AUXILIANDO ATIVIDADES DE AUDITORIA INTERNA DE … · Conformidade Com a Norma 2100 - Natureza do Trabalho..... 11 Conformidade com a Norma 2200 – Planejamento do Trabalho de Auditoria

IPPF – Guia Prático

Auxiliando Atividades de Auditoria Interna de Pequeno Porte na Implementação das Normas

Guia Prático

AUXILIANDO ATIVIDADES DE AUDITORIA INTERNA DE

PEQUENO PORTE NA IMPLEMENTAÇÃO DAS NORMAS

INTERNACIONAIS PARA A PRÁTICA PROFISSIONAL DA

AUDITORIA INTERNA

Março de 2011



www.iiabrasil.org.br / B Este Guia Prático foi traduzido com o apoio de:

Índice

Sumário Executivo ....................................................................................................................................................... 3

Introdução ................................................................................................................................................................... 3

Definição de uma Atividade de auditoria interna de pequeno porte .......................................................................... 5

Desafios Principais Enfrentados por Atividades de Pequeno Porte na Implementação das Normas do IIA .............. 5

Orientação para a Implementação das Normas ......................................................................................................... 6

Conformidade Com a Norma 1000 - Propósito, Autoridade e Responsabilidade ....................................................... 6

Conformidade Com a Norma 1100 - Independência e Objetividade .......................................................................... 6

Conformidade Com a Norma 1200 - Proficiência e Zelo Profissional Devido ............................................................ 7

Conformidade Com a Norma 1300 - Programa de Melhoria e Certificação de Qualidade ......................................... 8

Conformidade Com a Norma 2000 - Gerenciando a Atividade de Auditoria Interna ............................................... 10

Conformidade Com a Norma 2100 - Natureza do Trabalho...................................................................................... 11

Conformidade com a Norma 2200 – Planejamento do Trabalho de Auditoria ......................................................... 11

Conformidade com a Norma 2300 – Execução do Trabalho de Auditoria ................................................................ 13

Conformidade com a Norma 2400 – Comunicação dos Resultados ........................................................................ 14

Conformidade com a Norma 2500 – Monitoramento do Progresso .......................................................................... 15

Conformidade com a Norma 2600 – Comunicação da Aceitação dos Riscos .......................................................... 16

Confiança no Trabalho de Atividades de Auditoria de Pequeno Porte por parte de Auditores Internos ................... 17

Anexo A - Modelo para Facilitar a Determinação de Falhas na Conformidade com as Normas .............................. 20



www.iiabrasil.org.br / 3 Este Guia Prático foi traduzido com o apoio de:

Sumário Executivo

A Estrutura Internacional de Práticas Profissionais

(IPPF) e a subjacente Normas Internacionais para a

Prática Profissional de Auditoria Interna (Normas)

fornecem ao diretor executivo de auditoria (DEA) e à

liderança de auditoria interna uma estrutura e

orientações relacionadas para usar na avaliação e na

garantia da eficácia da atividade de auditoria interna.

As Normas também fornecem às partes interessadas

da auditoria interna uma base para avaliar a eficácia

da atividade. As Normas são aplicáveis a todos os

departamentos de auditoria interna,

independentemente do tamanho, nível de recursos,

complexidade ou objetivo e escopo.

Este guia prático fornece uma definição operacional

do termo “atividade de auditoria interna de pequeno

porte”. O guia reconhece os desafios que os DEAs e

a liderança de auditoria em atividades de auditoria

de pequeno porte podem enfrentar na

implementação das Normas, dá sugestões para

vencer esses desafios e discute os benefícios do uso

das Normas. Muitos dos desafios discutidos nesse

guia não são únicos para atividades de auditoria de

pequeno porte; atividades maiores podem enfrentar

muitos dos mesmos desafios. No entanto, esses

desafios são encontrados mais frequentemente e são

mais difíceis de serem superados nas atividades de

auditoria de pequeno porte.

Embora o DEA de uma atividade de auditoria

interna de pequeno porte seja responsável por

garantir a implementação de todas as Normas, o grau

de desafio para a conformidade com cada norma

pode variar entre atividades de pequeno porte. A

tabela na Introdução fornece um sumário visual do

grau de dificuldade que o DEA pode encontrar na

conformidade com as Normas. A tabela é baseada

em discussões informais com pequenos grupos de

auditoria e também entre os membros de comitês do

IIA. Embora a conformidade com as Normas possa

causar desafios, é possível cumpri-las com o

desenvolvimento de estratégia e planejamento

apropriados. As Normas são baseadas em princípios e

feitas para serem aplicáveis a atividades de auditoria

interna de todos os tamanhos.

O DEA de uma atividade de auditoria de pequeno

porte deve avaliar o nível atual de conformidade com

cada norma para determinar falhas na conformidade

com as Normas em geral. (Um modelo é fornecido

no Apêndice A.) Na identificação das falhas, o DEA

deve desenvolver um plano para conformidade

completa para com as Normas, baseado nas

orientações desse guia prático e outras orientações

da IPPF. É importante que o DEA incorpore

elementos das Normas na visão da atividade de

auditoria interna, missão e estatuto. No mais, é

crítico que o DEA comunique claramente a visão da

atividade, a missão e o estatuto para as partes

interessadas principais.

Introdução

O IIA está feliz de apresentar esse guia prático para

auxiliar atividades de auditoria interna de pequeno

porte na implementação das Normas Internacionais

para a Prática Profissional da Auditoria Interna

(Normas).

O escopo de trabalho realizado pelos praticantes

atuais são vastos e variados. Existe uma grande

necessidade de orientações concisas que possam ser

adotadas e seguidas prontamente, independente da

indústria, especialidade de auditoria ou setor. A

Estrutura Internacional de Práticas Profissionais

(IPPF) do IIA fornece orientações práticas na forma

de Normas, Práticas Recomendadas, Guias Práticos

e Declarações de Posicionamento. Na IPPF, existem

orientações mandatórias e orientações fortemente

recomendadas. Este guia prático possui a intenção

de servir como uma orientação fortemente

recomendada para uso, primariamente, de atividade

de auditoria interna de pequeno porte.

Este guia prático fornece exemplos específicos e

práticas de liderança relevantes para o DEA e a

gerência de auditoria de atividades de auditoria

interna de pequeno porte sobre como abordar

melhor a implementação das Normas.




O guia fornece informação no seguinte formato:

Norma do IIA Definição de cada norma

Desafios Prováveis desafios que atividades de auditoria de pequeno porte podem enfrentar na conformidade com

as Normas do IIA.

Orientações Orientações recomendadas sobre a conformidade com as Normas do IIA.

Atividades de auditoria interna de pequeno porte devem estar em conformidade com todas as normas do IIA. O

Apêndice A fornece um modelo para mapeamento, incluindo uma lista das Normas.

