IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
Guia Prático
AUXILIANDO ATIVIDADES DE AUDITORIA INTERNA DE
PEQUENO PORTE NA IMPLEMENTAÇÃO DAS NORMAS
INTERNACIONAIS PARA A PRÁTICA PROFISSIONAL DA
AUDITORIA INTERNA
Março de 2011
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / B Este Guia Prático foi traduzido com o apoio de:
Índice
Sumário Executivo ....................................................................................................................................................... 3
Introdução ................................................................................................................................................................... 3
Definição de uma Atividade de auditoria interna de pequeno porte .......................................................................... 5
Desafios Principais Enfrentados por Atividades de Pequeno Porte na Implementação das Normas do IIA .............. 5
Orientação para a Implementação das Normas ......................................................................................................... 6
Conformidade Com a Norma 1000 - Propósito, Autoridade e Responsabilidade ....................................................... 6
Conformidade Com a Norma 1100 - Independência e Objetividade .......................................................................... 6
Conformidade Com a Norma 1200 - Proficiência e Zelo Profissional Devido ............................................................ 7
Conformidade Com a Norma 1300 - Programa de Melhoria e Certificação de Qualidade ......................................... 8
Conformidade Com a Norma 2000 - Gerenciando a Atividade de Auditoria Interna ............................................... 10
Conformidade Com a Norma 2100 - Natureza do Trabalho...................................................................................... 11
Conformidade com a Norma 2200 – Planejamento do Trabalho de Auditoria ......................................................... 11
Conformidade com a Norma 2300 – Execução do Trabalho de Auditoria ................................................................ 13
Conformidade com a Norma 2400 – Comunicação dos Resultados ........................................................................ 14
Conformidade com a Norma 2500 – Monitoramento do Progresso .......................................................................... 15
Conformidade com a Norma 2600 – Comunicação da Aceitação dos Riscos .......................................................... 16
Confiança no Trabalho de Atividades de Auditoria de Pequeno Porte por parte de Auditores Internos ................... 17
Anexo A - Modelo para Facilitar a Determinação de Falhas na Conformidade com as Normas .............................. 20
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 3 Este Guia Prático foi traduzido com o apoio de:
Sumário Executivo
A Estrutura Internacional de Práticas Profissionais
(IPPF) e a subjacente Normas Internacionais para a
Prática Profissional de Auditoria Interna (Normas)
fornecem ao diretor executivo de auditoria (DEA) e à
liderança de auditoria interna uma estrutura e
orientações relacionadas para usar na avaliação e na
garantia da eficácia da atividade de auditoria interna.
As Normas também fornecem às partes interessadas
da auditoria interna uma base para avaliar a eficácia
da atividade. As Normas são aplicáveis a todos os
departamentos de auditoria interna,
independentemente do tamanho, nível de recursos,
complexidade ou objetivo e escopo.
Este guia prático fornece uma definição operacional
do termo “atividade de auditoria interna de pequeno
porte”. O guia reconhece os desafios que os DEAs e
a liderança de auditoria em atividades de auditoria
de pequeno porte podem enfrentar na
implementação das Normas, dá sugestões para
vencer esses desafios e discute os benefícios do uso
das Normas. Muitos dos desafios discutidos nesse
guia não são únicos para atividades de auditoria de
pequeno porte; atividades maiores podem enfrentar
muitos dos mesmos desafios. No entanto, esses
desafios são encontrados mais frequentemente e são
mais difíceis de serem superados nas atividades de
auditoria de pequeno porte.
Embora o DEA de uma atividade de auditoria
interna de pequeno porte seja responsável por
garantir a implementação de todas as Normas, o grau
de desafio para a conformidade com cada norma
pode variar entre atividades de pequeno porte. A
tabela na Introdução fornece um sumário visual do
grau de dificuldade que o DEA pode encontrar na
conformidade com as Normas. A tabela é baseada
em discussões informais com pequenos grupos de
auditoria e também entre os membros de comitês do
IIA. Embora a conformidade com as Normas possa
causar desafios, é possível cumpri-las com o
desenvolvimento de estratégia e planejamento
apropriados. As Normas são baseadas em princípios e
feitas para serem aplicáveis a atividades de auditoria
interna de todos os tamanhos.
O DEA de uma atividade de auditoria de pequeno
porte deve avaliar o nível atual de conformidade com
cada norma para determinar falhas na conformidade
com as Normas em geral. (Um modelo é fornecido
no Apêndice A.) Na identificação das falhas, o DEA
deve desenvolver um plano para conformidade
completa para com as Normas, baseado nas
orientações desse guia prático e outras orientações
da IPPF. É importante que o DEA incorpore
elementos das Normas na visão da atividade de
auditoria interna, missão e estatuto. No mais, é
crítico que o DEA comunique claramente a visão da
atividade, a missão e o estatuto para as partes
interessadas principais.
Introdução
O IIA está feliz de apresentar esse guia prático para
auxiliar atividades de auditoria interna de pequeno
porte na implementação das Normas Internacionais
para a Prática Profissional da Auditoria Interna
(Normas).
O escopo de trabalho realizado pelos praticantes
atuais são vastos e variados. Existe uma grande
necessidade de orientações concisas que possam ser
adotadas e seguidas prontamente, independente da
indústria, especialidade de auditoria ou setor. A
Estrutura Internacional de Práticas Profissionais
(IPPF) do IIA fornece orientações práticas na forma
de Normas, Práticas Recomendadas, Guias Práticos
e Declarações de Posicionamento. Na IPPF, existem
orientações mandatórias e orientações fortemente
recomendadas. Este guia prático possui a intenção
de servir como uma orientação fortemente
recomendada para uso, primariamente, de atividade
de auditoria interna de pequeno porte.
Este guia prático fornece exemplos específicos e
práticas de liderança relevantes para o DEA e a
gerência de auditoria de atividades de auditoria
interna de pequeno porte sobre como abordar
melhor a implementação das Normas.
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 4 Este Guia Prático foi traduzido com o apoio de:
O guia fornece informação no seguinte formato:
Norma do IIA Definição de cada norma
Desafios Prováveis desafios que atividades de auditoria de pequeno porte podem enfrentar na conformidade com
as Normas do IIA.
Orientações Orientações recomendadas sobre a conformidade com as Normas do IIA.
Atividades de auditoria interna de pequeno porte devem estar em conformidade com todas as normas do IIA. O
Apêndice A fornece um modelo para mapeamento, incluindo uma lista das Normas.
