Upload
hoangnguyet
View
219
Download
0
Embed Size (px)
Citation preview
Formulando e Expressando Opiniões de Auditoria Interna
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
Guia Prático
FORMULANDO E EXPRESSANDO
OPINIÕES DE AUDITORIA INTERNA
Março de 2009
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / B Este Guia Prático foi traduzido com o apoio de:
Índice
1. Sumário Executivo ..................................................................................................................... 1
2. Introdução .................................................................................................................................. 1
3. Planejando a Expressão de uma Opinião................................................................................... 2
3.1 Expressando uma Opinião ................................................................................................. 3
3.2 Escopo das Opiniões .......................................................................................................... 4
3.3 Estabelecendo um Critério Adequado para a Opinião ....................................................... 5
4. Escopo do Trabalho .................................................................................................................... 6
4.1 Avaliação dos Resultados .................................................................................................. 7
5. Uso de Graus ao Expressar uma Opinião ................................................................................... 7
5.1 Uso de Opiniões de Avaliação Negativa (Limitada) e Opiniões “Informais” ..................... 8
5.2 Dependência do Trabalho de Terceiros ao Apoiar uma Opinião ......................................... 9
5.3 Orientações de Reguladores e Outros Formadores de Normas .......................................... 9
5.4 Outras Considerações Legais ............................................................................................ 9
Anexo A: Exemplos: Classificações ou Rankings de Riscos ......................................................... 11
Anexo B: Exemplos: Opinião de Auditoria Micro e Macro (Classificação) .................................... 13
Anexo C: Opinião de Nível Macro (Exemplo) ................................................................................. 15
Anexo D: Orientações da IPPF Relacionadas ................................................................................ 16
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 1 Este Guia Prático foi traduzido com o apoio de:
1. Sumário Executivo Natureza deste Guia: Este documento fornece
orientações práticas aos auditores internos que
desejam formar e expressar uma opinião sobre
alguns ou todos os sistemas de governança,
gerenciamento de riscos e controle interno de uma
organização.
Esta orientação não tem o objetivo de representar
todas as considerações que possam ser necessárias.
Algumas das Normas Internacionais para a Prática
Profissional de Auditoria Interna (Normas)
relacionadas e outros documentos de orientação
relacionados a este tópico são fornecidos no Anexo
D.
Aplicabilidade
Esta orientação pode ser aplicável e útil para:
Diretores Executivos de Auditoria (DEAs).
Conselhos.
Gerência executiva e operacional.
Outros prestadores externos de avaliação.
Outros órgãos profissionais e regulatórios.
Histórico
O conselho, a gerência e outras partes interessadas
pedem aos auditores internos que forneçam opiniões
como parte de cada relatório de auditoria individual,
assim como com relação à adequação geral da
governança, gerenciamento de riscos e controle
dentro da organização. Essas solicitações podem ser
para uma avaliação ou opiniões em um nível amplo
para a organização como um todo (opinião de nível
macro) ou sobre componentes individuais das
operações da organização (opinião de nível micro).
Exemplos de opiniões de nível macro e micro
incluem:
Uma opinião sobre o sistema geral de
controle interno da organização sobre o
reporte financeiro (macro).
Uma opinião sobre os controles e
procedimentos da organização para a
conformidade com as leis e regulamentos
aplicáveis, tais como saúde e segurança,
quanto esses controles e procedimentos são
conduzidos em múltiplos países ou
subsidiárias (macro).
Uma opinião sobre a eficácia dos controles
tais como gestão de orçamentos e
desempenho, quando tais controles são
aplicados em múltiplas subsidiárias e a
cobertura abrange a maioria dos ativos,
recursos, receitas, etc., da organização
(macro).
Uma opinião sobre um processo do negócio
ou atividade individual dentro de uma única
organização, departamento ou local (micro).
Uma opinião sobre o sistema de controle
interno em uma subsidiária ou unidade de
reporte, quando todo o trabalho é conduzido
em uma única auditoria (micro).
Uma opinião sobre a conformidade da
organização com as políticas, leis e
regulamentos relativos à privacidade de
dados, quando o escopo do trabalho é
conduzido em uma única ou poucas
unidades de negócio (micro).
2. Introdução A necessidade de opiniões de auditoria e a
habilidade da auditoria interna expressá-las
dependem de diversas circunstâncias, incluindo o
entendimento das necessidades das partes
interessadas; a determinação do escopo, natureza,
timing e extensão do trabalho de auditoria
necessário; garantia de que haja recursos suficientes
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 2 Este Guia Prático foi traduzido com o apoio de:
para completar o trabalho; a avaliação dos resultados
do trabalho conduzido.
Os requisitos das partes interessadas para opiniões
de auditoria interna, incluindo o nível de avaliação
necessário, devem ser classificados pelo DEA junto à
alta administração e o conselho.
Discussões com as partes interessadas podem
incluir:
O valor da opinião para as partes
interessadas, incluindo (quando apropriado)
por que isso está sendo solicitado.
O timing para emissão e tipo da(s)
opinião(ões).
A forma como a opinião é fornecida (ex., por
escrito ou verbalmente).
O nível de avaliação a ser prestado.
O período ou momento que a opinião cobre.
O escopo da opinião buscada (ex., se deve
ser limitada ao reporte financeiro, controles
operacionais ou conformidade com
regulamentos específicos).
Os critérios usados para expressar as
opiniões.
O processo de classificação a ser aplicado
em relação às descobertas de auditoria
individuais.
Usuários potenciais da avaliação, além da
gerência e do conselho.
Na emissão de opiniões de auditoria interna, o DEA
considera o impacto potencial sobre a organização se
o relatório for distribuído a usuários externos. Em
tais circunstâncias, seria apropriado consultar um
conselheiro jurídico, especialmente se “informações
confidenciais” forem um fator importante.
3. Planejando a Expressão de uma Opinião Ao desenvolver planos de auditoria para apoiar a
expressão de uma opinião, há uma variedade de
fatores que a atividade de auditoria interna deve
considerar. Eles incluem:
As características únicas de opiniões de nível
macro versus micro. Opiniões macro são
geralmente baseadas nos resultados de
múltiplos projetos de auditoria, enquanto
opiniões micro são normalmente baseadas
nos resultados de um único projeto de
auditoria ou de alguns projetos conduzidos
ao longo de um período limitado de tempo.
A natureza da opinião a ser fornecida;
especificamente, se uma avaliação positiva
ou negativa será emitida. Em geral, mais
evidências e um escopo mais amplo de
trabalho são necessários para uma opinião de
avaliação positiva.
O propósito e o uso de quaisquer
solicitações especiais para as quais uma
opinião será dada.
A natureza e extensão da evidência de
auditoria necessária para apoiar a opinião a
ser fornecida e o período de tempo
necessário para conduzir o trabalho. Isso é
especialmente importante para opiniões
macro, quando a opinião pode exigir
múltiplos projetos para ser completada.