NORMA Nº TÍTULO DAS NORMAS GRAU DE DIFICULDADE

1000 Propósito, Autoridade e Responsabilidade L

1100 Independência e Objetividade H

1200 Proficiência e Zelo Profissional Devido M

1300 Programa de Melhoria e Certificação de

Qualidade

H

2000 Gerenciando a Atividade de Auditoria

Interna

H

2100 Natureza do Trabalho M

2200 Planejamento do Trabalho H

2300 Realizando o Trabalho H

2400 Comunicando Resultados M

2500 Monitorando o Progresso M

2600 Aceitação de Riscos da Gerência M

Indicações do grau provável de desafio:

Verde - Baixo grau de desafio

Âmbar - Médio grau de desafio

Vermelho - Alto grau de desafio




Definição de uma Atividade

de auditoria interna de

pequeno porte

As visões dos praticantes de auditoria interna variam

globalmente sobre os critérios para a definição de

uma atividade de auditoria interna como de pequeno

porte. Os critérios são afetados pelas características

da atividade de auditoria interna - papel e propósito,

maturidade, país e cultura e a natureza global ou

local da organização na qual ela opera.

Para os propósitos deste guia, vários elementos

comuns foram considerados como sendo

relacionados a uma atividade de auditoria de

pequeno porte. Tipicamente, uma atividade de

auditoria interna de pequeno porte terá um ou mais

das seguintes características:

De um a cinco auditores.

Horas produtivas de auditoria interna menores do que 7500 por ano.

Nível limitado de co-sourcing ou terceirização.

Ser pequeno não é igual a ser ineficaz ou com

poucos recursos. Em muitas circunstâncias, uma

atividade de auditoria interna de pequeno porte é

estruturada apropriadamente para o tamanho e os

riscos atribuídos para o negócio ao qual ela serve.

No entanto, atividade de auditoria menores podem

ter desafios que não são tipicamente enfrentados por

atividades de auditoria maiores que possuem uma

escala de economias maior.

Desafios Principais

Enfrentados por Atividades

de auditoria interna de

pequeno porte na

Implementação das

Normas do IIA

Adequação de Recursos

Recursos limitados impactam a habilidade das

atividades de auditoria interna de pequeno porte de

estarem em conformidade com as muitas Normas do

IIA. Por exemplo, a norma Programa de Melhoria e

Certificação de Qualidade, que requer avaliações

internas periódicas e avaliações externas no mínimo

a cada cinco anos pode ser difícil de cumprir, devido

à inabilidade de financiar uma avaliação externa.

Adicionalmente, investimentos maiores em inovação

ou automação para a atividade de auditoria interna

podem não ser permitidos em orçamentos reduzidos.

Para cada uma das seguintes normas, sugestões são

dadas para auxiliar o DEA a conquistar

conformidade, apesar de potenciais limitações.

Retenção de Equipe Qualificada ou

Especialistas

Atividades de auditoria interna de pequeno porte

podem ter dificuldades na atração, contratação ou

envolvimento de especialistas (isto é, especialistas

para executar auditorias relacionadas aos riscos

complexos da organização). Por exemplo, auditorias

de tecnologia e auditorias de indústrias

especializadas podem ser mais difíceis de montar

uma equipe adequadamente se o orçamento é

reduzido ou se a expertise necessária para realizar

essas auditorias não existe no departamento. Para o

DEA e a liderança de auditoria, o recrutamento e a

retenção de equipe qualificada ou especialistas são

críticos, uma vez que atividades de auditoria de

pequeno porte frequentemente não possuem

hierarquias tradicionais de gerenciamento de equipe

e pacotes de compensação atrativos associados com

maiores atividades de auditoria. Contrariamente,

uma atividade de pequeno porte pode atrair

auditores mais experientes que gostariam da




oportunidade de trabalhar com uma hierarquia

menor e/ou a habilidade de fazer maiores

contribuições diretas ao grupo de auditoria.

Independência

Atividades de auditoria de pequeno porte também

podem ter desafios com relação à independência e

objetividade, devido à estrutura de reporte da

atividade, a recência da atividade, associações mais

próximas com a gerência, governança organizacional

mais fraca e a existência de responsabilidades

adicionais externas à atividade principal.

Orientação para a

Implementação das

Normas

Conformidade Com a Norma 1000 -

Propósito, Autoridade e

Responsabilidade

Norma:

O propósito, a autoridade e a responsabilidade da

atividade de auditoria interna deve ser formalmente

definida em um estatuto de auditoria interna e ser

consistente com a Definição de Auditoria Interna, o

Código de Ética e as Normas. O DEA deve revisar

periodicamente o estatuto de auditoria interna e

apresentá-lo à alta administração e ao conselho para

aprovação.1

Desafio:

Grau do Desafio BAIXO

1 Para os propósitos desse Guia Prático, as Interpretações das Normas e as camadas de Normas além da primeira de uma categoria não estão incluídas. Ao leitor, é indicado as Normas completas para entender completamente os requisitos e os significados de cada uma das Normas, incluindo suas introduções, interpretações e glossários.

A conformidade com essa Norma não é dependente

do tamanho da atividade de auditoria e não deve

apresentar desafios únicos para a atividade de

auditoria de pequeno porte.

Orientação:

O DEA deve discutir o requisito para um estatuto

com o conselho e com a alta administração

apropriada, explicando detalhadamente o propósito

do estatuto de auditoria interna e os benefícios

trazidos à organização a partir da adoção do estatuto.

É importante que o DEA incorpore elementos das

Normas na visão, missão e no estatuto da atividade

de auditoria interna. Ademais, é crítico que o DEA

comunique claramente a visão, missão e o estatuto

da atividade para as principais partes interessadas. O

DEA deve revisar periodicamente (anualmente, por

exemplo) e avaliar os conteúdos do estatuto e as

políticas e procedimentos, para garantir que o

conteúdo é relevante e continue a agregar valor à

organização. Essas revisões devem ser comunicadas

ao conselho e à alta administração. O conselho deve

revisar e aprovar o estatuto anualmente. O DEA

deve manter uma documentação de todas as

comunicações com o conselho e com a alta

administração no que diz respeito ao estatuto,

políticas e procedimentos da atividade de auditoria

interna.


Independência e Objetividade

Norma:

A atividade de auditoria interna deve ser

independente e os auditores internos devem ser

objetivos na realização do seu trabalho.

Desafio:

Grau do Desafio ALTO




Dificuldades com os níveis de reporte e com a

estrutura organizacional não são exclusivos de

atividades de auditoria interna de pequeno porte. No

entanto, independência individual e objetividade dos

auditores em uma atividade de pequeno porte e,

particularmente em uma organização menor, podem

ser desafiadoras, visto que podem ser dadas a esses

auditores responsabilidade operacional por outras

atividades, como gerenciamento de registros,

atividades de compliance, segurança de TI, relações

com investidores, gerenciamento de riscos ou outras

atividades de finanças e contabilidade.