NORMA Nº TÍTULO DAS NORMAS GRAU DE DIFICULDADE
1000 Propósito, Autoridade e Responsabilidade L
1100 Independência e Objetividade H
1200 Proficiência e Zelo Profissional Devido M
1300 Programa de Melhoria e Certificação de
Qualidade
H
2000 Gerenciando a Atividade de Auditoria
Interna
H
2100 Natureza do Trabalho M
2200 Planejamento do Trabalho H
2300 Realizando o Trabalho H
2400 Comunicando Resultados M
2500 Monitorando o Progresso M
2600 Aceitação de Riscos da Gerência M
Indicações do grau provável de desafio:
Verde - Baixo grau de desafio
Âmbar - Médio grau de desafio
Vermelho - Alto grau de desafio
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 5 Este Guia Prático foi traduzido com o apoio de:
Definição de uma Atividade
de auditoria interna de
pequeno porte
As visões dos praticantes de auditoria interna variam
globalmente sobre os critérios para a definição de
uma atividade de auditoria interna como de pequeno
porte. Os critérios são afetados pelas características
da atividade de auditoria interna - papel e propósito,
maturidade, país e cultura e a natureza global ou
local da organização na qual ela opera.
Para os propósitos deste guia, vários elementos
comuns foram considerados como sendo
relacionados a uma atividade de auditoria de
pequeno porte. Tipicamente, uma atividade de
auditoria interna de pequeno porte terá um ou mais
das seguintes características:
De um a cinco auditores.
Horas produtivas de auditoria interna menores do que 7500 por ano.
Nível limitado de co-sourcing ou terceirização.
Ser pequeno não é igual a ser ineficaz ou com
poucos recursos. Em muitas circunstâncias, uma
atividade de auditoria interna de pequeno porte é
estruturada apropriadamente para o tamanho e os
riscos atribuídos para o negócio ao qual ela serve.
No entanto, atividade de auditoria menores podem
ter desafios que não são tipicamente enfrentados por
atividades de auditoria maiores que possuem uma
escala de economias maior.
Desafios Principais
Enfrentados por Atividades
de auditoria interna de
pequeno porte na
Implementação das
Normas do IIA
Adequação de Recursos
Recursos limitados impactam a habilidade das
atividades de auditoria interna de pequeno porte de
estarem em conformidade com as muitas Normas do
IIA. Por exemplo, a norma Programa de Melhoria e
Certificação de Qualidade, que requer avaliações
internas periódicas e avaliações externas no mínimo
a cada cinco anos pode ser difícil de cumprir, devido
à inabilidade de financiar uma avaliação externa.
Adicionalmente, investimentos maiores em inovação
ou automação para a atividade de auditoria interna
podem não ser permitidos em orçamentos reduzidos.
Para cada uma das seguintes normas, sugestões são
dadas para auxiliar o DEA a conquistar
conformidade, apesar de potenciais limitações.
Retenção de Equipe Qualificada ou
Especialistas
Atividades de auditoria interna de pequeno porte
podem ter dificuldades na atração, contratação ou
envolvimento de especialistas (isto é, especialistas
para executar auditorias relacionadas aos riscos
complexos da organização). Por exemplo, auditorias
de tecnologia e auditorias de indústrias
especializadas podem ser mais difíceis de montar
uma equipe adequadamente se o orçamento é
reduzido ou se a expertise necessária para realizar
essas auditorias não existe no departamento. Para o
DEA e a liderança de auditoria, o recrutamento e a
retenção de equipe qualificada ou especialistas são
críticos, uma vez que atividades de auditoria de
pequeno porte frequentemente não possuem
hierarquias tradicionais de gerenciamento de equipe
e pacotes de compensação atrativos associados com
maiores atividades de auditoria. Contrariamente,
uma atividade de pequeno porte pode atrair
auditores mais experientes que gostariam da
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 6 Este Guia Prático foi traduzido com o apoio de:
oportunidade de trabalhar com uma hierarquia
menor e/ou a habilidade de fazer maiores
contribuições diretas ao grupo de auditoria.
Independência
Atividades de auditoria de pequeno porte também
podem ter desafios com relação à independência e
objetividade, devido à estrutura de reporte da
atividade, a recência da atividade, associações mais
próximas com a gerência, governança organizacional
mais fraca e a existência de responsabilidades
adicionais externas à atividade principal.
Orientação para a
Implementação das
Normas
Conformidade Com a Norma 1000 -
Propósito, Autoridade e
Responsabilidade
Norma:
O propósito, a autoridade e a responsabilidade da
atividade de auditoria interna deve ser formalmente
definida em um estatuto de auditoria interna e ser
consistente com a Definição de Auditoria Interna, o
Código de Ética e as Normas. O DEA deve revisar
periodicamente o estatuto de auditoria interna e
apresentá-lo à alta administração e ao conselho para
aprovação.1
Desafio:
Grau do Desafio BAIXO
1 Para os propósitos desse Guia Prático, as Interpretações das Normas e as camadas de Normas além da primeira de uma categoria não estão incluídas. Ao leitor, é indicado as Normas completas para entender completamente os requisitos e os significados de cada uma das Normas, incluindo suas introduções, interpretações e glossários.
A conformidade com essa Norma não é dependente
do tamanho da atividade de auditoria e não deve
apresentar desafios únicos para a atividade de
auditoria de pequeno porte.
Orientação:
O DEA deve discutir o requisito para um estatuto
com o conselho e com a alta administração
apropriada, explicando detalhadamente o propósito
do estatuto de auditoria interna e os benefícios
trazidos à organização a partir da adoção do estatuto.
É importante que o DEA incorpore elementos das
Normas na visão, missão e no estatuto da atividade
de auditoria interna. Ademais, é crítico que o DEA
comunique claramente a visão, missão e o estatuto
da atividade para as principais partes interessadas. O
DEA deve revisar periodicamente (anualmente, por
exemplo) e avaliar os conteúdos do estatuto e as
políticas e procedimentos, para garantir que o
conteúdo é relevante e continue a agregar valor à
organização. Essas revisões devem ser comunicadas
ao conselho e à alta administração. O conselho deve
revisar e aprovar o estatuto anualmente. O DEA
deve manter uma documentação de todas as
comunicações com o conselho e com a alta
administração no que diz respeito ao estatuto,
políticas e procedimentos da atividade de auditoria
interna.
Conformidade Com a Norma 1100 -
Independência e Objetividade
Norma:
A atividade de auditoria interna deve ser
independente e os auditores internos devem ser
objetivos na realização do seu trabalho.
Desafio:
Grau do Desafio ALTO
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 7 Este Guia Prático foi traduzido com o apoio de:
Dificuldades com os níveis de reporte e com a
estrutura organizacional não são exclusivos de
atividades de auditoria interna de pequeno porte. No
entanto, independência individual e objetividade dos
auditores em uma atividade de pequeno porte e,
particularmente em uma organização menor, podem
ser desafiadoras, visto que podem ser dadas a esses
auditores responsabilidade operacional por outras
atividades, como gerenciamento de registros,
atividades de compliance, segurança de TI, relações
com investidores, gerenciamento de riscos ou outras
atividades de finanças e contabilidade.