Discussões e comum acordo com as partes
interessadas (normalmente, a alta
administração e o conselho) quanto aos
critérios que serão usados em determinar a
opinião a ser fornecida.
A necessidade de um planejamento e
desenvolvimento cuidadosos de um plano de
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 3 Este Guia Prático foi traduzido com o apoio de:
auditoria e abordagem que forneçam à
atividade de auditoria interna evidências
relevantes e suficientes para apoiar a
opinião. Essa abordagem pode incluir
agregar os resultados de auditorias
anteriormente concluídas para apoiar a
opinião, ou identificar áreas de importância
e risco nas quais as evidências de auditoria
precisem ser completadas ou obtidas para
apoiar a expressão da opinião de auditoria
interna planejada. Além disso, quando
projetos múltiplos forem necessários para
fornecer a opinião, esses projetos devem ser
identificados e incluídos no plano de
auditoria interna.
A consideração de todos os projetos
planejados relacionados (incluindo a
dependência do trabalho de outros ou
autoavaliações) e separar tempo para a
avaliação final. Por exemplo, dar uma
opinião sobre os controles de inventário em
uma organização global (ex., auditorias em
30 locais internacionais) exigirão um
planejamento extenso da cobertura do
escopo e do tempo para completar o trabalho
antes da opinião ser dada.
Se há recursos e habilidades adequadas para
conduzir todo o trabalho necessário para
servir de apoio suficiente para a opinião. Do
contrário, deve-se decidir entre recusar a
expressão da opinião ou qualificar a opinião
(excluindo certas áreas ou riscos do escopo
da opinião).
Discussões com a gerência e comunicação
do plano de auditoria interna, incluindo o
timing e escopo de cada projeto e os critérios
que serão usados em determinar a opinião a
ser fornecida à gerência e, se apropriado, ao
conselho.
3.1 Expressando uma Opinião
Não é incomum para a atividade de auditoria interna
fornecer opiniões de níveis tanto macro quanto
micro, incluindo uma opinião sobre a adequação
geral das políticas, procedimentos e processos da
organização para apoiar a governança, o
gerenciamento de riscos e os controles internos.
Quando fornecidas, tais opiniões são geralmente
escritas e serão de maior valor se tiverem a forma de
“avaliação positiva”, às vezes referidas como opiniões
de “avaliação razoável”. O DEA é o melhor indivíduo
para fornecer opiniões macro, considerando sua
posição para obter uma visão geral a fundo dos
resultados de auditoria de nível micro.
Avaliação positiva (avaliação razoável) fornece o mais
alto nível de avaliação e um dos tipos mais fortes de
opiniões de auditoria. Ao prestar uma avaliação
positiva, o auditor toma uma posição definitiva, o
que pode ser binário em sua natureza; por exemplo,
que os controles internos são ou não eficazes na
situação ou que os riscos são ou não são eficazmente
gerenciados.
As variações na expressão de uma opinião de
avaliação positiva podem incluir o uso de graus, nos
quais a eficácia dos controles internos ou
gerenciamento de riscos é avaliado usando um
sistema de classificação. Exemplos comuns de um
sistema de classificação incluem o uso de códigos de
cor (tais como vermelho-amarelo-verde) ou o uso de
uma escala de classificação (tais como 1 a 4).
Quando tais escalas são usadas, elas devem ser
acordadas e de significado comumente entendido
dentro da organização. Mais orientações sobre o
“Uso de Graus” são fornecidas nos Anexos.
A expressão da opinião pode incluir informações
sobre a direção da opinião desde uma auditoria
anterior. Por exemplo, a opinião pode indicar que os
controles ou gerenciamento de riscos são
satisfatórios, mas sua eficácia pode ter diminuído
desde o período de auditoria anterior.
Uma opinião de avaliação positiva exige o nível mais
alto de evidências. Isso implica não apenas se os
processos de controles/mitigação de riscos são
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 4 Este Guia Prático foi traduzido com o apoio de:
adequados e eficazes, mas também se evidências
suficientes foram coletadas para garantir
razoavelmente que evidências do contrário, se
existentes, teriam sido identificadas. O auditor
assume completa responsabilidade pela suficiência
dos procedimentos de auditoria para descobrir o que
deveria ter sido razoavelmente descoberto por um
auditor prudente.
Opiniões de avaliação positiva fornecer ao leitor um
alto nível de confiança e conforto quanto à
integridade das informações inclusas. Da mesma
forma, solicita-se frequentemente às atividades de
auditoria interna que forneçam tais opiniões de
avaliação positiva.
Uma opinião pode ser qualificada, o que pode ser
útil em situações nas quais haja uma exceção à
opinião geral. Por exemplo, a opinião pode indicar
que os controles foram: “Satisfatórios com a exceção
dos controles de contas a pagar, que demandam
melhoria significante.”
3.2 Escopo das Opiniões
Pode-se solicitar que DEAs forneçam opiniões de
um nível geral (macro) ou de um nível de atividade
de auditoria individual (micro). O conteúdo a seguir
enfatiza a diferença entre os dois.
Nível Macro
Enquanto opiniões de nível macro são emitidas ou
fornecidas em um determinado momento (ex.,
anualmente), a evidência de auditoria de apoio é
geralmente acumulada ao longo de um período de
tempo e baseada nos resultados de diversas
atividades de auditoria, do trabalho conduzido por
outros e de evidências informais. Uma opinião de
nível macro pode evoluir ou mudar conforme
atividades individuais forem concluídas e evidências
de auditoria adicionais (incluindo descobertas/
exceções) forem descobertas.
Ao expressar uma opinião macro, o DEA considera
diversos fatores:
O propósito para qual a opinião será usada.
Se a opinião pode ser dada com base no
período de auditoria e na cronologia de teste.
Um entendimento claro do que a
organização considera desempenho
satisfatório “no geral”.
O apetite de riscos da organização e os
critérios para a opinião.
A suficiência do trabalho de auditoria e das
evidências de auditoria (incluindo o trabalho
de outros e evidências informais) para apoiar
a opinião solicitada.
Às vezes, a auditoria interna pode não ser capaz de
obter evidências suficientes (ex., por conta de
limitações de recursos) para apoiar todas as áreas
cobertas pela opinião macro. Como resultado,
apenas uma opinião macro limitada pode ser
possível; por exemplo, uma opinião sobre a
conformidade com os regulamentos ambientais pode
ser limitada ao excluir uma avaliação com
regulamentos que orientem quanto à eliminação de
resíduos. O potencial para uma opinião limitada
deve ser reconhecido como parte do processo de
planejamento, para que as partes interessadas
entendam que a opinião será limitada.