Adicionalmente, auditores em uma organização

menor geralmente estabelecem relações mais

próximas com outros membros da equipe da

gerência, criando a percepção de que um conflito de

interesses possa estar presente. A estrutura de

reporte organizacional do departamento também

pode prejudicar a sua independência e objetividade,

dependendo da natureza dos relacionamentos de

reporte. Por exemplo, o DEA pode não reportar

funcionalmente ao conselho ou a outro membro da

equipe executiva. Em vez disso, o DEA pode

reportar a um indivíduo que realiza ou possui

responsabilidade direta por áreas que são alvos de

auditorias.

Orientação:

É imperativo que o DEA mantenha uma

comunicação aberta com o conselho e com a alta

administração no que diz respeito à importância da

independência e objetividade do auditor. As

dificuldades envolvidas em auditar áreas pelas quais

auditores tenham sido dados responsabilidade

operacional devem ser completamente explicadas. O

DEA deve apresentar várias alternativas para como

essas áreas podem ser auditadas, incluindo o uso de

recursos externos. Por exemplo, com recursos

suficientes na função de auditoria interna, apenas os

auditores que não são diretamente responsáveis pela

área operacional ou um fornecedor de serviço

externo podem realizar a auditoria, e os resultados

devem ser comunicados ao DEA e a outro membro

da gerência, externo à função. Se essa solução não

for prática, os enfraquecimentos e outras alternativas

de auditoria devem ser incluídos na avaliação de

riscos para o plano de auditoria do DEA e discutidos

com o conselho e com a alta administração.

Em organizações onde relacionamentos próximos de

trabalho são uma expectativa, o trabalho da função

de auditoria interna deve sempre ser realizado com

objetividade e independência em mente. O DEA ou

a liderança de auditoria devem comunicar

claramente ao conselho e à alta administração o

envolvimento de escopo e as bases para conclusões.

O DEA e outros auditores devem continuar a

reforçar a importância da independência e

objetividade do auditor (na organização ou nível de

engajamento).

De forma geral, o DEA deve discutir esses desafios,

assim como os desafios resultantes de estruturas de

reporte organizacionais, com o conselho e o nível

apropriado da alta administração. Tal comunicação

deve ser feita em conjunto com o estabelecimento

do plano de auditoria e mais frequentemente se

justificado baseado em trabalhos realizados ou a

serem realizados. No entanto, o DEA deve usar de

cautela para garantir que tais comunicações não

sejam percebidas como desculpas ou impedimentos

para realizar certas auditorias. Quando emitir um

reporte onde independência e objetividade não

foram atingidas satisfatoriamente, o DEA tem a

obrigação de revelar esse fato no reporte de

auditoria, incluindo a(s) razão(ões) e o impacto

relacionado.


Proficiência e Zelo Profissional Devido

Norma:

Os trabalhos devem ser realizados com proficiência e

o Zelo profissional devido.

Desafio:

Grau do Desafio MÉDIO




Os desafios enfrentados em conformidade com essa

série de Normas são agravados em uma atividade de

auditoria interna de pequeno porte com recursos

limitados, visto que a atividade pode não ser capaz

de contratar funcionários ou especialistas

terceirizados para realizar o trabalho (devido a

limitações orçamentárias) ou pode não ser capaz de

investir em treinamento para que a equipe atual

ganhe essas habilidades.

Orientação:

Quando batalhando para realizar trabalhos

proficientemente e com o Zelo profissional devido, a

ênfase está na implementação de recursos

qualificados. Embora a supervisão de trabalhos seja

esperada, o DEA deve procurar auditores com

experiência suficiente que podem não precisar de

supervisão extensiva. Adicionalmente, o DEA

também pode garantir que os auditores com

experiência limitada estejam realizando trabalhos

proporcionais à experiência deles. De forma geral, o

DEA deve buscar recursos com experiência e

conhecimento complementares às habilidades

necessárias para executar o plano de auditoria.

O DEA pode precisar determinar se um modelo de

equipe interna, externa ou mista servirá melhor as

necessidades da atividade de auditoria interna da

organização. Oportunidades para alavancar outros

recursos organizacionais podem existir. Tais

oportunidades podem permitir que a auditoria

interna guie e supervisione os esforços de membros

fora da equipe de auditoria que tenham

conhecimento relevante e objetividade para realizar

trabalhos específicos. Em muitos casos, a natureza

dos trabalhos a serem realizados pode implicar na

necessidade de especialistas internos ou externos à

organização.

Além disso, o DEA pode considerar:

Usar um processo formal bem organizado e

documentado.

Buscar orientação de colegas de trabalho.

Usar materiais de referência como livros,

programas de auditoria, questionários de

controle interno (ICQs), modelos, guias

regulatórios e manuais, etc.

Quando os recursos de treinamento - seja tempo ou

fundos - são limitados, a atividade de auditoria

interna deve priorizar o treinamento que é fornecido

de forma grátis ou de baixo custo (por exemplo,

treinamentos baseados na internet, treinamento no

IIA local). O DEA também deve garantir que

qualquer treinamento presenciado por um membro

da atividade de auditoria seja discutido com outros

membros da atividade. O DEA deve maximizar o uso

de serviços e recursos de associações locais

profissionais e organizações. Oportunidades também

podem existir em fazer uma parceria com grupos

funcionais dentro da organização ou outras

atividades de auditoria interna em assistir

treinamentos de interesse mútuo a taxas

competitivas.

O DEA também deve considerar contatar DEAs de

atividades de auditoria interna maiores na área local

para explorar treinamentos conjuntos e para que

seus auditores externos explorem treinamentos

técnicos de contabilidade/controles.


Programa de Melhoria e Certificação de

Qualidade

Norma:

O DEA deve desenvolver e manter um Programa de

Melhoria e Certificação de Qualidade que cubra

todos os aspectos da atividade de auditoria interna.

1310 - O Programa de Melhoria e Certificação de

Qualidade deve incluir avaliações internas e

externas.

1321 - O DEA deve declarar que a atividade de

auditoria interna está em conformidade com as

Normas Internacionais para a Prática Profissional da

Auditoria Interna apenas se os resultados do




Programa de Melhoria e Certificação de Qualidade

apoiarem essa declaração.

Desafio:


Recursos financeiros podem limitar a habilidade de

realizar uma avaliação de qualidade (QA) externa ou

interna em concordância com as Normas. O

desempenho de uma QA interna também pode ser

desafiador, devido às restrições de tempo e equipe e

a falta de revisadores independentes adequados.

