Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
AUDITORIA INTEGRADA
JULHO DE 2012
– Guia Prático
IPPF – Guia Prático
Auditoria Integrada
www.globaliia.org/standards-guidance / C
Índice
Sumário Executivo .................................................................................................. 1
Introdução .............................................................................................................. 1
Auditoria Integrada ..................................................................................................
1. Por que usar uma metodologia integrada de auditoria? ........................... 2
2. Criando um plano de auditoria integrada ................................................. 4
3. Conduzindo uma auditoria integrada ....................................................... 5
4. A auditoria integrada em atividades de auditoria de pequeno porte........ 6
Anexo: Checklist de eficácia da auditoria integrada ............................................. 8
Autores e Revisores: ............................................................................................... 9
IPPF – Guia Prático
Auditoria Integrada
www.globaliia.org/standards-guidance / 1
Sumário Executivo Historicamente, as auditorias internas foram associadas
à obtenção de informações sobre sistemas financeiros e
de registros financeiros de uma organização ou negócio.
No entanto, agora, as auditorias incluem áreas de
conhecimento não financeiro, como segurança, desem-
penho dos sistemas de informação e preocupações
ambientais. Em organizações sem fins lucrativos e agências
governamentais, tem havido uma demanda crescente de
auditorias de desempenho, que examinam o sucesso na
satisfação dos objetivos da missão. Como resultado, há
profissionais de auditoria especializados em auditorias
de segurança, auditorias de sistemas de informação e
auditorias ambientais. Integrar essa base de conheci-
mento em uma única auditoria produz um resultado
mais eficaz, por meio de uma abordagem holística. As
decisões relativas à avaliação de riscos exigem dos
auditores um maior foco, para ampliar suas perspectivas
e pensar fora da caixa. O propósito deste Guia Prático
é aumentar a conscientização do auditor interno sobre
a auditoria integrada e oferecer orientações sobre como
abordar uma auditoria integrada.
As seções principais desta orientação oferecem infor-
mações para explicar:
As diferenças entre uma abordagem de auditoria
integrada e uma abordagem de auditoria não
integrada.
As vantagens de uma abordagem de auditoria
integrada.
As situações em que uma abordagem de auditoria
não integrada possa ser mais eficaz do que uma
abordagem integrada.
Como criar um plano de auditoria integrada.
Considerações sobre as habilidades ou
conhecimentos especializados necessários para
conduzir uma auditoria integrada.
A auditoria integrada em atividades de auditoria de
pequeno porte.
Introdução O International Professional Practices Framework (IPPF)
é o framework conceitual que organiza as orientações
fidedignas promulgadas pelo The Institute of Internal
Auditors (The IIA). O IPPF inclui a Definição de
Auditoria Interna, o Código de Ética, as Normas
Internacionais para a Prática Profissional de Auditoria
Interna (Normas) e orientações fortemente recomen-
dadas, como este Guia Prático.
Ao conduzir trabalhos de auditoria integrada, os
auditores internos devem considerar as seguintes
normas delineadas no IPPF:
Norma 1200: Proficiência e Zelo Profissional
Devido.
Norma 1210: Proficiência.
Norma 2010: Planejamento.
Norma 2200: Planejamento do Trabalho de
Auditoria.
Norma 2210: Objetivos do Trabalho de Auditoria.
Norma 2230: Alocação de Recursos para o
Trabalho de Auditoria.
Norma 2240: Programa de Trabalho de Auditoria.
O chief audit executive (CAE) deve considerar uma
abordagem de auditoria integrada como parte da
metodologia geral usada pela atividade de auditoria
interna. O objetivo é atingir um trabalho de auditoria
mais eficiente e eficaz. As orientações atuais do IPPF
servem como base sólida para essa abordagem. Este
guia discutirá áreas que melhoram o trabalho de
auditoria, oferecendo orientações sobre as áreas que
podem variar entre a abordagem tradicional anterior e
a abordagem atual de auditoria integrada.
IPPF – Guia Prático
Auditoria Integrada
2 / www.globaliia.org/standards-guidance
1. Por que usar uma metodologia integrada
de auditoria?
Quais são as diferenças entre uma abordagem de
auditoria integrada e uma abordagem de auditoria não
integrada?
A auditoria integrada difere da auditoria não integrada
em termos de escopo e complexidade geral. A
auditoria tradicional e a auditoria integrada diferem
em escopo e na profundidade e amplitude da
cobertura. Por exemplo, uma auditoria tradicional
pode ter foco sobre os aspectos financeiros ou
operacionais, enquanto uma auditoria integrada
tomará uma abordagem mais global, que examine
diversos aspectos, incluindo, mas não se limitando ao
financeiro, operacional, TI, regulatório, conformidade,
ambiental e fraude.
A complexidade de uma auditoria integrada está
diretamente relacionada à sua natureza mais ampla, o
que pode exigir:
O uso de múltiplas técnicas de auditoria para
chegar ao resultado desejado.
O maior uso de recursos externos ou maior
conhecimento da equipe e conjuntos adicionais de
habilidades.
Melhores habilidades de gestão de projetos, para
garantir a coordenação e conclusão eficazes da
auditoria.
Uma abordagem equilibrada à identificação e
classificação de riscos, especialmente em áreas
pouco familiares, que não tenham sido
tradicionalmente revisadas.
Supervisão e criatividade maiores, para o auditor
pensar fora da caixa, e comunicação com todas as
partes envolvidas no trabalho.
Mudanças no modelo atual de estruturação da
equipe.
A atividade de auditoria interna deve considerar o uso
de múltiplas técnicas de auditoria ao conduzir uma
auditoria integrada, para chegar ao resultado desejado
para o trabalho com eficiência e eficácia. Exemplos
dessas técnicas de auditoria podem incluir, mas não se
limitam à auditoria contínua, amostragem, pesquisas e
análise de dados. Muitas dessas técnicas são usadas em
auditorias tradicionais, mas não é uma prática comum
usá-las em combinação. A meta principal é pensar fora
da caixa e considerar o uso de técnicas apropriadas, para
levar, com maior eficiência, ao resultado da auditoria.
A auditoria integrada exigirá maior conhecimento, para
garantir que ocorram a identificação e avaliação apro-
priadas dos riscos. A inclusão de pessoal de diversos
departamentos, consultores externos, mais pesquisas de
auditoria, treinamento e possíveis mudanças no modelo
atual de estruturação de equipe podem ser necessários
para aperfeiçoar a expertise da equipe de auditoria.
Pesquisas de auditoria e treinamento adicionais pode-
riam acrescentar tempo à auditoria e aumentar seus
custos. A equipe de auditoria deve se familiarizar com
os recursos de auditoria e de treinamento disponíveis na
Internet, que oferecerão as informações desejadas e
ajudarão a mitigar o aumento dos custos. Entender e
usar os recursos disponíveis em outros departamentos
poderia ser uma forma eficaz de trazer expertise para a
auditoria, sem aumentar os custos. Uma sugestão é que
a atividade de auditoria interna mantenha um
inventário dos profissionais da organização que
poderiam ser alavancados como especialistas, para
suplementar os conhecimentos dos recursos existentes
de auditoria. A equipe de auditoria em si precisará ter o
conjunto de habilidades necessário para consolidar em
uma avaliação de riscos abrangente as informações
coletadas. As decisões sobre a avaliação de riscos
demandarão coordenação entre todas as partes, para
garantir as classificações apropriadas dos riscos.
A visão mais holística de uma auditoria integrada exige
que o auditor modifique sua perspectiva e pense além
do escopo tradicional de auditoria. Um papel crucial
para o sucesso de uma auditoria integrada é o auditor
IPPF – Guia Prático
Auditoria Integrada
www.globaliia.org/standards-guidance / 3
líder (ou auditor chefe), devido aos maiores requisitos
de qualificação e capacidades de gestão de projetos de
auditoria. O auditor líder deve ter pleno entendimento
do risco em potencial da atividade de auditoria, em
todos os aspectos do escopo de auditoria. O auditor
líder precisará ter habilidades informais suficientes para
garantir o trabalho em equipe eficaz entre a equipe de
auditoria e outros que agreguem expertise ao trabalho.
Conforme observado, uma auditoria integrada pode
exigir recursos adicionais para formar a base de conhe-
cimentos para a identificação e avaliação dos riscos. O
auditor líder é responsável por garantir a coordenação
entre todas as áreas e uma abordagem equilibrada à
identificação e classificação dos riscos. O auditor líder
desempenha um papel essencial para um resultado
bem-sucedido do plano de trabalho. O auditor líder
deve garantir a comunicação entre todas as partes
envolvidas e a conclusão tempestiva das atividades de
auditoria. São necessárias mais habilidades de gestão de
projetos e o uso de uma ferramenta de agendamento é
sugerido para monitorar a conclusão.
A demanda por uma maior expertise pode exigir a
modificação do plano de estruturação da auditoria. Isso
poderia incluir contratar membros para a equipe com
expertise específica em conformidade regulatória ou
engenharia ambiental. O tipo de expertise depende da
organização e da auditoria.
A complexidade geral de uma auditoria integrada é
gerenciável, se as pessoas certas estiverem envolvidas.
Isso inclui a vontade de compartilhar expertise por parte
dos departamentos da organização, e o conhecimento e
o conjunto de habilidades do auditor líder. É necessário
que haja intenção de alocar os recursos apropriados,
para garantir resultados de sucesso nessas auditorias de
maior e mais amplo escopo.
Quais as vantagens da abordagem de auditoria
integrada?
Adotar uma abordagem de auditoria integrada pode
aumentar a credibilidade da atividade de auditoria
interna, resultado na maior relevância de seu trabalho e
em mais oportunidades de ser vista como participante
essencial de grandes projetos, desde o início. Muitos
percebem que os auditores aumentam sua confiança e
se tornam mais proficientes em outras facetas das
operações da organização, aumentando sua eficácia.
Outras vantagens incluem a maior cobertura, o melhor
reporte e a maior eficácia das avaliações de riscos e dos
planejamentos de auditoria.
Quando a abordagem de auditoria tradicional é mais
eficaz do que a abordagem de auditoria integrada?
A adoção de uma estratégia de auditoria integrada não
significa que auditorias de escopo limitado não serão
mais usadas. As avaliações de riscos podem sugerir que
uma auditoria de alto risco de um único elemento seja
a prioridade. Isso poderia resultar em uma auditoria de
escopo menor. Exemplos disso seriam uma auditoria de
conformidade com requisitos regulatórios para docu-
mentações de empréstimo ou uma auditoria de integri-
dade e precisão de informações da administração.
Certas restrições podem limitar a eficácia de uma
abordagem de auditoria integrada, incluindo limitações
de recursos ou orçamento. Quando a atividade auditada
é conduzida por uma equipe de pequeno porte, pode ser
necessário limitar o número de auditores envolvidos em
uma tarefa, para evitar a interrupção da atividade
comercial diária.
Em suma, diversas abordagens de auditoria devem ser
consideradas. O CAE deve determinar a melhor
abordagem com base na organização, na atividade a ser
auditada e nos recursos disponíveis. O uso de múltiplas
abordagens de auditoria permite que uma complemente
a outra.
IPPF – Guia Prático
Auditoria Integrada
4 / www.globaliia.org/standards-guidance
2. Criando um plano de auditoria integrada
Para que uma organização adote a auditoria integrada,
a estrutura de governança corporativa deve estar
suficientemente amadurecida. O conselho1 deve estar
certo de que a atividade de auditoria interna conta com
habilidades técnicas e gerenciais suficientes para
conduzir uma auditoria integrada. Essas habilidades
incluirão habilidades técnicas, interpessoais e geren-
ciais necessárias para conduzir uma auditoria de escopo
mais amplo.
Quais dimensões adicionais existem na auditoria?
Identificação e avaliação de riscos ampliadas.
Identificação dos controles sobre a área de escopo
mais amplo.
Recursos adicionais necessários, em números e
expertise, para executar o plano de auditoria
integrada.
Aprovação do CAE para concluir o plano de
auditoria integrada.
1. Há uma tendência crescente que conselhos solicitem auditorias de questões legais relativas a contratos, conformidade regulatória ou outras preocupações das partes interessadas. A abordagem de auditoria integrada pode ser a mais eficaz.
2. O conselho e a alta administração podem exigir o monitoramento contínuo da organização, para permitir a avaliação de toda a organização e para que essa avaliação seja prestada em tempo real. Uma auditoria integrada pode ser a abordagem mais eficiente e eficaz.
3. Há uma exigência crescente pela avaliação de áreas como governança de TI e computação na nuvem. A avaliação dessas áreas pode estar fora da expertise do departamento de auditoria tradicional, mas poderia ser assumida por uma auditoria integrada.
Figura 1
A Figura 1 mostra exemplos em que uma auditoria
integrada deveria ser considerada.
Primeiro Passo: Revisar o ciclo de gerenciamento de
riscos.
Faça as seguintes perguntas:
O processo existente de gerenciamento de riscos
tem alcance suficiente para capturar todos os riscos
significantes – isto é, eventos que poderiam
prevenir o atingimento dos objetivos da
organização?
Para o universo de auditoria considerado, o mapa
de riscos engloba toda a organização? Isso incluiria
áreas previamente vistas como externas ao escopo,
capacidades ou expertise da função de auditoria
interna.
1 Conforme definido no glossário das Normas, “um conselho é um corpo diretivo da organização, como um conselho de administração, conselho de supervisão, chefe de uma agência ou órgão legislativo, conselho de gestores ou curadores de uma organização sem fins lucrativos ou qualquer outro órgão designado da organização, incluindo o comitê de auditoria ao qual o chief audit executive pode reportar funcionalmente”.
Por exemplo, a função de pesquisa e desenvolvimento
está produzindo novos designs e produtos? O equipa-
mento e os softwares de controle de processos estão
devidamente protegidos? Os instrumentos financeiros
estão sendo apropriadamente testados? As questões
regulatórias estão sendo abordadas? Está sendo feito
lobby suficiente quando apropriado? A reputação está
sendo protegida? Estão sendo feitas revisões dessas
áreas, e elas estão incluídas na avaliação passada à alta
administração e ao conselho?
As respostas a essas e a questões parecidas poderiam
indicar riscos não abordados pela atividade de auditoria
interna. Quando são identificados riscos dessa ampli-
tude, uma auditoria dessas áreas poderia exigir um nível
especializado de conhecimento, que poderia ser incor-
porado a um plano de auditoria integrada.
IPPF – Guia Prático
Auditoria Integrada
www.globaliia.org/standards-guidance / 5
Segundo Passo: Visão geral dos controles internos.
Após identificar o universo de riscos mais amplo, a
auditoria interna deve revisar os controles relativos a
esses riscos.
Por exemplo, dentro da organização, pode haver a
duplicação de processos de controle da saída de bens
para venda, como a verificação da documentação,
sistemas de acesso eletrônico, supervisão manual e
vigilância por closed caption television (CCTV). É
possível que todos esses controles individuais possam
ser testados separadamente, como a verificação da
documentação (em uma revisão das contas a pagar),
teste de acesso eletrônico (em uma revisão do
departamento encarregado dos equipamentos), teste de
amostragem da supervisão manual (em uma revisão do
departamento de remessa) e uso de CCTV (em uma
revisão da função de segurança).