Adicionalmente, auditores em uma organização
menor geralmente estabelecem relações mais
próximas com outros membros da equipe da
gerência, criando a percepção de que um conflito de
interesses possa estar presente. A estrutura de
reporte organizacional do departamento também
pode prejudicar a sua independência e objetividade,
dependendo da natureza dos relacionamentos de
reporte. Por exemplo, o DEA pode não reportar
funcionalmente ao conselho ou a outro membro da
equipe executiva. Em vez disso, o DEA pode
reportar a um indivíduo que realiza ou possui
responsabilidade direta por áreas que são alvos de
auditorias.
Orientação:
É imperativo que o DEA mantenha uma
comunicação aberta com o conselho e com a alta
administração no que diz respeito à importância da
independência e objetividade do auditor. As
dificuldades envolvidas em auditar áreas pelas quais
auditores tenham sido dados responsabilidade
operacional devem ser completamente explicadas. O
DEA deve apresentar várias alternativas para como
essas áreas podem ser auditadas, incluindo o uso de
recursos externos. Por exemplo, com recursos
suficientes na função de auditoria interna, apenas os
auditores que não são diretamente responsáveis pela
área operacional ou um fornecedor de serviço
externo podem realizar a auditoria, e os resultados
devem ser comunicados ao DEA e a outro membro
da gerência, externo à função. Se essa solução não
for prática, os enfraquecimentos e outras alternativas
de auditoria devem ser incluídos na avaliação de
riscos para o plano de auditoria do DEA e discutidos
com o conselho e com a alta administração.
Em organizações onde relacionamentos próximos de
trabalho são uma expectativa, o trabalho da função
de auditoria interna deve sempre ser realizado com
objetividade e independência em mente. O DEA ou
a liderança de auditoria devem comunicar
claramente ao conselho e à alta administração o
envolvimento de escopo e as bases para conclusões.
O DEA e outros auditores devem continuar a
reforçar a importância da independência e
objetividade do auditor (na organização ou nível de
engajamento).
De forma geral, o DEA deve discutir esses desafios,
assim como os desafios resultantes de estruturas de
reporte organizacionais, com o conselho e o nível
apropriado da alta administração. Tal comunicação
deve ser feita em conjunto com o estabelecimento
do plano de auditoria e mais frequentemente se
justificado baseado em trabalhos realizados ou a
serem realizados. No entanto, o DEA deve usar de
cautela para garantir que tais comunicações não
sejam percebidas como desculpas ou impedimentos
para realizar certas auditorias. Quando emitir um
reporte onde independência e objetividade não
foram atingidas satisfatoriamente, o DEA tem a
obrigação de revelar esse fato no reporte de
auditoria, incluindo a(s) razão(ões) e o impacto
relacionado.
Conformidade Com a Norma 1200 -
Proficiência e Zelo Profissional Devido
Norma:
Os trabalhos devem ser realizados com proficiência e
o Zelo profissional devido.
Desafio:
Grau do Desafio MÉDIO
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 8 Este Guia Prático foi traduzido com o apoio de:
Os desafios enfrentados em conformidade com essa
série de Normas são agravados em uma atividade de
auditoria interna de pequeno porte com recursos
limitados, visto que a atividade pode não ser capaz
de contratar funcionários ou especialistas
terceirizados para realizar o trabalho (devido a
limitações orçamentárias) ou pode não ser capaz de
investir em treinamento para que a equipe atual
ganhe essas habilidades.
Orientação:
Quando batalhando para realizar trabalhos
proficientemente e com o Zelo profissional devido, a
ênfase está na implementação de recursos
qualificados. Embora a supervisão de trabalhos seja
esperada, o DEA deve procurar auditores com
experiência suficiente que podem não precisar de
supervisão extensiva. Adicionalmente, o DEA
também pode garantir que os auditores com
experiência limitada estejam realizando trabalhos
proporcionais à experiência deles. De forma geral, o
DEA deve buscar recursos com experiência e
conhecimento complementares às habilidades
necessárias para executar o plano de auditoria.
O DEA pode precisar determinar se um modelo de
equipe interna, externa ou mista servirá melhor as
necessidades da atividade de auditoria interna da
organização. Oportunidades para alavancar outros
recursos organizacionais podem existir. Tais
oportunidades podem permitir que a auditoria
interna guie e supervisione os esforços de membros
fora da equipe de auditoria que tenham
conhecimento relevante e objetividade para realizar
trabalhos específicos. Em muitos casos, a natureza
dos trabalhos a serem realizados pode implicar na
necessidade de especialistas internos ou externos à
organização.
Além disso, o DEA pode considerar:
Usar um processo formal bem organizado e
documentado.
Buscar orientação de colegas de trabalho.
Usar materiais de referência como livros,
programas de auditoria, questionários de
controle interno (ICQs), modelos, guias
regulatórios e manuais, etc.
Quando os recursos de treinamento - seja tempo ou
fundos - são limitados, a atividade de auditoria
interna deve priorizar o treinamento que é fornecido
de forma grátis ou de baixo custo (por exemplo,
treinamentos baseados na internet, treinamento no
IIA local). O DEA também deve garantir que
qualquer treinamento presenciado por um membro
da atividade de auditoria seja discutido com outros
membros da atividade. O DEA deve maximizar o uso
de serviços e recursos de associações locais
profissionais e organizações. Oportunidades também
podem existir em fazer uma parceria com grupos
funcionais dentro da organização ou outras
atividades de auditoria interna em assistir
treinamentos de interesse mútuo a taxas
competitivas.
O DEA também deve considerar contatar DEAs de
atividades de auditoria interna maiores na área local
para explorar treinamentos conjuntos e para que
seus auditores externos explorem treinamentos
técnicos de contabilidade/controles.
Conformidade Com a Norma 1300 -
Programa de Melhoria e Certificação de
Qualidade
Norma:
O DEA deve desenvolver e manter um Programa de
Melhoria e Certificação de Qualidade que cubra
todos os aspectos da atividade de auditoria interna.
1310 - O Programa de Melhoria e Certificação de
Qualidade deve incluir avaliações internas e
externas.
1321 - O DEA deve declarar que a atividade de
auditoria interna está em conformidade com as
Normas Internacionais para a Prática Profissional da
Auditoria Interna apenas se os resultados do
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 9 Este Guia Prático foi traduzido com o apoio de:
Programa de Melhoria e Certificação de Qualidade
apoiarem essa declaração.
Desafio:
Grau do Desafio ALTO
Recursos financeiros podem limitar a habilidade de
realizar uma avaliação de qualidade (QA) externa ou
interna em concordância com as Normas. O
desempenho de uma QA interna também pode ser
desafiador, devido às restrições de tempo e equipe e
a falta de revisadores independentes adequados.
Orientação:
Quando marcando avaliações internas, atividades de
auditoria interna de pequeno porte podem precisar
considerar um maior envolvimento daqueles com
conhecimento adequado de prática de auditoria
interna. DEAs supervisionam tais avaliações; no
entanto, indivíduos realizando essas avaliações
também podem incluir recursos de dentro da
organização que possuam experiência de auditoria
anterior ou que são especificamente treinados para
realizar QAs. A qualidade deve ser integrada no
processo de auditoria. Por exemplo, a revisão de
auditoria deve ser inserida como parte de cada
auditoria e obter feedback das partes interessadas a
partir de pesquisas ou discussões documentadas
deve ser parte da rotina de auditoria. A revisão anual
dos modelos de auditoria, etc. também pode ser
parte do programa de avaliação interna e melhorias.
