Guia Prático discute as etapas críticas necessárias para desenvolver um plano estratégico de auditoria interna abrangente, incluindo:

1. Compreender a (s) indústria (s) relevante (s) e os objetivos da organização.
2. Consideras as Normas e Orientações da IPPF.
3. Compreender as expectativas das partes interessadas.
4. Atualizar a visão e a missão da auditoria interna.
5. Definir os fatores críticos de sucesso.
6. Executar uma análise SWOT.
7. Identificar iniciativas-chave.

A Responsabilidade Social Corporativa (RSE) apresenta riscos e oportunidades significativas para muitas organizações. As partes interessadas esperam que os conselhos e a gerência aceitem a responsabilidade e implementem estratégias e controles para gerenciar seu impacto na sociedade e no meio ambiente, envolver as partes interessadas em seus empreendimentos e informar o público sobre seus resultados. A proliferação da regulamentação e das normas voluntárias tornou a gestão da RSE um empreendimento complexo.

Os auditores internos devem compreender os riscos e os controles relacionados aos objetivos da RSE. Quando apropriado, o Chefe Executivo de Auditoria (CAE) deve planejar auditar, facilitar auto-avaliações de controle, verificar resultados e / ou consultar sobre os vários assuntos. Os auditores internos devem manter as habilidades e o conhecimento necessários para entender e avaliar a governança, os riscos e os controles das estratégias de RSE.

Este guia ajudará os auditores internos a entender:

• Os riscos (operacionais, reputacionais, etc.) associados às atividades de RSE e como usar esses conhecimentos no planejamento da auditoria.
• As abordagens para avaliar as atividades de RSE, incluindo auditoria, facilitação e consultoria.
• Considerações de auditoria como o uso da opinião de auditoria, independência e objetividade, e tipos de recursos.
• Considerações sobre o desenvolvimento do programa de auditoria interna, incluindo se as informações de RSE são consistentes com as normas e como a administração se comunica e estabelece prioridades para as estratégias de RSE.

O guia também explica abordagens detalhadas de auditoria nos seguintes apêndices:

1) Auditoria por Elemento;

2) Auditoria por Grupo de Partes Interessadas;

3) Teoria das Partes Interessadas;

4) Recursos adicionais (inclui referências a guias de prática adicionais).

O Guia Prático de Programas e Atividades Relacionadas com a Ética se esforça para colocar uma estrutura firme em torno de um tema que tradicionalmente tem sido visto como muito macio e, portanto, desafiador, para avaliar. Um clima ético forte e a capacidade de uma organização para manter uma cultura ética é a base para a boa governança. Ele define expectativas para comportamentos aceitáveis na condução de negócios dentro da organização e com partes externas. Um robusto programa de ética inclui supervisão efetiva da diretoria, forte tom no topo, envolvimento da alta administração, comprometimento com toda a organização, um código de conduta customizado, acompanhamento oportuno e investigação dos incidentes relatados, ação disciplinar consistente para os infratores, Comunicações, sistemas de monitoramento contínuo e, quando possível, um sistema anônimo de relatórios de incidentes.

Este guia foi desenvolvido para fornecer auditores internos uma estrutura para a avaliação de programas e atividades relacionados à ética. Ele também inclui uma série de exemplos, definições e princípios para fornecer uma plataforma sólida em que os auditores internos podem construir suas avaliações. Os princípios aplicam-se igualmente aos setores público e privado.

Este Guia Prático fornece orientação prática aos auditores internos que desejam formar e expressar uma opinião sobre alguns ou todos os sistemas de governança, gerenciamento de risco e controle interno de uma organização.

APLICABILIDADE

Isso pode ser aplicável e útil para:

• Executivos-Chefe de Auditoria (CAEs).
• Conselhos de Administração
• Gestão executiva e operacional
• Outros provedores de certificação (OAPs).
• Outros órgãos reguladores profissionais.

INTERNA

O conselho de administração, a administração e outras partes interessadas estão a solicitar atividades de auditoria interna para fornecer pareceres como parte de cada relatório de auditoria individual, bem como sobre a adequação global da governança, gestão de riscos e controle dentro da organização. Esses pedidos podem ser para uma garantia ou opinião a um nível amplo para a organização como um todo (opinião de nível macro) ou em componentes individuais das operações da organização (opinião de nível micro).

Exemplos de opiniões macro e micro incluem:

• Uma opinião sobre o sistema geral de controle interno da organização sobre o relatório financeiro (macro).
• Uma opinião sobre os controles e procedimentos da organização para o cumprimento das leis e regulamentos aplicáveis, tais como saúde e segurança, quando esses controles e procedimentos são realizados em vários países ou subsidiárias (macro).
• Uma opinião sobre a eficácia dos controles, tais como o orçamento e a gestão do desempenho, quando esses controles são realizados em várias subsidiárias e cobertura abrange a maioria dos ativos da organização, recursos, receitas, etc (macro).
• Uma opinião sobre um processo ou atividade empresarial individual dentro de uma única organização, departamento ou local (micro).
• Um parecer sobre o sistema de controle interno de uma unidade subsidiária ou de reporte, quando todos os trabalhos são realizados numa única auditoria (micro).
• Um parecer sobre a conformidade da organização com as políticas, leis e regulamentos relativos à privacidade dos dados, quando o escopo do trabalho é executado em uma ou poucas unidades de negócios (micro). Formulando e Expressando Opiniões de Auditoria Interna.

A importância da independência e da objetividade, que sempre foi relevante para os auditores internos, continua a aumentar entre os desafios enfrentados pelas atividades de auditoria interna no ambiente de negócios em constante mudança. Um número cada vez maior de partes interessadas, dentro e fora de uma organização, continua a exigir maior transparência, maior divulgação, ampliação dos serviços de auditoria interna, maior profissionalismo, melhor coordenação entre auditores internos e externos, maiores responsabilidades e mais responsabilidade dos profissionais de auditoria interna. Este guia prático foi desenvolvido para abordar estas mudanças e expectativas aumentadas.

O objetivo deste guia prático é:

• Destacar a orientação do IIA sobre independência e objetividade.
• Discutir aspectos potencialmente confusos que envolvem independência e objetividade.
• Identificar atividades que apoiem a independência e a objetividade.
• Identificar várias considerações e potenciais desafios relacionados à independência e objetividade.
• Fornecer estruturas para o gerenciamento da independência e objetividade.

Tradicionalmente, as auditorias foram em grande parte associadas com a coleta de informações sobre sistemas financeiros e os registros financeiros de uma organização ou um negócio. Contudo, as auditorias recentes começaram a incluir áreas não financeiras, tais como, segurança, desempenho dos sistemas de informação e preocupações ambientais. Com organizações sem fins lucrativos e agências governamentais, tem havido uma necessidade crescente de auditorias de desempenho, examinando seu sucesso na satisfação dos objetivos da missão. Como resultado, existem agora profissionais de auditoria que se especializam em auditorias de segurança, auditorias de sistemas de informação e auditorias ambientais.

Integrar essas bases de conhecimento de nicho em uma única auditoria poderia produzir um resultado mais efetivo se uma abordagem holística fosse empregada. No entanto, para realizar isso, as decisões sobre a avaliação de riscos exigem uma maior conscientização por auditores para ampliar suas perspectivas e pensar fora da caixa. O objetivo deste Guia Prático é aumentar a conscientização do auditor interno sobre a auditoria integrada e fornecer orientação sobre como abordar um.

O IIA lançou um Guia Prático intitulado "Interação com o Conselho".

O objetivo deste Guia Prático é auxiliar o Diretor Executivo de Auditoria (CAE) a atender os requisitos da Estrutura Internacional de Práticas Profissionais (IPPF), no que se refere à interação e comunicação com a diretoria. Conselhos e auditores internos têm metas interligadas. Uma relação de trabalho forte entre os dois é essencial para que a atividade de auditoria interna cumpra suas responsabilidades não apenas com o conselho, mas também com a alta administração, acionistas e outras partes interessadas. Este Guia Prático abrange várias atividades, principalmente realizadas através do CAE, que são fundamentais para uma relação eficaz entre o conselho e a atividade de auditoria interna.

Muitas organizações estão a reestruturar as responsabilidades, garantindo que as funções de governança e monitorização colaborem mais estreitamente para evitar duplicações. Com esta mudança vem um peso adicional para os executivos-chefes de auditoria; Eles podem ser convidados a assumir responsabilidades pela gestão de riscos, conformidade e outras funções de governança. Navegar através deste processo pode ser um desafio; Como resultado, esta orientação foi desenvolvida para auxiliar os profissionais na tomada de decisões eficazes sobre papéis e responsabilidades para assumir a governança relacionada a gerenciamento e controles de risco.

A Auditoria Interna e a Segunda Linha de Defesa oferece orientação e recomendações para os profissionais de auditoria, especialmente aos principais executivos de auditoria, para garantir que a independência e a objetividade não sejam comprometidas em situações onde a auditoria interna pode ser responsável pelas atividades de segunda linha de defesa.

Este guia discute a fraude e fornece orientação geral para ajudar os auditores internos a cumprir os padrões profissionais. Como a fraude afeta negativamente as organizações de muitas maneiras - financeira, reputacional e por implicações psicológicas e sociais - é importante que as organizações tenham um programa forte de fraude que inclua programas de conscientização, prevenção e detecção, bem como um processo de avaliação de risco de fraude. Identificar os riscos dentro da organização. Para ajudar organizações e auditores internos a combater a fraude, o guia discute:

• Consciência de fraude (razões e exemplos para fraude e indicadores de fraude em potencial).
• Funções e responsabilidades de fraude.
• Responsabilidades de auditoria interna durante compromissos de auditoria (responsabilidades de execução e comunicação com a diretoria).
• Avaliação de risco de fraude (identificação de fatores de risco de fraude relevantes e mapeamento de controles existentes para esquemas de fraude em potencial e identificação de lacunas).
• Prevenção e detecção de fraudes.
• Investigação de fraude.
• Formando um parecer sobre os controles internos relacionados com a fraude.

O guia também inclui material de referência, perguntas a serem consideradas e um modelo de avaliação de risco de fraude.

APLICABILIDADE

Isso pode ser aplicável e útil para:

• Executivos-Chefe de Auditoria (CAEs).
• Diretoria e Conselho
• Gestão executiva e operacional.
• Outros provedores de certificação (OAPs).
• Outros órgãos reguladores profissionais.

Quando efetivamente gerida, a auditoria interna torna-se um elemento importante para ajudar uma organização a atingir seus objetivos. As organizações com atividades de auditoria interna são mais capazes de identificar riscos de negócios e ineficiências do sistema, tomar as medidas corretivas adequadas e, em última instância, apoiar a melhoria contínua. No entanto, para manter e aumentar a credibilidade da auditoria interna, sua eficácia e eficiência devem ser monitoradas.

Este Guia Prático ajuda os auditores internos a medirem sua eficácia e eficiência ao fornecer orientação sobre o estabelecimento de um processo de medição de desempenho, identificação de medidas-chave de desempenho e monitoramento e relatórios sobre o nível de atendimento prestado aos profissionais de auditoria interna.

As fontes a serem consideradas ao identificar medidas de eficácia e eficiência de desempenho da atividade de auditoria interna incluem a Estrutura Internacional de Práticas Profissionais (IPPF) do IIA, a carta e missão de auditoria interna, leis e regulamentos aplicáveis, estratégias e planos de auditoria. As medidas de eficácia e eficiência podem ser quantitativas e qualitativas. É importante que a atividade de auditoria interna obtenha feedback dos principais profissionais sobre a eficácia da auditoria e faça ajustes quando necessário.

A qualidade na auditoria interna é guiada pela obrigação de atender às expectativas dos clientes, bem como pelas responsabilidades profissionais inerentes à conformidade com as Normas. Para ajudar os profissionais a interpretar as Normas relacionadas à qualidade, o IIA produziu o Guia Prático do QAIP (Quality Assurance and Improvement Program).

Um QAIP deve tirar conclusões sobre a qualidade da atividade de auditoria interna e levar as recomendações para melhorias adequadas. Todos os Chefe Executivos de Auditoria (CAEs) são obrigados a desenvolver um QAIP que inclui avaliações internas e externas. As avaliações internas devem incluir tanto a monitorização contínua como a autoavaliação periódica. As avaliações externas podem ser uma avaliação externa completa ou uma autoavaliação com validação independente. De acordo com o QAIP, a qualidade deve ser avaliada tanto em um nível de engajamento de auditoria individual como em um nível de atividade de auditoria interna mais amplo. Um QAIP bem desenvolvido assegurará a construção da qualidade, e não sobre a maneira como a atividade de auditoria interna opera. Em outras palavras, uma atividade de auditoria interna não precisa avaliar se cada envolvimento individual está em conformidade com as Normas. Em vez disso, os compromissos devem ser empreendidos de acordo com uma metodologia estabelecida que promova a qualidade e, por padrão, a conformidade com as Normas.

Este documento fornece orientação sobre os elementos-chave de um QAIP. Abrange os elementos necessários para a conformidade com as Normas, bem como os elementos que constituem as melhores práticas. Os QAIPs precisam ser adaptados às necessidades específicas de cada atividade de auditoria interna e, portanto, podem vir de uma miríade de formulários. No entanto, este documento fornece um quadro genérico para o desenvolvimento de um QAIP que pode ser aplicado, independentemente do tamanho ou natureza da atividade de auditoria interna.

Os requisitos de conformidade cada vez maiores e a complexidade dos negócios têm levado as empresas a estabelecer ou adquirir outras funções de gerenciamento e garantia de riscos. Eles são encarregados de mensurar e relatar o risco, identificando lacunas de controle, monitorando a remediação e concluindo se os processos de controle estão operando efetivamente em áreas específicas. Exemplos de alguns provedores de garantia interna são identificados como grupos de conformidade ambiental, funções de gerenciamento de qualidade que se concentram em atividades de manufatura, equipes de controle interno que avaliam controles sobre relatórios financeiros e grupos de governança de TI. Os provedores externos de garantia de qualidade estão freqüentemente empenhados em comunicar uma opinião a outro auditor sobre objetivos de controle específicos operados por um provedor de serviços. Essas atividades garantem as áreas avaliadas e recomendações para fortalecer os controles relacionados, muitas vezes em áreas que estão dentro do escopo do trabalho da auditoria interna.

Este Guia Prático fornece orientação ao CAE e à liderança de auditoria interna sobre uma abordagem para confiar na garantia fornecida por outras funções de garantia interna ou externa. Um continuum de cinco princípios determina a extensão da dependência:

• Objetivo
• Independência e Objetividade
• Competência
• Elementos de Prática
• Comunicação de Resultados e Remediação

Os modelos de maturidade fornecem uma maneira para que as organizações determinem o estado atual da organização como um todo - ou qualquer procedimento ou atividade dentro da organização - no que se refere ao desenvolvimento das melhores práticas. Esses modelos podem ajudar na criação de planos de desenvolvimento e podem servir como uma ferramenta para os auditores internos usarem ao conduzir avaliações. No entanto, a fim de realizar o máximo de benefícios que os modelos de maturidade podem fornecer, os profissionais devem selecionar ou criar um modelo adequado para cada envolvimento e aplicá-lo de uma forma que produza o maior insight.

O Guia Prático do IIA "Seleção, Uso e Criação de Modelos de Maturidade: Uma Ferramenta de Garantia e Engajamentos de Consultoria" fornece aos profissionais: considerações-chave a serem mantidas em mente durante a seleção de um modelo; Orientação sobre como usar efetivamente a gama de modelos de maturidade disponíveis; E uma abordagem passo-a-passo para criar seu próprio modelo se um modelo apropriado não puder ser obtido.

Ao fornecer uma visão sobre o propósito e o poder dos modelos de maturidade, o Guia Prático demonstra que, quando apropriadamente selecionados ou projetados e, em seguida, aplicados posteriormente, os modelos de maturidade podem fornecer:

• Uma estrutura para prever o futuro, o estado desejado e o desenvolvimento de planos de melhoria.
• Benchmarks para a organização comparar seus processos interna ou externamente.
• Um mecanismo para fornecer insights sobre o caminho de melhoria de um processo imaturo para um maduro.
• Um método disciplinado fácil de entender e implementar.

O guia enfatiza que quando se trata de modelos de maturidade, não existe tal coisa como tamanho único e fornece exemplos de vários tipos diferentes de modelos e como eles podem ser usados para demonstrar este ponto.

Independentemente do tamanho da organização, do setor ou da indústria, as pessoas são o recurso mais valioso de uma organização. Garantir a atividade de auditoria interna é adequadamente pessoal, é apenas uma peça do quebra-cabeça. Deve incluir as pessoas certas, que possuem os conjuntos de habilidades corretos e que têm oportunidades adequadas de crescimento e desenvolvimento se a auditoria interna for agregar valor real e atender às expectativas das partes interessadas.

Gestão de Talentos: Recrutamento, Desenvolvimento, Motivação e Retenção de Grandes Membros da Equipe descreve recomendações de melhores práticas para os vários elementos - tudo, desde a avaliação de competências e seleção de candidatos para treinamento e planejamento de sucessão - que compõem a estratégia de gerenciamento de talentos de uma organização.

O planejamento faz parte da abordagem sistemática, disciplinada e baseada em riscos da auditoria interna e é regido pelas Normas Internacionais para a Prática Profissional de Auditoria Interna. O planejamento de trabalhos de auditoria interna envolve considerar as estratégias e objetivos da área ou processo sob revisão, priorizar os riscos relevantes para o trabalho, determinar os objetivos e escopo do trabalho e documentar a abordagem. Este guia prático contém os passos de planejamento do trabalho necessários para cumprir com a Norma 2200 – Planejamento do Trabalho de Auditoria Interna à Norma 2220 – Escopo do Trabalho da Auditoria e normas de implantação de avaliação (.A) e consultoria (.C) relacionadas

O planejamento do trabalho geralmente inclui os seguintes passos:

• Entender o contexto e propósito do trabalho.
• Coletar informações para entender a área ou processo sob revisão.
• Conduzir uma avaliação preliminar de riscos da área ou processo sob revisão.
• Definir objetivos para o trabalho.
• Estabelecer um escopo para o trabalho.
• Alocar recursos.
• Documentar o plano.

Planejamento do Trabalho: Estabelecendo Objetivos e Escopo também oferece orientações sobre como os auditores internos podem usar uma matriz de riscos e controles e um mapa de calor para priorizar os riscos e, então, usar os resultados para formular os objetivos e o escopo, em conformidade com as Normas. Os objetivos e o escopo estabelecidos para o trabalho permitem ao auditores internos concentrar seus esforços sobre os riscos significantes na área ou processo sob revisão, desenvolver o programa de trabalho do projeto e comunicar-se, com clareza, com a administração e com o conselho. Acesse o novo guia suplementar agora mesmo.

Este guia prático descreve as características da fraude e do processo de identificação e avaliação dos riscos de fraude durante o planejamento do trabalho.

Engagement Planning - Assessing Fraud Risks (não traduzido) - Outubro 2017

Em todo o mundo, as atividades e iniciativas de gerenciamento de riscos são necessárias e esperadas pelos órgãos reguladores, agências de classificação e uma série de outros stakeholders nas principais indústrias, incluindo serviços financeiros, governo, manufatura, energia, serviços de saúde e mais. No entanto, o gerenciamento de riscos é impulsionado por mais do que regulamentos e forças externas. A implantação de um gerenciamento de riscos eficiente e eficaz beneficia organizações de qualquer tipo e tamanho, ajudando-as a alcançar seus objetivos operacionais e estratégicos e a aumentar seu valor e sustentabilidade, salvaguardando ainda mais, em última análise, os stakeholders.
Os auditores internos devem avaliar a eficácia e contribuir para a melhoria do processo de gerenciamento de riscos (Norma 2120 – Gerenciamento de Riscos). O benchmarking do estado atual do gerenciamento de riscos da organização em relação a um modelo de maturidade de gerenciamento de riscos é uma boa forma de iniciar esse tipo de avaliação. O benchmarking pode ajudar a atividade de auditoria interna a se comunicar com a alta administração e com o conselho sobre o nível de maturidade do gerenciamento de riscos da organização e sobre a aspiração de melhorar o processo e aumentar a maturidade. Essas informações também permitem que os auditores internos ajustem adequadamente cada trabalho, levando em consideração a maturidade da área ou o processo sob revisão.
Este guia fornece exemplos de modelos de maturidade de gerenciamento de riscos e uma metodologia básica que os auditores internos podem usar para prestar avaliação independente de que o processo de gerenciamento de riscos da organização é eficaz. A aplicação da orientação ajudará os auditores internos a proteger e aprimorar o valor organizacional e atender às expectativas do conselho e da alta administração.

Os Princípios Fundamentais para a Prática Profissional de Auditoria Interna do The IIA fazem parte das Orientações Mandatórias do International Professional Practices Framework (IPPF). A demonstração dos Princípios Fundamentais valida a eficácia, credibilidade e valor da atividade de auditoria interna dentro da estrutura de governança da organização. Ao atingir os Princípios Fundamentais, a atividade de auditoria interna também alcança a Missão da Auditoria Interna: "aumentar e proteger o valor organizacional, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos". 
Este guia prático explica os conceitos incorporados nos Princípios Fundamentais e descreve facilitadores, ou formas específicas de ativá-los e demonstrá-los. O guia também identifica os principais indicadores mensuráveis que permitem à atividade de auditoria interna definir, mensurar, avaliar e monitorar a demonstração dos Princípios Fundamentais. O chefe executivo de auditoria (CAE) deve usar esses facilitadores e indicadores principais para personalizar uma abordagem para demonstrar os Princípios Fundamentais que seja mais aplicável à sua equipe de auditoria interna. Essa abordagem personalizada pode ser usada como base para uma ferramenta de autoavaliação que pode complementar o programa de avaliação e melhoria da qualidade da atividade de auditoria interna (QAIP), além de fornecer uma comunicação de alto nível, fácil de entender, do valor e eficácia da atividade de auditoria interna para os stakeholders, como a alta administração e o conselho.

Uma das principais responsabilidades da auditoria interna é avaliar a adequação e a eficácia do ambiente de controle interno diretamente impactado pela cultura e a conduta que vem dos funcionários agindo e exibindo sua interpretação dos valores dessa cultura. Isso pode ser difícil de fazer como funcionários da organização e é por isso que a objetividade é fundamental para esse tipo de auditoria. A auditoria interna, como terceira linha de defesa na estrutura de governança de uma organização, está posicionada de maneira exclusiva para ajudar a organização a avaliar sua cultura.1 

Esta orientação tem como objetivo ajudar os auditores internos a entender e avaliar a cultura completa de uma organização, bem como a avaliar a existência de subculturas. A conduta que resulta da(s) cultura(s) organizacional(ais) será mencionada nesta publicação, mas mais completamente explorada e abordada posteriormente.

No ambiente de negócios atual, a auditoria interna eficaz exige um planejamento preciso, combinado com uma resposta flexível às mudanças rápidas dos riscos. Para agregar valor e melhorar a eficácia de uma organização, as prioridades de auditoria interna devem se alinhar aos objetivos da organização e devem abordar os riscos com maior potencial de afetar a capacidade da organização de atingir esses objetivos

Garantir esse alinhamento é a essência das Normas 2010 – Planejamento, 2010.A1, 2010.A2 e 2010.C1, que atribuem ao chefe executivo de auditoria (CAE) a responsabilidade de desenvolver um plano de trabalho de auditoria interna com base em uma avaliação de riscos realizada pelo menos anualmente.

Este guia prático descreve uma abordagem sistemática para criar e manter um plano de auditoria interna baseado em riscos. O CAE e os auditores internos designados trabalham juntos para:

• Entender a organização.
• Identificar, avaliar e priorizar os riscos.
• Coordenar com outros fornecedores.
• Estimar recursos.
• Propor um plano e solicitar feedback.
• Finalizar e comunicar o plano.
• Avaliar os riscos continuamente.
• Atualizar o plano e comunicar as atualizações.

Reconhecendo que os auditores do setor público enfrentam desafios únicos que exigem orientação personalizada, o IIA lançou a Avaliação da Governança Organizacional no Setor Público, o primeiro guia prático da IPPF especificamente para auditores governamentais.

O guia fornece aos auditores do setor público orientações sobre como avaliar e fazer recomendações apropriadas para melhorar as atividades e processos de governança. Organizado em sete seções, este guia leva em conta o quanto as estruturas organizacionais, bem como os regulamentos e os mandatos que cada organização está sujeita, podem variar de um local para outro, dentro do mesmo estado, província, país e em todo o mundo, escrito para uma audiência global.

As atividades de auditoria interna do setor público nacional, regional e local trabalham com autoridades governamentais, conselhos, diretores executivos e administração em nome dos contribuintes, consumidores de serviços governamentais e do público em geral. A eficácia da função de auditoria é impactada por características únicas do setor público, incluindo:

• A demanda por um alto nível de transparência e desempenho.
• A ausência habitual de um motivo de lucro.
• Uma grande variedade de formas organizacionais (governos nacionais, regionais e locais e organizações governamentais quase governamentais e internacionais).
• Enquadramento jurídico complexo dos órgãos sociais.

Este Guia Prático complementa o Modelo de Capacidade de Auditoria Interna fornecendo orientação específica sobre o desenvolvimento, implementação e manutenção de um IA-CP para assegurar que a função de auditoria da organização tenha os conhecimentos coletivos, habilidades e outras competências necessárias para completar auditorias planejadas e Função de auditoria à medida que evolui. O Processo de Competência de Auditoria Interna tenta combinar o nível de capacidade da função de auditoria com as competências de auditoria interna necessárias para suportá-la.

Este guia prático destina-se a ajudar chefes executivos de auditoria (CAEs) e auditores internos a planejar e executar serviços de auditoria interna no setor público, ambos em conformidade com as orientações mandatórias do IPPF e levando em consideração o contexto do setor público e normas e requisitos legais/regulatórios relacionados que possam ser aplicáveis. O guia descreve as características que diferenciam as organizações do setor público das organizações do setor privado e explora como esses aspectos únicos afetam a atividade de auditoria interna, desde o estabelecimento do estatuto e do plano de auditoria interna até a execução de trabalhos de auditoria e o reporte dos resultados.

As orientações explicam como a atividade de auditoria interna pode ser afetada pelo objetivo e pelas estruturas de governança das organizações do setor público, bem como pela conformidade legal/regulatória e pelo escrutínio público e prestação de contas a que essas organizações estão sujeitas. As informações básicas incluem uma visão geral da terminologia e dos conceitos do setor público, bem como dos tipos de organizações do setor público e como elas se relacionam.

A compreensão das perspectivas e abordagens da auditoria interna no setor público provavelmente beneficiará não apenas os auditores internos das organizações do setor público, mas também seus stakeholders. Além disso, este guia ajudará auditores internos e consultores que vêm trabalhando principalmente no setor privado a entender o contexto operacional do setor público, para que sejam mais capazes de agregar valor e evitar erros.

Organizações de todos os tipos estão se tornando mais vulneráveis às ameaças virtuais devido à sua crescente dependência de computadores, redes, programas e aplicações, mídias sociais e dados. Em resposta a esses riscos emergentes, os CAEs são desafiados a assegurar que a administração tenha implementado controles preventivos e de detetives. Os CAEs também devem criar uma abordagem clara de auditoria interna para avaliar o risco de cibersegurança e as capacidades de resposta da gerência, com foco na redução do tempo de resposta.

O mais recente Guia de Auditoria de Tecnologia Global (GTAG) do IIA, Avaliação do Risco de Segurança Cibernética: Funções das Três Linhas de Defesa, foi projetado para ajudar os auditores internos a desenvolverem competência no fornecimento de garantia sobre riscos de segurança cibernética.

Avaliação do Risco de Segurança Cibernética: Os papéis das Três Linhas de Defesa discutem o papel da atividade de auditoria interna na segurança cibernética; Explora os riscos emergentes e as ameaças comuns enfrentadas pelas três linhas de defesa; E apresenta uma abordagem direta para avaliar riscos e controles de segurança cibernética.

Todos os anos, bilhões de dólares são gastos globalmente na implementação de novos sistemas de aplicativos empresariais. Controles de aplicativos eficazes ajudarão sua organização a garantir a integridade, precisão, confidencialidade e integridade de seus dados e sistemas. É importante que o CAE e sua equipe desenvolvam e executem auditorias de controles de aplicativos periodicamente, a fim de determinar se eles são projetados apropriadamente e operando de forma eficaz.

Para ajudar ainda mais os CAEs ou outras pessoas que usam este guia, também incluímos uma lista de controles-chave de aplicativos, um exemplo de plano de auditoria e uma lista de algumas ferramentas de revisão de controle de aplicativos.

Se os projetos de TI são desenvolvidos em casa ou são co-sourced com fornecedores de terceiros, eles são preenchidos com desafios que devem ser considerados cuidadosamente para garantir o sucesso. Uma atenção insuficiente a esses desafios pode resultar em desperdício de dinheiro e recursos, perda de confiança e danos à reputação. O envolvimento precoce por auditores internos pode ajudar a garantir resultados positivos e os benefícios que o acompanham. Eles podem servir de ponte entre unidades de negócios individuais e a função de TI, apontar riscos previamente não identificados e recomendar controles para melhorar os resultados.

Auditoria de Projetos de TI fornece uma visão geral das técnicas para efetivamente se envolver com as equipes de projeto e de gestão para avaliar os riscos relacionados com projetos de TI. Este GTAG inclui:

• Principais riscos de gerenciamento de projetos.
• Como a atividade de auditoria interna pode participar ativamente na revisão de projetos, mantendo a independência.
• Cinco componentes-chave dos projetos de TI para auditores internos a considerar ao construir uma abordagem de auditoria.
• Tipos de auditorias de projetos.
• Uma lista sugerida de perguntas para uso na avaliação do projeto de TI.

Com a proliferação do uso de dispositivos inteligentes em todas as organizações, a necessidade de identificar e gerenciar riscos associados à sua utilização tornou-se primordial. Muitos CAEs têm sido desafiados a identificar as oportunidades e ameaças que o uso de dispositivos inteligentes apresenta à organização e à atividade de auditoria interna.

O mais recente Guia de Auditoria de Tecnologia Global (GTAG), Auditoria de Dispositivos Inteligentes: Um Guia do Auditor Interno para Entender e Auditar Dispositivos Inteligentes, foi concebido para ajudar os auditores internos a compreenderem melhor a tecnologia de dispositivos inteligentes e capacitá-los para garantir que os benefícios sejam maximizados enquanto os riscos são minimizados.

Auditoria de Dispositivos Inteligentes: O Guia do Auditor Interno sobre Compreensão e Auditoria de Dispositivos Inteligentes fornece orientação para ajudar os auditores internos a identificar o cenário de risco associado aos dispositivos inteligentes e assegurar que os controles e as políticas de governança no local são adequados para mitigar os riscos apresentados a um nível.

Quase todas as organizações usam alguma forma de UDAs porque podem ser mais facilmente desenvolvidas, são menos onerosas de produzir e normalmente podem ser alteradas com relativa facilidade em relação aos programas e relatórios desenvolvidos pelo pessoal de TI. No entanto, uma vez que os usuários finais recebem a liberdade de extrair, manipular, resumir e analisar seus dados UDA sem o auxílio de pessoal de TI, os usuários finais herdam riscos uma vez controlados pela TI. Esses riscos incluem a integridade dos dados, disponibilidade e confidencialidade. Porque a administração depende de UDAs, que podem ser uma parte significativa de relatórios financeiros e processos operacionais, bem como a tomada de decisões relacionadas; O auditor interno deve determinar e rever os riscos de UDA e construir uma auditoria de UDAs no plano anual de auditoria interna conforme apropriado.

GTAG 14: Auditoria de aplicativos desenvolvidos pelo usuário fornece:

• Direção do escopo de uma auditoria interna de UDAs.
• Orientações sobre como o papel do auditor interno como consultor pode ser alavancado para auxiliar a gerência no desenvolvimento de uma estrutura de controle UDA eficaz.
• Considerações que os auditores internos devem abordar ao realizar auditorias UDA.
• Um exemplo de fluxo de processo UDA, bem como um programa de auditoria interna UDA e folhas de trabalho de apoio para ajudar os auditores internos a organizar e executar uma auditoria.

Este GTAG possui dimensões em como o gerenciamento de continuidade de negócios (BCM) é projetado para capacitar os líderes de negócios para gerenciar o nível de risco que a organização poderia encontrar no caso de um evento perturbador natural ou causado pelo homem que afeta a operabilidade estendida da organização.

Embora a maioria dos executivos concordem que BCM é uma boa idéia, muitos vão lutar para encontrar o orçamento necessário para financiar o programa, bem como um patrocinador executivo que tem tempo para garantir o seu sucesso. O Gerenciamento de Continuidade de Negócios ajudará o CAE a comunicar a conscientização de risco de continuidade de negócios e o gerenciamento de suporte no seu desenvolvimento e manutenção de um programa BCM.

O guia inclui:

• Planejamento de recuperação de desastres para a continuidade da infra-estrutura crítica de tecnologia da informação.
• Sistemas de aplicação empresarial.

Cada "risco de TI" cria algum grau de risco de negócios, tornando importante que os Executivos de Auditoria (CAEs) compreendam completamente as questões de mudança de TI e gerenciamento de patches. GTAG 2: Controles de Gerenciamento de Alterações e Patches: Críticos para o Sucesso Organizacional, 2ª Edição discute essas questões em uma linguagem que permite aos CAEs construir confiança em seu conhecimento da área e agregar valor à conversa ao se comunicar com a gerência sênior, a diretoria e Gerenciamento de TI.

O gerenciamento de mudanças e correções de TI é definido como o conjunto de processos executados no departamento de TI da organização, projetado para gerenciar as melhorias, atualizações, correções incrementais e patches para os sistemas de produção, que incluem:

• Revisão de código de aplicativo.
• Atualizações de sistema (aplicativos, sistemas operacionais e bancos de dados).
• Mudanças de infraestrutura (servidores, cabeamento, roteadores, firewalls, etc.).

Os ambientes de produção de TI estáveis e gerenciados exigem que a implementação de alterações seja previsível e repetível, seguindo um processo controlado definido, monitorado e aplicado. A segregação de tarefas (por exemplo, a separação entre as funções de preparador, testador, implementador e aprovador) e os controles de monitorização reduzirão o risco de fraude e erros no processo.

Os auditores internos devem estar familiarizados com esses controles-chave no processo de gerenciamento de mudanças de TI:

• Somente o pessoal mínimo necessário para implementar mudanças na produção de TI deve ter acesso ao ambiente de produção (preventivo).
• Os processos de autorização devem envolver as partes interessadas para avaliar e mitigar os riscos associados às alterações propostas (preventivas).
• Os processos de supervisão devem encorajar o pessoal de TI a assumir suas funções de forma responsável (preventiva) e ser capaz de detectar o desempenho errôneo (detetive).

Este guia foi desenvolvido para ajudar os auditores internos a fazerem as perguntas certas da organização de TI para avaliar sua capacidade de gerenciamento de mudanças, avaliar o nível geral de risco do processo e determinar se uma revisão mais detalhada do processo pode ser necessária.

Depois de ler este guia, você:

• Terá um conhecimento prático dos processos de gerenciamento de mudanças de TI.
• Será capaz de distinguir entre processos de gestão de mudanças eficazes e ineficazes.
• Será capaz de reconhecer sinalizadores vermelhos e indicadores de que os ambientes de TI estão enfrentando problemas de controle relacionados ao gerenciamento de mudanças.
• Entenderá que o gerenciamento efetivo da mudança depende da implementação de controles preventivos, detectivos e corretivos para garantir a segregação de tarefas e garantir uma supervisão de gerenciamento adequada.
• Será capaz de recomendar as melhores práticas para abordar estas questões, tanto para a garantia de riscos (incluindo atestados de controle), bem como aumentar a eficácia e eficiência.
• Será capaz de vender suas recomendações de forma mais eficaz ao seu diretor de informações, diretor executivo e / ou diretor financeiro.

As informações da segunda edição do GTAG 3: Auditoria Contínua: Coordenação de Auditoria Contínua e Monitoramento para Fornecimento de Garantia Contínua, fornecem aos profissionais a orientação mais atualizada e as melhores práticas para que possam implementar com sucesso uma abordagem de auditoria contínua. Concentra-se em aspectos tecnológicos da auditoria contínua e endereços:

• Uma definição de termos e técnicas relacionados, incluindo auditoria contínua, avaliação contínua de controle, avaliação contínua de riscos, monitoramento contínuo e garantia.
• O papel da auditoria contínua em relação ao monitoramento contínuo.
• Áreas onde a auditoria contínua pode ser aplicada pela atividade de auditoria interna.
• Desafios e oportunidades relacionados à auditoria contínua.
• As implicações para a auditoria interna, o executivo principal de auditoria e a gerência.

O guia fornece as principais considerações que os profissionais precisam para implementar auditoria contínua, o que acabará por ajudá-los a desenvolver uma melhor compreensão do ambiente de negócios e os riscos para a empresa para suportar conformidade e impulsionar o desempenho do negócio.

O IIA lançou um Guia Prático intitulado "GTAG 16: Tecnologias de Análise de Dados". Este guia visa auxiliar os CAEs a entender como ir além dos métodos experimentados e verdadeiros de auditoria manual para melhorar a análise de dados usando tecnologia. Depois de ler este guia, você:

• Entenderá por que a análise de dados é importante para sua organização.
• Saberá como fornecer garantia de forma mais eficiente com o uso da tecnologia de análise de dados. O papel da auditoria contínua em relação ao monitoramento contínuo.
• Será familiarizado com os desafios e riscos que você enfrentará ao implementar a tecnologia de análise de dados em seu departamento.
• Saberá como incorporar análise de dados em sua organização através de planejamento adequado e estruturas de recursos adequadas.
• Reconhecerá oportunidades, tendências e vantagens de fazer uso da tecnologia de análise de dados.

Para auxiliar ainda mais os CAEs e outros indivíduos que usam este guia, também incluímos um exemplo detalhado da aplicação da análise de dados para as atividades de controle de suprimento no Apêndice A. De acordo com o início da maioria dos dados, e a repercussão da funcionalidade do sistema automatizado utilizada no fornecimento de garantia.

Os resultados de várias análises externas de avaliação de qualidade do IIA revelam que o desenvolvimento de um plano de auditoria de TI adequado é um dos elos mais fracos das atividades de auditoria interna. Muitas vezes, os auditores internos simplesmente revêem o que eles sabem ou terceirizam para outras empresas, deixando-os decidir o que a auditoria.

Para isso, o desenvolvimento do plano de auditoria de TI pode ajudar os CAEs e auditores internos a:

• Compreender a organização e como a TI a suporta.
• Definir e compreender o ambiente de TI.
• Identificar o papel das avaliações de riscos na determinação do universo de auditoria de TI.
• Formalizar o plano anual de auditoria de TI.

Este GTAG também fornece um exemplo de uma organização hipotética para mostrar como executar as etapas necessárias para definir o universo de auditoria de TI.

À medida que a tecnologia avança, também os esquemas de cometer fraudes. Portanto, a tecnologia não só pode ser usada para perpetuar a fraude, mas também para preveni-la e detectá-la. O uso de tecnologia para implementar programas de prevenção e detecção de fraudes em tempo real permitirá que as organizações reduzam o custo da fraude ao diminuir o tempo a partir do qual uma fraude é cometida no momento em que é detectada. Considerando isso, é fundamental que os auditores fiquem à frente dos fraudadores em seus conhecimentos de tecnologia e ferramentas disponíveis. Este GTAG concentra-se em riscos de fraude relacionados com TI e avaliações de risco e como o uso da tecnologia pode ajudar os auditores internos e outras partes interessadas dentro da organização de enfrentar a fraude e os riscos de fraude.

Através de um processo passo a passo para a auditoria de um programa de prevenção de fraude, uma explicação dos vários tipos de análise de dados a utilizar na detecção de fraude e um modelo de avaliação de risco de fraude tecnológica, o GTAG visa informar e orientar os principais executivos de auditoria e auditores internos sobre como usar a tecnologia para ajudar a prevenir, detectar e responder a fraudes. O GTAG também complementa o Guia Prático do IIA, Auditoria Interna e Fraude e informa CAEs e auditores internos sobre como usar a tecnologia para ajudar a prevenir, detectar e responder a fraudes.

O gerenciamento de identidade e acesso (IAM) é um processo multifuncional que ajuda as organizações a gerenciar quem tem acesso a quais informações por um período de tempo. Processos IAM deficientes ou mal controlados podem levar a descumprimento regulatório organizacional e a uma incapacidade de determinar se os dados da empresa estão sendo mal utilizados.

CAEs devem ser envolvidos no desenvolvimento da estratégia de IAM da organização, bem como avaliar a implementação da estratégia e eficácia dos controles de acesso da empresa. A finalidade deste GTAG é fornecer a introspecção em que IAM significa a uma organização e sugerir áreas internas da auditoria para a investigação. Ele pode auxiliar CAEs e outros auditores internos para entender, analisar e monitorar os processos IAM da sua organização. Uma lista de verificação para a revisão do IAM também está incluída neste guia.

A informação é um componente significativo da estratégia competitiva de muitas organizações, seja pela coleta direta, gerenciamento e interpretação de informações de negócios, seja pela retenção de informações para o processamento de negócios do dia-a-dia. Alguns dos resultados mais óbvios de falhas de SI incluem danos à reputação, colocando a organização em desvantagem competitiva e descumprimento contratual. Estes impactos não devem ser subestimados.

Este GTAG fornecerá um processo de pensamento para ajudar o CAE a incorporar uma auditoria de governança de segurança da informação (ISG) no plano de auditoria, focalizando se a atividade de ISG da organização fornece os comportamentos corretos, práticas e execução de IS.

GTAG 15: Governança de Segurança da Informação ajudará os esforços para:

• Definir ISG.
• Ajudar os auditores internos a compreenderem as perguntas certas a serem feitas e saberem que documentação é necessária.
• Descrever a função da auditoria interna (IAA) no ISG.

No ambiente de negócios de hoje, tem ocorrido um aumento nas empresas que estão economicamente motivadas a terceirizar porções de TI (Tecnologia da Informação) processos para se concentrar em seu core business. Algumas empresas usam um único provedor de serviços de TI e outras usam multi-sourcing, ou seja, o provisionamento e mistura de serviços de TI e de negócios para alcançar um equilíbrio ótimo de provedores internos e externos. A finalidade do Guia de Auditoria de Tecnologia Global (GTAG) 7, Outsourcing de Tecnologia da Informação, 2ª Edição é ajudar os principais executivos de auditoria e suas equipes de auditoria a determinar a extensão do envolvimento do auditor interno quando a TI é parcial ou totalmente terceirizada em suas entidades.

Este guia fornece informações sobre os tipos de terceirização de TI (ITO), o ciclo de vida da ITO e como os auditores internos podem abordar o risco em conexão com a entrega do ITO. ITO é a contratação de funções de TI, anteriormente realizadas internamente, a uma organização de serviços externos. Multi-sourcing pode adicionar complexidade. As perguntas-chave a serem feitas ao considerar auditorias de atividades de terceirização de TI são:

• Como as atividades de controle de TI que foram terceirizadas estão relacionadas aos processos de negócios?
• Os auditores internos estão adequadamente envolvidos durante os estágios-chave do ciclo de vida da terceirização?
• Os auditores internos têm conhecimento e experiência em TI suficientes para considerar o risco e fornecer a entrada correta?
• Se as atividades de controle de TI forem transferidas para uma organização de serviços de TI, ela compreende as funções e expectativas dos profissionais de auditoria interna? Os auditores internos são capazes de ver o risco de TI e apresentar recomendações para processos que foram terceirizados?
• Que papel desempenham as equipes de auditoria interna durante a renegociação, repatriação e renovação de contratos de terceirização?

O guia aborda como usar as respostas a essas perguntas para determinar uma estratégia de envolvimento da auditoria interna em relação à terceirização de TI para melhor proteger o interesse da organização e atender às expectativas das partes interessadas.

Este GTAG ajuda os principais executivos de auditoria (CAEs) e suas equipes a acompanharem o mundo sempre em mutação e por vezes complexo da tecnologia da informação (TI). Ao fornecer uma visão geral dos riscos e controles relacionados à TI escritos em um estilo de fácil leitura para executivos de negócios, em vez da linguagem altamente técnica, tanto a alta administração quanto o comitê de auditoria esperam que a atividade de auditoria interna forneça garantia em torno de todos os aspectos importantes Riscos. A série GTAG ajuda o CAE e os auditores internos a tornarem-se mais conhecedores dos problemas de risco, controle e governança que envolvem a tecnologia.

O objetivo do primeiro GTAG é ajudar os auditores internos a se familiarizarem mais com os controles gerais de TI para que possam se comunicar com confiança com seu comitê de auditoria e trocar idéias de risco e controle com o CIO e com o gerenciamento de TI. Este GTAG descreve como membros de órgãos governamentais, executivos, profissionais de TI e auditores internos abordam questões significativas relacionadas a riscos e controle de TI e apresentam estruturas relevantes para avaliação de riscos e controles de TI. Além disso, prepara o cenário para GTAGs subseqüentes que cobrem tópicos específicos de TI e papéis e responsabilidades de negócios associados em maior detalhe.

GTAG 4: Gerenciamento de Auditoria de TI, 2ª edição, ajuda os principais executivos de auditoria (CAEs) a acompanhar o cenário em constante evolução da tecnologia da informação (TI) em relação à auditoria de TI. O guia é escrito em linguagem de negócios simples que quadros conceitos de tecnologia em um contexto fácil de entender para o profissional de negócios.

Publicado em 2013, a segunda edição do GTAG 4 leva em conta os últimos desenvolvimentos no cenário de TI e capacita CAEs para gerenciar de forma mais eficiente e eficaz o seu trabalho de auditoria de TI, concentrando-se em três áreas principais:

• Determinar onde os recursos de auditoria de TI são necessários.
• Avaliar com precisão os riscos relacionados à TI.
• Executar efetivamente o trabalho de auditoria de TI.

Além de fornecer conselhos práticos para estas três áreas, o guia oferece a CAEs insight sobre os conjuntos de habilidades que os recursos de auditoria de TI deve possuir para ser eficaz em suas funções e discute critérios gerais para avaliar a maturidade do trabalho de auditoria de TI.

Preparado pelo IIA, cada Guia de Auditoria de Tecnologia Global (GTAG) aborda questões oportunas relacionadas à gestão de TI, risco, controle e segurança. A série GTAG serve como um recurso para CAEs sobre diferentes riscos associados à tecnologia e práticas recomendadas.

Guia de Auditoria de Tecnologia Global (GTAG): Compreensão e Auditoria de Grandes Dados.

Os grandes dados podem proporcionar oportunidades de organização para inovar e expandir suas partes de mercado, desenvolvendo novos produtos ou tomando melhores decisões. Os grandes dados permitem a consolidação e o consumo de grandes volumes de dados estruturados e não estruturados, técnicas de análise únicas e a entrega de relatórios que levaria dias ou semanas para preparar sem grandes dados.

A participação da auditoria interna durante o planejamento e implementação do grande programa de dados é importante porque pode fornecer serviços de assessoria e garantia para ajudar a organização à enfrentar os riscos e planejar planos para implementar os controles necessários para garantir o sucesso do grande programa de dados. A auditoria interna também ajuda a educar o conselho no alcance e impacto de dados importantes e a importância do apoio executivo para implementar e sustentar um grande programa de dados que suporte objetivos estratégicos.

Além de fornecer conselhos práticos para estas três áreas, o guia oferece a CAEs insight sobre os conjuntos de habilidades que os recursos de auditoria de TI deve possuir para ser eficaz em suas funções e discute critérios gerais para avaliar a maturidade do trabalho de auditoria de TI.

Este GTAG fornece uma visão geral dos grandes conceitos de dados para ajudar os auditores internos a identificar os diferentes componentes de um grande programa de dados, incluindo objetivos estratégicos, critérios de sucesso, governança e processos operacionais, tecnologia, ferramentas e outros recursos; E entender como alinhar as atividades de auditoria interna em apoio das grandes iniciativas de dados da organização. Além disso, esta orientação inclui uma estrutura de riscos, desafios e exemplos de controles, que devem ser considerados no planejamento de grandes auditorias de dados.

O objetivo do Global Technology Audit Guide de Terceirização da Tecnologia da Informação (TI) é ajudar os chief audit executives (CAEs) e suas equipes de auditoria a determinar a extensão do envolvimento do auditor interno quando a TI é parcial ou totalmente terceirizada em suas entidades. Este guia fornece informações sobre os tipos de terceirização de TI (IT outsourcing – ITO), o ciclo de vida da terceirização de TI e como os auditores internos podem abordar o risco relacionado à entrega da terceirização de TI.
A terceirização de TI é a contratação de funções de TI, anteriormente realizadas internamente, agora obtidas de uma organização de serviços externos. Cada vez mais, as organizações são economicamente motivadas a terceirizar partes dos processos de TI, para se concentrar em seus negócios principais. Em alguns ambientes do governo, a função de TI é terceirizada para um órgão de serviços compartilhados do governo, que presta serviços, incluindo serviços de TI, a diversos departamentos do governo. Algumas organizações usam um único prestador de serviços de TI e algumas usam o multisourcing, ou seja, o provisionamento e a combinação de serviços de negócios e de TI, resultando em um mix ideal de prestadores internos e externos. O multisourcing pode aumentar a complexidade.

Este GTAG ajuda chief audit executives (CAEs) e os auditores internos a acompanhar o ritmo do mundo sempre mutante e às vezes complexo da TI, fornecendo recursos escritos para executivos de negócios – e não para executivos de TI. Tanto a administração quanto o conselho têm a expectativa de que a atividade de auditoria interna preste avaliação de todos os riscos importantes, incluindo aqueles apresentados ou possibilitados pela implementação da TI. A série GTAG ajuda o CAE e os auditores internos a conhecerem melhor as questões de riscos, controle e governança que envolvem a tecnologia. O objetivo deste GTAG é ajudar os auditores internos a se sentirem mais à vontade com os controles gerais de TI, para que possam conversar com seu conselho e trocar ideias sobre riscos e controle com o chief information officer (CIO) e a gerência de TI. Este GTAG descreve como os membros de órgãos governamentais, executivos, profissionais de TI e auditores internos abordam questões significantes de riscos e controle relacionadas à TI e apresenta frameworks relevantes para avaliar riscos e controles de TI. Além disso, estabelece um contexto para que outros GTAGs abordem com mais detalhes tópicos de TI específicos e funções e responsabilidades de negócios associadas. Este guia é a segunda edição da primeira publicação da série GTAG – GTAG 1: Information Technology Controls –, publicada em março de 2005. Seu objetivo era, e é, fornecer uma visão geral do tópico de riscos e controles relacionados à TI.

Este GTAG fornece aos auditores internos, nos setores público e privado, os conhecimentos necessários para cumprir suas responsabilidades no fornecimento de serviços de garantia e consultoria para governança de TI. A orientação abrange os diferentes aspectos da governança que devem estar em vigor para garantir o apoio de TI às estratégias da organização e objetivos, e discute bandeiras vermelhas para procurar e sinalizar esses casos. Ele também descreve elementos de governança eficaz e quadros de desempenho, tais como balanced scorecards, modelos de maturidade e sistemas de qualidade. Esta orientação fornece uma descrição de controles de exemplo que abordam riscos de governança de TI, planejamento de auditoria, verificação, testes e relatórios de ações para auxiliar no desenvolvimento de programas de auditoria prática. Finalmente, fornece diretrizes para facilitar auditorias de governança de TI, fornecendo orientação sobre como escopo do envolvimento, definição de objetivos de auditoria e avaliação de riscos e controles relacionados.

Na era digital, as organizações devem tratar os dados da mesma forma que tratariam o dinheiro: como um ativo organizacional que deve ser protegido, tanto de pessoas internas quanto de pessoas externas à organização. A proteção dos ativos digitais da organização contra violações de dados catastróficas não deve mais ser vista como responsabilidade exclusiva da gerência da tecnologia da informação (TI). A alta administração e o conselho são, em última análise, responsáveis por gerenciar os riscos da organização aos níveis que permitam que ela alcance seus objetivos.

O que é a Metodologia GAIT?

A metodologia GAIT é um guia para avaliar o escopo dos controles gerais de TI usando uma abordagem de cima para baixo e baseada em risco.

Para quem é isso?

A administração e os auditores externos podem usar este guia na identificação de controles-chave nos controles gerais de TI como parte da continuação de seu acompanhamento de controles internos de controle interno sobre relatórios financeiros, de cima para baixo e com base no risco.

Como pode ajudar?

O IIA desenvolveu esta orientação para ajudar as organizações a identificar os principais controles gerais de TI onde uma falha pode resultar indiretamente em um erro material ou em uma demonstração financeira. Mais especificamente, essa metodologia permite que os gerentes e auditores identifiquem os principais controles gerais de TI como parte e como uma continuação dos esforços de delineamento de risco para a conformidade com a Seção 404 da empresa.

Se for provável uma falha, a metodologia identifica os riscos do processo de controle geral de TI em detalhes e os objetivos de controle geral de TI relacionados que, quando alcançados, atenuam esses riscos. O CobiT e outras metodologias podem então ser usados para identificar os controles-chave que tratam desses objetivos de controle geral de TI.

Os princípios

Os quatro princípios que constituem a base para a metodologia são consistentes com a metodologia descrita no Padrão de Auditoria nº 5 da Empresa Pública de Supervisão de Contabilidade. São eles:

• 1. A identificação de riscos e controles relacionados em processos gerais de controle de TI (por exemplo, no gerenciamento de mudanças, implantação, segurança de acesso e operações) deve ser uma continuação da abordagem top-down e baseada em risco usada para identificar contas significativas, riscos para aqueles Contas e controles-chave nos processos de negócios.
• 2. Os riscos do processo de controle geral de TI que precisam ser identificados são aqueles que afetam a funcionalidade de TI crítica em aplicações financeiramente significativas e dados relacionados.
• 3. Os riscos do processo de controle geral de TI que precisam ser identificados existem em processos e em várias camadas de TI: código de programa aplicativo, bancos de dados, sistemas operacionais e redes.
• 4. Os riscos nos processos de controle geral de TI são mitigados pela realização dos objetivos de controle de TI, e não pelos controles individuais.

A Metodologia GAIT permite que as organizações implementem os princípios e dê aos gerentes e auditores orientação sobre o escopo de controles gerais de TI e as ferramentas para defender essas decisões.

O que é GAIT para a Avaliação de Deficiência de Controle Geral de TI?

O GAIT para a Avaliação Geral de Deficiência de Controle de TI, ou GAIT 2, fornece uma abordagem para avaliar as deficiências de controles gerais de TI identificadas durante a avaliação anual de controle interno sobre relatórios financeiros. GAIT 2 fornece uma plataforma para auditores internos discutirem sua avaliação de deficiência com auditores externos, gestão e outros.

Além disso, o GAIT 2 baseia-se nas diretrizes fornecidas na estrutura para Avaliação de Exceções e Deficiências de Controle, uma metodologia desenvolvida em 2004 por nove empresas de contabilidade pública certificadas que orientaram a administração e auditores internos e externos na avaliação de deficiências no sistema de controle interno da organização sobre os relatórios financeiros. O GAIT 2 incorpora três anos de experiência prática aplicando esta orientação e aborda as mudanças extensivas nas normas e práticas relacionadas às avaliações da Seção 404 que ocorreram nesse período.

Para quem é e como pode ajudar?

Este Guia Prático fornece uma abordagem atualizada para a avaliação das deficiências de controle geral de TI, ajudando os auditores ou a gerência a avaliarem se eles representam fragilidades materiais ou deficiências significativas.

O processo de avaliação do GAIT 2 consiste de 10 etapas baseadas em seis princípios. Esses princípios são:

• Para avaliar as deficiências do ITGC, é necessário entender a cadeia de confiança entre as demonstrações financeiras e os principais ITGCs que falharam.
• Para que haja uma fragilidade material, dois testes devem ser atendidos: a) probabilidade e b) impacto (ou seja, a distorção potencial das demonstrações financeiras).
• Como uma deficiência de ITGC não afeta diretamente as demonstrações financeiras, a avaliação não é similarmente direta. A avaliação está em estágios ou etapas, e os testes de probabilidade e impacto são aplicados através de uma combinação das etapas.
• Todas as deficiências ITGC que se relacionam com o mesmo ITGC objetivo devem ser avaliados como um grupo.
• Todos os objetivos ITGC que não são alcançados e se relacionam com os mesmos controles automatizados principais, relatórios importantes ou outras funcionalidades críticas devem ser avaliados como um grupo.
• O princípio da agregação exige que as deficiências de controle de todos os tipos - incluindo as deficiências de controle manuais e automatizadas relacionadas com a mesma conta ou divulgação significativa - sejam consideradas como um grupo.

O que é GAIT para negócios e riscos de TI?

GAIT para negócios e TI Risco, ou GAIT-R, concentra-se na identificação dos principais controles que são essenciais para a realização de metas e objetivos de negócios.

Para quem é isso?

O GAIT-R foi desenvolvido principalmente para profissionais de auditoria interna. Ele também pode ser usado por governança de TI e gerentes de segurança ou aqueles que são encarregados de projetar e gerenciar riscos de TI dentro de suas organizações.

Como pode ajudar?

GAIT-R melhora a eficiência e eficácia das funções de auditoria interna, permitindo um foco no risco do negócio e minimizando a atenção aos riscos de TI que não são críticos para a organização. Ele permite que os principais executivos de auditoria (CAEs) forneçam segurança sobre o risco do negócio com o conforto de que as questões relacionadas a TI recebem o nível apropriado de consideração.

Da mesma forma que os outros Guias Práticos da série GAIT, a metodologia GAIT-R é construída em torno de um conjunto de princípios:

• 1. O fracasso da tecnologia é apenas um risco que precisa ser avaliado, gerenciado e auditado se representa um risco para o negócio.
• 2. Os controles-chave devem ser identificados como resultado de uma avaliação de cima para baixo dos riscos de negócios, tolerância ao risco e controles - incluindo controles automatizados e controles gerais de TI (ITGCs) - necessários para gerenciar ou mitigar o risco do negócio.
• 3. Os riscos de negócio são atenuados por uma combinação de controles-chave manuais e automatizados.
• 4. Para avaliar o sistema de controle interno para gerenciar ou mitigar riscos de negócios, os principais controles automatizados precisam ser avaliados.
• 5. ITGCs podem ser invocados para fornecer garantia do funcionamento contínuo e adequado de controles-chave automatizados.

Essa metodologia também oferece um escopo baseado nos riscos para cada objetivo de negócio identificado, que inclui controles-chaves manuais dentro de cada processo de negócios; Automatizados e híbridos dentro de cada processo de negócio; Controles-chave nos processos ITGC; E controles no nível da entidade, incluindo atividades no ambiente de controle, informação e comunicação e outras camadas do modelo de controle interno do COSO.

Esta nova orientação é projetada para ilustrar práticas comuns tipicamente estabelecidas em uma carta de atividade de auditoria interna. Foi elaborada de forma genérica e pode não refletir todos os requisitos legais ou regulamentares que existem na jurisdição do leitor. Além disso, as expectativas das partes interessadas podem influenciar a inclusão ou exclusão de certas práticas. O cuidado deve ser exercido por aqueles que se adaptem a este modelo para garantir que todos esses requisitos sejam refletidos em sua carta personalizada.

A Carta Modelo de Atividades de Auditoria Interna atua como um guia para auxiliar na conformidade com as Normas 1000: Propósito, Autoridade e Responsabilidade e 1010: Reconhecendo Orientação Obrigatória na Carta de Auditoria Interna.

Esta Percepção Global do Setor Público tem como objetivo fortalecer o MoU e ainda a colaboração entre auditores internos e auditores externos, comparando e contrastando a orientação oficial para auditores internos e externos e suas respectivas organizações responsáveis pelo estabelecimento de normas (IIA e INTOSAI).

Esta Percepção Global do Setor Público não pretende cobrir todas as semelhanças e diferenças entre o IIA e a INTOSAI ou suas respectivas estruturas de orientação oficial — o IPPF do IIA e as Normas Profissionais da INTOSAI. Pelo contrário, centra-se na comparação e contraste de conceitos-chave que estão presentes em ambas as estruturas de orientação. Estes são os conceitos mais susceptíveis para promover o entendimento e impactar oportunidades de coordenação e cooperação entre auditores internos e externos no exercício de suas funções.

Bancos1 e outras grandes organizações de serviços financeiros dependem amplamente de modelos matemáticos para tomar decisões de negócios e atender aos requisitos regulatórios. Os modelos são inerentemente arriscados, porque aplicam teorias estatísticas, econômicas, financeiras ou matemáticas, que exigem o uso de premissas baseadas no julgamento, para produzir estimativas de eventos financeiros do mundo real. Esse processo pode levar a resultados imprecisos ou incorretos.

Além disso, erros podem ser introduzidos ao longo do ciclo de vida do modelo, desde erros nos dados de entrada até cálculos incorretos, e a aplicação inadequada do modelo e de seus resultados. A crescente dependência das organizações quanto a modelos analíticos quantitativos trouxe maior atenção regulatória ao gerenciamento eficaz do risco de modelo (model risk management – MRM). À medida que o escrutínio regulatório aumenta em torno do gerenciamento de risco de modelo, a atividade de auditoria interna desempenha um papel fundamental na avaliação da estrutura de MRM da organização.

Esta orientação oferece uma visão geral das responsabilidades da atividade de auditoria interna relacionadas ao MRM e descreve métodos e processos que os auditores internos podem usar para revisar o desenvolvimento, a implementação e a operação da estrutura de MRM da organização.
 

Em resposta a várias crises financeiras que tiveram repercussões globais, o Basel Committee on Banking Supervision (BCBS) reforçou suas diretrizes sobre a adequação de capital dos bancos.

Adequação de capital significa que a instituição tem capital suficiente para administrar seus negócios e, ao mesmo tempo, absorver o risco e a volatilidade de seus riscos de crédito, mercado e operacional.

O Basel Committee também enfatizou a responsabilidade compartilhada da alta administração e do conselho de avaliar e garantir a adequação de capital nos bancos1. O reporte regulatório e novas métricas, conforme estabelecidos no Basel II e III, são ferramentas processuais importantes e metodológicas usadas em revisões e avaliações de supervisão dos bancos.

O objetivo desta orientação é fornecer uma visão geral das normas e princípios internacionais de gerenciamento da adequação de capital e explorar o papel da auditoria interna na avaliação do processo de planejamento de capital.