Expressar uma opinião no nível macro pode ser uma
tarefa complexa. Pode exigir o estabelecimento de
metodologias e planejamento para:
Agregar e interpretar as descobertas de
diversas auditorias, algumas das quais
podem ter sido concluídas meses antes da
data da opinião. Em tais circunstâncias, o
DEA terá que exercitar o zelo devido para
garantir que as normas consistentes tenham
sido usadas nas auditorias para avaliar
quaisquer descobertas e tirar conclusões.
Além disso, o acompanhamento das ações
corretivas e eventos subsequentes à auditoria
anterior deve ser considerado.
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 5 Este Guia Prático foi traduzido com o apoio de:
Metodologias para incorporar as evidências
de auditoria desenvolvidas por meios menos
formais. Isso pode ocorrer já que opiniões
macro são normalmente abrangente em
natureza e exigem uma cobertura mais
ampla. Dessa forma, a dependência de
outros tipos de processos de avaliação pode
ser necessária. Por exemplo, os resultados de
autoavaliações da gerência e a consideração
de evidências informais (isto é, evidências
não específicas a um trabalho de auditoria)
de fontes diferentes poderiam ser utilizados
se o auditor acreditar que são confiáveis.
Evidências informais podem incluir a
avaliação subjetiva da auditoria interna (ex.,
com base nas visitas aos locais e observações
das operações), mas a dependência de tais
evidências pode ser divulgada na hora de
expressar a opinião macro.
Consideração da evidência que pode ter sido
obtida por meio da dependência do trabalho
dos outros. Isso pode incluir, por exemplo,
uma revisão do trabalho de diversos grupos
de certificação de qualidade dentro da
organização ou o trabalho concluído para
cumprir com requisitos regulatórios, cada
um dos quais pode ter sido aplicado usando
metodologias de avaliação diferentes ou
variáveis. Em tais situações, é imperativo
que o DEA avalie o risco associado à
utilização do trabalho de terceiros e
considere explicar isto na hora de expressar
sua opinião.
Nível Micro
Opiniões de nível micro são geralmente resultado de
uma atividade de auditoria individual. Uma atividade
assim pode ser relacionada aos controles em torno
de um processo, risco ou unidade de negócio
específica. A formulação de tais opiniões exige a
consideração das descobertas de auditoria e suas
classificações respectivas.
Opiniões micro são normalmente menos complexas
do que opiniões macro. Pesquisas recentes indicam
que a maioria das organizações de auditoria no
mundo todo emitem opiniões de auditoria de nível
micro, usando um sistema de classificação/graus
como parte da expressão de suas opiniões gerais. No
entanto, também foi observado que muitas
organizações de auditoria não desenvolveram uma
estrutura de critérios formais para comparação e
para tirar suas conclusões.
Em algumas organizações, quando o auditor fornece
opiniões macro sobre riscos e a organização como
um todo, opiniões do nível de atividade de auditoria
individual (micro) podem não ser tão importantes
para partes interessadas do nível sênior ou para o
conselho, porque estão mais preocupados com a
opinião macro geral. Em tais casos, é especialmente
importante gerenciar as expectativas das partes
interessadas abaixo deste nível sênior, já que as
partes interessadas responsáveis pelas áreas
auditadas esperarão, normalmente, um relatório ou
opinião quanto à conclusão da tarefa específica.
3.3 Estabelecendo um Critério Adequado
para a Opinião
Os auditores devem ter um meio de mensurar ou
julgar os resultados e impacto das questões
identificadas em uma auditoria. Isso pode ser feito
por meio do desenvolvimento de uma estrutura de
critério. Critérios adequados são fatores relevantes e
apropriados para as características particulares da
organização auditada e contra os quais os resultados
podem ser objetivamente comparados. Eles têm o
foco, quando possível, nos resultados esperados a
alcançar por meio de sistemas de controle interno e
são idealmente estabelecidos antes da execução do
plano de auditoria geral. Esses critérios devem ser
relevantes, confiáveis, neutros, compreensíveis e
completos. Por exemplo, o conjunto de observações
permite à equipe de auditoria formar uma conclusão
com relação a cada objetivo de auditoria ou com
relação a um processo ou função como um todo. O
DEA garante que exista uma estrutura de critérios
para esse processo.
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 6 Este Guia Prático foi traduzido com o apoio de:
Como parte do processo de planejamento, a base
para a opinião é discutida com diversas partes
interessadas usando a estrutura de critérios e de
avaliação. Isso inclui discutir objetivos específicos
com os principais proprietários de processos,
executivos principais e outras partes interessadas,
incluindo o conselho, conforme apropriado. É
importante que a gerência dentro da organização
auditada entenda e aceite esses critérios e como eles
podem impactá-la e sua responsabilidade com
relação à manutenção de um ambiente de controle
interno forte.
Ao estabelecer critérios adequados, é importante que
a atividade de auditoria interna determine se a
organização estabeleceu princípios básicos com
relação ao que constitui práticas apropriadas de
governança, gerenciamento de riscos e controle. Isso
incluiria:
Uma comunicação clara da definição de
controle adotada pela organização; por
exemplo, a organização adotou o modelo
COSO ou CoCo?
O entendimento da gerência quanto ao que
poderia constituir um nível satisfatório de
controle. Por exemplo, satisfatório poderia
significar que 90 por cento (ou outra
porcentagem aceitável) das transações
dentro de um objetivo de controle são
conduzidas de acordo com os procedimentos
de controle estabelecidos; alternativamente,
isso também poderia significar que 85 por
cento (ou outra porcentagem aceitável) dos
controles gerais estão funcionando de acordo
com o objetivo.
Uma comunicação clara por parte da
gerência quanto a suas tolerâncias ou
apetites de risco, incluindo limites de
materialidade.
Tais princípios corporativos principais fornecem uma
estrutura de comum acordo com relação à qual
conclusões podem ser tiradas e uma opinião
expressada de uma maneira que seja entendida
mutuamente pela gerência e pelos auditores
internos.
Na ausência de tais princípios, é recomendado que a
auditoria interna não forneça uma opinião, já que
não há modelo para referência que apoie
objetivamente a conclusão do auditor interno.
4. Escopo do Trabalho A natureza e forma da opinião expressada depende
do escopo do trabalho conduzido e da evidência de
auditoria coletada. Um passo fundamental no
desenvolvimento do escopo é desenvolver um plano
de auditoria que resulte em evidências suficientes e
apropriadas de auditoria, que permitam ao auditor
tirar uma conclusão quanto aos resultados do
trabalho de auditoria conduzido. Ao discutir o plano
com suas principais partes interessadas, o DEA
articula precisamente o que está incluído no escopo
de trabalho e o tipo de opinião a ser dada. Isso é
importante, para comunicar às partes interessadas
principais para evitar confusão, principalmente com
relação a opiniões de nível macro.