O formato e o tamanho de tais avaliações devem
facilitar a revisão e a conclusão. Quanto melhor
definidas as expectativas para os componentes da
atividade de auditoria interna, a extensão da
documentação, etc., mais fácil será medir
claramente o desempenho contra essas expectativas.
O uso de checklists esboçando essas expectativas
definidas simplifica esse processo de avaliação
interna. Checklists e ferramentas disponíveis do
Manual de Certificação de Qualidade do IIA apoiam
a conclusão pontual e com custos eficazes dessas
avaliações.
Para a atividade de auditoria interna de pequeno
porte, autoavaliações internas devem ser realizadas
no mínimo anualmente. Autoavaliações mais
frequentes são encorajadas como permissíveis pela
organização ou restrições do departamento. Essas
avaliações internas devem ser documentadas para
ajudar a facilitar a avaliação externa.
Avaliações externas devem ser conduzidas no
mínimo uma vez a cada cinco anos, por um revisador
ou equipe de revisão qualificada e independente, de
fora da organização. A atividade de auditoria interna
de pequeno porte pode usar revisões externas de
organização de colegas de trabalho para satisfazer a
norma acima. Para facilitar tais revisões, o DEA
pode envolver outras atividades de auditoria interna
de tamanho similar ou organizações de tamanho
similar para participar de tais revisões. Organizações
também podem coordenar com filiais/institutos
locais do IIA para identificar participantes. Por
exemplo, quatro organizações de tamanho similar
podem realizar a avaliação externa uma das outras de
forma que duas organizações não se avaliem entre si.
Providenciar esse tipo de revisão trocada de colegas
permite que a atividade de auditoria de pequeno
porte reduza as taxas de avaliações de terceiros,
embora custos de oportunidade de uso da equipe da
companhia existirão. O DEA precisará considerar as
qualificações e a independência do colega revisador
e a adequação da frequência de revisão. Outra opção
para uma avaliação externa é uma autoavaliação com
validação externa de uma firma independente. Isso é
um meio de abaixar o custo.
Finalmente, o DEA deve comunicar os resultados do
Programa de Melhoria e Certificação de Qualidade
para a alta administração e o conselho.
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 10 Este Guia Prático foi traduzido com o apoio de:
Conformidade Com a Norma 2000 -
Gerenciando a Atividade de Auditoria
Interna
Norma:
O DEA deve gerenciar eficazmente a atividade de
auditoria interna para garantir que ela agregue valor
à organização. A interpretação dessa norma
posteriormente mostra que a atividade de auditoria
interna é gerenciada eficazmente quando:
Os resultados do trabalho da atividade
de auditoria interna alcançam o
propósito e a responsabilidade incluídos
no estatuto de auditoria interna.
A atividade de auditoria interna está em
conformidade com a Definição de
Auditoria Interna e com as Normas.
Os indivíduos que fazem parte da
atividade de auditoria interna
demonstram conformidade com o
Código de Ética e com as Normas.
Desafio:
Grau do Desafio ALTO
O DEA de uma atividade de auditoria interna de
pequeno porte pode ter dificuldade demonstrando
que a atividade agrega valor à organização se as
prioridades do departamento diferem da perspectiva
da gerência. Se a missão da auditoria interna foca na
auditoria da eficácia do ambiente de controle,
enquanto a alta administração e o conselho veem
esforços para recuperar custo como sendo uma
atividade com maior valor agregado, um conflito
pode surgir.
Adicionalmente, se a atividade de auditoria interna
está sobrecarregada ou é frequentemente chamada
para realizar trabalhos com um fim específico pela
gerência, o estatuto de auditoria interna pode não ser
satisfeito. Nesse caso, os riscos de auditoria interna
se tornam apenas outra função de suporte dentro da
organização e a objetividade e o propósito da
atividade podem ser comprometidos.
Orientação:
Diante da realização dos objetivos da organização, é
importante que o estatuto de auditoria interna
exponha claramente a missão do departamento e que
o estatuto seja endossado pela alta administração e
aprovado pelo conselho. O DEA deve investir o
tempo apropriado necessário para educar as partes
interessadas sobre o propósito da auditoria interna e
o valor que pode acumular à organização quando a
governança, o gerenciamento de riscos e os controles
são desenhados apropriadamente e operados
eficazmente.
O DEA deve solicitar periodicamente um feedback
das principais partes interessadas, para garantir que
a atividade continue realizando auditorias que
agregam valor e que o plano de auditoria permaneça
alinhado com os objetivos estratégicos e os riscos
principais da organização (devido à proximidade com
as partes interessadas, pode ser mais fácil solicitar
um feedback de um ambiente de uma atividade de
auditoria interna de pequeno porte). Se a missão da
atividade de auditoria interna estiver alinhada com
os objetivos estratégicos da organização, é provável
que essa norma seja cumprida.
Elementos de uma função bem gerenciada, como
planejamento baseado em riscos, comunicação
pontual e eficaz com as principais partes
interessadas, políticas e procedimentos bem
estabelecidos e coordenação eficaz com outros
fornecedores de segurança são os mesmos para
organizações de auditoria de grande e pequeno
porte. O nível de formalidade desses elementos varia
baseado nas necessidades da organização e no
tamanho da auditoria interna. Os fatores que
resultaram na necessidade de uma atividade de
auditoria interna de pequeno porte são,
provavelmente, os mesmos fatores que permitem
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 11 Este Guia Prático foi traduzido com o apoio de:
menos formalidade no método de conformidade com
as Normas. O DEA deve continuar a focar em um
plano de auditoria baseado em riscos que possa ser
apoiado por recursos disponíveis. Além disso, uma
comunicação apropriada deve ser feita às partes
interessadas com relação às áreas de auditoria que
não podem ser realizadas devido a limitações de
recursos.
Conformidade Com a Norma 2100 -
Natureza do Trabalho
Norma:
A atividade de auditoria interna deve avaliar e
contribuir para melhorar a governança, o
gerenciamento de riscos e os processos de controle,
usando uma abordagem sistemática e disciplinada.
Desafio:
Grau do Desafio MÉDIO
Se a atividade de auditoria interna de pequeno porte
está operando dentro de uma organização de
pequeno porte, a governança, os riscos e os
processos de controle podem ainda estar evoluindo.
A auditoria interna pode ser um desses grupos com
um conjunto de habilidades para realizar essas
funções ou pode ser responsável por muitas das
funções que apoiam a governança, os riscos e o
controle. Além disso, os controles podem não ser
desenhados adequadamente ou podem não operar
como intencionado, aumentando o risco da
organização falhar em alcançar o sucesso.