Orientação:

Quando marcando avaliações internas, atividades de

auditoria interna de pequeno porte podem precisar

considerar um maior envolvimento daqueles com

conhecimento adequado de prática de auditoria

interna. DEAs supervisionam tais avaliações; no

entanto, indivíduos realizando essas avaliações

também podem incluir recursos de dentro da

organização que possuam experiência de auditoria

anterior ou que são especificamente treinados para

realizar QAs. A qualidade deve ser integrada no

processo de auditoria. Por exemplo, a revisão de

auditoria deve ser inserida como parte de cada

auditoria e obter feedback das partes interessadas a

partir de pesquisas ou discussões documentadas

deve ser parte da rotina de auditoria. A revisão anual

dos modelos de auditoria, etc. também pode ser

parte do programa de avaliação interna e melhorias.

O formato e o tamanho de tais avaliações devem

facilitar a revisão e a conclusão. Quanto melhor

definidas as expectativas para os componentes da

atividade de auditoria interna, a extensão da

documentação, etc., mais fácil será medir

claramente o desempenho contra essas expectativas.

O uso de checklists esboçando essas expectativas

definidas simplifica esse processo de avaliação

interna. Checklists e ferramentas disponíveis do

Manual de Certificação de Qualidade do IIA apoiam

a conclusão pontual e com custos eficazes dessas

avaliações.

Para a atividade de auditoria interna de pequeno

porte, autoavaliações internas devem ser realizadas

no mínimo anualmente. Autoavaliações mais

frequentes são encorajadas como permissíveis pela

organização ou restrições do departamento. Essas

avaliações internas devem ser documentadas para

ajudar a facilitar a avaliação externa.

Avaliações externas devem ser conduzidas no

mínimo uma vez a cada cinco anos, por um revisador

ou equipe de revisão qualificada e independente, de

fora da organização. A atividade de auditoria interna

de pequeno porte pode usar revisões externas de

organização de colegas de trabalho para satisfazer a

norma acima. Para facilitar tais revisões, o DEA

pode envolver outras atividades de auditoria interna

de tamanho similar ou organizações de tamanho

similar para participar de tais revisões. Organizações

também podem coordenar com filiais/institutos

locais do IIA para identificar participantes. Por

exemplo, quatro organizações de tamanho similar

podem realizar a avaliação externa uma das outras de

forma que duas organizações não se avaliem entre si.

Providenciar esse tipo de revisão trocada de colegas

permite que a atividade de auditoria de pequeno

porte reduza as taxas de avaliações de terceiros,

embora custos de oportunidade de uso da equipe da

companhia existirão. O DEA precisará considerar as

qualificações e a independência do colega revisador

e a adequação da frequência de revisão. Outra opção

para uma avaliação externa é uma autoavaliação com

validação externa de uma firma independente. Isso é

um meio de abaixar o custo.

Finalmente, o DEA deve comunicar os resultados do

Programa de Melhoria e Certificação de Qualidade

para a alta administração e o conselho.





Gerenciando a Atividade de Auditoria

Interna

Norma:

O DEA deve gerenciar eficazmente a atividade de

auditoria interna para garantir que ela agregue valor

à organização. A interpretação dessa norma

posteriormente mostra que a atividade de auditoria

interna é gerenciada eficazmente quando:

Os resultados do trabalho da atividade

de auditoria interna alcançam o

propósito e a responsabilidade incluídos

no estatuto de auditoria interna.

A atividade de auditoria interna está em

conformidade com a Definição de

Auditoria Interna e com as Normas.

Os indivíduos que fazem parte da

atividade de auditoria interna

demonstram conformidade com o

Código de Ética e com as Normas.

Desafio:


O DEA de uma atividade de auditoria interna de

pequeno porte pode ter dificuldade demonstrando

que a atividade agrega valor à organização se as

prioridades do departamento diferem da perspectiva

da gerência. Se a missão da auditoria interna foca na

auditoria da eficácia do ambiente de controle,

enquanto a alta administração e o conselho veem

esforços para recuperar custo como sendo uma

atividade com maior valor agregado, um conflito

pode surgir.

Adicionalmente, se a atividade de auditoria interna

está sobrecarregada ou é frequentemente chamada

para realizar trabalhos com um fim específico pela

gerência, o estatuto de auditoria interna pode não ser

satisfeito. Nesse caso, os riscos de auditoria interna

se tornam apenas outra função de suporte dentro da

organização e a objetividade e o propósito da

atividade podem ser comprometidos.

Orientação:

Diante da realização dos objetivos da organização, é

importante que o estatuto de auditoria interna

exponha claramente a missão do departamento e que

o estatuto seja endossado pela alta administração e

aprovado pelo conselho. O DEA deve investir o

tempo apropriado necessário para educar as partes

interessadas sobre o propósito da auditoria interna e

o valor que pode acumular à organização quando a

governança, o gerenciamento de riscos e os controles

são desenhados apropriadamente e operados

eficazmente.

O DEA deve solicitar periodicamente um feedback

das principais partes interessadas, para garantir que

a atividade continue realizando auditorias que

agregam valor e que o plano de auditoria permaneça

alinhado com os objetivos estratégicos e os riscos

principais da organização (devido à proximidade com

as partes interessadas, pode ser mais fácil solicitar

um feedback de um ambiente de uma atividade de

auditoria interna de pequeno porte). Se a missão da

atividade de auditoria interna estiver alinhada com

os objetivos estratégicos da organização, é provável

que essa norma seja cumprida.

Elementos de uma função bem gerenciada, como

planejamento baseado em riscos, comunicação

pontual e eficaz com as principais partes

interessadas, políticas e procedimentos bem

estabelecidos e coordenação eficaz com outros

fornecedores de segurança são os mesmos para

organizações de auditoria de grande e pequeno

porte. O nível de formalidade desses elementos varia

baseado nas necessidades da organização e no

tamanho da auditoria interna. Os fatores que

resultaram na necessidade de uma atividade de

auditoria interna de pequeno porte são,

provavelmente, os mesmos fatores que permitem




menos formalidade no método de conformidade com

as Normas. O DEA deve continuar a focar em um

plano de auditoria baseado em riscos que possa ser

apoiado por recursos disponíveis. Além disso, uma

comunicação apropriada deve ser feita às partes

interessadas com relação às áreas de auditoria que

não podem ser realizadas devido a limitações de

recursos.


Natureza do Trabalho

Norma:

A atividade de auditoria interna deve avaliar e

contribuir para melhorar a governança, o

gerenciamento de riscos e os processos de controle,

usando uma abordagem sistemática e disciplinada.

Desafio:


Se a atividade de auditoria interna de pequeno porte

está operando dentro de uma organização de

pequeno porte, a governança, os riscos e os

processos de controle podem ainda estar evoluindo.