Consideração da adequação do escopo de auditoria é
necessária para opiniões de nível micro e macro. No
entanto, com opiniões macro, isso se torna mais
complexo. A possibilidade de uma opinião de nível
macro sobre a governança, o gerenciamento de riscos
e controle vai depender da integridade do universo
de auditoria e da cobertura deste universo por parte
do auditor. A expressão de uma opinião de nível
macro pode demorar mais para completar, como
resultado da extensão do trabalho que precisará ser
concluído e da necessidade de agregar os resultados
de diversas auditorias individuais que coletivamente
apoiarão a opinião de nível macro.
Elementos comuns incluídos na definição do escopo
ao qual a opinião se aplica são:
Descrições de porções da organização que
estão sendo cobertas, seja o escopo definido
como a organização como um todo ou
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 7 Este Guia Prático foi traduzido com o apoio de:
apenas componentes específicos da
organização, riscos de alto nível (ex., ações
da competição) ou categorias de risco (ex.,
riscos de crédito).
Componentes de controle cobertos pela
auditoria; isto é, os controles financeiros,
operacionais ou de conformidade específicos
sendo abordados (ex., declarando
especificamente que a opinião é relativa ao
desenvolvimento de processos, objetivos de
desempenho, requisitos de documentação,
resultados financeiros, etc.).
O momento ou período de tempo sobre o
qual a opinião é expressada.
4.1 Avaliação dos Resultados
Um passo importante no processo de planejamento é
o estabelecimento de uma metodologia a ser seguida
para avaliar os resultados do trabalho de auditoria
completado. Isso pode envolver a avaliação e
classificação das descobertas de auditorias
individuais e sua significância relativa para o projeto
individual, categorias individuais de risco/categorias
de risco ou a organização como um todo.
Os elementos a seguir devem ser considerados:
Materialidade – A magnitude ou significância de um
objetivo chave de negócio fundamental para a
opinião é importante. O auditor interno deve
considerar a magnitude do risco residual de que um
objetivo de negócio não seja alcançado.
Impacto – A consequência das questões/descobertas
de auditoria são consideradas e plenamente
compreendidas no contexto da opinião a ser dada
(isto é, micro versus macro). Um diferente nível de
importância pode ser dado a uma opinião de
auditoria usando os mesmos critérios de
classificação, dependendo do impacto sobre a
organização. Por exemplo, algumas questões podem
ter um impacto material sobre o alcance das metas
ou sobre a mitigação dos riscos em um nível micro,
mas não em um nível macro (ex., o fracasso em
gerenciar pagamentos em duplicidade em potencial
pode ser material para uma subsidiária, mas não para
a organização como um todo).
Outro fator a ser considerado na classificação da
adequação dos controles em uma opinião micro é
classificar o nível de riscos fornecidos pelos
controles em prática, de modo que os objetivos da
gerência sejam atingidos. (Exemplos de
classificações de riscos são apresentados no Anexo
A).
5. Uso de Graus ao Expressar uma Opinião É comum que atividades de auditoria interna usem
um sistema de graus na emissão de relatórios de
auditoria.
Ao usar um sistema de graus para comunicar uma
opinião de avaliação positiva, deve-se tomar cuidado
com as palavras, principalmente em definir “linhas
d’água”, tais como adequado ou inadequado. O
conteúdo deve ser claro e apropriadamente definido
para o leitor. Usar termos gerais, tais como
satisfatório, eficaz ou insatisfatório, pode não ser
suficiente para definir o significado. A organização
precisa ter um entendimento claro e comum desses
termos e do que constitui um nível aceitável de
desempenho, sendo que tudo isso exige uma
estrutura de referência. Por exemplo, o termo eficaz
normalmente se refere a controles eficazes tanto em
seu desenvolvimento quanto em sua operação. A
opinião precisa indicar se ambos os significados são
adequados.
A clareza da comunicação é melhorada se a
organização adotou uma definição amplamente
entendida dos controles internos, tais como o
modelo COSO. Ao preparar o relatório, o DEA
garante que quaisquer termos técnicos (ex., fraqueza
material) estejam claramente definidos para o leitor.
Desenvolver uma diretriz como as incluídas nos
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 8 Este Guia Prático foi traduzido com o apoio de:
Anexos eliminará parte da subjetividade e ajudará a
evitar confusão.
O uso de uma escala de graus geralmente exige uma
estrutura de avaliação bem definida. Por exemplo,
uma opinião que meramente declare que os
controles internos cumprem com os critérios
mínimos definidos não exigiria tanta evidência
quanto uma opinião que declara que os controles
internos estão muito melhores ou piores do que o
benchmark definido.
A melhor precisão na informação fornecida em uma
opinião normalmente aumenta a quantidade de
evidências necessárias para apoiar a opinião. Usar
um grau como parte de uma opinião de avaliação
positiva pode fornecer informações úteis para o
leitor, mas evidências suficientes são necessárias
para apoiar aquele nível mais avançado de detalhes
dados na opinião. A escala de classificação esclarece
se a opinião diz respeito à organização como um todo
ou ao assunto da auditoria (tarefa específica de
auditoria).
Também é importante considerar a consistência e
sustentabilidade do sistema de graus ou classificação
ao longo dos anos de auditoria. Sistemas de graus ou
classificação que mudam muito frequentemente
podem ser confusos para as partes interessadas e
podem impactar a comparabilidade e clareza do
reporte na organização.
5.1 Uso de Opiniões de Avaliação
Negativa (Limitada) e Opiniões
“Informais”
Uma opinião de “avaliação negativa”, às vezes
chamada de opinião de “avaliação limitada”, é uma
declaração de que nada resultou da atenção do
auditor a um objetivo específico, tal como a eficácia
de um sistema de controle interno, a adequação de
um processo de gerenciamento de riscos ou alguma
outra questão específica. O auditor interno não
assume responsabilidade pela suficiência do escopo
e procedimentos de auditoria para encontrar todas as
preocupações e questões significantes. Tal opinião é
considerada, normalmente, menos valiosa do que
uma avaliação positiva e, portanto, os auditores
consideram seu valor antes de fornecê-la.
Ocasionalmente, pode-se solicitar à auditoria interna
que dê uma opinião “informal” ou verbal quanto à
adequação das políticas e processos de governança,
gerenciamento de riscos ou controle, seja em nível
macro ou micro. Quando possível, a expressão de tal
opinião não deve ser subjetiva em sua natureza, mas
sim baseada em evidências objetivas (conforme
discutido anteriormente). No entanto, quando partes
interessadas aceitariam uma opinião mais subjetiva,
o fato de que a opinião é subjetiva deve ser
claramente divulgado com qualquer comentário
verbal.
Ao expressar uma opinião informal, o DEA considera
uma gama de fatores:
A suficiência do trabalho de auditoria
(incluindo o trabalho de outros e evidências
informais) para apoiar a opinião solicitada.