Se a atividade de auditoria de pequeno porte está
operando dentro de uma organização maior ou mais
estabelecida, a governança, o gerenciamento de
riscos e os processos de controle podem ser mais
maduros. Nesse caso, o desafio pode ser garantir que
os papéis e as responsabilidades da auditoria interna
estejam claramente comunicados, para evitar esforço
dobrado entre esses processos ou falhas em atribuir
propriedade para os processos.
O tamanho limitado da atividade de auditoria pode
tornar difícil para a auditoria interna cobrir todas as
áreas ordenadas na seção 2100 das Normas.
Orientação:
Mesmo que a atividade de auditoria interna de
pequeno porte esteja operando dentro de uma
organização de pequeno ou grande porte, é esperado
que a auditoria interna contribua para melhorar a
governança, o gerenciamento de riscos e os
processos de controle, simplesmente através da
conclusão de seu trabalho.
Uma definição clara dos papéis e responsabilidades
do conselho, da gerência e da auditoria interna no
que diz respeito à governança, aos riscos e aos
processos de controle seria ajudar a garantir que a
atenção e os recursos apropriados estejam destinados
a essas áreas. O DEA pode incluir algumas
perguntas sobre problemas principais e papéis da
auditoria interna para discussão com o comitê de
auditoria, documentando a resposta. É importante
que a auditoria interna permaneça focada na
avaliação da eficácia dessas áreas, no entanto,
enquanto a gerência permanece responsável por
desenhar e implementar governança, gerenciamento
de riscos e processos de controle eficazes. O DEA
deve garantir que os objetivos do trabalho de
consultoria sejam consistentes com os valores e
metas gerais da organização.
A atividade de auditoria interna deve usar sua
abordagem de auditoria baseada em riscos para
garantir foco adequado sobre todas as áreas
ordenadas pelas Normas. A profundidade, a
frequência e a natureza do trabalho de auditoria
devem ser modificadas baseado nos riscos da área e
no nível de recursos disponíveis.
Conformidade com a Norma 2200 –
Planejamento do Trabalho de Auditoria
Norma:
Os auditores internos devem desenvolver e
documentar um planejamento para cada trabalho de
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 12 Este Guia Prático foi traduzido com o apoio de:
auditoria, incluindo os objetivos, o escopo, o prazo e
a alocação de recursos do trabalho.
Desafio:
Grau do Desafio ALTO
Um componente fundamental do planejamento é a
condução de uma avaliação preliminar dos riscos
relevantes para a área sob revisão. Objetivos
aplicáveis do trabalho devem refletir os resultados da
avaliação de riscos preliminar. A habilidade de
conduzir esta avaliação pode ser impactada pelo
nível de habilidade da equipe/especialista e pelo
tempo disponível para avaliar apropriadamente tais
riscos. Desafios adicionais podem ocorrer até o
ponto em que o planejamento do trabalho é
formalizado e documentado.
Orientação:
O DEA deve desenvolver considerações de
planejamento na forma de checklists para tipos
comuns de trabalho. A classificação de trabalhos
com base em critérios como riscos e complexidade,
número de horas planejadas, nível da equipe
designada para o trabalho e usuários/público alvo do
relatório de auditoria podem definir melhor o grau de
formalidade, detalhes e duração do planejamento do
trabalho. A classificação de trabalhos também pode
indicar quem pode conduzir o planejamento
relacionado.
Os três componentes principais do processo de
planejamento são:
Definir os objetivos do trabalho – Identifica
o propósito do trabalho e inclui uma
avaliação preliminar dos riscos. Para
trabalhos planejados, os objetivos estão
alinhados com aqueles inicialmente
identificados durante o processo de
avaliação de riscos e são frequentemente
alcançados pelo plano de auditoria interna.
Para trabalhos não planejados, os objetivos
são estabelecidos no início do trabalho e são
específicos para as questões subjacentes que
o exigem.
Definir o escopo do trabalho – Identifica
requisitos técnicos, objetivos, riscos,
processos e transações a serem examinadas.
Este componente também considera a
natureza e extensão do teste necessário.
Definir o público do trabalho – Identifica
como, quando e para quem os resultados do
trabalho serão comunicados. Isso inclui o
posterior reporte das mudanças que afetam o
timing ou o reporte dos resultados do
trabalho.
Estes três componentes devem abordar muitos dos
fatores que são considerados no estágio de
planejamento, tais como:
Duração do trabalho e prazos principais.
Estruturação da equipe do trabalho.
Extensão da documentação (ex., para uso em
trabalhos recorrentes).
O escopo do trabalho deve considerar,
especificamente, riscos relevantes. Para permitir que
atividades de auditoria de pequeno porte coletem
informações significantes sobre riscos específicos do
trabalho, a auditoria interna deve alavancar os itens a
seguir, no que tange às áreas sob auditoria, se
disponíveis:
A autoavaliação de riscos da gerência ou
questionários para a área do trabalho.
Narrativas ou fluxogramas relativos ao
processo da gerência.
Reporte interno relacionado da gerência.
Informações com relação à tolerância ou
apetite ao risco da gerência (pode incluir
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 13 Este Guia Prático foi traduzido com o apoio de:
análise SWOT e/ou resultados de atividades
externas de consultoria).
Inventário independente de riscos da
auditoria interna.
Avaliação do histórico de descobertas de
auditoria interna e externa da auditoria
interna.
Revisão de relatórios ou papéis de trabalho
anteriores da auditoria interna.
Pesquisas com a gerência que possam
fornecer insights.
Revisão do plano estratégico da organização,
orçamento, documentação regulatória,
comunicações internas da gerência,
considerações independentes do
mercado/riscos inerentes por parte da
auditoria interna, etc.
Revisão dos programas de conformidade
regulatória (ex., U.S. Sarbanes-Oxley) e
resultados, quando aplicável.
Outros.
Quanto maior o risco associado de um trabalho,
maior a formalidade e documentação necessárias
para apoiar o planejamento do trabalho.
Adicionalmente, o desenvolvimento de modelos do
programa de trabalho por tipo de trabalho diminuirá
o tempo de que a equipe precisa para concluir os
trabalhos e também garantirá que os objetivos do
trabalho sejam apropriadamente incorporados no
trabalho conduzido. O DEA deve revisitar tais
modelos ao menos anualmente, para garantir que o
trabalho exigido seja relevante e apropriado no
contexto do plano de auditoria. O DEA deve garantir
especificamente que os métodos de amostragem e
análise de requisitos que apoiem a execução e
conclusão do trabalho sejam aprovados antes que o
trabalho comece. Os auditores mais experientes
devem liderar a conclusão dos programas de trabalho
mais complexos quando possível.
Conformidade com a Norma 2300 –
Execução do Trabalho de Auditoria
Norma:
Os auditores internos devem identificar, analisar,
avaliar e documentar informações suficientes para
cumprir os objetivos do trabalho de auditoria.