A auditoria integrada, nesse exemplo, exigiria que o
processo de auditoria tivesse foco sobre o controle das
remessas e o registro dos itens, em vez de uma auditoria
de transações individuais e auditorias de sistemas.
Terceiro Passo: Identificar o nível necessário de
expertise.
O CAE deve considerar a expertise que não entraria,
normalmente, na abordagem histórica de auditoria
interna. A expertise necessária para conduzir a revisão
pode existir dentro da organização, mas não fazer parte
da atividade de auditoria interna, ou pode ser
identificada uma lacuna de expertise que deva ser
terceirizada.
Quarto Passo: Considerar métodos e cronograma.
Mapeie os métodos e o cronograma da cobertura de
auditoria necessária junto à lista nova e expandida de
riscos. Esse é um processo direto de cálculo das horas
de trabalho necessárias para cada tarefa.
Quinto Passo: Calcular os recursos.
Calcule os recursos necessários, em termos da
capacidade existente dentro da atividade de auditoria
interna e da organização, e qualquer nova capacidade
que seria necessária, como pessoas qualificadas para
revisar áreas específicas. O resultado desse cálculo será
o custo componente de conduzir a auditoria integrada.
Sexto Passo: Priorizar as atividades auditáveis dentro
do plano de auditoria.
É importante que os critérios usados para comparar e
avaliar os riscos, em todas as áreas da organização que
serão abordadas no programa de auditoria integrada,
tenham um sistema comum de pontuação.
Sétimo Passo: Combinar os custos.
O custo do plano de auditoria integrada deve ser
determinado. Esse é um processo simples, de combinar
os custos identificados no Quinto Passo com a lista
priorizada de auditorias identificada no Sexto Passo.
Oitavo Passo: Buscar aprovação do conselho.
O CAE deve estar preparado para responder às
seguintes perguntas, ao apresentar um plano de
auditoria integrada, como parte de um conjunto geral
(agendado) de auditorias apresentado ao conselho para
aprovação:
A abordagem de auditoria integrada dá maior
garantia ao conselho e à alta administração? Isso
pode ser demonstrado?
O plano de auditoria integrada é entregável?
Qual o custo? Há uma métrica de equação do custo
da auditoria versus garantia que demonstre o
benefício dessa abordagem?
3. Conduzindo uma auditoria integrada
Questões para o Auditor Líder
Durante o planejamento de auditoria, o auditor líder
deve entender todas as facetas do plano de auditoria e
quais habilidades ou conhecimentos especializados
podem ser necessários para sua condução. O auditor
líder deve montar uma equipe com os conhecimentos e
experiências combinados necessários para avaliar os
riscos e os controles relevantes da atividade sob revisão.
IPPF – Guia Prático
Auditoria Integrada
6 / www.globaliia.org/standards-guidance
Ao construir tal equipe, o auditor líder deve considerar
se é necessário aumentar o nível de habilidades ou
conhecimentos especializados da equipe para melhorar
a qualidade da auditoria.
O líder da equipe deve supervisionar o trabalho do
especialista, para confirmar se há evidências suficientes
de quaisquer erros identificados ou deficiências de
procedimento/controle reportadas. O líder da equipe
pode promover o desenvolvimento dos auditores internos,
encarregando a equipe de trabalhar com o especialista,
para garantir uma transferência de habilidades e de
conhecimento para a equipe de auditoria. As expecta-
tivas do trabalho a ser realizado pelo especialista devem
ser comunicadas claramente pelo líder da equipe.
Estruturando uma equipe de auditoria integrada
A seleção eficaz de membros para a equipe de auditoria,
incluindo aqueles com habilidades ou conhecimentos
especializados, é necessária para atingir um resultado
positivo em uma auditoria integrada. Atividades de
auditoria de menor porte podem não ter profissionais
com especializações específicas à auditoria, para garan-
tir a estruturação adequada da equipe de auditoria. O
co-sourcing, auditores convidados ou o uso de especia-
listas internos ou externos são soluções comuns para
esse desafio. Os especialistas complementarão as
habilidades e o conhecimento organizacional da equipe
existente. Todos os membros da equipe devem entender
seu papel e como ele se relaciona com a auditoria e com
os riscos da atividade sob revisão.
Competências da atividade de auditoria integrada
O CAE tem opções para estruturar o departamento de
auditoria, para garantir que tenha as habilidades, os
conhecimentos e as especialidades necessárias para
auditorias integradas de sucesso.
Os auditores internos devem ter oportunidade de obter
o conhecimento e as habilidades necessárias para
conduzir qualquer tipo de auditoria. A Norma do The
IIA 1210: Proficiência declara que todos os auditores
internos devem ter o conhecimento, as habilidades e
outras competências necessárias para cumprir com suas
responsabilidades individuais. No entanto, o custo e o
tempo para treinar todos os auditores internos em todos
os aspectos seriam proibitivos para muitas organizações.
O melhor uso dos recursos pode ser usar os auditores
internos e os especialistas nas áreas de trabalho para as
quais foram treinados e nas quais são mais competentes.
Os auditores internos com ampla abrangência de
habilidades podem ser um risco de retenção, por conta
de sua maior demanda no mercado. A rotatividade
excessiva da equipe pode levar a um ciclo de retreina-
mento para substituir talentos perdidos. Tal possibilidade
não pode prevenir que as organizações adotem uma
estratégia agressiva de treinamento, para ampliar a base
de habilidades e conhecimentos da atividade. Os CAEs
precisam considerar sua estratégia de retenção, para
prevenir a perda de talentos. O treinamento das novas
habilidades pode fazer parte de uma boa estratégia de
retenção.
4. A auditoria integrada em atividades de
auditoria de pequeno porte
Muitas atividades de auditoria de menor porte são
estruturadas para atender à natureza e à escala dos
negócios em que atuam. Tais organizações podem
incluir as seguintes características comuns:
Um a cinco auditores.
Horas produtivas de auditoria interna inferiores a
7.500 ao ano.
Nível limitado de co-sourcing ou terceirização.
Uma atividade de auditoria de menor porte pode não ter
infraestrutura para apoiar um programa/um plano de
auditoria integrada, em comparação com o que uma
função maior seria capaz de apoiar.
Para alavancar com eficácia a auditoria integrada em
um departamento de auditoria de pequeno porte, maior
consideração deve ser dada a como a auditoria integrada
pode ser alavancada para apoiar os objetivos de geren-
ciamento de riscos da organização.
IPPF – Guia Prático
Auditoria Integrada
www.globaliia.org/standards-guidance / 7
A Norma do The IIA 2000: Gerenciamento da Atividade
de Auditoria Interna exige que o CAE gerencie com
eficácia a atividade de auditoria interna, para garantir
que ela agregue valor à organização.
Ao alavancar um modelo com base em riscos, o
planejamento do trabalho realizado por meio da lente
da avaliação integrada de riscos pode dar à atividade de
auditoria de menor porte a oportunidade de uma maior
eficiência e de apoiar a cobertura eficaz dos riscos
dentro do programa e dos objetivos de auditoria. O
conceito de auditoria integrada pode frequentemente
incluir recursos externos ao departamento que possuam
conhecimentos especializados ou técnicos de auditoria,
para melhor apoiar o planejamento e a definição do
escopo do trabalho em múltiplas áreas de riscos. Em
alguns casos, esses recursos podem ser encontrados
dentro da organização, desde que a objetividade dos
recursos seja mantida. Em outros casos, os recursos que
possuem os conhecimentos especializados ou técnicos
necessários para orientar o desenvolvimento do escopo
do trabalho podem ser trazidos de fora. A equipe do
departamento deve trabalhar com especialistas alocados
e alavancar as oportunidades de aprendizado quando
possível. Em casos em que o orçamento de treinamento
possa apoiar as habilidades ou os conhecimentos
necessários à equipe para múltiplos trabalhos, essas
oportunidades devem ser oferecidas.
O desenvolvimento de checklists de procedimento de
auditoria com base em riscos, mecanismos de definição
de escopo e metodologias comuns de teste, para
estruturar os trabalhos mais adequados ao modelo
integrado, promoverá a execução eficiente e é útil.
Considerações comuns da fase de planejamento devem
incluir a complexidade e a duração do trabalho, a estru-
turação da equipe e o valor de tais checklists (isto é, o
potencial de recorrência do trabalho). Tais materiais
poderiam promover o desenvolvimento de modelos de
programas de trabalho de auditoria integrada, o que
reduziria o tempo necessário à equipe para concluir
trabalhos com eficácia e atingir os objetivos do trabalho.
Atividades de auditoria de menor porte podem escolher
estruturar a equipe de um trabalho com base na
cobertura de riscos das áreas examinadas. Os CAEs são
encorajados a se envolver mais em trabalhos de maior
risco ou complexos.
A definição de procedimentos de auditoria e a coorde-
nação da conclusão são essenciais às atividades de audi-
toria de menor porte. A comunicação entre os membros
da equipe é fundamental para garantir que o trabalho
seja desenvolvido da forma mais eficiente e eficaz.
Como muitas atividades de auditoria de pequeno porte
estão inseridas em organizações menores, os auditados
podem ter muitas áreas de responsabilidade e podem
estar sujeitos a múltiplas prioridades. Nesse ambiente,
a ênfase deve estar sobre o gerenciamento eficaz dos
clientes e dos dados, para apoiar a conclusão tempestiva
dos trabalhos e do reporte relacionado.
O processo de execução do trabalho será o mesmo que
o de outros trabalhos conduzidos em conformidade com
as Normas. Pode ser necessário que o CAE dê atenção
especial ao reporte eficaz dos resultados do trabalho
realizado. Deve ser definido o reporte específico ao
trabalho, se exigido como parte do planejamento do
projeto. Isso deve incluir o conteúdo esperado e o
formato das comunicações, orientações quanto aos
destinatários das comunicações e se outras partes,
externas à função, devem ser consultadas antes da
finalização e divulgação. Os trabalhos de auditoria
integrada incluem a consideração de múltiplas áreas de
riscos; quaisquer descobertas reportadas provavelmente
exigirão um maior público para socialização e a coorde-
nação relacionada para garantir os planos de ação
necessários por parte da administração.
IPPF – Guia Prático
Auditoria Integrada
8 / www.globaliia.org/standards-guidance
ANEXO:
Checklist de eficácia da auditoria
integrada
A seguir, estão perguntas fundamentais que o CAE
deve fazer, para garantir que a atividade de auditoria
interna esteja usando, com eficácia, uma abordagem de
auditoria integrada. Uma abordagem eficaz de auditoria
integrada englobaria todas as áreas de cobertura da
auditoria. Essas áreas de cobertura podem incluir, mas
não se limitam ao financeiro, operacional, TI, ambiental,
fraude e conformidade.
1. Plano Anual de Auditoria
a. O plano de auditoria incorpora a cobertura de
todas as áreas de alto risco?
b. Cada atividade auditável está definida, para
garantir que cubra as áreas em seu escopo?
c. A avaliação de riscos é feita de forma integrada?
Por exemplo, os fatores de riscos da avaliação de
riscos garantem a cobertura de áreas de alto
risco?
d. A descrição de cada fator está incluída?
2. Comunicação por Escrito
a. Sua lista de questões por escrito identifica a
causa raiz por meio da análise de áreas dentro
do escopo da atividade auditável?
b. As recomendações garantem a inclusão de áreas
ou fatores que afetariam a causa raiz?
c. A opinião geral, se houver, reflete as
observações feitas e é considerada em
alinhamento com o framework identificado no
planejamento?
3. Plano de Auditoria (Trabalho)
a. A cobertura da auditoria inclui um framework
geral?
b. O modelo de estruturação da equipe
complementa o escopo do trabalho?
c. Os membros da equipe entendem como suas
atividades de trabalho se relacionam entre si e
como afetam os objetivos e o escopo do trabalho?
d. As conclusões dos testes específicos de
auditoria abordam a configuração do framework
de controle na fase do planejamento de
auditoria?
e. Os membros da equipe do trabalho reúnem-se
periodicamente, para garantir que todos os
membros entendam o que buscam atingir, e
suas conclusões estão em alinhamento com o
framework estabelecido durante o planejamento?
f. Ao longo da auditoria, os membros da equipe
estão cientes das correlações dos diversos
controles, para avaliar devidamente o impacto
de quaisquer deficiências?
g. Uma abordagem de auditoria integrada foi
considerada?
h. Se a equipe decidiu que uma abordagem de
auditoria integrada não facilitaria o atingimento
dos objetivos de trabalho declarados, os motivos
foram registrados?
4. Modelo de Estruturação da Equipe
a. O modelo de estruturação da equipe atende às
necessidades do projeto específico de auditoria?
b. Para o plano anual de auditoria do ano atual,
estão disponíveis recursos externos e internos
para apoio à equipe de auditoria? Se não, foi
planejado um treinamento para ampliar os
conhecimentos da equipe de auditoria antes da
iniciação da auditoria?
5. Avaliações Após o Trabalho
a. As autoavaliações, revisões por pares e normas
de qualidade do departamento garantem que os
objetivos do trabalho integrado sejam atingidos e
estejam em alinhamento com o framework do
planejamento?
b. A avaliação inclui discussões/feedback sobre o
que os membros da equipe aprenderam com o
processo de auditoria integrada (ex., auditores
operacionais entendem sobre controles de TI)?
c. As respostas às pesquisas da administração
indicam que a abordagem integrada oferece
resultados de valor agregado?
IPPF – Guia Prático
Auditoria Integrada
www.globaliia.org/standards-guidance / 9
Autores: James Reinhard, CIA, CPA, CISA
Brad Ames, CPA, CISA
Andrew Robertson
Rita Thakkar, CIA, CPA, CA
Ryon Pulsipher, CPA
David Bentley
Revisores: Steve Hunt, CIA, CISA, CRMA, CGEIT, CRISC, CBM
Steven Jameson, CIA, CCSA, CFSA, CRMA, CPA, CFE
120606
Sobre o Instituto
Sobre os Guias PráticosOs Guias Práticos fornecem uma orientação detalhada para a condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de deliverables. Os Guias Práticos fazem parte do IPPF do The IIA. Como parte da categoria de orientação Fortemente Recomendada, a conformidade não é obrigatória, mas é altamente recomendada, e a orientação é endossada pelo The IIA por meio de processos formais de revisão e aprovação. Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor visite nosso website: https://globaliia.org/standards-guidance.
Fundado em 1941, The Institute of Internal Auditors (The IIA) é uma associação profissional com sede global em Altamonte Springs, Fla., EUA. O The IIA é a voz da profissão de auditoria interna em todo o mundo, autoridade reconhecida, líder valorizado, advogado chefe e principal educador.
Isenção de Responsabilidade
Copyright
O The IIA publica este documento para fins informativos e educacionais. Este material de orientação não tem como objetivo fornecer respostas definitivas a circunstâncias específicas individuais e, como tal, tem o único propósito de servir de guia. The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados diretamente a qualquer situação específica. The IIA não assume responsabilidade pela confiança depositada unicamente neste guia.
Copyright © 2012 The Institute of Internal Auditors. Para permissão para reprodução, favor entrar em contato com o The IIA pelo e-mail: [email protected].
T: +1-407-937-1111
F: +1-407-937-1101
W: www.globaliia.org
SEDE GLOBAL
247 Maitland Ave.
Altamonte Springs, FL 32701 EUA