Se a opinião pode ser postergada até que
evidências adicionais sejam obtidas.
Os critérios para a opinião e um
entendimento claro do que a organização
considera como desempenho satisfatório.
O apetite de riscos da organização.
O propósito para qual a opinião será usada.
Se a opinião informal será positiva ou
negativa em sua natureza.
Se a opinião será limitada e colocada em
contexto das evidências de apoio que foram
ou não obtidas (ex., “Esta opinião se baseia
nas sete auditorias concluídas neste ano.
Não concluímos auditorias da subsidiária
XYZ e nossa opinião não se estende a ela”).
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 9 Este Guia Prático foi traduzido com o apoio de:
Em sua essência, os fatores são os mesmos que
aqueles que seriam considerados ao expressar uma
opinião por escrito.
Será importante reconhecer casos nos quais a
resposta mais apropriada é uma indicação de que
mais trabalhos serão necessários para expressar uma
opinião sobre a área sendo discutida.
Em alguns casos, pode ser necessário que a auditoria
interna se recuse a emitir uma opinião verbal,
especialmente se houver uma escassez de evidências
ou trabalho suficiente para apoiar a opinião.
5.2 Dependência do Trabalho de
Terceiros ao Apoiar uma Opinião
Em muitas organizações, há uma variedade de
funções ou pessoas que fornecem à gerência e ao
conselho avaliações sobre aspectos específicos das
operações da organização, comumente chamados de
“outros prestadores de avaliação” (OAPs – other
assurance providers).
Se o DEA pretende depender deste trabalho para
propósitos de expressar sua própria opinião, passos
apropriados devem ser tomados, incluindo a
avaliação da competência, independência e
objetividade do OAP. O DEA:
Determina que o OAP possui o
conhecimento, habilidades e outras
competências necessárias para o trabalho do
qual ele dependerá;
Avalia as relações organizacionais do OAP,
para garantir que não haja relações
impedindo que o OAP forneça julgamentos
e opiniões imparciais ou justas na condução
de suas atividades de avaliação.
Obtém informações suficientes com relação
aos objetivos e escopo do trabalho do OAP,
para confirmar que ele cumpriu com os
requisitos específicos da auditoria. Uma
melhor prática comum é estabelecer
reuniões frequentes de comunicação, nas
quais o DEA poderá saber das atividades
planejadas, resultados do trabalho e
relatórios do OAP (ou outras comunicações
semelhantes).
Avaliar os riscos de usar o trabalho do OAP,
especialmente no que tange ao nível de
avaliação e confiança com relação a
opiniões.
Depois que o DEA determinar que poderá ou não
depender do trabalho de terceiros, este fato deve ser
incluso nas discussões com as principais partes
interessadas e, se relevante, com o conselho. É
importante que todas as partes entendam como o
trabalho dos OAPs pode impactar opiniões de
auditoria macro ou micro, incluindo o grau de
confiança a ser depositada em tais opiniões.
5.3 Orientações de Reguladores e Outros
Formadores de Normas
Na medida do possível, esta orientação busca a
harmonia com outros reguladores globais e não tem
intenção de entrar em conflito com leis e
regulamentos conhecidos de outros órgãos
reguladores e formadores de normas. Os auditores
internos não devem deixar de lado suas
responsabilidades de conformidade com as leis e
regulamentos locais. No entanto, quando tais leis ou
regulamentos locais não existirem ou entrarem em
conflito, esta orientação pode ser útil para o
fornecimento de opiniões de auditoria a todos os
praticantes que buscam a conformidade com esta
orientação até onde for possível.
5.4 Outras Considerações Legais
O uso de opiniões pode resultar em uma maior
dependência dos relatórios de auditoria interna. Este
é um resultado desejável, já que aumenta o valor e a
clareza do nível de avaliação prestado no relatório de
auditoria. No entanto, a maior dependência pode
também resultar em consequências legais e de
outras naturezas, se alguém depender do relatório e
uma falha de controle surgir após o relatório for
emitido. Além disso, podem existir ramificações
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 10 Este Guia Prático foi traduzido com o apoio de:
legais para as próprias credenciais de certificação do
DEA, caso problemas de não conformidade surjam.
Para gerenciar essas consequências, o DEA é
encorajado a usar um linguajar apropriado no
relatório e em qualquer isenção de responsabilidade
que alerte o leitor quanto às limitações do nível de
avaliação prestado. Ao assinar uma opinião de um
relatório como contador certificado, contador
público certificado, auditor interno certificado ou
outra certificação profissional parecida, o DEA deve
alertar os leitores de que não é possível prestar uma
avaliação absoluta e encorajá-los a considerar todas
as consequências legais. Ao ser claro quanto a essas
questões e documentá-las para os usuários dos
relatórios, o DEA é capaz de gerenciar as
expectativas e limitar riscos legais desnecessários.
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 11 Este Guia Prático foi traduzido com o apoio de:
Anexo A: Exemplos: Classificações ou Rankings de Riscos Os exemplos a seguir são exemplos de sistemas que
podem ser aplicados para classificar ou ordenar
riscos em um ranking. Em todos estes, é importante
esclarecer o contexto (isto é, classificação relativa à
organização como um todo versus ao sujeito da
auditoria). Essas classificações/rankings de riscos
também podem ser aplicáveis a certas opiniões de
nível micro.
Empresa A: Opinião de Classificação de
Risco
Muito Alto – O risco residual depois da
consideração da adequação e/ou eficácia dos
controles/mitigadores de riscos continua muito alto
de acordo com a matriz de avaliação de riscos
(critérios de classificação de riscos) da organização
(ou divisão, ou entidade). Ele está acima do nível
aceitável de tolerância.
Alto - O risco residual depois da consideração da
adequação e/ou eficácia dos controles/mitigadores de
riscos continua alto de acordo com a matriz de
avaliação de riscos da organização (ou divisão, ou
entidade). Ele está acima do nível aceitável de
tolerância.
Médio – O risco residual após a consideração da
adequação e/ou eficácia dos controles/mitigadores de
riscos é médio de acordo com a matriz de avaliação
de riscos da organização (ou divisão, ou entidade),
estando, portanto, dentro da tolerância a riscos da
organização.
Baixo Risco – O risco residual após a consideração
da adequação e/ou eficácia dos controles/mitigadores
de riscos é baixo e, portanto, está dentro da
tolerância a riscos da organização.
Empresa B: Classificação de Riscos de
Deficiência com Relação às Descobertas
de Auditoria (Nível Micro)
Risco de Alta Prioridade – Como esta é uma questão
de alta prioridade, a atenção imediata da gerência é
necessária. Esta é uma questão séria de controle
interno ou gerenciamento de riscos que, se não
mitigada, pode, com um alto grau de certeza, levar a:
Perdas substanciais, possivelmente em
conjunto com outras fraquezas na estrutura
de controle ou na entidade ou no processo
sendo auditado.
Sérias violações das estratégias, políticas ou
valores corporativos.
Sérios danos à reputação, tais como
publicidade negativa em mídias nacionais ou
internacionais.
Um significante impacto regulatório adverso,
tal como a perda de licenças de operação ou
multas materiais.
Risco Médio – Como esta é uma questão de média
prioridade, a atenção oportuna da gerência é
recomendada. Esta é uma questão de controle
interno ou gerenciamento de riscos que pode levar a:
Perdas financeiras (estipular níveis).
Perda de controles dentro da entidade ou
processo sendo auditado.
Danos à reputação, tais como publicidade
negativa em mídias locais ou regionais.
Impacto regulatório adverso, tal como
sanções públicas ou multas não materiais.
Risco Baixo – Como esta é uma questão de baixa
prioridade, a atenção rotineira da gerência é
recomendada. Esta é uma questão de controle
interno ou gerenciamento de riscos, cuja solução
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 12 Este Guia Prático foi traduzido com o apoio de:
pode levar à melhoria da qualidade e/ou eficiência da
entidade ou processo sendo auditado. Os riscos são
limitados.
Empresa C: Classificação de Risco
Prioritários de uma Deficiência (Nível
Micro)
Qualquer um ou mais critérios notados abaixo
resultarão em um ranking de prioridade, caso
controles de mitigação não estejam em prática:
(Observação: Duas ou mais observações do ranking
de prioridade podem resultar em uma opinião de
auditoria “insatisfatória”.)
Há um possível erro em uma demonstração
financeira ou divulgação financeira, exigindo
um ajuste pós-impostos nas demonstrações
financeiras ou divulgações relacionadas
maior ou igual a $XX milhões.
Os controles não estão em operação
conforme o desejado e estima-se que pode
haver uma oportunidade de eficácia e
eficiência operacional com ganho econômico
potencial maior que 0,5 por cento da renda
total líquida ou maior que 1 por cento de
uma classificação de grupo das contas
patrimoniais, tais como ativos fixos, ativos
correntes, passivos correntes, etc., ou que
tenha um efeito material adverso sobre a
reputação da empresa.
Um controle fundamental não está
funcionando conforme o desejado, de acordo
com o indicado pelos resultados do teste de
exceção do auditor, em excesso por XX por
cento (usando uma amostra representativa
suficiente) e não existem controles para
mitigação (ou uma taxa inferior de teste de
exceção, se a exposição for significante).
Sistemas de informação (de acordo com o
definido) críticos estão significativamente
comprometidos, por conta de controles
ineficazes sobre a segurança lógica/de
aplicações, proteção de dados (incluindo
informações dos clientes/funcionários) e
uma falta de verificações de edições do
sistema e controles de mitigação limitados.
Fraquezas prioritárias no controle
identificadas em uma auditoria interna
anterior continuam não resolvidas sem causa
razoável para o atraso.
As descobertas de auditoria identificaram
controles ineficazes que levaram a uma
fraude interna ou externa (conforme
definida) em progresso (isto é, comprovada)
ou há uma alta probabilidade de que uma
fraude potencial (isto é, crível) poderia
existir, superior a $XX.
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 13 Este Guia Prático foi traduzido com o apoio de:
Anexo B: Exemplos: Opinião de Auditoria Micro e Macro (Classificação) Os exemplos a seguir são exemplos de classificação
que podem ser aplicados com relação a opiniões de
auditoria. Em todos eles, é importante esclarecer o
contexto; isto é, opinião relativa à organização como
um todo (macro) versus a uma revisão de auditoria
individual de um sujeito ou processo em particular
(micro). Será importante ter um processo de ranking
de riscos e metodologia em prática, semelhantes
àqueles apresentados no Anexo A, para formular
essas opiniões.
Empresa D: Grau Tier 3
Sistema Inadequado de Controle Interno – As
descobertas indicam franquezas significantes de
controle e a necessidade de ações corretivas
urgentes. Em casos nos quais a ação corretiva não
tenha começado, a ação corretiva atual não foi, no
momento da auditoria, suficiente ou não teve
progresso suficiente para abordar a gravidade das
fraquezas de controle identificadas.
Sistema Adequado de Controle Interno Sujeito a
Reservas – Uma variedade de descobertas, algumas
das quais são significantes, foram levantadas. Em
casos nos quais a ação corretiva estiver em progresso
para abordar essas descobertas e outras questões
conhecidas pela gerência, essas ações estarão em um
estágio muito inicial para permitir que uma opinião
de auditoria satisfatória seja dada.
Sistema Satisfatório de Controle Interno – As
descobertas indicam que, de um ponto de vista geral,
os controles são satisfatórios, embora algumas
melhorias possam ter sido recomendadas.
Empresa E: Grau Tier 4
Eficaz Os controles avaliados são adequados, apropriados e eficazes para prestar
avaliação razoável de que os riscos estão sendo gerenciados e de que os objetivos
devem ser alcançados.
Necessárias Poucas Melhorias Algumas fraquezas de controle específicas foram notadas; geralmente, no entanto,
os controles avaliados são adequados, apropriados e eficazes para prestar
avaliação razoável de que os riscos estão sendo gerenciados e de que os objetivos
devem ser alcançados.
Necessárias Muitas Melhorias Diversas fraquezas de controle específicas foram notadas. Os controles avaliados
provavelmente não prestarão avaliação razoável de que os riscos estejam sendo
gerenciados e de que os objetivos devam ser alcançados.
Insatisfatório Os controles avaliados não são adequados, apropriados ou eficazes para prestar
avaliação razoável de que os riscos estejam sendo gerenciados e de que os
objetivos devam ser alcançados.
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 14 Este Guia Prático foi traduzido com o apoio de:
Empresa E: Grau Tier 5 Com Escala
MATRIZ DE AVALIAÇÃO E CLASSIFICAÇÃO
Determinantes do Escopo do Trabalho Bem Controlado
(A)
Satisfatório –
Alto (B)
Satisfatório – Baixo (C) Oportunidades
Materiais de
Melhoria (F)
Eficácia e Eficiência Operacional Eficaz Adequado Problemas Sérios, Mas
Não Materiais
Divulgação
Dependência do Reporte Financeiro Eficaz Adequado Problemas Sérios, Mas
Não Materiais
Divulgação
Conformidade com Leis e
Regulamentos Aplicáveis
Eficaz Adequado Problemas Sérios, Mas
Não Materiais
Divulgação
Salvaguarda de Ativos Eficaz Adequado Problemas Sérios, Mas
Não Materiais
Divulgação
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 15 Este Guia Prático foi traduzido com o apoio de:
Anexo C: Opinião de Nível Macro (Exemplo) Observação: É necessário ter uma metodologia e
processo em prática para avaliar os resultados
cumulativos das tarefas de auditoria e descobertas de
auditoria para expressar tal opinião.