2340 – Os trabalhos de auditoria devem ser
adequadamente supervisionados, para assegurar que
os objetivos sejam alcançados, a qualidade seja
assegurada e que a equipe seja desenvolvida.
Desafio:
Grau do Desafio ALTO
O DEA pode não ser capaz de supervisionar todos os
trabalhos, já que pode estar conduzindo alguns
trabalhos além de seu trabalho de supervisão.
Adicionalmente, muitas atividades menores que
usam papéis de trabalho manuais podem ser
desafiadas pela necessidade de manter evidências da
supervisão do trabalho. O tempo para desenvolver
habilidades da equipe e habilidades supervisórias
relacionadas pode ser limitado. Um desafio adicional
pode ser se o DEA estiver tão envolvido no trabalho
que o trabalho não conta com uma revisão
independente suficiente.
A atividade de auditoria de pequeno porte também
pode não ter a quantidade e qualidade de auditores
experientes necessárias para identificar com
facilidade informações suficientes, confiáveis,
relevantes e úteis para alcançar os objetivos do
trabalho. Adicionalmente, a carga de trabalho e
desafios relacionados podem limitar a habilidade da
equipe de basear conclusões do trabalho em análises
e avaliações apropriadas das informações durante o
desempenho do trabalho.
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 14 Este Guia Prático foi traduzido com o apoio de:
Orientação:
CONDUÇÃO E REVISÃO DO TRABALHO
Os DEAs são encorajados a assumir mais de um
papel de envolvimento em trabalhos de alto risco ou
complexos conduzidos pela auditoria interna.
Para trabalhos complexos, o DEA pode precisar se
envolver ou supervisionar o progresso do trabalho em
intervalos regulares ou, se possível, em fases
principais da execução do trabalho. No entanto,
nesses trabalhos, é possível que membros mais
experientes da equipe de auditoria possam revisar
áreas de risco e complexidade inferiores sob a
supervisão do DEA.
Para trabalhos conduzidos pelo DEA que sejam de
risco inferior, a revisão do trabalho do DEA, por
parte de um membro experiente da equipe de
auditoria dentro da atividade pode ser adequada,
desde que tal revisão seja documentada. Para
trabalhos complexos conduzidos pelo DEA, revisões
por partes são recomendadas. A revisão pode ser
conduzida por outros na organização com histórico
adequado de auditoria ou outros, em áreas de
conhecimento da auditoria conduzida. No entanto, é
recomendado que tais revisões sejam estruturadas e
conduzidas de modo que não prejudiquem a
independência e objetividade da função.
Adicionalmente, é recomendado que as expectativas
de evidências de auditoria – incluindo tipos de
evidência e análises relacionadas – que apoiam as
conclusões sejam definidas no início do trabalho.
Essas expectativas devem ser definidas pelo DEA
para trabalhos complexos ou por membros
experientes da equipe dentro da atividade para
trabalhos menos complexos. A qualidade da
informação coletada ou da análise preparada para
apoiar as conclusões de auditoria deve ser avaliada
com relação à orientação fornecida pela Norma
2340.
O uso de membros experientes da equipe dentro da
atividade de auditoria para revisar o trabalho de
membros menos experientes podem ser aceitável
para trabalhos de risco ou complexidade inferior. Em
tais trabalhos, os principais elementos podem ainda
exigir a revisão e consideração do DEA; no entanto,
espera-se que tais elementos sejam um conjunto
menor dos trabalhos executados. Os principais
elementos do trabalho no mínimo devem incluir uma
lista de descobertas e recomendações.
No contexto da orientação acima, é recomendado
que o DEA ou aqueles designados para a supervisão
do trabalho assinem os papéis de trabalho para
documentar evidência de sua revisão.
Adicionalmente, é recomendado que esses
indivíduos indiquem quando tais revisões foram
feitas. Tais revisões devem ser conduzidas
oportunamente. O cronograma será definido pela
natureza e propósito das auditorias realizadas e deve
ser estabelecido pelo DEA em consistência com a
Norma 2200.
Conformidade com a Norma 2400 –
Comunicação dos Resultados
Norma:
Os auditores internos devem comunicar os
resultados dos trabalhos de auditoria.
Desafio:
Grau do Desafio MÉDIO
Uma atividade de auditoria interna de pequeno porte
pode encarar desafios no estabelecimento de
critérios para emissão de comunicações, conforme
exigido pela Norma 2410. Atividades que operam
com poucos recursos podem achar difícil emitir
relatórios formais de auditoria para cada trabalho
realizado. Essas atividades também podem ter
orientações por escrito limitadas para sua equipe,
com relação a quando essas relatórios devem ser
emitidos. Também podem existir desafios no
contexto das normas 2420 e 2440, nos quais
atividades de auditoria interna de pequeno porte
podem não ter experiência ou recursos suficientes
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 15 Este Guia Prático foi traduzido com o apoio de:
para produzir comunicações que sejam precisas,
objetivas, concisas, construtivas, completas e
oportunas. Embora comunicações de trabalho devam
estar em conformidade com as Normas de
Qualidade da IPPF, a habilidade de fornecer tais
comunicações oportunamente pode trazer maiores
desafios para a atividade de auditoria de pequeno
porte. A ausência de políticas formais para guiar a
revisão e redação de tais comunicações pode limitar
mais ainda a habilidade da função de produzir as
comunicações aplicáveis de forma oportuna para as
partes apropriadas. Desafios adicionais incluem
manter consistência e prioridade e garantir uma
resposta oportuna a rascunhos de relatórios emitidos.
Orientação:
Para usar melhor o tempo e recursos limitados à
disposição da auditoria interna, o estabelecimento de
um reporte específico para o trabalho deve ser
definido como parte do planejamento do trabalho.
As Normas devem ser consideradas especificamente
na fase de planejamento do trabalho, para que a
natureza da comunicação seja entendida durante a
fase de execução.
O DEA deve consultar as Práticas Recomendadas
para as Normas 2420 e 2440 e, especificamente,
considerar as ações a seguir para disponibilizar
comunicações de qualidade:
Desenvolva orientações para a equipe sobre
como rascunhar comunicações significantes e
concisas.
Estabeleça práticas de departamento, para
garantir que auditores experientes tenham um
entendimento comum dos requisitos de
comunicação conforme orientado pelo DEA e
requisitos específicos da organização. Essas
práticas devem incluir o conteúdo esperado e o
formato das comunicações, orientações sobre a
quem se dirigir nas comunicações e se outros
externos à função devem ser consultados antes
de finalizar e emiti-la.
Estabeleça critérios chave que devam ser
seguidos em cada comunicação antes que ela
seja autorizada para emissão pelo DEA.
Recomenda-se que o DEA estabeleça tais
critérios em conjunto com auditores mais
experientes. Isso garantirá que os principais
critérios sejam acordados antes de rascunhar
tais comunicações e deve, por sua vez, reduzir o
tempo necessário para o DEA ou responsável
revisar a emitir tais comunicações. É imperativo
que tais critérios não contradigam a intenção da
Norma 2400 e normas subjacentes
relacionadas.