A auditoria interna pode ser um desses grupos com

um conjunto de habilidades para realizar essas

funções ou pode ser responsável por muitas das

funções que apoiam a governança, os riscos e o

controle. Além disso, os controles podem não ser

desenhados adequadamente ou podem não operar

como intencionado, aumentando o risco da

organização falhar em alcançar o sucesso.

Se a atividade de auditoria de pequeno porte está

operando dentro de uma organização maior ou mais

estabelecida, a governança, o gerenciamento de

riscos e os processos de controle podem ser mais

maduros. Nesse caso, o desafio pode ser garantir que

os papéis e as responsabilidades da auditoria interna

estejam claramente comunicados, para evitar esforço

dobrado entre esses processos ou falhas em atribuir

propriedade para os processos.

O tamanho limitado da atividade de auditoria pode

tornar difícil para a auditoria interna cobrir todas as

áreas ordenadas na seção 2100 das Normas.

Orientação:

Mesmo que a atividade de auditoria interna de

pequeno porte esteja operando dentro de uma

organização de pequeno ou grande porte, é esperado

que a auditoria interna contribua para melhorar a

governança, o gerenciamento de riscos e os

processos de controle, simplesmente através da

conclusão de seu trabalho.

Uma definição clara dos papéis e responsabilidades

do conselho, da gerência e da auditoria interna no

que diz respeito à governança, aos riscos e aos

processos de controle seria ajudar a garantir que a

atenção e os recursos apropriados estejam destinados

a essas áreas. O DEA pode incluir algumas

perguntas sobre problemas principais e papéis da

auditoria interna para discussão com o comitê de

auditoria, documentando a resposta. É importante

que a auditoria interna permaneça focada na

avaliação da eficácia dessas áreas, no entanto,

enquanto a gerência permanece responsável por

desenhar e implementar governança, gerenciamento

de riscos e processos de controle eficazes. O DEA

deve garantir que os objetivos do trabalho de

consultoria sejam consistentes com os valores e

metas gerais da organização.

A atividade de auditoria interna deve usar sua

abordagem de auditoria baseada em riscos para

garantir foco adequado sobre todas as áreas

ordenadas pelas Normas. A profundidade, a

frequência e a natureza do trabalho de auditoria

devem ser modificadas baseado nos riscos da área e

no nível de recursos disponíveis.

Conformidade com a Norma 2200 –

Planejamento do Trabalho de Auditoria

Norma:

Os auditores internos devem desenvolver e

documentar um planejamento para cada trabalho de




auditoria, incluindo os objetivos, o escopo, o prazo e

a alocação de recursos do trabalho.

Desafio:


Um componente fundamental do planejamento é a

condução de uma avaliação preliminar dos riscos

relevantes para a área sob revisão. Objetivos

aplicáveis do trabalho devem refletir os resultados da

avaliação de riscos preliminar. A habilidade de

conduzir esta avaliação pode ser impactada pelo

nível de habilidade da equipe/especialista e pelo

tempo disponível para avaliar apropriadamente tais

riscos. Desafios adicionais podem ocorrer até o

ponto em que o planejamento do trabalho é

formalizado e documentado.

Orientação:

O DEA deve desenvolver considerações de

planejamento na forma de checklists para tipos

comuns de trabalho. A classificação de trabalhos

com base em critérios como riscos e complexidade,

número de horas planejadas, nível da equipe

designada para o trabalho e usuários/público alvo do

relatório de auditoria podem definir melhor o grau de

formalidade, detalhes e duração do planejamento do

trabalho. A classificação de trabalhos também pode

indicar quem pode conduzir o planejamento

relacionado.

Os três componentes principais do processo de

planejamento são:

Definir os objetivos do trabalho – Identifica

o propósito do trabalho e inclui uma

avaliação preliminar dos riscos. Para

trabalhos planejados, os objetivos estão

alinhados com aqueles inicialmente

identificados durante o processo de

avaliação de riscos e são frequentemente

alcançados pelo plano de auditoria interna.

Para trabalhos não planejados, os objetivos

são estabelecidos no início do trabalho e são

específicos para as questões subjacentes que

o exigem.

Definir o escopo do trabalho – Identifica

requisitos técnicos, objetivos, riscos,

processos e transações a serem examinadas.

Este componente também considera a

natureza e extensão do teste necessário.

Definir o público do trabalho – Identifica

como, quando e para quem os resultados do

trabalho serão comunicados. Isso inclui o

posterior reporte das mudanças que afetam o

timing ou o reporte dos resultados do

trabalho.

Estes três componentes devem abordar muitos dos

fatores que são considerados no estágio de

planejamento, tais como:

Duração do trabalho e prazos principais.

Estruturação da equipe do trabalho.

Extensão da documentação (ex., para uso em

trabalhos recorrentes).

O escopo do trabalho deve considerar,

especificamente, riscos relevantes. Para permitir que

atividades de auditoria de pequeno porte coletem

informações significantes sobre riscos específicos do

trabalho, a auditoria interna deve alavancar os itens a

seguir, no que tange às áreas sob auditoria, se

disponíveis:

A autoavaliação de riscos da gerência ou

questionários para a área do trabalho.

Narrativas ou fluxogramas relativos ao

processo da gerência.

Reporte interno relacionado da gerência.

Informações com relação à tolerância ou

apetite ao risco da gerência (pode incluir




análise SWOT e/ou resultados de atividades

externas de consultoria).

Inventário independente de riscos da

auditoria interna.

Avaliação do histórico de descobertas de

auditoria interna e externa da auditoria

interna.

Revisão de relatórios ou papéis de trabalho

anteriores da auditoria interna.

Pesquisas com a gerência que possam

fornecer insights.

Revisão do plano estratégico da organização,

orçamento, documentação regulatória,

comunicações internas da gerência,

considerações independentes do

mercado/riscos inerentes por parte da

auditoria interna, etc.

Revisão dos programas de conformidade

regulatória (ex., U.S. Sarbanes-Oxley) e

resultados, quando aplicável.

Outros.

Quanto maior o risco associado de um trabalho,

maior a formalidade e documentação necessárias

para apoiar o planejamento do trabalho.

Adicionalmente, o desenvolvimento de modelos do

programa de trabalho por tipo de trabalho diminuirá

o tempo de que a equipe precisa para concluir os

trabalhos e também garantirá que os objetivos do

trabalho sejam apropriadamente incorporados no

trabalho conduzido. O DEA deve revisitar tais

modelos ao menos anualmente, para garantir que o

trabalho exigido seja relevante e apropriado no

contexto do plano de auditoria. O DEA deve garantir

especificamente que os métodos de amostragem e

análise de requisitos que apoiem a execução e

conclusão do trabalho sejam aprovados antes que o

trabalho comece. Os auditores mais experientes

devem liderar a conclusão dos programas de trabalho

mais complexos quando possível.


Execução do Trabalho de Auditoria

Norma:

Os auditores internos devem identificar, analisar,

avaliar e documentar informações suficientes para

cumprir os objetivos do trabalho de auditoria.

2340 – Os trabalhos de auditoria devem ser

adequadamente supervisionados, para assegurar que

os objetivos sejam alcançados, a qualidade seja

assegurada e que a equipe seja desenvolvida.

Desafio:


O DEA pode não ser capaz de supervisionar todos os

trabalhos, já que pode estar conduzindo alguns

trabalhos além de seu trabalho de supervisão.

Adicionalmente, muitas atividades menores que

usam papéis de trabalho manuais podem ser

desafiadas pela necessidade de manter evidências da

supervisão do trabalho. O tempo para desenvolver

habilidades da equipe e habilidades supervisórias

relacionadas pode ser limitado. Um desafio adicional

pode ser se o DEA estiver tão envolvido no trabalho

que o trabalho não conta com uma revisão

independente suficiente.

A atividade de auditoria de pequeno porte também

pode não ter a quantidade e qualidade de auditores

experientes necessárias para identificar com

facilidade informações suficientes, confiáveis,

relevantes e úteis para alcançar os objetivos do

trabalho. Adicionalmente, a carga de trabalho e

desafios relacionados podem limitar a habilidade da

equipe de basear conclusões do trabalho em análises

e avaliações apropriadas das informações durante o

desempenho do trabalho.




Orientação:

CONDUÇÃO E REVISÃO DO TRABALHO

Os DEAs são encorajados a assumir mais de um

papel de envolvimento em trabalhos de alto risco ou

complexos conduzidos pela auditoria interna.

Para trabalhos complexos, o DEA pode precisar se

envolver ou supervisionar o progresso do trabalho em

intervalos regulares ou, se possível, em fases

principais da execução do trabalho. No entanto,

nesses trabalhos, é possível que membros mais

experientes da equipe de auditoria possam revisar

áreas de risco e complexidade inferiores sob a

supervisão do DEA.

Para trabalhos conduzidos pelo DEA que sejam de

risco inferior, a revisão do trabalho do DEA, por

parte de um membro experiente da equipe de

auditoria dentro da atividade pode ser adequada,

desde que tal revisão seja documentada. Para

trabalhos complexos conduzidos pelo DEA, revisões

por partes são recomendadas. A revisão pode ser

conduzida por outros na organização com histórico

adequado de auditoria ou outros, em áreas de

conhecimento da auditoria conduzida. No entanto, é

recomendado que tais revisões sejam estruturadas e

conduzidas de modo que não prejudiquem a

independência e objetividade da função.

Adicionalmente, é recomendado que as expectativas

de evidências de auditoria – incluindo tipos de

evidência e análises relacionadas – que apoiam as

conclusões sejam definidas no início do trabalho.

Essas expectativas devem ser definidas pelo DEA

para trabalhos complexos ou por membros

experientes da equipe dentro da atividade para

trabalhos menos complexos. A qualidade da

informação coletada ou da análise preparada para

apoiar as conclusões de auditoria deve ser avaliada

com relação à orientação fornecida pela Norma

2340.

O uso de membros experientes da equipe dentro da

atividade de auditoria para revisar o trabalho de

membros menos experientes podem ser aceitável

para trabalhos de risco ou complexidade inferior. Em

tais trabalhos, os principais elementos podem ainda

exigir a revisão e consideração do DEA; no entanto,

espera-se que tais elementos sejam um conjunto

menor dos trabalhos executados. Os principais

elementos do trabalho no mínimo devem incluir uma

lista de descobertas e recomendações.

No contexto da orientação acima, é recomendado

que o DEA ou aqueles designados para a supervisão

do trabalho assinem os papéis de trabalho para

documentar evidência de sua revisão.

Adicionalmente, é recomendado que esses

indivíduos indiquem quando tais revisões foram

feitas. Tais revisões devem ser conduzidas

oportunamente. O cronograma será definido pela

natureza e propósito das auditorias realizadas e deve

ser estabelecido pelo DEA em consistência com a

Norma 2200.


Comunicação dos Resultados

Norma:

Os auditores internos devem comunicar os

resultados dos trabalhos de auditoria.

Desafio:


Uma atividade de auditoria interna de pequeno porte

pode encarar desafios no estabelecimento de

critérios para emissão de comunicações, conforme

exigido pela Norma 2410. Atividades que operam

com poucos recursos podem achar difícil emitir

relatórios formais de auditoria para cada trabalho

realizado. Essas atividades também podem ter

orientações por escrito limitadas para sua equipe,

com relação a quando essas relatórios devem ser

emitidos. Também podem existir desafios no

contexto das normas 2420 e 2440, nos quais

atividades de auditoria interna de pequeno porte

podem não ter experiência ou recursos suficientes




para produzir comunicações que sejam precisas,

objetivas, concisas, construtivas, completas e

oportunas. Embora comunicações de trabalho devam

estar em conformidade com as Normas de

Qualidade da IPPF, a habilidade de fornecer tais

comunicações oportunamente pode trazer maiores

desafios para a atividade de auditoria de pequeno

porte. A ausência de políticas formais para guiar a

revisão e redação de tais comunicações pode limitar

mais ainda a habilidade da função de produzir as

comunicações aplicáveis de forma oportuna para as

partes apropriadas. Desafios adicionais incluem

manter consistência e prioridade e garantir uma

resposta oportuna a rascunhos de relatórios emitidos.

Orientação:

Para usar melhor o tempo e recursos limitados à

disposição da auditoria interna, o estabelecimento de

um reporte específico para o trabalho deve ser

definido como parte do planejamento do trabalho.

As Normas devem ser consideradas especificamente

na fase de planejamento do trabalho, para que a

natureza da comunicação seja entendida durante a

fase de execução.

O DEA deve consultar as Práticas Recomendadas

para as Normas 2420 e 2440 e, especificamente,

considerar as ações a seguir para disponibilizar

comunicações de qualidade:

Desenvolva orientações para a equipe sobre

como rascunhar comunicações significantes e

concisas.

Estabeleça práticas de departamento, para

garantir que auditores experientes tenham um

entendimento comum dos requisitos de

comunicação conforme orientado pelo DEA e

requisitos específicos da organização. Essas

práticas devem incluir o conteúdo esperado e o

formato das comunicações, orientações sobre a

quem se dirigir nas comunicações e se outros

externos à função devem ser consultados antes

de finalizar e emiti-la.

Estabeleça critérios chave que devam ser

seguidos em cada comunicação antes que ela

seja autorizada para emissão pelo DEA.

Recomenda-se que o DEA estabeleça tais

critérios em conjunto com auditores mais

experientes. Isso garantirá que os principais

critérios sejam acordados antes de rascunhar

tais comunicações e deve, por sua vez, reduzir o

tempo necessário para o DEA ou responsável

revisar a emitir tais comunicações. É imperativo

que tais critérios não contradigam a intenção da

Norma 2400 e normas subjacentes

relacionadas.


Monitoramento do Progresso

Norma:

O diretor executivo de auditoria deve estabelecer e

manter um sistema para monitorar a disposição dos

resultados comunicados à administração.

Desafio:


Os desafios encarados em conformidade com esta

norma não são únicos para atividades de auditoria de

pequeno porte, mas são certamente impostos sobre

uma atividade de auditoria com recursos limitados.

O acompanhamento oportuno com a gerência com

relação aos planos de remediação acordados para as

descobertas de auditoria interna pode ser difícil de

fazer, se o plano de trabalho do departamento não

alocar tempo para atingir este objetivo.

Orientação:

DEAs de atividades de auditoria interna de pequeno

porte devem considerar uma estratégia para priorizar

as descobertas a acompanhar (em casos nos quais as

descobertas de auditoria são classificadas ou

avaliadas, a mesma priorização pode ser seguida).

Como parte do processo, o DEA deve exigir uma




representação da gerência de que a questão foi

abordada apropriadamente, antes de qualquer outro

trabalho de auditoria. Orientações gerais sobre

priorização aparecem abaixo:

RECOMENDAÇÕES

DE AUDITORIA

PRIORIZADAS

(CLASSIFICAÇÕES)

ESTRATÉGIA DE

ACOMPANHAMENTO COMENTÁRIOS

Alto Risco/

Prioridade

Validação da

Auditoria Interna

Auditoria interna

deve revisar e

acordar com o

plano de

remediação e

validar seus

resultados ao final.

Risco/Prioridade

Média Autoavaliação

Auditoria interna

deve confiar na

validação por parte

do proprietário do

processo. O plano

de remediação deve

ser validade

durante a auditoria

seguinte.

Risco/Prioridade

Baixa Autoavaliação

A auditoria interna

deve confiar na

validação por parte

do proprietário do

processo e pode

considerar a

validação na

auditoria seguinte.

Além disso, a auditoria interna pode solicitar

compromissos firmes por parte da gerência ao

discutir as recomendações ao final do período de

auditoria (o status pode ser incluído no reporte ao

conselho). Esses compromissos podem servir de

base para o agendamento de acompanhamentos de

questões de alto risco ou alta prioridade. Uma boa

ferramenta de produtividade é uma planilha que liste

questões em aberto, prazo, um rápido sumário da

questão e status atual. Uma ferramenta melhor

poderia ser uma solução web na intranet, encontrada

em muitas organizações de pequeno porte, que a

atividade de auditoria interna poderia usar.


Comunicação da Aceitação dos Riscos

Norma:

Quando o diretor executivo de auditoria conclui que

a administração aceitou um nível de risco que pode

ser inaceitável para a organização, o diretor executivo

de auditoria deve discutir o assunto com a alta

administração. Caso o diretor executivo de auditoria

determine que a questão não foi resolvida, o diretor

executivo de auditoria deve comunicar a questão ao

conselho.

Desafio:


Conforme declarado nas Normas, os DEAs podem

ter desafios em manter a independência e

objetividade, já que auditores e/ou os DEAs têm

responsabilidades operacionais. Em alguns casos, o

DEA pode ser parte da equipe de gestão que definiu

o nível aceitável de risco. Também, se a auditoria

interna não reporta a um nível alto o suficiente na

organização, ou se o DEA não tem um nível alto o

suficiente de status por título ou nível de

responsabilidade, sua voz quanto ao nível aceitável

de risco pode não ser ouvida pela equipe de gestão.

Orientação:

O DEA de uma atividade de auditoria de pequeno

porte pode considerar incluir seções no estatuto de

auditoria interna para descrever o processo de

resolução de casos em que a gerência discorde da

recomendação da auditoria interna ou do nível de

aceitação de riscos. O processo de resolução deve

incluir levar a discordância com a gerência até o

conselho, quando necessário. Em casos nos quais o

estatuto de auditoria interna não incluir qualquer

processo de resolução, o DEA deve informar o




conselho de tais questões. De qualquer forma, a

comunicação deve ser documentada.

O DEA também deve revisar a Declaração de

Posicionamento do IIA, The Role of Internal Audit in

Enterprise-wide Risk Management. A declaração

aborda os papéis que a auditoria interna não deve

assumir e aqueles que ela deve assumir com as

salvaguardas apropriadas.

Confiança no Trabalho de

Atividades de Auditoria de

Pequeno Porte por parte

de Auditores Internos

Atividades de auditoria interna de pequeno porte são

frequentemente procuradas, ou orientadas por seu

estatuto, para fornecer assistência direta para

auditores externos, para reduzir os custos da

auditoria externa. A habilidade dos auditores

externos de confiar no trabalho da auditoria interna

pode ser limitada em circunstâncias que permitam o

surgimento de uma ou todas estas condições:

Independência limitada da atividade com

base nas linhas de reporte atuais.

Falta de experiência ou qualificações dentro

da atividade, incluindo treinamento

inadequado.

Escopo de trabalho da atividade limitado,

que pode não cobrir o escopo total da

auditoria externa.

Independência limitada da função

Embora alguns DEAs possam reportar ao

diretor executivo de auditoria ou ao diretor

financeiro, a formalização do reporte

funcional ao conselho pode não ter sido

estabelecida. Em tais casos, a documentação

e justificação da estrutura atual de reporte

da atividade de auditoria interna pode

fornecer suporte ao auditor externo, para

que considere a confiança total ou parcial no

trabalho da auditoria interna.

Alternativamente, em tais casos, uma

atividade de auditoria interna de pequeno

porte poderia trabalhar com o auditor

externo para enfatizar como a estrutura atual

de reporte poderia ser modificada, para

permitir que o auditor externo alavanque o

trabalho da função, o que, por sua vez,

poderia trazer mais economia no tempo de

conclusão da auditoria externa e taxas

relacionadas.

Para auditorias seletas, atividades de

auditoria interna de pequeno porte podem

considerar a execução concorrente de

auditorias com o auditor externo. Em tais

casos, embora as evidências de auditorias

podem ser avaliadas em conjunto, a auditoria

interna pode liderar a documentação do

trabalho de auditoria. Esta abordagem ainda

pode permitir uso parcial do trabalho da

atividade de auditoria por parte do auditor

externo.

Falta de experiência ou qualificações

dentro da função

Requisitos de equipe para obtenção de

certificações do IIA ou equivalentes para a

equipe de auditoria interna podem não ser

atingidos devido a limitações orçamentárias.

Estruturar a função com indivíduos que

possuam tais designações reduzirá gastos

futuros neste sentido.

Alavancar oportunidades de buscar

treinamentos em grupo entre atividades de

auditoria interna de pequeno porte locais

pode reduzir os gastos gerais e trazer

oportunidades para a equipe investir em sua

educação profissional continuada.




A retenção de evidências que apoiam a

conclusão do treinamento por parte da

equipe de auditoria podem dar ao auditor

externo maior conforto com relação aos

níveis de competência da atividade.

A revisão formalizada da documentação dos

papéis de trabalho por um indivíduo ou

indivíduos com qualificações e/ou

experiência apropriadas poderia compensar

por recursos dentro da atividade de auditoria

que poderiam ser considerados inexperientes

ou não qualificados.

Limitação do escopo do trabalho da

atividade de auditoria interna, não

cobrindo todo o escopo da auditoria

externa

Requisitos de auditoria externa para

amostragem e natureza e extensão de

procedimentos podem não corresponder às

características da atividade de auditoria

interna.

As Normas encorajam a colaboração com a

auditoria externa e tal colaboração pode

incluir a discussão sobre os parâmetros da

amostragem e escopo da auditoria externa.

Tais discussões, com antecedência em

relação ao desenvolvimento e execução do

plano de auditoria, podem permitir maior

confiança no trabalho da auditoria interna.

Compartilhar o suporte e base do plano atual

de auditoria interna, incluindo os riscos

abordados, com o auditor externo pode

resultar na revisão potencial de seu trabalho

planejado.

Para áreas do plano de auditoria externa não

abordadas pelo plano de auditoria interna,

deve-se considerar usar recursos adequados

da organização, externos à auditoria interna,

para conduzir trabalho adicional sob a

supervisão do DEA. Tais oportunidades

devem ser discutidas com o auditor externo

e a gerência e consideradas no contexto da

economia potencial de tempo e dinheiro

para a auditoria externa.




Autores:

Princy Jain, CIA, CCSA

Kiko Harvey

Rita Thakkar, CIA

Robert W. Cates, CIA

Revisores e Contribuições:

Maria Mendes, CIA, CCSA

Takeshi Shimizu, CIA, CCSA

Douglas J. Anderson, CIA

James Rose, CIA

Steven E. Jameson, CIA, CCSA, CFSA




Anexo A - Modelo para Facilitar a Determinação de Falhas

na Conformidade com as Normas

NORMA # TÍTULO DA NORMA STATUS ATUAL

1000 Propósito, Autoridade e Responsabilidade

1010 Reconhecimento da Definição de

Auditoria Interna, do Código de Ética e

das Normas no Estatuto de Auditoria

Interna

1100 Independência e Objetividade

1110 Independência Organizacional

1120 Objetividade Individual

1130 Prejuízo à Independência ou à

Objetividade

1200 Proficiência e Zelo Profissional Devido

1210 Proficiência

1220 Zelo Profissional Devido

1230 Desenvolvimento Profissional Contínuo

1300 Programa de Melhoria e Certificação de

Qualidade

1310 Requerimentos do Programa de Avaliação

da Qualidade e Melhoria (Essa norma

inclui 1311 - Avaliações Internas e 1312

- Avaliações Externas)

1320 Reporte do Programa de Melhoria e

Certificação de Qualidade

1321 Uso de “Em conformidade com as Normas

Internacionais para a Prática Profissional

de Auditoria Interna”





1322 Divulgação de Não Conformidade

2000 Gerenciamento da Atividade de Auditoria

Interna

2010 Planejamento

2020 Comunicação e Aprovação

2030 Gerenciamento de Recursos

2040 Políticas e Procedimentos

2050 Coordenação

2060 Reporte para a Alta Administração e o

Conselho

2070 Prestadores de Serviço Externo e a

Responsabilidade da Organização sobre a

Auditoria Interna

2100 Natureza do Trabalho

2110 Governança

2120 Gerenciamento de Riscos

2130 Controle

2200 Planejamento do Trabalho de Auditoria

2201 Considerações sobre o Planejamento

2210 Objetivos do Trabalho de Auditoria

2220 Escopo do Trabalho de Auditoria

2230 Alocação de Recursos para o Trabalho de

Auditoria

2240 Programa de Trabalho de Auditoria

2300 Execução do Trabalho de Auditoria





2310 Identificação das Informações

2320 Análise e Avaliação

2330 Documentação das Informações

2340 Supervisão do Trabalho de Auditoria

2400 Comunicação dos Resultados

2410 Critérios para a Comunicação

2420 Qualidade das Comunicações

2421 Erros e Omissões

2430 Uso de “Conduzido em Conformidade com

as Normas Internacionais para a Prática

Profissional de Auditoria Interna”

2431 Declaração de Não Conformidade do

Trabalho de Auditoria

2440 Divulgação dos Resultados

2450 Opiniões gerais

2500 Monitoramento do Progresso

2600 Comunicação da Aceitação de Riscos



www.iiabrasil.org.br / 23 Este Guia Prático foi traduzido com o

apoio de:

Sobre o Instituto

Fundado em 1941, The Institute of Internal Auditors

(IIA) é uma associação profissional com sede global

em Altamonte Springs, Fla., EUA. O IIA é a voz da

profissão de auditoria interna em todo o mundo,

autoridade reconhecida, líder valorizado, advogado

chefe e principal educador.

Sobre os Guias Práticos

Os Guias Práticos fornecem uma orientação

detalhada para a condução de atividades de auditoria

interna. Eles incluem processos e procedimentos

detalhados, como ferramentas e técnicas, programas

e abordagens passo-a-passo, assim como exemplos

de deliverables. Os Guias Práticos são parte da IPPF

do IIA. Como parte da categoria de orientação

Fortemente Recomendada, a conformidade não é

obrigatória, mas é altamente recomendada, e a

orientação é endossada pelo IIA por meio de

processos formais de revisão e aprovação. Para mais

materiais de orientação fidedignos fornecidos pelo

IIA, por favor visite nosso website:

www.iiabrasil.org.br ou www.theiia.org.

Isenção de Responsabilidade

O IIA publica este documento para fins informativos

e educacionais. Este material de orientação não tem

como objetivo fornecer respostas definitivas a

específicas circunstâncias individuais e, como tal,

tem o único propósito de servir de guia. O IIA

recomenda que você sempre busque conselhos

especializados independentes, relacionados

diretamente a qualquer situação específica. O IIA

não assume responsabilidade pela confiança

depositada unicamente neste guia.

Copyright

Os direitos autorais deste documento pertencem ao

The IIA. Para permissão para reprodução, favor

entrar em contato com o IIA pelo e-mail:

[email protected]

Documents

AUXILIANDO ATIVIDADES DE AUDITORIA INTERNA DE … · Conformidade Com a Norma 2100 - Natureza do Trabalho..... 11 Conformidade com a Norma 2200 – Planejamento do Trabalho de Auditoria