Para: Presidente, Comitê de Auditoria
De: Chefe de Auditoria Interna
Assunto: Auditoria Interna de (auditado ou outra
entidade) para o período terminado em __________
Completamos o plano de auditoria interna de
(declarar o auditado ou outra entidade). O(s)
objetivo(s) deste trabalho foi(foram) (listar os
objetivos amplos de auditoria).
O plano foi preparado considerando (declarar os
principais motivadores usados no desenvolvimento
do plano). A auditoria interna foi conduzida de
acordo com as Normas Internacionais para a Prática
Profissional de Auditoria Interna.
A auditoria interna examinou (descrever o que foi
examinado; ex., a estrutura de controle da gestão, a
estratégia de avaliação de riscos, políticas e práticas,
as informações usadas na tomada de decisões, o
reporte aplicável à entidade examinada, etc.).
O escopo da auditoria incluiu (inclusões do escopo).
Adicionalmente, o exame cobriu atividades que
ocorreram durante o período (período coberto pela
avaliação).
Os critérios usados para avaliar a entidade foram
(descrever os critérios e sua fonte). Os critérios
foram discutidos e acordados junto à gerência
(definir quem) antes da condução dos
procedimentos detalhados de auditoria.
Concluímos que (inserir uma opinião positiva/grau
para cada objetivo). Nossa opinião geral sobre XXX é
satisfatória ou insatisfatória (basear a opinião geral
da entidade por meio da avaliação das opiniões
objetivas de auditoria específicas).
Em meu julgamento profissional como (título),
procedimentos de auditoria suficientes e apropriados
foram conduzidos e evidências foram coletadas para
apoiar a precisão das conclusões alcançadas e
contidas neste relatório. As conclusões foram
baseadas em uma comparação das situações
existentes no período com os critérios de auditoria.
As evidências coletadas cumprem com as normas
profissionais de auditoria e são suficientes para servir
de prova, para a alta administração, das conclusões
derivadas da auditoria interna.
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 16 Este Guia Prático foi traduzido com o apoio de:
Anexo D: Orientações da IPPF Relacionadas Orientações obrigatórias da IPPF relacionadas
incluem:
2010 – Planejamento: “O diretor executivo de
auditoria deve estabelecer um plano baseado em
riscos para determinar as prioridades da atividade de
auditoria interna, de forma consistente com as metas
da organização.”
2410.A1 - Critérios para a Comunicação: “A
comunicação final dos resultados do trabalho deve
(quando apropriado) conter a opinião geral e/ou
conclusão do auditor interno”.
2120 – Gerenciamento de riscos: “A atividade de
auditoria interna deve monitorar e avaliar a eficácia
do sistema de gerenciamento de riscos da
organização.”
2120.A1 – A atividade de auditoria interna deve
avaliar as exposições riscos relacionadas aos sistemas
de governança, operações e informação da
organização com relação a:
Dependência e integridade das informações
financeiras e operacionais.
Eficácia e eficiência das operações.
Salvaguarda de ativos; e
Conformidade com leis, regulamentos e
contratos.
2130.A1 – A atividade de auditoria interna deve
avaliar a adequação e eficácia dos controles em
resposta aos riscos dentro dos sistemas de
governança, operações e informação da organização
com relação a:
Dependência e integridade das informações
financeiras e operacionais.
Eficácia e eficiência das operações.
Salvaguarda de ativos; e
Conformidade com leis, regulamentos e
contratos.
Orientações fortemente recomendadas da IPPF
relacionadas incluem:
Prática Recomendada 1210.A1-1 - Obtendo
Prestadores Externos de Serviços para Apoiar ou
Complementar a Atividade de Auditoria Interna. Ela
também engloba os conceitos das seguintes Normas
de Auditoria do AICPA: SAS 65 – A Consideração
do Auditor Quanto à Função de Auditoria Interna
em uma Auditoria de Demonstrações Financeiras e
SAS 73 – Usando o Trabalho de Terceiros.
Prática Recomendada 1210.A1-1 - Obtendo
Prestadores Externos de Serviços para Apoiar ou
Complementar a Atividade de Auditoria Interna.
1. Cada membro da atividade de auditoria
interna não precisa ser qualificado em todas
as disciplinas. A atividade de auditoria
interna pode usar prestadores externos de
serviços ou recursos internos que estejam
qualificados em disciplinas como
contabilidade, auditoria, economia, finanças,
estatística, tecnologia da informação,
engenharia, tributação, direito, direito
ambiental e outras áreas necessárias para
cumprir com as responsabilidades da
atividade de auditoria interna.
2. Um prestador externo de serviços é uma
pessoa ou empresa, independente da
organização, que tem conhecimento,
habilidade ou experiência especial em uma
disciplina em particular. Prestadores
externos de serviços incluem atuários,
contadores, avaliadores, especialistas em
cultura ou idiomas, especialistas ambientais,
investigadores de fraude, advogados,
engenheiros, geólogos, especialistas em
segurança, estatísticos, especialistas em
tecnologia da informação, os auditores
externos da organização e outras
organizações de auditoria. Um prestador
externo de serviços pode ser abordado pelo
conselho, pela alta administração ou pelo
diretor executivo de auditoria (DEA).
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 17 Este Guia Prático foi traduzido com o apoio de:
3. Prestadores externos de serviços podem ser
usados pela atividade de auditoria interna
em conexão com, entre outras coisas:
O alcance de objetivos no cronograma
do trabalho de auditoria.
Atividades de auditoria nas quais uma
habilidade ou conhecimento
especializado seja necessário, tal como
tecnologia da informação, estatística,
impostos ou tradução de idiomas.
Avaliações de ativos tais como terrenos
ou edificações, obras de arte, pedras
preciosas, investimentos e instrumentos
financeiros complexos.
Determinação de quantidades ou
condições físicas de certos ativos, tais
como reservas minerais ou de petróleo.
Mensuração do trabalho concluído e a
ser concluído dos contratos em
progresso.
Investigações de fraude e segurança.
Determinação de quantias, usando
métodos especializados, tais como
determinações atuariais de obrigações
de benefícios do funcionário.
Interpretação de requisitos legais,
técnicos e regulatórios.
Avaliação do programa de certificação
de qualidade e melhoria da atividade de
auditoria interna, em conformidade com
as Normas.
Fusões e Aquisições.
Consultoria de gerenciamento de riscos
e outras questões.
4. Quando DEA pretende usar e depender do
trabalho de um prestador externo de
serviços, o DEA precisa considerar a
competência, independência e objetividade
do prestador externo de serviços com relação
à tarefa específica a ser conduzida. A
avaliação da competência, independência e
objetividade também é necessária quando o
prestador externo de serviços é selecionado
pela alta administração ou pelo conselho e o
DEA pretende usar e depender do trabalho
do prestador externo de serviços. Quando a
seleção é feita por outros e a avaliação do
DEA determina que ele não deve usar e
depender do trabalho deste prestador
externo de serviços, é necessária a
comunicação de tais resultados à alta
administração ou ao conselho, conforme
apropriado.
5. O DEA determina que o prestador externo
de serviços possui o conhecimento,
habilidades e outras competências
necessárias para conduzir o trabalho ao
considerar:
A certificação profissional, licença ou
outro reconhecimento da competência
do prestador externo de serviços na
disciplina relevante.
Participação do prestador externo de
serviços em uma organização
profissional apropriada e adesão ao
código de ética daquela organização.
A reputação do prestador externo de
serviços. Isso pode incluir contatar
terceiros que conheçam o trabalho do
prestador externo de serviços.
A experiência do prestador externo de
serviços no tipo de trabalho que está
sendo considerado.
A extensão da educação e treinamento
recebido pelo prestador externo de
serviços nas disciplinas que dizem
respeito à tarefa específica.
O conhecimento e experiência do
prestador externo de serviços sobre a
indústria na qual a organização opera.
6. O DEA precisa avaliar a relação do prestador
externo de serviços com a organização e com
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 18 Este Guia Prático foi traduzido com o apoio de:
a atividade de auditoria interna, para garantir
que a independência e objetividade sejam
mantidas ao longo do trabalho. Ao conduzir
a avaliação, o DEA verifica se não há
relações financeiras, organizacionais ou
pessoais que impeçam o prestador externo
de serviços de realizar julgamentos e
opiniões imparciais e justas ao conduzir ou
reportar o trabalho.
7. O DEA avalia a independência e
objetividade do prestador externo de
serviços, ao considerar:
O interesse financeiro que o prestador
externo de serviço pode ter na
organização.
A relação pessoal ou profissional que o
prestador externo de serviços pode ter
com o conselho, a alta administração ou
outros dentro da organização.
A relação que o prestador externo de
serviços pode ter tido com a organização
e as atividades sendo revisadas.
A extensão de outros serviços contínuos
que o prestador externo de serviços
possa estar prestando à organização.
A compensação ou outros incentivos
que o prestador externo de serviços
possa ter.
8. Se o prestador externo de serviços também
for o auditor externo da organização e a
natureza do trabalho for de serviços de
auditoria estendidos, o DEA precisa verificar
se o trabalho conduzido não prejudica a
independência do auditor externo. Serviços
de auditoria estendidos referem-se àqueles
serviços além dos requisitos das normas de
auditoria geralmente aceitas pelos auditores
externos. Se os auditores externos da
organização atuam ou aparentam atuar como
membros da alta administração, então a sua
independência está prejudicada. Além disso,
os auditores externos podem fornecer à
organização outros serviços, tais como
tributação e consultoria. A independência
precisa ser avaliada com relação a toda a
variedade de serviços prestados à
organização.
9. Para certificar-se de que o escopo do
trabalho é adequado para os propósitos da
atividade de auditoria interna, o DEA obtém
informações suficientes relativas ao escopo
do trabalho do prestador externo de serviços.
Pode ser prudente documentar essa e outras
questões em uma carta de compromisso ou
contrato. Para isso, o DEA revisa os itens a
seguir com o prestador externo de serviços:
Objetivos e escopo do trabalho,
incluindo os entregáveis e cronogramas.
Questões específicas que se esperam
ser cobertas nas comunicações do
trabalho.
Acesso a registros, pessoal e
propriedades físicas relevantes.
Informações relativas a suposições e
procedimentos a empregar.
Propriedade e custódia de papéis de
trabalho dos trabalhos, se aplicável.
Confidencialidade e restrições das
informações obtidas durante o trabalho.
Quando aplicável, a conformidade com
as Normas e as normas de práticas de
trabalho da atividade de auditoria
interna.
Ao revisar o trabalho de um prestador externo de
serviços, o DEA avalia a adequação do trabalho
realizado, o que inclui a suficiência das informações
obtidas para chegar a uma base razoável para as
conclusões alcançadas e para a resolução de
exceções e outras questões incomuns.
Quando o DEA emite comunicações de trabalho e
um prestador externo de serviços foi utilizado, o
DEA pode, conforme apropriado, se referir a tais
serviços prestados. O prestador externo de serviços
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 19 Este Guia Prático foi traduzido com o apoio de:
precisa ser informado e, se apropriado, deve-se obter
seu aval antes de fazer tais referências em
comunicações de trabalho.
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 20 Este Guia Prático foi traduzido com o apoio de:
Membros da Equipe do Guia Prático: Gilbert T. Radford, CIA
Bruce C. Sloan
Debbie E. H. Loxton
Norman D. Marks
Trygve Sorlie, CIA, CCSA
IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna
www.iiabrasil.org.br / 21 Este Guia Prático foi traduzido com o apoio de:
Sobre o Instituto
Fundado em 1941, The Institute of Internal Auditors
(IIA) é uma associação profissional com sede global
em Altamonte Springs, Fla., EUA. O IIA é a voz da
profissão de auditoria interna em todo o mundo,
autoridade reconhecida, líder valorizado, advogado
chefe e principal educador.
Sobre os Guias Práticos
Os Guias Práticos são uma declaração do IIA para
auxiliar uma grande variedade de partes interessadas,
incluindo aquelas que não pertençam à profissão da
auditoria interna, a entender questões significantes
de governança, riscos ou controle e a delinear os
papéis e responsabilidades relacionados dos
auditores internos quanto a uma questão
significante. Os Guias Práticos fazem parte da
Estrutura Internacional de Práticas Profissionais
(IPPF) do IIA. Como parte da categoria de
orientação Fortemente Recomendada, a
conformidade não é obrigatória, mas é altamente
recomendada, e a orientação é endossada pelo IIA
por meio de processos formais de revisão e
aprovação. Para mais materiais de orientação
fidedignos fornecidos pelo IIA, visite nosso website:
www.iiabrasil.org.br ou www.theiia.org
Isenção de Responsabilidade
O IIA publica este documento para fins informativos
e educacionais. Este material de orientação não tem
como objetivo fornecer respostas definitivas a
específicas circunstâncias individuais e, como tal,
tem o único propósito de servir de guia. O IIA
recomenda que você sempre busque conselhos
especializados independentes, relacionados
diretamente a qualquer situação específica. O IIA
não assume responsabilidade pela confiança
depositada unicamente neste guia.
Copyright
Os direitos autorais deste documento pertencem ao
The IIA. Para permissão para reprodução, favor
entrar em contato com o IIA pelo e-mail:
Rua Princesa Isabel, 94 1º andar Brooklin Paulista04601-000