Conformidade com a Norma 2500 –
Monitoramento do Progresso
Norma:
O diretor executivo de auditoria deve estabelecer e
manter um sistema para monitorar a disposição dos
resultados comunicados à administração.
Desafio:
Grau do Desafio MÉDIO
Os desafios encarados em conformidade com esta
norma não são únicos para atividades de auditoria de
pequeno porte, mas são certamente impostos sobre
uma atividade de auditoria com recursos limitados.
O acompanhamento oportuno com a gerência com
relação aos planos de remediação acordados para as
descobertas de auditoria interna pode ser difícil de
fazer, se o plano de trabalho do departamento não
alocar tempo para atingir este objetivo.
Orientação:
DEAs de atividades de auditoria interna de pequeno
porte devem considerar uma estratégia para priorizar
as descobertas a acompanhar (em casos nos quais as
descobertas de auditoria são classificadas ou
avaliadas, a mesma priorização pode ser seguida).
Como parte do processo, o DEA deve exigir uma
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 16 Este Guia Prático foi traduzido com o apoio de:
representação da gerência de que a questão foi
abordada apropriadamente, antes de qualquer outro
trabalho de auditoria. Orientações gerais sobre
priorização aparecem abaixo:
RECOMENDAÇÕES
DE AUDITORIA
PRIORIZADAS
(CLASSIFICAÇÕES)
ESTRATÉGIA DE
ACOMPANHAMENTO COMENTÁRIOS
Alto Risco/
Prioridade
Validação da
Auditoria Interna
Auditoria interna
deve revisar e
acordar com o
plano de
remediação e
validar seus
resultados ao final.
Risco/Prioridade
Média Autoavaliação
Auditoria interna
deve confiar na
validação por parte
do proprietário do
processo. O plano
de remediação deve
ser validade
durante a auditoria
seguinte.
Risco/Prioridade
Baixa Autoavaliação
A auditoria interna
deve confiar na
validação por parte
do proprietário do
processo e pode
considerar a
validação na
auditoria seguinte.
Além disso, a auditoria interna pode solicitar
compromissos firmes por parte da gerência ao
discutir as recomendações ao final do período de
auditoria (o status pode ser incluído no reporte ao
conselho). Esses compromissos podem servir de
base para o agendamento de acompanhamentos de
questões de alto risco ou alta prioridade. Uma boa
ferramenta de produtividade é uma planilha que liste
questões em aberto, prazo, um rápido sumário da
questão e status atual. Uma ferramenta melhor
poderia ser uma solução web na intranet, encontrada
em muitas organizações de pequeno porte, que a
atividade de auditoria interna poderia usar.
Conformidade com a Norma 2600 –
Comunicação da Aceitação dos Riscos
Norma:
Quando o diretor executivo de auditoria conclui que
a administração aceitou um nível de risco que pode
ser inaceitável para a organização, o diretor executivo
de auditoria deve discutir o assunto com a alta
administração. Caso o diretor executivo de auditoria
determine que a questão não foi resolvida, o diretor
executivo de auditoria deve comunicar a questão ao
conselho.
Desafio:
Grau do Desafio MÉDIO
Conforme declarado nas Normas, os DEAs podem
ter desafios em manter a independência e
objetividade, já que auditores e/ou os DEAs têm
responsabilidades operacionais. Em alguns casos, o
DEA pode ser parte da equipe de gestão que definiu
o nível aceitável de risco. Também, se a auditoria
interna não reporta a um nível alto o suficiente na
organização, ou se o DEA não tem um nível alto o
suficiente de status por título ou nível de
responsabilidade, sua voz quanto ao nível aceitável
de risco pode não ser ouvida pela equipe de gestão.
Orientação:
O DEA de uma atividade de auditoria de pequeno
porte pode considerar incluir seções no estatuto de
auditoria interna para descrever o processo de
resolução de casos em que a gerência discorde da
recomendação da auditoria interna ou do nível de
aceitação de riscos. O processo de resolução deve
incluir levar a discordância com a gerência até o
conselho, quando necessário. Em casos nos quais o
estatuto de auditoria interna não incluir qualquer
processo de resolução, o DEA deve informar o
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 17 Este Guia Prático foi traduzido com o apoio de:
conselho de tais questões. De qualquer forma, a
comunicação deve ser documentada.
O DEA também deve revisar a Declaração de
Posicionamento do IIA, The Role of Internal Audit in
Enterprise-wide Risk Management. A declaração
aborda os papéis que a auditoria interna não deve
assumir e aqueles que ela deve assumir com as
salvaguardas apropriadas.
Confiança no Trabalho de
Atividades de Auditoria de
Pequeno Porte por parte
de Auditores Internos
Atividades de auditoria interna de pequeno porte são
frequentemente procuradas, ou orientadas por seu
estatuto, para fornecer assistência direta para
auditores externos, para reduzir os custos da
auditoria externa. A habilidade dos auditores
externos de confiar no trabalho da auditoria interna
pode ser limitada em circunstâncias que permitam o
surgimento de uma ou todas estas condições:
Independência limitada da atividade com
base nas linhas de reporte atuais.
Falta de experiência ou qualificações dentro
da atividade, incluindo treinamento
inadequado.
Escopo de trabalho da atividade limitado,
que pode não cobrir o escopo total da
auditoria externa.
Independência limitada da função
Embora alguns DEAs possam reportar ao
diretor executivo de auditoria ou ao diretor
financeiro, a formalização do reporte
funcional ao conselho pode não ter sido
estabelecida. Em tais casos, a documentação
e justificação da estrutura atual de reporte
da atividade de auditoria interna pode
fornecer suporte ao auditor externo, para
que considere a confiança total ou parcial no
trabalho da auditoria interna.
Alternativamente, em tais casos, uma
atividade de auditoria interna de pequeno
porte poderia trabalhar com o auditor
externo para enfatizar como a estrutura atual
de reporte poderia ser modificada, para
permitir que o auditor externo alavanque o
trabalho da função, o que, por sua vez,
poderia trazer mais economia no tempo de
conclusão da auditoria externa e taxas
relacionadas.
Para auditorias seletas, atividades de
auditoria interna de pequeno porte podem
considerar a execução concorrente de
auditorias com o auditor externo. Em tais
casos, embora as evidências de auditorias
podem ser avaliadas em conjunto, a auditoria
interna pode liderar a documentação do
trabalho de auditoria. Esta abordagem ainda
pode permitir uso parcial do trabalho da
atividade de auditoria por parte do auditor
externo.
Falta de experiência ou qualificações
dentro da função
Requisitos de equipe para obtenção de
certificações do IIA ou equivalentes para a
equipe de auditoria interna podem não ser
atingidos devido a limitações orçamentárias.
Estruturar a função com indivíduos que
possuam tais designações reduzirá gastos
futuros neste sentido.
Alavancar oportunidades de buscar
treinamentos em grupo entre atividades de
auditoria interna de pequeno porte locais
pode reduzir os gastos gerais e trazer
oportunidades para a equipe investir em sua
educação profissional continuada.
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 18 Este Guia Prático foi traduzido com o apoio de:
A retenção de evidências que apoiam a
conclusão do treinamento por parte da
equipe de auditoria podem dar ao auditor
externo maior conforto com relação aos
níveis de competência da atividade.
A revisão formalizada da documentação dos
papéis de trabalho por um indivíduo ou
indivíduos com qualificações e/ou
experiência apropriadas poderia compensar
por recursos dentro da atividade de auditoria
que poderiam ser considerados inexperientes
ou não qualificados.
Limitação do escopo do trabalho da
atividade de auditoria interna, não
cobrindo todo o escopo da auditoria
externa
Requisitos de auditoria externa para
amostragem e natureza e extensão de
procedimentos podem não corresponder às
características da atividade de auditoria
interna.
As Normas encorajam a colaboração com a
auditoria externa e tal colaboração pode
incluir a discussão sobre os parâmetros da
amostragem e escopo da auditoria externa.
Tais discussões, com antecedência em
relação ao desenvolvimento e execução do
plano de auditoria, podem permitir maior
confiança no trabalho da auditoria interna.
Compartilhar o suporte e base do plano atual
de auditoria interna, incluindo os riscos
abordados, com o auditor externo pode
resultar na revisão potencial de seu trabalho
planejado.
Para áreas do plano de auditoria externa não
abordadas pelo plano de auditoria interna,
deve-se considerar usar recursos adequados
da organização, externos à auditoria interna,
para conduzir trabalho adicional sob a
supervisão do DEA. Tais oportunidades
devem ser discutidas com o auditor externo
e a gerência e consideradas no contexto da
economia potencial de tempo e dinheiro
para a auditoria externa.
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 19 Este Guia Prático foi traduzido com o apoio de:
Autores:
Princy Jain, CIA, CCSA
Kiko Harvey
Rita Thakkar, CIA
Robert W. Cates, CIA
Revisores e Contribuições:
Maria Mendes, CIA, CCSA
Takeshi Shimizu, CIA, CCSA
Douglas J. Anderson, CIA
James Rose, CIA
Steven E. Jameson, CIA, CCSA, CFSA
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 20 Este Guia Prático foi traduzido com o apoio de:
Anexo A - Modelo para Facilitar a Determinação de Falhas
na Conformidade com as Normas
NORMA # TÍTULO DA NORMA STATUS ATUAL
1000 Propósito, Autoridade e Responsabilidade
1010 Reconhecimento da Definição de
Auditoria Interna, do Código de Ética e
das Normas no Estatuto de Auditoria
Interna
1100 Independência e Objetividade
1110 Independência Organizacional
1120 Objetividade Individual
1130 Prejuízo à Independência ou à
Objetividade
1200 Proficiência e Zelo Profissional Devido
1210 Proficiência
1220 Zelo Profissional Devido
1230 Desenvolvimento Profissional Contínuo
1300 Programa de Melhoria e Certificação de
Qualidade
1310 Requerimentos do Programa de Avaliação
da Qualidade e Melhoria (Essa norma
inclui 1311 - Avaliações Internas e 1312
- Avaliações Externas)
1320 Reporte do Programa de Melhoria e
Certificação de Qualidade
1321 Uso de “Em conformidade com as Normas
Internacionais para a Prática Profissional
de Auditoria Interna”
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 21 Este Guia Prático foi traduzido com o apoio de:
NORMA # TÍTULO DA NORMA STATUS ATUAL
1322 Divulgação de Não Conformidade
2000 Gerenciamento da Atividade de Auditoria
Interna
2010 Planejamento
2020 Comunicação e Aprovação
2030 Gerenciamento de Recursos
2040 Políticas e Procedimentos
2050 Coordenação
2060 Reporte para a Alta Administração e o
Conselho
2070 Prestadores de Serviço Externo e a
Responsabilidade da Organização sobre a
Auditoria Interna
2100 Natureza do Trabalho
2110 Governança
2120 Gerenciamento de Riscos
2130 Controle
2200 Planejamento do Trabalho de Auditoria
2201 Considerações sobre o Planejamento
2210 Objetivos do Trabalho de Auditoria
2220 Escopo do Trabalho de Auditoria
2230 Alocação de Recursos para o Trabalho de
Auditoria
2240 Programa de Trabalho de Auditoria
2300 Execução do Trabalho de Auditoria
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 22 Este Guia Prático foi traduzido com o apoio de:
NORMA # TÍTULO DA NORMA STATUS ATUAL
2310 Identificação das Informações
2320 Análise e Avaliação
2330 Documentação das Informações
2340 Supervisão do Trabalho de Auditoria
2400 Comunicação dos Resultados
2410 Critérios para a Comunicação
2420 Qualidade das Comunicações
2421 Erros e Omissões
2430 Uso de “Conduzido em Conformidade com
as Normas Internacionais para a Prática
Profissional de Auditoria Interna”
2431 Declaração de Não Conformidade do
Trabalho de Auditoria
2440 Divulgação dos Resultados
2450 Opiniões gerais
2500 Monitoramento do Progresso
2600 Comunicação da Aceitação de Riscos
IPPF – Guia Prático
Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas
www.iiabrasil.org.br / 23 Este Guia Prático foi traduzido com o
apoio de:
Sobre o Instituto
Fundado em 1941, The Institute of Internal Auditors
(IIA) é uma associação profissional com sede global
em Altamonte Springs, Fla., EUA. O IIA é a voz da
profissão de auditoria interna em todo o mundo,
autoridade reconhecida, líder valorizado, advogado
chefe e principal educador.
Sobre os Guias Práticos
Os Guias Práticos fornecem uma orientação
detalhada para a condução de atividades de auditoria
interna. Eles incluem processos e procedimentos
detalhados, como ferramentas e técnicas, programas
e abordagens passo-a-passo, assim como exemplos
de deliverables. Os Guias Práticos são parte da IPPF
do IIA. Como parte da categoria de orientação
Fortemente Recomendada, a conformidade não é
obrigatória, mas é altamente recomendada, e a
orientação é endossada pelo IIA por meio de
processos formais de revisão e aprovação. Para mais
materiais de orientação fidedignos fornecidos pelo
IIA, por favor visite nosso website:
www.iiabrasil.org.br ou www.theiia.org.
Isenção de Responsabilidade
O IIA publica este documento para fins informativos
e educacionais. Este material de orientação não tem
como objetivo fornecer respostas definitivas a
específicas circunstâncias individuais e, como tal,
tem o único propósito de servir de guia. O IIA
recomenda que você sempre busque conselhos
especializados independentes, relacionados
diretamente a qualquer situação específica. O IIA
não assume responsabilidade pela confiança
depositada unicamente neste guia.
Copyright
Os direitos autorais deste documento pertencem ao
The IIA. Para permissão para reprodução, favor
entrar em contato com o IIA pelo e-mail: