Práticas Recomendadas
Práticas Recomendadas
1
Práticas Recomendadas
3
Prática Recomendada 1000-1:
Estatuto da Auditoria Interna
Norma Primária Relacionada
1000 - Objectivo, Autoridade e Responsabilidade
O objectivo, autoridade e responsabilidade da actividade de auditoria interna tem de ser
formalmente definidos num Estatuto de Auditoria Interna, consistente com a Definição de
Auditoria Interna, o Código de Ética e as Normas. O responsável pela auditoria tem de rever
periodicamente o estatuto de auditoria interna e apresenta-lo aos gestores superiores e ao
Conselho para aprovação.
Interpretação:
O estatuto de auditoria interna é um documento formal o qual define o objectivo, autoridade
e responsabilidade da actividade de auditoria interna, autoriza o acesso aos registos,
pessoal e bens físicos relevantes para o desempenho dos trabalhos; e define o âmbito das
actividades de auditoria interna. A aprovação final do estatuto de auditoria interna compete
ao Conselho.
_____________________________________________________________________________
1. O estabelecimento de um Estatuto de Auditoria Interna formal e por escrito é crítico
para a gestão da actividade de auditoria interna. O Estatuto fornece uma declaração de
reconhecimento, para revisão e aceitação pela gestão e para sua aprovação, conforme
documentado nas actas do Conselho. Facilita igualmente uma avaliação periódica da
adequação do objectivo, autoridade e responsabilidade da actividade de auditoria
interna, o qual estabelece o papel a desempenhar pela actividade de auditoria interna.
Quando se levante uma questão, o estatuto fornece um acordo formal e escrito feito com
a gestão e o Conselho sobre a actividade de auditoria interna.
2. O responsável pela auditoria (CAE) é responsável pela avaliação periódica do objectivo,
autoridade e responsabilidade definidos no estatuto e se os mesmos continuam a ser
adequados de forma a permitir que a actividade cumpra com os seus objectivos. O CAE
é igualmente responsável por comunicar o resultado desta avaliação aos gestores
superiores e ao Conselho.
***
Práticas Recomendadas
5
Práticas Recomendadas
7
Prática Recomendada 1110-1:
Independência Orgânica
Norma Primária Relacionada
1110 – Independência Orgânica
O responsável pela auditoria tem de reportar a um nível no interior da organização que permita
que a função de auditoria interna cumpra com as suas responsabilidades. O responsável pela
auditoria tem de confirmar ao Conselho, pelo menos uma vez em cada ano, a independência da
actividade de auditoria interna.
_____________________________________________________________________________
1. O apoio dos gestores superiores e do Conselho ajuda a actividade de auditoria interna em
obter a cooperação dos clientes do seu trabalho e a desempenha-lo livre de interferências.
2. O responsável pela auditoria (CAE), ao reportar funcionalmente ao Conselho e
administrativamente ao Presidente do Conselho de Administração facilita a independência
orgânica. No mínimo, o CAE necessita de reportar a uma entidade no seio da organização,
com suficiente autoridade para proporcionar uma independência e assegurar uma cobertura
ampla de auditoria, uma comunicação adequada das recomendações do trabalho e uma acção
apropriada às recomendações feitas.
3. O reporte funcional ao Conselho representa na prática o envolvimento do Conselho:
Na aprovação do estatuto geral da actividade de auditoria interna.
Na aprovação da avaliação do risco feita pela auditoria interna e no plano de auditoria
relacionado.
Através das comunicações do CAE sobre os resultados das actividades de auditoria
interna ou de outras questões que o CAE determine serem necessárias, incluindo as
reuniões em privado com o CAE sem a presença da gestão, bem como a confirmação
anual da independência orgânica da actividade de auditoria interna.
Na aprovação de todas as decisões relativas ao desempenho, avaliação, nomeação ou
destituição do CAE.
Na aprovação da compensação anual e ajustamento do salário do CAE.
Indagando adequadamente da gestão e do CAE sobre limitações de âmbito ou
orçamentais que impeçam a actividade de auditoria interna de cumprir com as suas
responsabilidades.
4. O reporte administrativo é o relacionamento de reporte na estrutura orgânica da gestão que
possibilita as operações do dia-a-dia da actividade de auditoria interna. O reporte
administrativo inclui tipicamente:
A contabilidade orçamental e da gestão
A administração dos recursos, incluindo a avaliação do pessoal e sua compensação.
Práticas Recomendadas
Comunicações internas e fluxos da informação.
Gestão das políticas e procedimentos da actividade de auditoria interna
***
8
Práticas Recomendadas
9
Prática Recomendada 1111-1:
Interacção com o Conselho
Norma Primária Relacionada
1111 – Interacção Directa com o Conselho
O responsável pela auditoria tem de comunicar e interagir directamente com o Conselho
_____________________________________________________________________________
1. Ocorre comunicação directa quando o responsável pela auditoria (CAE) está habitualmente
presente e participa nas reuniões do Conselho de administração que se relacionam com as
responsabilidades do Conselho em matéria de supervisão de auditoria, reporte financeiro,
governação da organização, e controlo. A presença e participação do CAE nestas reuniões
proporcionam uma oportunidade para a obtenção de informações sobre desenvolvimentos
estratégicos do negócio e das operações e para o levantamento de questões sobre riscos de
alto nível, sistemas, procedimentos e questões de controlo na sua fase inicial. A presença em
reuniões proporciona igualmente uma oportunidade para a troca de informações sobre os
planos e actividades da auditoria interna e para manter as partes informadas sobre quaisquer
outras questões de interesse mútuo.
2. Tais comunicações e interacção ocorrem igualmente quando o CAE se reúne com o
Conselho, pelo menos anualmente.
***
Práticas Recomendadas 10
Práticas Recomendadas 11
Prática Recomendada 1120-1:
Objectividade Individual
Norma Primária Relacionada
1120 - Objectividade Individual
Os auditores internos deverão ter uma atitude de imparcialidade, livre de preconceitos e evitar
conflitos de interesse.
Interpretação:
O conflito de interesses é uma situação perante a qual um auditor interno, que se encontra
numa posição de confiança, tem um interesse profissional ou pessoal competitivo. Tais
interesses competitivos poderão dificultar de forma imparcial o cumprimento das suas
responsabilidades. Existe um conflito de interesses mesmo que não resulte qualquer acto
contrário à ética ou impróprio. Um conflito de interesses poderá criar a aparência de
irregularidade que motivará a perda de confiança no auditor interno, na actividade de
auditoria interna e na profissão. Um conflito de interesses poderia enfraquecer a
capacidade de um indivíduo poder cumprir de forma objectiva com os seus deveres ou
responsabilidades.
_____________________________________________________________________________
1. A objectividade individual significa que os auditores internos realizem auditorias de forma
tal que eles próprios acreditem honestamente no produto do seu trabalho e que não
estabeleçam compromissos de qualidade significativos. Os auditores internos não devem ser
colocados em situações que possam enfraquecer a sua capacidade de emitir julgamentos
profissionais objectivos.
2. A objectividade individual implica que o responsável pela auditoria (CAE) organize as
missões de trabalho nomeando um staff que evite conflitos de interesse potenciais ou actuais
e preconceitos, obtendo periodicamente informação do staff de auditores internos relativa a
potenciais conflitos de interesse e preconceitos e, quando possível, procedendo
periodicamente à rotação do staff de auditoria interna designado.
3. A revisão dos resultados do trabalho de auditoria interna antes dos mesmos serem
divulgados fornece uma segurança razoável de que o trabalho foi realizado de forma
objectiva.
4. A objectividade do auditor interno não é afectada desfavoravelmente quando o auditor
recomenda normas de controlo para sistemas, ou revê procedimentos, antes da sua
implementação. Presume-se que a objectividade do auditor é prejudicada quando este
desenha, instala, prepara minutas para/ou opera tais sistemas.
5. O desempenho ocasional pelo auditor interno de trabalho que não seja de auditoria, contendo
para o efeito tal referência explícita nos relatórios apresentados, não enfraqueceria
Práticas Recomendadas 12
necessariamente a objectividade. Contudo, compete aos gestores e ao auditor interno terem
atenção especial em evitar que a objectividade do auditor interno seja afectada de forma
adversa.
***
Práticas Recomendadas 13
Prática Recomendada 1130-1:
Impedimentos à
Independência e Objectividade
Norma Primária Relacionada
1130 Impedimentos à Independência ou Objectividade
Caso exista impedimento à independência ou objectividade, real ou aparente, os pormenores de
tal impedimento têm de ser divulgados às entidades competentes. A natureza de tal divulgação
dependerá do tipo de impedimento.
Interpretação:
Os impedimentos à independência orgânica e objectividade individual poderão incluir, mas
não estão limitados a, conflitos de interesse pessoais, limitações de âmbito, restrições ao
acesso a registos, pessoal, e bens, e limitações de recursos, tais como o financiamento.
A decisão das partes envolvidas, a quem os detalhes de um impedimento à independência ou
objectividade devem ser divulgados, está dependente das expectativas da actividade de
auditoria interna e das responsabilidades que o responsável pela auditoria interna tenha
perante os gestores superiores e o Conselho, conforme descrito no estatuto de auditoria
interna, bem como da natureza do impedimento.
_____________________________________________________________________________
1. Os auditores internos terão de divulgar ao responsável pela auditoria (CAE) quaisquer
situações em que exista um impedimento potencial à independência ou objectividade ou que
possa razoavelmente inferir-se haver um, ou em caso de dúvidas sobre a existência de um
eventual impedimento à objectividade ou independência Se o responsável pela auditoria
determinar que o impedimento existe ou que possa ser inferido, ele ou ela terão de renomear
o(s) auditor (es) .
2. Uma limitação de âmbito é uma restrição colocada à actividade de auditoria interna que
impede a actividade de atingir os seus objectivos e planos. Entre outras situações, uma
limitação de âmbito poderá limitar:
O âmbito definido no estatuto do auditor interno.
O acesso da actividade de auditoria interna a registos, pessoal e bens físicos, relevantes
para a realização dos trabalhos de auditoria.
O plano de actividades aprovado.
O desempenho de procedimentos indispensáveis à realização do trabalho de auditoria.
O plano de pessoal e o orçamento financeiro aprovado.
Práticas Recomendadas 14
3. Uma limitação de âmbito, bem como o seu efeito potencial, tem de ser comunicado de
preferência por escrito ao Conselho.
O responsável pela auditoria necessita de verificar se é apropriado informar o Conselho, sobre
limitações existentes que foram previamente comunicadas ao Conselho e por estes aceites.
Tal poderá ser necessário em especial quando se verificarem alterações na organização,
Conselho, gestores superiores ou outras modificações.
4. Os auditores internos não deverão aceitar honorários, ofertas bilhetes de entretenimento de
um empregado, freguês, cliente, fornecedor ou parceiro comercial que possa criar a
aparência de que a objectividade do auditor foi posta em causa. A aparência de que a
objectividade foi posta em causa poderá aplicar-se a trabalhos correntes ou futuros a cargo
do auditor. O estatuto dos trabalhos não pode ser considerado como justificação para a
aceitação de honorários, ofertas ou bilhetes de entretenimento. A aceitação de artigos
promocionais (tais como canetas, calendários ou amostras) que são oferecidos aos
empregados e ao público em geral e que têm um valor reduzido, não impede o julgamento
profissional dos auditores internos. Os auditores internos deverão reportar de imediato aos
seus superiores a oferta de todos os honorários ou ofertas de valor significativo.
***
Práticas Recomendadas 15
Prática Recomendada 1130.A1-1:
Avaliação de Operações cuja responsabilidade estava
anteriormente a cargo dos Auditores Internos
Norma Primária Relacionada
1130.A1 Os auditores internos têm de abster-se de avaliar operações específicas cuja
responsabilidade lhes havia sido anteriormente confiada. Considera-se que a objectividade é
prejudicada quando um auditor interno avalia uma actividade perante a qual fora responsável
durante o ano precedente.
_____________________________________________________________________________
1. As pessoas transferidas para, ou temporariamente contratadas pela actividade de
auditoria interna, não deverão ser nomeadas para auditar as actividades que previamente
executaram ou perante as quais tenham tido a responsabilidade de gestão, até ter
decorrido pelo menos um ano). Presume-se que tais nomeações enfraqueçam a
objectividade e deverão ser tidas em conta na supervisão do trabalho de auditoria e na
divulgação dos resultados de auditoria.
***
Práticas Recomendadas 16
Práticas Recomendadas 17
Prática Recomendada 1130.A2-1:
Responsabilidade da Auditoria Interna por outras
(extra auditoria) Funções
Norma Primária Relacionada
1130.A2 – Os trabalhos de garantia para funções cuja responsabilidade esteve anteriormente a
cargo do responsável pela auditoria têm de ser supervisionadas por entidade de fora da
actividade de auditoria interna.
_____________________________________________________________________________
1. Os auditores internos não deverão aceitar responsabilidades por trabalhos que não são de
auditoria e que estão sujeitas a avaliações periódicas pela auditoria interna. Se tiverem tal
responsabilidade, não estão a actuar como auditores internos
2. Quando a actividade de auditoria interna, o responsável pela auditoria (CAE) ou o auditor
interno individual é responsável, ou quando a gestão pondera atribuir uma responsabilidade
operacional que a actividade de auditoria interna possa vir a auditar, a independência e
objectividade do auditor interna poderá estar enfraquecida. No mínimo, o CAE terá de
ponderar os seguintes factores ao avaliar o impacte da independência e objectividade:
Os requisitos do Código de Ética e das Normas Internacionais para a Prática
Profissional da Auditoria Interna (Normas.
Expectativa dos stakeholders que poderão incluir os accionistas, Conselho de
Administração, Comité de Auditoria, gestores, órgãos legislativos, entidades públicas,
entidades reguladoras e associações de interesse público.
Concessões e/ou restrições contidas no estatuto da actividade de auditoria interna.
Observações exigidas pelas Normas.
Cobertura de auditoria das actividades ou responsabilidades empreendidas pelo auditor
interno.
Importância da função operacional para a organização (em termos de receitas, despesas,
reputação e influência).
Extensão ou duração do trabalho e âmbito de responsabilidade.
Adequação da separação de responsabilidades.
Se existe qualquer antecedente histórico ou outra evidência de que a objectividade do
auditor interno possa estar em risco.
Práticas Recomendadas 18
1. Se o estatuto da actividade de auditoria interna contiver restrições específicas ou falha de
menção explícita relativa à atribuição de funções ao auditor interno, que não são de
auditoria, a divulgação e discussão de tais restrições deverá ser feita com a gestão. Caso a
gestão insista em tal atribuição de funções, então será necessária a discussão desta revelação
com o Conselho. Caso o estatuto seja omisso a esse respeito, as orientações contidas nos
itens abaixo deverão ser considerados. Todos os itens mencionados abaixo estão
subordinados à terminologia do estatuto.
4. Quando a actividade de auditoria interna aceitar responsabilidades operacionais e se tal
operação faz parte do plano de auditoria, o CAE necessita de:
Minimizar o impedimento à objectividade utilizando a contratação de uma entidade
externa ou auditores externos para concluírem auditorias a tais áreas que reportam ao
CAE.
Confirmar que os indivíduos com responsabilidade operacional para tais áreas que
reportam ao CAE não participarão nas auditorias da operação.
Assegurar que os auditores que efectuam o trabalho de garantia de tais áreas que reportam
ao CAE são supervisionados por, e reportam os resultados da avaliação, aos gestores
superiores e ao Conselho.
Revelar as responsabilidades operacionais do auditor para a função, a significância da
operação para a organização (em termos de receitas, despesas, ou outra informação
pertinente), e a relação daqueles que auditaram a função.
1. As responsabilidades operacionais do auditor carecem de ser reveladas no relatório de
auditoria de tais áreas que reportam ao CAE e na comunicação habitual do auditor ao
Conselho. Os resultados da auditoria poderão igualmente ser discutidas com a gestão e/ com
outras partes interessadas. A revelação do impedimento não anula a necessidade de que os
trabalhos de garantia para funções sobre as quais o CAE tem responsabilidade carecem de
ser supervisionados por entidade externa à actividade de auditoria interna.
***
Práticas Recomendadas 19
Prática Recomendada 1200.1:
Proficiência e Cuidado Profissional Adequado
Norma Primária Relacionada
1200 – Proficiência e Cuidado profissional adequado
Os trabalhos de auditoria têm de ser desempenhados com proficiência e cuidado profissional
adequado.
_____________________________________________________________________________
1. A proficiência e o cuidado profissional adequado são da responsabilidade do responsável
pela auditoria (CAE) e de cada auditor interno. Como tal, o CAE assegura que as pessoas
designadas para efectuar cada auditoria possuem colectivamente os conhecimentos e o
domínio das técnicas e matérias necessárias para a adequada realização da auditoria.
2. O cuidado profissional adequado inclui a conformidade com o Código de Ética e, conforme
apropriado, com o código de conduta da organização bem como com os códigos de conduta
de outras designações profissionais que o auditor interno possua. O Código de Ética
ultrapassa a mera definição de auditoria interna, para incluir dois componentes essenciais:
Princípios que são relevantes para a profissão e prática de auditoria interna: integridade,
objectividade, confidencialidade e competência.
Normas de conduta que descrevem as regras comportamentais que se esperam dos
auditores internos. Tais normas ajudam a interpretar os princípios em aplicações práticas
e destinam-se a orientar a conduta ética dos auditores internos.
***
Práticas Recomendadas 20
Práticas Recomendadas 21
Prática Recomendada 1210.1:
Proficiência
Norma Primária Relacionada
1210 – Proficiência
Os auditores internos terão de possuir os conhecimentos, técnicas e a competência necessárias
para o desempenho da sua responsabilidade individual. A actividade de auditoria interna tem de
possuir ou obter, colectivamente, as técnicas e outra competência necessárias para o
desempenho das suas responsabilidades.
_____________________________________________________________________________
Interpretação:
O conhecimento, técnicas e outras competências é um termo colectivo que se refere à proficiência
profissional dos auditores internos para que eles possam cumprir com as suas responsabilidades. Os
auditores internos são encorajados a demonstrar a sua proficiência obtendo certificações e
qualificações profissionais adequadas, tais como a designação de “certified internal auditor” e
outras designações oferecidas pelo The Institute of Internal Auditors e por outras organizações
profissionais apropriadas.
1. O conhecimento, técnicas e outras competências referidas na norma incluem:
Competência na aplicação das normas de auditoria interna, procedimentos, e técnicas no
desempenho do trabalho. Por proficiência entende-se a capacidade de saber aplicar os
conhecimentos às situações encontradas e resolvê-las de forma adequada sem recurso
extensivo a investigações técnicas e auxílio.
Proficiência nos princípios de contabilidade e técnicas quando os auditores internos
trabalhem consideravelmente com registos financeiros e relatórios.
Conhecimento para identificar os indicadores de fraude.
Entendimento dos princípios de gestão para reconhecer e avaliar a materialidade e o
significado dos desvios relativamente às boas práticas comerciais. Um entendimento
significa a capacidade em aplicar os conhecimentos gerais a situações prováveis de
encontrar, para reconhecer desvios significativos e para ser capaz de realizar a
investigação necessária à obtenção de soluções razoáveis.
Uma compreensão dos fundamentos de disciplinas comerciais tais como contabilidade,
economia, legislação comercial, fiscalidade, finanças, métodos quantitativos, tecnologia
da informação, gestão do risco e fraude. Uma compreensão significa capacidade para
reconhecer a existência de problemas, reais ou potenciais e identificar a pesquisa
adicional subsequente a realizar ou o auxílio a obter.
Técnicas para se relacionar com pessoas, entendendo as relações humanas e mantendo
uma relação satisfatória com os clientes do trabalho.
Práticas Recomendadas 22
Técnicas na comunicação verbal e escrita para claramente e eficazmente transmitir os
objectivos do trabalho, avaliações, conclusões e recomendações.
2. Devem ser estabelecidos pelo responsável pela auditoria interna (CAE) critérios apropriados
de formação e de experiência para o preenchimento dos lugares de auditoria interna, dando
consideração ao âmbito do trabalho e nível de responsabilidade, e obtendo razoável garantia
quanto à competência e qualificações de cada candidato a auditor.
3. A actividade de auditoria interna necessita de possuir colectivamente os conhecimentos,
técnicas e outras competências necessárias à prática da profissão na organização. Uma
avaliação anual dos conhecimentos, técnicas e outras competências da actividade de
auditoria interna ajuda a identificar áreas de oportunidade que poderão ser abordadas no
“Continuing Professional Development, recrutamento ou contratação em parceria.
4. O “Continuing Professional Development” é essencial para permitir que o staff de auditoria
interna se mantenha competente.
5. O CAE poderá obter o auxílio de outros técnicos contratados do exterior da actividade de
auditoria interna para apoiar ou complementar áreas onde a actividade de auditoria interna
não se sinta suficientemente competente.
***
Práticas Recomendadas 23
Prática Recomendada 1210.A1-1:
A obtenção de Serviços Externos para Apoio
ou Complemento da Actividade
de Auditoria Interna
Norma Primária Relacionada
1210.A1 – O responsável pela auditoria tem de obter o aconselhamento e assistência
competente, quando os auditores internos carecerem dos conhecimentos, das técnicas e outras
competências necessárias para realizar parte ou a totalidade do seu trabalho.
. __________________________________________________________________________________________
1. Cada membro da actividade de auditoria interna não necessita de ser qualificado em todas
as disciplinas. A actividade de auditoria interna poderá servir-se de consultores, ou de
recursos internos qualificados em disciplinas tais como contabilidade, auditoria, economia,
finanças, estatística, tecnologia da informação, engenharia, fiscalidade, legislação, questões
ambientais e outras áreas, de acordo com as necessidades para satisfazer as
responsabilidades da auditoria.
2. Um fornecedor de serviços externos é uma pessoa singular ou empresa, independente da
organização, o qual possui um conhecimento especializado, aptidão, e experiência numa
disciplina particular. Os fornecedores de serviços externos incluem actuários, contabilistas,
avaliadores, peritos em cultura ou idiomas, especialistas de ambiente, investigadores de
fraude, advogados, engenheiros, geólogos, especialistas em seguros, técnicos de estatística,
especialistas em tecnologia da informação, os auditores externos da organização e outras
organizações de auditoria. Um fornecedor de serviços externos poderá ser contratado pelo
Conselho, gestores superiores, ou pelo responsável pela auditoria (CAE).
3. Os fornecedores de serviços externos poderão ser aproveitados pela actividade de auditoria
interna, em conjunto com, entre outros:
Consecução dos objectivos no programa de trabalho delineado.
Actividades de auditoria onde sejam necessárias aptidões e conhecimentos
especializados, tais como tecnologia de informação, estatística, impostos ou tradução de
idiomas.
Avaliação de activos tais como terrenos e edifícios, obras de arte, pedras preciosas,
investimentos, e instrumentos financeiros complexos.
Determinação de quantidades ou condição física de certos activos tais como reservas de
minerais e petróleo.
Medição de obras concluídas e a concluir em contratos em curso.
Investigação de fraude e de segurança.
Práticas Recomendadas 24
Determinação de quantidades pelo uso de métodos especializados tais como cálculos
actuariais em obrigações assumidas com benefícios sociais a empregados.
Interpretação de exigências legais, técnicas e regulamentares.
Avaliação do programa de garantia e de melhoria da qualidade da actividade de
auditoria interna em conformidade com as Normas Internacionais para a Prática
Profissional de Auditoria Interna (Normas).
Fusões e aquisições.
Consultoria em matéria de gestão do risco e outros assuntos.
4. Quando o CAE decidir recrutar e confiar no trabalho de um fornecedor de serviços
externos, o CAE necessitará de ter em consideração a competência, independência e
objectividade do fornecedor de serviços externos consoante o trabalho específico a realizar.
A avaliação da competência, independência e objectividade é também necessária quando o
fornecedor de serviços externos for seleccionado pelos gestores superiores ou pelo
Conselho, e o CAE tencione utilizar e confiar no trabalho do fornecedor de serviços
externos. Quando a selecção for feita por outros e a avaliação feita do CAE determinar que
ele ou ela não devem utilizar e confiar no trabalho do fornecedor de serviços externos, então
é necessário que a comunicação de tais resultados seja feita aos gestores superiores ou ao
Conselho, consoante o caso.
5. O CAE verifica se o fornecedor de serviços externos possui os necessários conhecimentos,
aptidão e capacidade para a realização, tendo em atenção o seguinte:
Carteira profissional, licença ou outro reconhecimento da competência do fornecedor de
serviços externos na disciplina específica.
Filiação do fornecedor de serviços externos numa organização profissional adequada e a
sua adesão ao código de ética da organização.
A reputação do fornecedor de serviços externos. Tal poderá incluir um contacto com
outras entidades familiarizadas com o trabalho do fornecedor de serviços externos.
A experiência do fornecedor de serviços externos no tipo de trabalho a ser realizado.
As qualificações académicas e formação recebida pelo fornecedor de serviços externos
nas disciplinas relacionadas com o trabalho específico.
Os conhecimentos e experiência do fornecedor de serviços externos, da actividade em que
a organização opera.
6. O CAE necessita de avaliar a relação existente entre o fornecedor de serviços externos com
a organização e com a actividade de auditoria interna para assegurar que a independência e
a objectividade é mantida ao longo do trabalho. Ao efectuar a avaliação, o CAE verifica que
não existem relações financeiras, organizacionais ou pessoais que impeçam o fornecedor de
serviços externos de submeter um julgamento e opinião imparcial, e sem preconceitos, ao
desempenhar ou relatar sobre o trabalho executado.
7. O CAE avalia a independência e objectividade do fornecedor de serviços externos, tendo
em atenção o seguinte:
Práticas Recomendadas 25
Os interesse financeiro que o fornecedor possa ter na organização.
A relação pessoal ou profissional que o fornecedor de serviços externos possa ter
perante o Conselho, gestores superiores ou outros dentro da organização.
A relação que o fornecedor de serviços externos possa ter tido com a organização ou as
actividades a serem analisadas.
A extensão de outros trabalhos em curso que o fornecedor de serviços externos possa
estar a realizar para a organização.
Honorários ou outros incentivos que o fornecedor de serviços externos possa auferir.
8. Quando o fornecedor de serviços externos for também o auditor externo da organização e a
natureza da atribuição forem também trabalhos de auditoria alargados, o CAE necessita de
assegurar que o trabalho desenvolvido não interfere com a independência do auditor
externo. Por trabalhos de auditoria alargados entendem-se serviços tais que se alongam para
além dos trabalhos normais de auditoria geralmente aceites pelos auditores externos. Se os
auditores externos da organização actuarem ou aparentarem actuar como elementos dos
quadros superiores, da gestão, ou como empregados da organização, então a sua
independência poderá ser prejudicada. Complementarmente, os auditores externos poderão
prestar outros serviços à organização tais como de fiscalidade ou consultoria. A
independência necessita de ser avaliada em relação ao âmbito conjunto dos serviços
fornecidos à organização.
9. Para verificar se o âmbito do trabalho é adequado para os objectivos da actividade de
auditoria interna, o CAE obtém uma informação adequada. Será prudente documentar estes
e outros assuntos numa carta de aceitação ou contrato. Para conseguir tal objectivo, o CAE
analisa o seguinte com o fornecedor de serviços externos:
Os objectivos e o âmbito do trabalho, incluindo os fornecimentos e prazos de entrega.
Questões específicas a serem cobertas no relatório a apresentar, quando aplicável.
Acesso aos registos importantes, pessoal e activos fixos.
Informação relativa a dados assumidos e procedimentos a respeitar.
Propriedade e custódia dos papéis de trabalho, quando aplicável.
Confidencialidade e restrições quanto à informação obtida durante o trabalho.
Quando aplicável, conformidade com as Normas e as regras da prática da actividade de
auditoria interna.
10. Ao analisar o trabalho de um fornecedor de serviços externos, o CAE avalia a adequação do
trabalho executado, o qual inclui a suficiência da informação obtida. A avaliação deve
conter informação suficiente ou proporcionar uma base razoável para garantir um
fundamento seguro das conclusões alcançadas e a resolução de excepções ou outras
questões invulgares.
11. Quando o CAE emitir um relatório, e tenham sido utilizados serviços de um fornecedor
externo, o CAE poderá, conforme apropriado, referir-se a tais serviços fornecidos. O
Práticas Recomendadas 26
fornecedor de serviços externos necessita de ser informado e, quando apropriado, obtida a
sua anuência, antes de feita tal referência no relatório.
***
Práticas Recomendadas 27
Prática Recomendada 1220.1:
Cuidado Profissional Adequado
Norma Primária Relacionada
1220 – Cuidado profissional adequado
Os auditores internos têm de utilizar o cuidado e a técnica que se espera de um auditor interno
razoavelmente prudente e competente. Um cuidado profissional adequado não implica
infalibilidade.
_____________________________________________________________________________
1. O cuidado profissional adequado apela para a aplicação do cuidado e capacidade esperadas
de um auditor interno competente, e razoavelmente prudente, na mesma ou em
circunstâncias similares. O cuidado profissional é, por conseguinte, adequado à
complexidade da auditoria a realizar. O exercício de cuidado profissional adequado envolve
os auditores internos estarem estar de alerta para a possibilidade de fraude, actuações
incorrectas intencionais, erros e omissões, ineficiência, desperdício, ineficácia e conflitos de
interesse, bem como estarem de alerta para as condições e actividades em que as
irregularidades possam ser mais prováveis de ocorrer. Isto envolve os auditores internos
poderem identificar os controlos inadequados e recomendar melhoramentos para promover
a conformidade com os procedimentos e práticas aceitáveis.
2. O cuidado profissional adequado implica responsabilidade e competência razoáveis, não
infalibilidade ou desempenho extraordinário. Como tal, o cuidado profissional adequado
requer que o auditor realize análises e verificações numa extensão razoável. Deste modo, os
auditores internos não podem fornecer uma garantia absoluta de que não existam
irregularidades ou incumprimentos. Todavia, a possibilidade de irregularidades materiais ou
de incumprimentos, necessita de ser considerada sempre que o auditor interno empreenda
um trabalho de auditoria interna.
***
Práticas Recomendadas 28
Práticas Recomendadas 29
Prática Recomendada 1230.1:
Formação Profissional Contínua
Norma Primária Relacionada
1230 – Formação Profissional Contínua
Os auditores internos têm de aperfeiçoar os seus conhecimentos, capacidades e outras
competências através de um desenvolvimento profissional contínuo.
1. Os auditores internos são responsáveis por dar continuidade à sua formação para melhorar e
manter a sua proficiência. Os auditores internos têm de manter-se informados sobre as
melhorias e desenvolvimentos correntes – incluindo a orientação contida no Enquadramento
Internacional de Práticas Profissionais de Auditoria Interna do IIA. A formação profissional
contínua (CPE) poderá ser obtida através da filiação, participação e voluntariado em
associações profissionais tais como o IIA; participação em conferências, seminários,
programas de formação interna, conclusão de cursos universitários e auto-estudo; e através
da participação em projectos de investigação.
2. Os auditores internos são encorajados a demonstrar a sua proficiência obtendo uma
certificação profissional apropriada, tal como a de Certified Internal Auditor, outras
designações oferecidas pelo IIA, e designações adicionais relacionadas com a auditoria
interna.
3. Os auditores internos são encorajados a continuar com o CPE (relacionado com as
actividades da organização e com industria) para manterem a sua proficiência em relação
aos processos de governação, risco e controlo da sua particular organização.
4. Os auditores internos que desempenhem trabalhos especializados de auditoria e de
consultoria – tais como a tecnologia da informação, impostos, actuário, ou desenho de
sistemas – poderão empreender um CPE especializado de forma a se capacitarem para o
desempenho do seu trabalho de auditoria interna com proficiência.
5. Os auditores internos que detenham certificações profissionais são responsáveis por obter
um CPE adequado, para satisfazer os requisitos relacionados com a certificação profissional
que detêm.
6. Os auditores internos que não possuam certificações profissionais adequadas, são
encorajados a prosseguir com um programa e/ou auto-estudo para obterem a certificação
profissional.
***
Práticas Recomendadas 30
Práticas Recomendadas 31
Prática Recomendada 1300-1:
Programa de Avaliação e Melhoria
de Qualidade
Norma Primária Relacionada
1300 - Programa de Avaliação e Melhoria da Qualidade
O responsável pela auditoria tem de desenvolver e manter um programa de avaliação e melhoria
da qualidade o qual cubra todos os aspectos da actividade de auditoria interna.
Interpretação:
Um programa de avaliação de garantia e melhoramento de qualidade é concebido para
proporcionar uma avaliação da conformidade da actividade de auditoria interna com a
Definição de Auditoria Interna e as Normas e uma avaliação do cumprimento pelos
auditores internos do Código de Ética. O programa avalia igualmente a eficiência e a
eficácia da actividade de auditoria interna e identifica oportunidades para o seu
melhoramento.
_____________________________________________________________________________
1. É da competência do responsável pela auditoria (CAE) o estabelecer uma actividade de
auditoria interna cujo âmbito do trabalho inclui todas as actividades abrangidas nas Normas
e na definição de auditoria interna. Para assegurar tal, a Norma 1300 exige que o CAE
desenvolva e mantenha um programa de garantia e melhoria da qualidade (QA&IP)
2. O CAE é responsável pela implementação dos processos destinados a proporcionar uma
garantia razoável aos vários “stakeholders” que a actividade de auditoria interna:
É desempenhada de acordo com o estatuto ,o qual deve ser consistente com Definição
de Auditoria Interna, Código de Ética e as Normas .
É exercida de modo eficaz e eficiente.
É entendida pelos referidos ‘stakeholders’ como valor acrescentado e melhoria das
operações da organização.
Estes processos incluem uma supervisão adequada, avaliações internas periódicas e uma
monitorização contínua de garantia de qualidade e de avaliações externas periódicas.
3. O QA&IP necessita de ser suficientemente abrangente para cobrir todos os aspectos
operacionais da gestão da actividade de auditoria interna, conforme referido na Definição de
Auditoria Interna, no Código de Ética, nas Normas e nas melhores práticas da profissão. O
processo do QA&IP é executado por, ou sujeito à supervisão directa do CAE. Exceptuando o
caso de actividades de auditoria interna de menor dimensão, o CAE teria de delegar a maior
Práticas Recomendadas 32
parte da responsabilidade do QA&IP a subordinados. Em ambientes complexos ou de grande
dimensão (caso, por exemplo, em que haja diversas unidade de negócio e/ou locais de
funcionamento) o CAE estabelece uma função de QA&IP formal – encabeçada por um
executivo da auditoria interna – independente do segmento de auditoria e de consultoria da
actividade de auditoria interna. Tal função independente deve ser dirigida por um executivo
da Auditoria Interna. Tal executivo (de staff reduzido) administra e monitoriza estas
actividades para um QA&IP de sucesso.
***
Práticas Recomendadas 33
Prática Recomendada 1310-1:
Avaliação dos Programas
de Qualidade
Norma Primária Relacionada
1310 – Requisitos do Programa de Avaliação de Qualidade e Melhoramento
O Programa de qualidade e melhoramento inclui quer as avaliações internas quer as externas.
____________________________________________________________________________
1 O programa de avaliação de garantia de qualidade e melhoramento (QAIP) é um processo de
efectuar avaliações contínuas e periódicas de todo um espectro de trabalho de auditoria e de
consultoria realizado pela actividade de auditoria interna Estas avaliações contínuas e
periódicas são compostas de processos rigorosos e abrangentes, supervisões contínuas e
testam o trabalho de auditoria interna e de consultoria; e validações periódicas da
conformidade com a Definição de Auditoria Interna, do Código de Ética e das Normas. Tal
inclui igualmente as medições contínuas e análises métricas do desempenho (ex. realização
do plano de auditoria interna, ciclo de tempo, recomendações aceites e a satisfação do
cliente). Quando os resultados destas avaliações demonstrarem espaço para melhoria pela
actividade de auditoria interna, o responsável pela auditoria interna (CAE) implementará tais
melhorias através do QA&IP.
2. As avaliações são feitas com o objectivo de avaliar e concluir sobre a qualidade da
actividade de auditoria interna e conduzem a recomendações para a sua melhoria. Os QAIPS
incluem uma avaliação do seguinte:
Conformidade com a Definição, Código de Éticas e as Normas, incluindo acções
correctivas oportunas para remediar quaisquer situações de não conformidade.
Adequação do estatuto da actividade de auditoria interna, metas, objectivos, políticas e
procedimentos,
Contributo prestado à governação, gestão de risco e processos de controlo.
Conformidade com as leis aplicáveis, regulamentos e normas governamentais e da
actividade,
Eficácia das actividades de melhoria contínua e adopção das melhores práticas.
Medida em que a actividade de auditoria interna acrescenta valor e contribui para a
melhoria da organização
3. Todos os esforços do QA&IP incluem igualmente uma monitorização envolvendo
recomendações sobre uma apropriada e oportuna modificação dos recursos, tecnologias,
processos e procedimentos.
Práticas Recomendadas 34
4. Para assegurar uma responsabilidade e transparência, o CAE comunicará os resultados do
programa de avaliações de qualidade externas, e quando apropriado, das internas, aos
diversos ‘stakeholders’ da actividade, (tais como os gestores superiores, o Conselho e os
auditores externos) O CAE deverá relatar aos gestores superiores e ao Conselho, pelo menos
uma vez por ano, sobre os esforços do programa de qualidade e os resultados.
***
Práticas Recomendadas 35
Prática Recomendada 1311-1:
Avaliações Internas
Norma Primária Relacionada
311 Avaliações Internas
As avaliações internas têm de incluir:
A monitorização contínua do desempenho da actividade de auditoria interna; e
Revisões periódicas realizadas através da auto-avaliação ou por outras pessoas da
organização, com conhecimento adequado das práticas de auditoria interna.
Interpretação:
A monitorização contínua faz parte integrante da supervisão do dia-a-dia, revisão, e
medição da actividade de auditoria interna. A monitorização contínua é incorporada nas
políticas e práticas de rotina utilizadas pela gestão para avaliar a conformidade com a
Definição de Auditoria Interna, do Código de Ética e das Normas.
As revisões periódicas são avaliações feitas para verificar a conformidade com a Definição
de auditoria Interna, do Código de Ética e das Normas.
Um conhecimento adequado de práticas de auditoria interna requer pelo menos um
entendimento de todos os elementos do Enquadramento Internacional de Práticas
Profissionais.
1. Os processos e os instrumentos utilizados numa avaliação interna contínua incluem:
Supervisão do trabalho
Se os “checklists” e procedimentos (por exemplo: num manual de auditoria e de
procedimentos, estão a ser seguidos.
Feedback dos clientes de auditoria e de outros “stakeholders”,
Análises feitas por colegas, dos papéis de trabalho, com staff não envolvido nas
respectivas auditorias.
Orçamentos de projectos, sistemas de verificação dos tempos gastos, conclusão do plano
de auditoria, e recuperação de custos. e/ou
Análise de outros desempenhos métricos (tais como ciclos de tempo e recomendações
aceites)
2. As conclusões são obtidas quanto à qualidade do desempenho contínuo e é feito um “followup”, para assegurar que foram implementados os procedimentos adequados.
Práticas Recomendadas 36
3. O Quality Assessment Manual do IIA ou outro conjunto de orientações similares deve ser
utilizado como base para avaliações internas periódicas.
4. As avaliações periódicas internas poderão:
Incluir entrevistas mais aprofundadas e sondagens feitas aos stakeholders,
Serem realizadas pelos membros da actividade de auditoria interna (auto-avaliação)
Serem realizadas por Auditores Internos Certificados (CIAs), ou por outros profissionais
competentes de auditoria, destacados algures da organização.
Abranger uma combinação de auto-avaliação e preparação de materiais subsequentemente
revistos por CIAs, ou por outros profissionais competentes de auditoria,
Incluir um benchmarking das práticas da actividade de auditoria interna e métricas de
desempenho em comparação com as melhores práticas da profissão de auditoria interna.
1 Uma avaliação interna periódica, realizada num curto espaço de tempo antecedendo uma
avaliação externa, poderá facilitar e reduzir o custo de uma avaliação externa. Caso a
avaliação seja desempenhada por um revisor externo qualificado e independente ou por uma
equipa de revisores, os resultados da avaliação não deverão relatar quaisquer garantias sobre
os resultados da avaliação externa subsequente. O relatório poderá oferecer sugestões e
recomendações para melhorar as práticas da actividade de auditoria interna. Caso a avaliação
externa tome a forma de ‘auto avaliação com validação independente’ as avaliações internas
periódicas poderão servir como parte deste processo de auto avaliação.
2 São obtidas conclusões quanto à qualidade do desempenho e iniciada uma acção adequada
para alcançar melhorias e conformidade com as Normas, conforme necessário.
7 O CAE estabelece uma estrutura de reporte dos resultados das avaliações internas periódicas,
que mantenha uma credibilidade adequada e objectividade. Normalmente, aqueles a quem
foi confiada a responsabilidade de efectuar revisões contínuas e periódicas reportam ao CAE
na fase da execução das revisões e comunicam os resultados directamente ao CAE.
8 O CAE reporta, pelo menos uma vez em cada, os resultados das avaliações internas, os
planos de acção necessários e o sucesso da sua implementação aos gestores superiores e ao
Conselho.
***
Práticas Recomendadas 37
Prática Recomendada 1312-1:
Avaliações Externas
Norma Primária Relacionada
1312 Avaliações Externas
As avaliações externas têm de ser feitas pelo menos uma vez em cada cinco anos por um
revisor qualificado e independente, ou equipa de revisores do exterior da organização. O
responsável pela auditoria interna tem de discutir com o Conselho:
A necessidade de avaliações externas frequentes, e
As qualificações e independência do revisor externo ou da equipa de revisores, incluindo
quaisquer conflitos de interesse.
Interpretação:
Um revisor qualificado ou equipa de revisores consiste de indivíduos que são competentes
na prática da profissão de auditoria interna e no processo de avaliação externa. A
avaliação da competência do revisor e da equipa de revisores é um juízo que considera a
experiência profissional de auditoria interna e as credenciais profissionais dos indivíduos
seleccionados para realizar a avaliação. A avaliação das qualificações considera
igualmente a dimensão e complexidade das organizações às quais os revisores estiveram
associados em relação à organização para a qual a actividade de auditoria interna é
solicitada a ser avaliada, bem como a necessidade de conhecimentos do sector, industria ou
técnica específicos.
Um revisor independente ou equipa de revisores significa que não tenha um conflito de
interesses real ou aparente e não faça parte de, ou esteja sob controlo da organização à
qual a actividade de auditoria interna pertence.
_____________________________________________________________________________
1 As avaliações externas cobrem um espectro inteiro de trabalho de auditoria e de consultoria
realizado pela actividade de auditoria interna e não deverá ser limitado a avaliar o QAIP.
Para alcançar o máximo benefício de uma avaliação externa, o âmbito do trabalho deverá
incluir o ‘benchmarking’, a identificação, e o reporte das práticas essenciais que poderiam
assistir a actividade de auditoria interna em se tornar mais eficaz e/ou mais efectiva. Tal
poderá ser conseguido através de uma revisão externa completa, feita por um revisor externo
qualificado ou por uma equipa de revisores ou por uma auto avaliação interna abrangente
com validação independente feita por um revisor externo independente ou equipa de
revisores. Contudo, deverá o CAE assegurar que o âmbito especifique claramente quais os
objectivos esperados que uma avaliação externa deverá fornecer em cada caso.
2 As avaliações externas de uma actividade de auditoria interna contêm uma opinião expressa
quanto ao espectro integral do trabalho de garantia e de consultoria realizado (ou que deveria
Práticas Recomendadas 38
ser realizado com base no estatuto de auditoria interna) pela actividade de auditoria interna,
incluindo a sua conformidade com a Definição de Auditoria Interna, Código de Ética e as
Normas, e, conforme apropriado, incluir recomendações para o seu melhoramento. Aparte a
conformidade com a Definição de Auditoria Interna, com o Código de Ética e com as
Normas, o âmbito do trabalho é ajustado consoante o arbítrio do CAE, dos gestores
superiores ou do Conselho. Tais avaliações poderão ter um valor considerável para o CAE e
para os outros membros da actividade de auditoria interna, especialmente quando o
benchmarking e as melhores práticas são compartilhados.
3 Ao concluir a revisão deverá ser apresentada aos gestores superiores e ao Conselho uma
comunicação formal.
4 Existem duas abordagens às avaliações externas. A primeira abordagem é uma extensa
avaliação externa conduzida por ou revisor externo qualificado e independente ou equipa de
revisores. Esta abordagem envolve uma equipa externa de profissionais competentes sob a
liderança de um gestor de projectos experiente e profissional. A segunda abordagem envolve
a utilização de um revisor externo qualificado e independente ou equipa de revisão para
conduzir uma validação independente da auto-avaliação interna e um relatório completado
pela actividade de auditoria interna. Os revisores externos independentes deverão ser bem
versados na condução das práticas fundamentais de auditoria interna.
5 Os indivíduos que efectuam avaliações externas são livres de qualquer obrigação ou
interesse para com a organização cuja actividade de auditoria interna está a ser submetida à
avaliação externa ou para com o pessoal de tal organização. Questões particulares relativas à
independência, são objecto de consideração do CAE em consulta com o Conselho, na
selecção de um revisor externo qualificado e independente ou equipa de revisores, as quais
incluem:
Quaisquer conflitos de interesse aparentes ou reais de empresas que fornecem:
– A auditoria externa de demonstrações financeiras.
– Serviços de consultoria relevantes nas áreas de governação, gestão de risco, relatórios
financeiros, controlo interno e outras áreas relacionadas.
– Assistência à actividade de auditoria interna. A relevância e a dimensão do trabalho
desenvolvido pelo fornecedor dos serviços especializados é para ser considerada na
deliberação.
Quaisquer conflitos de interesse reais ou aparentes relacionados com anteriores
empregados da organização que se disponibilizariam para efectuar o trabalho. Deverá ser
dada consideração ao período de tempo em que o indivíduo esteve independente da
organização.
Os indivíduos que efectuarem a avaliação são independentes da organização cuja
actividade de auditoria interna é sujeita à avaliação não têem ter quaisquer conflitos reais
ou aparentes. Por ‘independente da organização’ significa que não faz parte de ou que não
está sob controlo da organização à qual a actividade de auditoria interna pertence. Na
selecção de um revisor qualificado e independente ou de uma equipa de revisão, é para
Práticas Recomendadas 39
ser dada consideração a qualquer conflito de interesse real ou aparente que o revisor possa
ter devido ao relacionamento passado ou presente com a organização ou com a actividade
de auditoria interna, incluindo a participação do revisor nas avaliações de qualidade
interna.
Os indivíduos de outros departamentos da organização em questão ou noutra organização
relacionada, não obstante estarem separados da actividade de auditoria interna, não são
considerados como independentes para efeito de conduzirem uma avaliação externa. Uma
‘organização relacionada’ poderá ser uma organização mãe; uma afiliada no mesmo
grupo de entidades; ou uma entidade com fins de orientação regular, supervisão, ou
responsabilidade de garantia de qualidade em relação à entidade em questão.
Conflitos reais ou aparentes envolvendo acordos paritários. Os acordos paritários
envolvendo três ou mais organizações (por exemplo dentro da mesma indústria ou de
outro grupo com afinidades, associações regionais ou outro grupo de organizações –
excepto as que foram excluídas no ponto anterior) poderão ser estruturadas de forma a
aliviarem as preocupações de independência, mas haverá cuidado de forma a assegurar
que não se ponha em causa a questão da independência. As revisões paritárias entre duas
organizações não passariam o teste de independência.
Para ultrapassar as preocupações quanto à aparência da realidade de impedimento à
independência em casos tais como os que foram abordados nesta secção, um ou mais
indivíduos poderiam fazer parte da equipa de avaliação externa para validarem de forma
independente o trabalho realizado por essa equipa de avaliação externa.
6.
A integridade exige que o(s) revisor(es) sejam honestos e sinceros dentro dos
constrangimentos da confidencialidade. O sentido de serviço e da confiança depositada não
deverão subordinar-se a ganhos e vantagens pessoais. A objectividade é uma atitude mental e
uma qualidade que imprime valor aos serviços do(s) revisor(es). O princípio da
objectividade impõe a obrigação de ser imparcial, mentalmente honesto, e livre de conflitos
de interesse.
7.
O desempenho e a comunicação dos resultados de uma avaliação externa requer o exercício
de um juízo profissional. Por conseguinte, um indivíduo actuando como um revisor deve:
Ser um auditor interno profissional competente e certificado, que possua um
conhecimento aprofundado das Normas.
Ser muito versado nas melhores práticas da profissão.
Ter, pelo menos, três anos de experiência recente na prática de auditoria interna ou de
consultoria relacionada a nível da gestão.
Os dirigentes de equipas de revisão independente e os revisores externos que efectuem uma
validação dos resultados da auto avaliação deverão possuir um nível adicional de
competência e experiência adquirida em anteriores equipas de avaliações externas de
qualidade, de terem completado um curso de avaliação de qualidade do The IIA ou
equivalente, ou de experiência como CAE ou de gestão superior de auditoria interna
comparável.
Práticas Recomendadas 40
8.
O (s) revisor (es) deverão possuir uma competência técnica relevante e experiência do sector.
Os indivíduos competentes em outras áreas especializadas poderão apoiar a equipa. Por
exemplo, os especialistas em gestão de risco, auditoria informática, amostragem estatística,
operações relacionadas com sistemas de monitorização ou auto avaliação de controlo
poderão participar em alguns segmentos da avaliação.
9.
O CAE envolve os gestores superiores e o Conselho no processo de selecção de um revisor
externo de avaliação da qualidade.
10.
A avaliação externa consiste de uma ampla cobertura a qual inclui os seguintes elementos da
actividade de auditoria interna:
Conformidade com a Definição de Auditoria Interna; Código de Ética; e as Normas;, e o
estatuto da actividade de auditoria interna, planos, políticas, procedimentos, práticas,
legislação aplicável e requisitos regulamentares.
As expectativas da actividade de auditoria interna expressas pelo Conselho, gestores
superiores, e gestores operacionais,
A integração da actividade de auditoria interna no processo de governação da sociedade,
incluindo as relações que decorrem entre os grupos chave envolvidos nesse processo,
Os instrumentos e as técnicas utilizadas pela actividade de auditoria interna,
O conjunto de conhecimentos, experiência e as disciplinas inerentes ao staff, incluindo o
enfoque do staff no melhoramento do processo, e,
Se a actividade de auditoria interna contribui ou não para o valor acrescentado da
organização e para a melhoria das suas operações.
11. Os resultados preliminares da revisão são discutidos com o CAE durante e após a conclusão
do processo de avaliação. Os resultados finais são comunicados ao CAE ou a outro
responsável que autorizou revisão para a organização, e de preferência com cópias
directamente aos gestores superiores apropriados e ao Conselho.
12. A comunicação inclui:
Uma opinião sobre a conformidade da actividade de auditoria interna com a Definição de
Auditoria Interna, Código de Ética e as Normas, fundamentada num processo estruturado
de classificação. O termo ‘conformidade’ significa que as práticas da actividade de
auditoria interna, em geral, satisfazem os requisitos da Definição de Auditoria Interna,
Código de Ética e Normas. Do mesmo modo, a ‘ não conformidade ‘ significa que o
impacte e a gravidade da deficiência nas práticas da actividade de auditoria interna são
tão acentuados, que as mesmas impedem que a actividade de auditoria interna cumpra
com as suas responsabilidades. O grau ‘conformidade parcial’ com a Definição de
Auditoria Interna, o Código de Ética e/ou a Normas individuais, quando relevantes para
uma opinião geral, deverão igualmente ser expostas no relatório da avaliação
independente. A expressão de uma opinião sobre os resultados da avaliação externa
Práticas Recomendadas 41
requer a utilização de um cuidadoso juízo comercial, integridade e cuidado profissional
adequado.
Uma avaliação da utilização das melhores práticas, quer as verificadas durante o processo
de avaliação quer outras potencialmente aplicáveis à actividade.
Recomendações para melhorias, conforme apropriado.
Comentários do CAE, as quais deverão incluir um plano de acção e datas de
implementação.
13. De forma a proporcionar responsabilidade e transparência, o CAE comunica os resultados
das avaliações externas, incluindo de forma específica quais as soluções para as questões
mais importantes e informação subsequente quanto à consecução de tais acções planeadas,
com os diversos stakeholders da actividade, tais como a gestão superior, o conselho e os
auditores externos.
***
Práticas Recomendadas 42
Práticas Recomendadas 43
Prática Recomendada 1312-2:
Avaliações Externas: Auto Avaliação com Validação
Independente
Norma Primária Relacionada
1312 Avaliações Externas
As avaliações externas têm de ser feitas pelo menos uma vez em cada cinco anos por um
revisor qualificado e independente, ou equipa de revisores do exterior da organização. O
responsável pela auditoria interna tem de discutir com o conselho:
A necessidade de avaliações externas frequentes; e
As qualificações e independência do revisor externo ou da equipa de revisão, incluindo
quaisquer conflitos de interesse.
Interpretação:
Um revisor qualificado ou equipa de revisores consiste de indivíduos que são competentes
na prática da profissão de auditoria interna e no processo de avaliação externa. A
avaliação da competência do revisor e da equipa de revisores é um juízo que considera a
experiência profissional de auditoria interna e as credenciais profissionais dos indivíduos
seleccionados para realizar a avaliação. A avaliação das qualificações considera
igualmente a dimensão e complexidade das organizações às quais os revisores estiveram
associados em relação à organização para a qual a actividade de auditoria interna é
solicitada a ser avaliada, bem como a necessidade de conhecimentos do sector, industria ou
técnica específicos.
Um revisor independente ou equipa de revisores significa que não tenha um conflito de
interesses real ou aparente e não faça parte de, ou esteja sob controlo da organização à
qual a actividade de auditoria interna pertence.
1 Uma avaliação externa por um revisor qualificado independente ou por uma equipa de
revisores poderá ser preocupante para actividades de auditoria interna de menor dimensão ou
poderão verificar-se noutras organizações situações em que uma avaliação externa completa
por uma equipa de revisores não seja considerada adequada ou necessária. Por exemplo, a
actividade de auditoria interna pode (a) ser um sector com vasta regulamentação e/ou
supervisão, (b) ou ser de outro modo sujeita a uma vasta supervisão e direcção relativa à
governação e controlos internos, (c) ter sido recentemente submetida a uma ou mais revisões
externas e /ou consultorias na qual se verificou um extenso ‘benchmarking’ com boas
práticas, ou (d) na opinião do CAE, os benefícios de uma auto avaliação para o
desenvolvimento do staff e o peso do QAIP é de momento superior aos benefícios de uma
avaliação de qualidade por uma equipa externa.
Práticas Recomendadas 44
2 Uma auto-avaliação com validação independente (externa) inclui:
Um processo de auto avaliação abrangente e devidamente documentado semelhante ao
processo de avaliação externa, pelo menos em relação à avaliação da conformidade com a
Definição de Auditoria Interna, o Código de Ética e as Normas.
Uma validação independente no local por um revisor independente qualificado.
Requisitos económicos de tempo e de recursos – por exemplo a ênfase principal seria a
conformidade com as Normas.
Uma atenção reduzida a dar a outras áreas - tais como o ‘benchmarking’, revisão e
consultoria quanto à utilização das melhores práticas, - as entrevistas com os gestores
superiores e operacionais poderiam ser reduzidas. Contudo, a informação produzida por
estas partes da avaliação constitui um dos benefícios de uma avaliação externa.
3 A mesma orientação e critérios conforme referidos na Prática Recomendada 1312-1 seriam
aplicados a:
Considerações Gerais
Qualificações do revisor externo ou equipa de revisores.
Independência, integridade e objectividade, competência, aprovação pela gestão e pelo
Conselho, âmbito (excepto para áreas tais como a utilização de instrumentos, técnicas,
outras boas práticas, desenvolvimento de carreiras e actividades de valor acrescentado)
Comunicação de resultados (incluindo acções de remedeio e a suas consecuções).
4. Uma equipa sob a orientação do CAE realiza e documenta o processo de autoavaliação. Um
relatório preliminar, idêntico ao referido para a avaliação externa, é preparado, incluindo a
opinião do CAE quanto à conformidade com as Normas.
5. Um revisor qualificado e independente ou equipa de revisores efectua testes suficientes de
auto avaliação de forma a validar e expressar o nível adequado da conformidade com a
Definição de Auditoria Interna, do Código de Ética e das Normas. Esta validação
independente segue o processo referido no Quality Assessmente Manual do IIA ou um
processo similar abrangente.
6. Como parte da validação independente, o revisor externo independente, uma vez concluída a
validação independente, incluindo uma revisão extensa da avaliação feita pela equipa de
revisores em conformidade com a Definição de Auditoria Interna, do Código de Ética e das
Normas:
Verifica a minuta do relatório e procura reconciliar as questões não resolvidas (caso
existentes).
Se estiver em concordância com a opinião de conformidade com a Definição de
auditoria Interna, Código de Ética e com as Normas, acrescenta palavras ao relatório
(conforme necessário) exprimindo uma concordância quanto à avaliação feita, e
conforme apropriado, quanto às questões levantadas, conclusões e recomendações.
Práticas Recomendadas 45
Em caso de não estar de acordo com a avaliação, acrescenta palavras de discordância ao
relatório, especificando quais os pontos de desacordo, conforme apropriado, incluindo
questões levantadas, conclusões, recomendações e opiniões contidas no relatório.
Em alternativa, preparar um relatório de validação independente em separado concordando ou manifestando discordância conforme acima referido - para acompanhar
o relatório de auto avaliação.
7 O relatório (ou relatórios) final da auto-avaliação com validação independente é então
assinado pela equipa de auto-avaliação e pelo (s) revisor (es) externo (s) independente (s) e
emitido pelo CAE aos gestores superiores e ao Conselho.
8. De forma a promover responsabilidade e transparência, o CAE comunica os resultados das
avaliações externas – incluindo as soluções específicas para as questões mais relevantes e
informação subsequente quanto à consecução de tais acções planeadas – com os diversos
“stakeholders” da actividade, tais como os gestores superiores, o conselho e os auditores
externos.
***
Práticas Recomendadas 46
Práticas Recomendadas 47
Prática Recomendada 1321-1:
Utilização da Expressão
“Em Conformidade com as Normas Internacionais para a
Prática Profissional de Auditoria Interna”
Norma Primária Relacionada
1321 – Utilização da Expressão “conformidade com as Normas Internacionais para a
Prática Profissional de Auditoria Interna”
O responsável pela auditoria interna poderá declarar que a actividade de auditoria interna está
em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria
Interna apenas quando os resultados do programa de avaliação de garantia de qualidade e
melhoramento confirmarem tal declaração.
_____________________________________________________________________________
1. A monitorização contínua e as avaliações externas da actividade de auditoria interna
deverão são efectuadas com a finalidade de avaliar e expressar uma opinião sobre a
conformidade da actividade de auditoria interna com a Definição de Auditoria Interna, com
o Código de Ética e com as Normas e, conforme apropriado, deverão incluir recomendações
para melhoramentos.
2. São necessárias efectuarem-se avaliações externas em cada cinco anos.
3. A expressão utilizada poderá ser “conformidade com as Normas” ou “em conformidade
com as Normas”. Para a utilização destas frases é necessário uma avaliação externa pelo
menos uma vez em cada cinco anos, bem como, em conjunto com avaliações internas
contínuas e periódicas, estas actividades concluíram que a actividade de auditoria interna
está em conformidade com a Definição, com o Código de Ética e com as Normas.
4. O responsável pela auditoria interna (CAE) reporta aos gestores superiores e ao Conselho
questões de não conformidade que têm impacto no âmbito geral ou operações da actividade
de auditoria interna, incluindo falhas na obtenção de uma avaliação externa, num período de
cinco anos.
5. Antes da utilização por parte da actividade de auditoria interna da frase de conformidade,
quaisquer situações de não conformidade que tenham sido reportadas pela equipa de
avaliação de qualidade (interna ou externa), que impeçam a actividade de auditoria interna
de cumprir com as suas responsabilidades:
Têm de ser corrigidas adequadamente,
Práticas Recomendadas 48
As acções de correcção deverão ser documentadas e relatadas ao principal assessor ou
assessores, para obter a sua aprovação de que a não conformidade foi devidamente
corrigida, e
As acções de correcção são documentadas e reportadas ao assessor (es) relevante (s)
para obter seu acordo de que a não conformidade foi adequadamente solucionada, e
As acções de correcção e o acordo do assessor (s) relevante (es) foram neste contexto
reportadas aos gestores superiores e ao Conselho.
***
Práticas Recomendadas 49
Prática Recomendada 2010-1:
Estabelecimento do elo entre o Plano de Auditoria e o
Risco e Exposições
Norma Primária Relacionada
2010 - Planeamento
O responsável pela auditoria tem de estabelecer planos fundamentados no risco, para
determinar prioridades da actividade de auditoria interna, consistentes com os objectivos da
organização.
Interpretação:
Compete ao responsável pela auditoria interna desenvolver um plano baseado no risco. O
responsável pela auditoria interna toma em consideração o enquadramento da gestão de
risco da organização, incluindo os níveis de apetite do risco definidos pela gestão para as
diversas actividades ou partes da organização. Caso não exista um enquadramento, o
responsável pela auditoria interna utiliza o seu juízo sobre os riscos após consulta com os
gestores superiores e o Conselho.
_____________________________________________________________________________
1. Ao desenvolverem o plano da actividade de auditoria interna, muitos responsáveis pela
auditoria interna (CAEs) pensam ser útil desenvolver em primeira mão ou actualizar o
universo de auditoria. O universo de auditoria é uma lista de todas as possíveis auditorias
que possam ser realizadas. O CAE pode obter dos gestores superiores e do Conselho um
input do universo de auditoria.
2. O universo da auditoria pode incluir componentes do plano estratégico da organização. Ao
incorporar os componentes do plano estratégico da organização, o universo da auditoria
tomará em consideração e reflectirá sobre os objectivos genéricos da organização. Os
planos estratégicos deverão provavelmente reflectir a atitude da organização perante o risco
e o grau de dificuldade em alcançar os objectivos planeados. Estes mesmos factores
ambientais terão provavelmente um impacte sobre o universo de auditoria e a avaliação do
risco relativo.
3. O CAE prepara o plano de auditoria da actividade de auditoria interna baseado no universo
de auditoria, no input obtido dos gestores superiores e do Conselho, e na avaliação do risco
e exposições que afectam a organização. Os objectivos chave de auditoria servem para
proporcionar aos gestores superiores e ao Conselho uma garantia e informação que os ajude
a realizar os objectivos da organização, incluindo uma avaliação da eficácia das actividades
da gestão do risco da gestão.
Práticas Recomendadas 50
4. O universo da auditoria e plano de auditoria relacionado são actualizados para reflecti as
modificações na orientação da gestão, objectivos, ênfase e centro de interesse. É
aconselhável avaliar o universo da auditoria pela menos numa base anual para fazer reflectir
as estratégias mais correntes e orientação da gestão. Em algumas situações os planos de
auditoria terão de ser actualizados com maior frequência (por exemplo trimestralmente) em
resposta a modificações dos negócios da organização, operações, programas, sistemas e
controlos.
5. Os programas de auditoria deverão ser fundamentados, entre outros factores, numa
avaliação do risco e exposições. É necessário definir prioridades para que possam ser
tomadas decisões quanto à utilização dos respectivos recursos. Existe uma variedade de
modelos de risco para auxiliar o CAE. A maioria dos modelos de risco utiliza factores tais
como o impacte, liquidez dos activos, competência da gestão; qualidade e aderência aos
controlos internos, grau de modificação ou de estabilidade, oportunidade e resultados do
último trabalho de auditoria, complexidade, e relações laborais e governamentais.
***
Práticas Recomendadas 51
Prática Recomendada 2020-1:
Comunicação e Aprovação
Norma Primária Relacionada
2020 Comunicação e Aprovação
O responsável pela auditoria tem de comunicar aos gestores superiores e ao Conselho, para
análise e aprovação, quais os planos de actividades da auditoria interna e a necessidade de
recursos, incluindo quaisquer modificações intermédias significativas. O Responsável pela
auditoria tem de igualmente comunicar qual o impacto de uma limitação de recursos.
_____________________________________________________________________________
1. O responsável pela auditoria (CAE) submeterá anualmente aos gestores superiores, para
análise e aprovação, um resumo do plano anual de auditoria, programação do trabalho,
plano de pessoal e orçamento financeiro da actividade de auditoria interna. Este resumo
informará os gestores superiores e o Conselho o âmbito do trabalho da auditoria interna e
quaisquer limitações que porventura haja a esse âmbito O CAE submeterá todas as
alterações intermédias relevantes para aprovação e informação.
2. O plano de actividades aprovado, o plano de pessoal e o orçamento financeiro, bem como
quaisquer alterações significativas, deverão conter informação suficiente para permitir aos
gestores superiores e ao Conselho avaliar se os objectivos e planos da actividade de
auditoria interna suportam os objectivos e os planos da organização e do Conselho e se são
consistentes com o estatuto de auditoria interna.
***.
Práticas Recomendadas 52
Práticas Recomendadas 53
Prática Recomendada 2030-1:
Gestão dos Recursos
Norma Primária Relacionada
Gestão de Recursos
O Responsável pela auditoria tem de assegurar que os recursos de auditoria interna são
apropriados, suficientes e ajustados eficazmente para que o plano aprovado seja exequível.
Interpretação:
Por apropriado refere-se a um misto de conhecimento, técnicas e outras competências
necessárias para a execução do plano. Por suficiente refere-se à quantidade de recursos
necessários para a consecução do plano. Os recursos são eficazmente desenvolvidos quando
utilizados de forma a optimizar a consecução do plano aprovado.
_____________________________________________________________________________
1. O responsável pela auditoria (CAE) é a entidade responsável pela adequação e gestão dos
recursos humanos da auditoria interna de modo a cumprir com as responsabilidades de
auditoria interna, conforme definidos no estatuto de auditoria interna. Tal inclui
comunicações eficazes sobre os recursos necessários e reporte das situações aos gestores
superiores e ao Conselho. Os recursos da auditoria interna poderão incluir os empregados,
fornecedores de serviços externos, suporte financeiro e técnicas de auditoria
tecnologicamente assistidas. A garantia da adequação dos recursos da auditoria interna é em
última análise uma responsabilidade dos gestores superiores e do Conselho da organização;
o CAE deverá apoia-los no cumprimento dessa tarefa.
2. As técnicas, capacidades e conhecimentos do staff da auditoria interna deverão ser
adequadas para as actividades planeadas. O CAE efectuará uma avaliação periódica ou
inventário das técnicas para determinar as técnicas específicas necessárias para o
desempenho das actividades de auditoria interna. A avaliação das técnicas é baseada na
consideração das diversas necessidades identificadas na avaliação do risco e no plano de
auditoria. Tal inclui avaliação do conhecimento técnico, aptidão para idiomas,
conhecimento do negócio, capacidade para o negócio, detecção e prevenção da fraude,
competência e experiência adquirida em contabilidade e auditoria.
3. Os recursos da auditoria interna, têm de ser suficientes para o desempenho das actividades
de auditoria interna em termos de amplitude, profundidade e oportunidade esperada pelos
gestores superiores e pelo Conselho conforme referido no estatuto de auditoria interna. As
considerações relativas ao planeamento de recursos incluem o universo de auditoria, níveis
relevantes do risco, o plano anual de auditoria, a cobertura esperada, e uma estimativa de
actividades não previstas.
Práticas Recomendadas 54
4. O CAE assegura igualmente que os recursos são eficazmente desenvolvidos. Tal inclui a
atribuição de trabalhos específicos a auditores competentes e qualificados para tarefas
específicas. Inclui igualmente o desenvolvimento de uma abordagem de recursos e estrutura
orgânica adequada à dimensão do negócio, perfil do risco, e dispersão geográfica da
organização.
5. Do ponto de vista da gestão de recursos, o CAE considera planos de sucessão, avaliação do
staff e programa de seu desenvolvimento e outras questões relacionadas com os recursos
humanos. O CAE ocupa-se igualmente das necessidades de recursos de auditoria interna
quer tais capacidades existam ou não na própria actividade de auditoria interna. Outras
abordagens para as necessidades de recursos, incluem a contratação de serviços externos,
empregados de outros departamentos da organização ou consultores especializados.
6. Devido à natureza crítica dos recursos, o CAE mantém uma comunicação e diálogo
permanente com os gestores superiores e o Conselho quanto à adequação dos recursos da
actividade de auditoria interna. O CAE apresenta periodicamente um resumo da situação e
adequação dos recursos aos gestores superiores e ao Conselho. Com esse objectivo, o CAE
desenvolve uma métrica apropriada, metas e objectivos, para monitorar a dotação geral dos
recursos. Tal poderá incluir uma comparação dos recursos com o plano anual de auditoria,
os impactes de carências temporárias ou quebras, actividades educacionais e de formação, e
modificações às necessidades técnicas específicas com base nas modificações dos negócios
da organização, operações, programas, sistemas e controlos.
***
Práticas Recomendadas 55
Prática Recomendada 2040-1:
Políticas e Procedimentos
Norma Primária Relacionada
2040 Políticas e Procedimentos
O responsável pela auditoria tem de estabelecer políticas e procedimentos para orientar a
actividade de auditoria interna.
Interpretação:
A forma e o conteúdo das políticas e procedimentos estão dependentes da dimensão e
estrutura da actividade de auditoria interna e da complexidade do seu trabalho.
____________________________________________________________________________________
1. O responsável pela auditoria interna desenvolve as políticas e os procedimentos. Podem não
ser necessários manuais administrativos e técnicos formais para toda a actividade de
auditoria interna. Uma actividade de auditoria interna de pequena dimensão poderá ser
gerida informalmente. O seu pessoal de auditoria poderá ser dirigido e controlado através de
uma supervisão diária e próxima, e comunicações que emitem políticas e prosseguimentos a
seguir. Numa actividade de auditoria interna de maior dimensão, é essencial haver políticas
e procedimentos mais formais e abrangentes, para orientar o staff de auditoria interna na
execução do plano anual de auditoria.
***
Práticas Recomendadas 56
Práticas Recomendadas 57
Prática Recomendada 2050-1:
Coordenação
Norma Primária Relacionada
2050 Coordenação
O responsável pela auditoria deverá partilhar a informação e coordenar as actividades com
outros fornecedores de serviços de garantia e de consultoria para assegurar uma cobertura
adequada e minimizar uma duplicação de esforços.
_____________________________________________________________________________
1. A supervisão do trabalho dos auditores externos, incluindo a coordenação com a actividade
de auditoria interna, é da responsabilidade do Conselho. A coordenação do trabalho de
auditoria interna e externa é da competência do responsável pela auditoria interna (CAE). O
CAE obtém o apoio do Conselho para coordenar o trabalho de auditoria de forma eficaz.
2. As organizações poderão fazer uso do trabalho dos auditores externos para garantir o
trabalho relacionado com as actividades que se situam na esfera da auditoria interna. Em
tais situações, o CAE toma as medidas necessárias para se inteirar do trabalho desenvolvido
pelos auditores externos, incluindo:
A avaliação feita pelos auditores externos do risco e materialidade.
As técnicas, métodos e terminologia utilizadas pelos auditores externos de modo a
permitir ao CAE:
Coordenar o trabalho de auditoria dos auditores externos e internos
Avaliar, para efeito de confiança, o trabalho dos auditores externos; e
Comunicar eficazmente com os auditores externos.
Ter acesso aos programas e papéis de trabalho dos auditores externos, para confiar no
seu trabalho, e para fins da auditoria interna. Os auditores internos são responsáveis por
respeitar a confidencialidade desses programas e papéis de trabalho.
3.
O auditor externo poderá confiar no trabalho da actividade de auditoria interna ao realizar o
seu trabalho. Em tal caso, o CAE terá de fornecer uma informação suficiente de forma a
facilitar que os auditores externos entendam as técnicas, métodos e terminologia dos
auditores internos, e confiem no seu trabalho. É permitido aos auditores externos o acesso
aos programas e papéis de trabalho dos auditores internos, para que os auditores externos
possam satisfazer-se e confiarem, quanto à aceitação, para efeito do trabalho de auditoria
externa, no trabalho realizado pela auditoria interna.
Práticas Recomendadas 58
4. Poderá ser útil aos auditores internos e externos utilizares das mesmas técnicas, métodos e
terminologia para coordenarem o seu trabalho de forma eficaz e confiarem mutuamente no
seu trabalho.
5. Os planos de actividade das auditorias interna e externa necessitam de ser discutidos para
garantir uma coordenação da cobertura de auditoria e minimizar uma duplicação de esforços
onde possível. Deverão ser programadas reuniões durante o processo de auditoria para
assegurar uma coordenação do trabalho e a conclusão dos trabalhos da actividade de
auditoria de modo eficiente e oportuno, e para verificar se as observações e recomendações
do trabalho realizado até à data carecem de um ajuste quanto ao âmbito do trabalho
planeado.
6. As comunicações finais da actividade de auditoria interna, as respostas da gestão a tais
comunicações e o subsequente “follow-up” feito são para serem disponibilizados aos
auditores externos. Tais comunicações assistem os auditores externos na determinação e
ajuste do âmbito e timing do seu trabalho. Adicionalmente os auditores internos necessitam
de ter acesso à apresentação e cartas de representação dos auditores externos É necessário
que o CAE entenda os assuntos discutidos no material de apresentação e incluídos nas
cartas de representação para serem utilizados como input pelos auditores internos no
planeamento das áreas, e para os fazer realçar nos futuros trabalhos de auditoria interna.
Após uma análise às cartas de representação e início de quaisquer acções correctivas
tomadas pelos gestores superiores visados e pelo Conselho, o CAE assegura um “follow.up”
adequado e que foram efectuadas as correcções
7. O CAE é responsável por efectuar avaliações regulares da coordenação entre os auditores
internos e externos. Tais avaliações poderão igualmente incluir avaliações da eficiência
geral e eficácia das actividades das auditorias interna e externa, incluindo o custo agregado
de auditoria. O CAE comunica os resultados destas avaliações aos gestores superiores e ao
Conselho, com comentários relevantes quanto ao desempenho dos auditores externos.
***
Práticas Recomendadas 59
Prática Recomendada 2060-1:
Reporte aos Gestores Superiores e ao
Conselho
Norma Primária Relacionada
2060 Reporte aos Gestores Superiores e ao Conselho
O responsável pela auditoria tem de relatar periodicamente aos gestores superiores e ao
Conselho sobre os objectivos, autoridade, responsabilidade e desempenho da actividade de
auditoria interna, relativamente ao seu plano. A comunicação tem igualmente de incluir
questões quanto às exposições ao risco e controlo, incluindo os riscos de fraude, matérias
relativas à governação e outras questões necessárias ou que tenham sido solicitadas pelos
gestores superiores e pelo Conselho.
Interpretação:
A frequência e conteúdo do reporte são determinados através de discussões com os gestores
superiores e o Conselho e dependem da importância da informação a ser transmitida e a
urgência das acções relacionadas a serem empreendidas pelos gestores superiores ou pelo
Conselho.
1. O responsável pela auditoria (CAE) necessita de submeter periodicamente aos gestores
superiores e ao Conselho relatórios da actividade. Os relatórios de actividade salientam as
observações e as recomendações mais significativas e informam os gestores superiores e o
Conselho dos desvios relevantes relativos aos programas de trabalho de auditoria
aprovados, planos de pessoal e orçamentos financeiros, as razões dos desvios e as acções
tomadas ou necessárias.
2. As observações mais significativas são aquelas condições que, na opinião do Responsável
pela Auditoria, poderiam afectar adversamente a organização. As observações significativas
podem incluir condições relacionadas com a fraude, irregularidades, actos ilegais, erros,
ineficiências, perdas, ineficácia, conflitos de interesse e fraquezas de controlo.
3. Os gestores superiores e o Conselho tomam decisões quanto à acção a empreender relativa
às observações e recomendações. Os gestores superiores e o Conselho poderão decidir
assumir o risco de não corrigir a condição reportada por razões de custo ou outras
considerações. O Conselho necessita de ser informado sobre as decisões dos gestores
superiores sobre todas as observações e recomendações significativas.
4. O CAE considera se é adequado informar o Conselho sobre as observações e
recomendações significativas anteriormente feitas, nos casos em que os gestores superiores
e o Conselho assumiram o risco de não corrigir a condição reportada. Tal poderá ser
Práticas Recomendadas 60
necessário quando se tenham verificado modificações relevantes que afectem o perfil do
risco.
***
Práticas Recomendadas 61
Prática Recomendada 2120-1:
Avaliação da Adequação do
Processo de Gestão do Risco
Norma Primária Relacionada
2120 - Gestão do Risco
A actividade de auditoria interna tem de avaliar a eficácia e contribuir para a melhoria da gestão
do risco.
Interpretação:
A determinação se os processos de gestão do risco são eficazes é um juízo que resulta da
avaliação feita pelo auditor interno de que:
Os objectivos da organização suportam e alinham com a missão da organização;
Os riscos relevantes são identificados e avaliados;
As respostas apropriadas ao risco são seleccionadas, que alinham com o apetite de
risco da organização; e
A informação relevante sobre o risco, permitindo que o staff, gestores e o Conselho
cumpram com as suas responsabilidades é captada e comunicada em tempo oportuno
transversalmente pela organização, permitindo que o staff, gestores e o Conselho
cumpram com as suas responsabilidades
Os processos de gestão do risco são monitorizados através de actividades contínuas da gestão,
avaliações separadas, ou ambas
_____________________________________________________________________________
1. A gestão de risco é uma responsabilidade chave dos gestores superiores e do Conselho. Para
alcançar os objectivos do negócio, a gestão assegura que estão definidos e em funcionamento
processos eficazes de gestão do risco. O Conselho tem um papel de supervisão para
determinar que estão estabelecidos processos adequados de gestão de risco e que os mesmos
processos são adequados e eficazes. Neste papel poderão solicitar à actividade de auditoria
interna que os auxilie, examinando, avaliando, relatando e/ou recomendando melhorias à
adequação e eficácia dos processos de gestão do risco
2. Os gestores e o Conselho são responsáveis pelos processos de gestão do risco e controlo da
organização. Contudo, os auditores internos agindo numa situação de consultores poderão
auxiliar a organização na identificação, avaliação e implementação de metodologias de
gestão do risco e controlos para enfrentar tais riscos.
3. Em situações onde a organização não tenha processos formais de gestão do risco, o
responsável pela auditoria (CAE) discute formalmente com a gestão e o comité de auditoria
as suas obrigações, para entenderem, gerirem e monitorizarem os riscos da organização e a
necessidade de se satisfazerem de que existem processos dentro do negócio, mesmo que
Práticas Recomendadas 62
informais, que proporcionam o nível adequado de visibilidade para os riscos chave e a forma
como são geridos e monitorizados.
4. O CAE deve procurar uma compreensão das expectativas dos gestores superiores e do
Conselho quanto à actividade de auditoria interna no processo de gestão do risco da
organização. Tal entendimento é então codificado nos estatutos da actividade de auditoria
interna com o Conselho. As responsabilidades são para serem coordenadas entre todos os
grupos e indivíduos no interior do processo de gestão de risco da organização. O papel da
actividade de auditoria interna no processo de gestão de risco da organização poderá alterarse com o decorrer do tempo, podendo representar:
Nenhuma intervenção.
Auditoria do processo de gestão do risco como parte do plano de auditoria interna.
Apoio activo e contínuo e envolvimento no processo de gestão do risco tal como a
participação nos comités de supervisão, actividades de monitorização e reporte da
situação.
Gestão e coordenação do processo de gestão do risco
5. Em última análise, são os gestores superiores e o Conselho que determinam o papel da
auditoria interna no processo de gestão do risco. O seu ponto de visto sobre a auditoria
interna será provavelmente determinado por factores tais como a cultura da organização,
capacidade do staff de auditoria interna, e condições locais e costumes do país. Contudo, a
assunção da responsabilidade de gestão relativamente ao processo de gestão do risco com a
consequente ameaça potencial à independência da actividade de auditoria interna, carece de
uma discussão clara e aprovação do Conselho.
6. As técnicas utilizadas por diversas organizações para as suas práticas de gestão do risco
poderão variar significativamente. Dependendo da dimensão e complexidade das actividades
da organização, os processos de gestão de risco poderão ser:
Formais ou informais
Quantitativas ou subjectivas
Integradas nas unidades do negócio ou centralizadas a nível da administração.
7. A organização concebe processos baseados na sua cultura, estilo de gestão e objectivos do
negócio. Por exemplo, a utilização de derivados ou outra forma sofisticada de produtos pela
organização poderia exigir a utilização de instrumentos quantitativos para a gestão do risco.
As organizações de menor dimensão poderiam utilizar um comité de risco informal, para
discutir o perfil de risco da organização e levarem a efeito acções periódicas. O auditor
interno verifica se a metodologia escolhida é suficientemente abrangente e adequada para a
natureza das actividades da organização.
8. Os auditores internos necessitam de obter uma evidência suficiente e apropriada para
determinarem que os cinco objectivos chave dos processos de gestão de risco foram
Práticas Recomendadas 63
alcançados para poderem opinar sobre a adequação dos processos de gestão de risco. Ao
coligirem tal evidência, o auditor interno poderia ter em consideração os seguintes
procedimentos de auditoria:
Investigar e analisar os desenvolvimentos correntes, tendências, informação relacionada
com os negócios da organização e outras fontes apropriadas de informação de forma a
poder identificar os riscos e exposições que possam afectar a organização, bem como os
procedimentos de controlo utilizados para identificar, monitorizar e reavaliar tais riscos.
Analisar as políticas da organização, e as minutas das actas do Conselho e do comité de
auditoria de forma a identificar quais as estratégias comerciais da organização, filosofia
da gestão de risco e sua metodologia, apetite do risco e aceitação dos riscos.
Analisar os relatórios passados sobre a análise de risco emitidos pela gestão, auditores
internos, auditores externos e de quaisquer outras fontes.
Efectuar entrevistas com os gestores de linha e gestores executivos, de forma a identificar
os objectivos das unidades do negócio, os riscos relacionados, e as actividades de
minimização do risco e monitorização do controlo feita pela gestão.
Assimilar toda a informação de forma a poder avaliar com independência a eficácia da
mitigação do risco, a monitorização e o reporte dos riscos e actividades de controlo
relacionados.
Avaliar a adequação dos canais de reporte para as actividades de monitorização do risco.
Analisar a adequação e oportunidade dos relatórios sobre os resultados da gestão do risco.
Analisar toda a dimensão da análise de risco feita pela gestão, e as acções tomadas para
solucionar as questões levantadas pelos processos da gestão de risco, e recomendar
melhorias.
Verificar a eficácia dos processos de auto-avaliação feitas pela gestão, através de
observações, testes directos de procedimentos de controlo e monitorização, verificando a
exactidão da informação utilizada nas actividades de monitorização, e outras técnicas
adequadas.
Analisar as questões relacionadas com o risco de forma a identificar quaisquer fraquezas
nas práticas da gestão de risco e, conforme apropriado, discutir o assunto com os gestores
superiores e o Conselho. Se o auditor for da opinião de que a gestão aceitou um nível de
risco que é inconsistente com a estratégia e política da gestão de risco da organização, ou
que seja de todo inaceitável para a organização, ver a referência à Norma 2600 Aceitação do Risco pela Gestão, e a orientação relacionada, para reforço adicional.
***
Práticas Recomendadas 64
Práticas Recomendadas 65
Prática Recomendada 2130-1:
Avaliação da Adequação dos
Processos de Controlo
Norma Primária Relacionada
2130- Controlo
A actividade de auditoria interna tem de assistir a organização na manutenção dos controlos
efectivos através da avaliação da sua eficácia e eficiência e promovendo uma melhoria
contínua.
_____________________________________________________________________________
1. Uma organização estabelece e mantém processos eficazes de gestão do risco e controlo. O
objectivo do processo de controlo é o de apoiar a organização na gestão dos riscos e no
alcance dos objectivos estabelecidos e comunicados. Espera-se que os processos de controlo
assegurem, entre outros coisas que :,
A fiabilidade e integridade da informação financeira e operacional,
A eficiência das operações, de forma a alcançar os objectivos estabelecidos,
A salvaguarda dos activos, e
A conformidade dos actos e as decisões da organização com as leis, regulamentos e
contratos.
2. O papel dos gestores superiores é o de supervisionar o estabelecimento, administração e
avaliação do sistema de gestão de risco e dos processos de controlo. Entre as
responsabilidades dos gestores de linha da organização cabem a avaliação dos processos de
controlo das respectivas áreas. Os auditores internos fornecem graus variados de garantia
quanto à eficácia dos processos de gestão do risco e controlo das actividades e funções
seleccionadas da organização.
3. O responsável pela auditoria interna (CAE) forma uma opinião geral sobre a adequação e
eficácia dos processos de controlo. A expressão de tal opinião pelo CAE será baseada numa
adequada evidência de auditoria obtida através da conclusão de auditorias e, quando
apropriado, na fiabilidade do trabalho de outros fornecedores de garantia. O CAE transmite a
opinião aos gestores superiores e ao Conselho.
4. O CAE propõe um plano anual de auditoria de modo a obter uma evidência suficiente para
avaliar a eficácia dos processos de controlo. O plano inclui trabalhos de auditoria e/ou outros
processos com a finalidade de obter uma evidência de auditoria suficiente e adequada sobre
todas as unidades operacionais e funções do negócio a serem avaliados, bem como uma
revisão dos principais processos de controlo operantes através da organização. O plano
deverá ser flexível, para que possam ser feitos ajustamentos durante o ano como resultado
Práticas Recomendadas 66
das alterações introduzidas nas estratégias da gestão, condições externas, áreas de risco
principais, ou as expectativas esperadas quanto ao alcance dos objectivos da organização.
5. O plano de auditoria dá especial atenção a operações que estejam mais afectadas por
modificações recentes ou inesperadas As mudanças de situações poderão resultar, por
exemplo, de condições do mercado ou de investimento, aquisições ou alienações,
reestruturações organizacionais, novos sistemas e empreendimentos.
6. Ao decidir sobre a cobertura de auditoria esperada para o plano de auditoria proposto, o CAE
toma em consideração o trabalho relevante realizado por outros que fornecem garantias aos
gestores superiores (exemplo da confiança do CAE no trabalho no trabalho dos gestores de
conformidade da organização). O plano de auditoria do CAE toma igualmente em
consideração o trabalho de auditoria efectuado pelos auditores externos e as próprias
avaliações dos processos de gestão do risco e controlo feitos pela gestão.
7. O CAE deve avaliar a extensão da cobertura do plano de auditoria proposto para determinar
se o âmbito é suficiente para exprimir uma opinião sobre os processos de gestão de risco e
controlo da organização. O CAE deve informar os gestores superiores e o Conselho sobre
quaisquer lacunas na cobertura de auditoria, que possam impedir a expressão de uma opinião
sobre todos os aspectos destes processos.
8. Um desafio chave para a actividade de auditoria interna é o de avaliar a eficácia dos
processos de controlo da organização, com base no agregado de muitas das avaliações
individuais feitas. Tais avaliações são fruto de trabalhos de auditoria interna, análise das
auto-avaliações feitas pela gestão e por outros fornecedores de garantia. À medida que os
trabalhos progridem, os auditores internos comunicam, em tempo oportuno, as observações
aos diversos níveis de gestão, para que uma rápida acção possa ser tomada destinada a
corrigir ou mitigar as consequências de falhas ou fraquezas de controlo encontradas.
9. Ao avaliar a eficácia geral dos processos de controlo da gestão, o CAE verifica se:
Foram encontradas discrepâncias relevantes,
Foram efectuadas correcções ou melhoramentos após tais observações, e
As observações e as consequências potenciais levaram a uma conclusão de que existe
uma condição geral resultando num nível de risco inaceitável.
10. A existência temporária de uma discrepância ou fraqueza não deve necessariamente levar à
conclusão de que se trata de uma condição geral que coloca um grau de risco inaceitável. O
auditor interno considera a natureza e extensão da exposição ao risco, bem como o nível de
consequências potenciais, ao determinar se a eficácia dos processos de controlo são postos
em causa e de que existe uma condição de risco inaceitável.
11. O relatório do CAE sobre os processos de controlo da organização é normalmente
apresentado uma vez por ano aos gestores superiores e ao Conselho. O relatório declara o
papel crítico dos processos de controlo no alcance dos objectivos da organização. O relatório
Práticas Recomendadas 67
descreve igualmente a natureza e a extensão do trabalho realizado pela actividade de
auditoria interna e a natureza e extensão de confiança posta no trabalho de outros
fornecedores de garantia, ao formular uma opinião.
***
Práticas Recomendadas 68
Práticas Recomendadas 69
Prática Recomendada 2130-A1-1:
Fiabilidade e Integridade da Informação
Norma Primária Relacionada
2130.A1 - A actividade de auditoria interna tem de avaliar a adequação e eficácia dos controlos
em resposta aos riscos que envolvam o governo da organização, operações e sistemas de
informação, relativamente a:
Fiabilidade e integridade da informação financeira e operacional.
Eficiência e eficácia das operações.
Salvaguarda dos activos.
Conformidade com as leis, regulamentos e contratos.
___________________________________________________________________________
1. Os auditores internos verificam se os gestores superiores e o Conselho têm um claro
entendimento de que a fiabilidade e integridade da informação é uma responsabilidade da
gestão – Tal responsabilidade inclui toda a informação crítica da organização, não importa a
forma como a informação é armazenada. A fiabilidade e integridade da informação incluem
exactidão, integridade e segurança.
2. O responsável pela auditoria (CAE) determina se a actividade de auditoria interna possui,
ou tem acesso aos recursos adequados de auditoria para avaliar a fiabilidade e integridade e
exposição aos riscos associados. Tal inclui as exposições aos riscos internos e externos, e
exposições relacionadas com o relacionamento da organização com terceiros.
3. O CAE determina se a fiabilidade e falhas na integridade da informação bem como as
condições que possam representar uma ameaça à organização serão prontamente levadas ao
conhecimento dos gestores superiores e ao Conselho e à actividade de auditoria interna.
4. Os auditores internos avaliam a eficácia das medidas preventivas, detectoras e de
minimização face a ataques passados, conforme apropriado, e futuras tentativas ou
incidentes prováveis de ocorrer. Os auditores internos verificam se o Conselho foi
devidamente informado sobre ameaças, incidentes, vulnerabilidades exploradas, e medidas
correctivas.
5. Os auditores internos avaliam periodicamente as práticas relacionadas com a fiabilidade e
integridade da informação e recomendam, conforme apropriado, seus melhoramentos ou a
implementação de novos controlos e salvaguardas. Tais avaliações poderão ser feitas como
trabalho isolado ou integradas em outras auditorias, como parte do plano anual de auditoria.
A natureza do trabalho determinará qual o processo de reporte aos gestores superiores e ao
Conselho que seja mais apropriado.
***
Práticas Recomendadas 70
Práticas Recomendadas 71
Prática Recomendada 2130-A1-2:
Avaliação do Enquadramento de Privacidade
de uma Organização
Norma Primária Relacionada
2130.A1 – A actividade de auditoria interna tem de avaliar a adequação e eficácia dos controlos
em resposta aos riscos que envolvam o governo da organização, operações e sistemas de
informação relativamente a:
Fiabilidade e integridade da informação financeira e operacional.
Eficiência e eficácia das operações.
Salvaguarda dos activos.
Conformidade com as leis, regulamentos e contratos.
. ____________________________________________________________________________
1. A falha de protecção da informação pessoal com os controlos adequados poderá ter
consequências graves para uma organização. A falha poderia danificar a reputação dos
indivíduos e /ou da organização, e expor uma organização a riscos que incluem
responsabilidade legal e perda de confiança do consumidor e/ou do empregado.
2. As definições de privacidade variam largamente consoante a cultura, ambiente político e
enquadramento legal dos países onde a organização opera. Os riscos associados com a
privacidade da informação abrangem a privacidade pessoal (física e psicológica);
privacidade do espaço (liberdade de vigilância); privacidade de comunicações (liberdade de
monitorizar); e privacidade da informação (coligir, utilizar e a difundir a informação de
carácter pessoal por terceiros). A informação pessoal refere-se geralmente àquela informação
associada a um indivíduo específico, ou que disponha de características idênticas, as quais,
quando associadas com outra informação possa então estar associada a um indivíduo
específico. Poderá incluir qualquer informação factual ou subjectiva, registada ou não, em
qualquer meio de apresentação. A informação pessoal poderia incluir:
O nome, endereço, números de identificação, relações familiares;
Ficheiros do empregado, avaliações, comentários, estatuto social ou acções disciplinares;
Registo de créditos, rendimento, situação financeira, ou
Cadastro médico.
3. Um controlo efectivo sobre a protecção da privacidade pessoal é um componente essencial
dos processos de governação, risco e controlo. O Conselho é em última análise responsável
por identificar os principais riscos para a organização, implementando processos de controlo
apropriados para mitigar tais riscos. Tal inclui o estabelecimento do enquadramento de
privacidade necessário para a organização e a monitorização da sua implementação.
Práticas Recomendadas 72
4. A actividade de auditoria interna poderá contribuir para uma boa governação e gestão do
risco, avaliando a adequação da gestão do risco feita pela gestão relacionada com os seus
objectivos de privacidade e a adequação dos controlos estabelecidos para mitigar tais riscos a
um nível aceitável. O auditor interno está bem posicionado para poder avaliar o
enquadramento de privacidade na sua organização e identificar os riscos significativos, bem
como efectuar recomendações adequadas para a mitigação.
5. A actividade de auditoria interna identifica os tipos e a adequação da informação coligida
pela organização considerada de natureza pessoal ou privada, a metodologia utilizada na
obtenção da informação, e se a utilização dessa informação está em conformidade com o
destino que a organização lhe pretende dar e com a legislação aplicável.
6. Dada a natureza altamente técnica e jurídica das questões de privacidade, a actividade de
auditoria interna necessita de um conhecimento adequado e competência para efectuar uma
avaliação dos riscos e controlos do enquadramento de privacidade da organização.
7. Ao conduzir uma tal avaliação da gestão do enquadramento de privacidade da organização, o
auditor interno:
Tem em atenção as leis, regulamentos e políticas relacionadas com a privacidade nas
jurisdições onde a organização opera;
Mantém um contacto com o departamento jurídico da organização, para determinar a
natureza exacta das leis, regulamentos e outras normas e práticas aplicáveis à organização
e ao país/países onde opera.
Mantém um contacto com especialistas da tecnologia de informação, para determinar se
os controlos de segurança da informação e protecção de dados estão operantes e revistos
regularmente, e avaliados em termos da sua adequação.
Tem em atenção o nível de maturidade das práticas de privacidade da organização.
Dependendo do nível, o auditor interno poderá ter papéis diferentes a desempenhar. O
auditor interno poderá ser o facilitador do desenvolvimento e implementação do programa
de privacidade, verificar a avaliação de risco de privacidade da organização para
determinar as necessidades e as exposições ao rico da organização, ou proporcionar
garantia da eficácia das políticas de privacidade, práticas, e controlos transversalmente
pela organização. Caso o auditor interno assuma qualquer responsabilidade pelo
desenvolvimento e implementação de um programa de privacidade, a independência do
auditor interno será enfraquecida.
***
Práticas Recomendadas 73
Prática Recomendada 2200 - 1:
Planeamento do Trabalho
Norma Primária Relacionada
2200 – Planeamento da Auditoria
Os auditores internos têm de desenvolver e documentar um plano para cada trabalho, incluindo
os objectivos do trabalho, âmbito, prazo de execução e a alocação de recursos.
_____________________________________________________________________________
1. O auditor interno planeia e conduz os trabalhos, sujeito a uma supervisão e aprovação Antes
do início do trabalho, o auditor interno prepara um programa que:
Declara os objectivos do trabalho.
Identifica os requisitos técnicos, objectivos, riscos, processos, e transacções que serão
analisadas.
Declara a natureza e extensão dos testes necessários.
Documenta os procedimentos do auditor interno na recolha, análise, interpretação e
documentação da informação obtida durante o trabalho.
É modificado durante o trabalho, conforme apropriado, com a aprovação do responsável
pela auditoria interna (CAE), ou quem ele designar.
2. O CAE necessita de um nível de formalismo e documentação ( por exemplo os resultados
das reuniões de trabalho , procedimentos de avaliação do risco, nível de detalhe no
programa de trabalho, etc.) que seja apropriado para a organização. Os factores a considerar
incluirão:
Se o trabalho realizado e/ou os resultados do trabalho merecerão a confiança de outros
(por exemplo a dos auditores externos, dos reguladores ou da gestão)
Se o trabalho diz respeito a assuntos que possam resultar em conflitos potenciais ou
correntes.
O nível de experiência do staff de auditoria e o nível de supervisão directa requerida.
Se o projecto é realizado por staff interno, por auditores convidados ou pelos auditores
externos.
A complexidade e o âmbito do projecto.
A dimensão da actividade de auditoria interna.
O valor da documentação (por exemplo se a mesma será utilizada em anos subsequentes).
3. O auditor interno determina outros requisitos do trabalho tais como o período de cobertura e
prazos previstos de conclusão. O auditor interno considera igualmente qual o formato da
comunicação final. O plano nesta fase facilita os processos de comunicação na conclusão do
trabalho.
Práticas Recomendadas 74
4. O auditor interno informa os órgãos de gestão que necessitem de ter conhecimento do
trabalho de auditoria, reúne-se com a gestão responsável pela actividade sob análise,
prepara e distribui resumos das questões discutidas e conclusões alcançadas das reuniões, e
retém a documentação nos respectivos papéis de trabalho. Os pontos de discussão poderão
incluir:
Os objectivos planeados da auditoria e o âmbito do trabalho.
Os recursos e prazo de conclusão do trabalho.
Factores chave que afectam as condições do negócio e as operações das áreas sob
análise, incluindo recentes modificações operadas no ambiente interno e externo.
Preocupações ou solicitações da gestão.
5. O CAE determina, como, quando e a quem os resultados do trabalho serão comunicados. O
auditor interno documenta e comunica tal à gestão, na medida do que é apropriado, na fase
do planeamento do trabalho. O auditor interno comunica à gestão as modificações
subsequentes que afectem o prazo ou o reporte dos resultados do trabalho.
***
Práticas Recomendadas 75
Prática Recomendada 2210 - 1:
Objectivos do Trabalho
Norma Primária Relacionada
2210 - Objectivos do Trabalho
Têm de ser estabelecidos objectivos para cada trabalho.
_____________________________________________________________________________
1. Os auditores internos estabelecem objectivos do trabalho para se ocuparem dos riscos
associados à actividade sob análise. Para as actividades planeadas, os objectivos orientamse e alinham com aqueles inicialmente identificados durante a fase do processo e do qual
emanou o plano anual de auditoria. Para trabalhos que estavam planeados, os objectivos são
definidos antes do seu início e destinam-se a ocupar-se da questão específica que motivou o
trabalho.
2. A avaliação do risco durante a fase do planeamento é utilizada para ainda melhor definir os
objectivos iniciais e identificar outras áreas relevantes de preocupação.
3. Após os riscos serem identificados, o auditor determina os procedimentos a seguir e o
âmbito (natureza, prazo e extensão) de tais procedimentos. Os procedimentos do trabalho
realizados num âmbito apropriado são uma forma de chegar a conclusões relacionadas com
os objectivos do trabalho.
***
Práticas Recomendadas 76
Práticas Recomendadas 77
Prática Recomendada 2210.A1-1:
A Avaliação do Risco na Fase do Planeamento
Norma Primária Relacionada
2210.A1 – Os auditores internos têm de efectuar uma avaliação preliminar dos riscos relativos à
actividade sob análise. Os objectivos do trabalho têm de reflectir os resultados desta avaliação.
_____________________________________________________________________________
1.
Os auditores internos consideram a avaliação dos riscos feita pela gestão como relevante
para a actividade sob análise. O auditor interno considera igualmente:
A fiabilidade da avaliação do risco feita pela gestão.
Os processos da gestão para a monitorização, reporte e soluções relativas às questões de
controlo.
Os relatórios da gestão sobre eventos que excederam os limites do apetite de risco da
organização e as respostas da gestão relativas a esses relatórios.
Os riscos relativos a actividades relacionadas relevantes para a actividade sob análise.
2. Os auditores internos obtêm e actualizam a informação de base sobre as actividades a serem
analisadas, como para determinar o impacte sobre os objectivos e âmbito do trabalho.
3. Quando apropriado, os auditores internos efectuam uma investigação para se familiarizarem
com as actividades, riscos e controlos, de forma a identifica áreas que carecem de ênfase, e
para solicitar comentários e sugestões dos clientes de trabalho
4. Os auditores internos sumarizam os resultados das análises feitas à avaliação da gestão sobre
o risco, a informação de base e qualquer trabalho de investigação. O sumário inclui:
Questões relevantes da auditoria e as razões para a sua análise com maior profundidade.
Objectivos da auditoria e procedimentos
Metodologias a serem utilizadas, tais como auditoria com base tecnológica e técnicas de
amostragem.
Pontos críticos potenciais de controlo, deficiências de controlo, e/ou excessos de
controlo.
Quando aplicável, razões para não prosseguir com a auditoria.
***
Práticas Recomendadas 78
Práticas Recomendadas 79
Prática Recomendada 2230-1:
Dotação de Recursos
Norma Primária Relacionada
2230 – Dotação de Recursos
Os auditores internos têm de verificar quais os recursos adequados e necessários de forma a
alcançar os objectivos do trabalho com base numa avaliação da natureza e complexidade de
cada trabalho, limitações de tempo, e recursos disponíveis.
_____________________________________________________________________________
1. Os auditores internos consideram o seguinte, ao verificar a adequação e suficiência de
recursos:
O número e o nível de experiência do pessoal do staff de auditoria interna
Os conhecimentos e o domínio das técnicas e das matérias do staff de auditoria interna
ao seleccionar auditores internos para o trabalho.
Disponibilidade de recursos externos, quando sejam necessárias competências
adicionais.
Necessidade de treino dos auditores internos uma vez que cada atribuição de trabalho
planeado serve de base para verificar as necessidades de treino da actividade de
auditoria interna
***
Práticas Recomendadas 80
Práticas Recomendadas 81
Prática Recomendada 2240-1:
Programa do Trabalho
Norma Primária Relacionada
2240 – Programa do Trabalho
Os auditores internos têm de desenvolver e documentar programas de trabalho que cumpram
com os objectivos traçados.
_____________________________________________________________________________
1. Os auditores internos desenvolvem e obtêm uma aprovação documentada do programa de
trabalho antes de dar início ao trabalho de auditoria interna. O programa de trabalho inclui
metodologias a serem utilizadas, tais como auditoria com a utilização de ferramentas
tecnológicas e técnicas de amostragem.
2. O processo de recolha, análise, interpretação e documentação da informação é para ser
objecto de supervisão, para fornecer garantia razoável de que os objectivos do trabalho são
alcançados e de que é mantida a objectividade do auditor. Uma orientação mais detalhada é
dada na Prática Recomendada 2140-1.
***
Práticas Recomendadas 82
Práticas Recomendadas 83
Prática Recomendada 2330-1:
Documentação da Informação
Norma Primária Relacionada
2330 – Documentação da Informação
Os auditores internos têm de documentar a informação relevante para fundamentar as
conclusões e os resultados do trabalho.
____________________________________________________________________________________________
1. Os auditores internos preparam os papéis de trabalho Os papéis de trabalho documentam a
informação obtida, as análises feitas e o suporte das conclusões e resultados do trabalho. A
gestão da auditoria interna verifica os papéis de trabalho elaborados.
2. Os papéis de trabalho habitualmente:
Ajudam no planeamento, realização e revisão dos trabalhos.
Fornecem o suporte principal para os resultados do trabalho.
Documentam se os objectivos do trabalho foram alcançados.
Suportam a exactidão e integralidade do trabalho realizado.
Fornecer uma base para a avaliação do programa de qualidade da actividade de auditoria
interna.
Facilitam a revisão por terceiros.
3. A organização, a concepção e o conteúdo dos papéis de trabalho dependerão da natureza e
objectivos e necessidades da organização. Os papéis de trabalho documentam todos os
aspectos do processo de trabalho, desde o planeamento à comunicação dos resultados. A
actividade de auditoria interna determina o meio a utilizar para documentar e armazenar os
papéis de trabalho.
4. O responsável pela auditoria estabelece as políticas dos papéis de trabalho para os diversos
trabalhos realizados. Os papéis de trabalho normalizados, tais como questionários e
programas de auditoria poderão melhorar a eficiência do trabalho e facilitar a delegação do
trabalho. Os papéis de trabalho poderão ser categorizados como permanente ou ficheiro
“carry-forward”, contendo esta informação de relevância contínua.
***
Práticas Recomendadas 84
Práticas Recomendadas 85
Prática Recomendada 2330.A1-1:
Controlo de Acesso aos Arquivos de
Trabalho
Norma Primária Relacionada
2330.A1 - O responsável pela auditoria tem de controlar o acesso aos arquivos do trabalho. O
responsável pela auditoria tem de obter a aprovação dos gestores superiores e/ou
aconselhamento jurídico antes de submeter tais arquivos a terceiros, conforme apropriado.
_____________________________________________________________________________
1. Os arquivos de trabalho da auditoria interna incluem relatórios, documentação de suporte,
notas de revisão, e correspondência, independente do meio em que são armazenados. Os
registos ou papéis de trabalho são propriedade da organização. A actividade de auditoria
interna controla os papéis de trabalho e permite o seu acesso apenas a pessoal autorizado.
2. Os auditores internos poderão sensibilizar a gestão e o Conselho quanto ao acesso dos
registos do trabalho a terceiros As políticas relativas ao acesso a registos do trabalho,
tratamento de pedidos de acesso e procedimentos a seguir quando um trabalho dá origem a
um mandado de investigação, têm de ser revistos pelo Conselho.
3. As políticas de auditoria interna clarificam quem no interior da organização é responsável
por assegurar o controlo e segurança dos registos da actividade, quais os indivíduos do
interior ou do exterior da organização a quem os acessos aos registos do trabalho poderão
ser facultados, e o modo como os pedidos de acesso a tais registos terão de ser tratados. Tais
políticas poderão variar dependendo da natureza da organização, práticas seguidas pela
indústria, e privilégios de acesso estabelecidos por lei.
4. A gestão e outros membros da organização poderão solicitar o acesso a todos ou a alguns
papéis de trabalho específicos. Tal acesso poderá ser necessário para substanciar ou explicar
observações e recomendações para outros fins do negócio. O responsável pela auditoria
(CAE) aprova tais pedidos.
5. O CAE aprova o acesso aos papéis de trabalho pelos auditores externos.
6. Existem circunstâncias em que indivíduos do exterior da organização, que não sejam os
auditores externos, solicitam acesso aos papéis de trabalho e relatórios. Antes de submeter
tal documentação, o CAE obtém a aprovação dos gestores superiores e/ou do
aconselhamento jurídico, conforme apropriado.
7. Potencialmente, os registos da auditoria interna que não estejam especificamente protegidos
poderão ser disponibilizados em caso de procedimentos legais. Os requisitos legais variam
Práticas Recomendadas 86
de forma significativa em jurisdições diversas. Quando exista um pedido específico para
consultar registos de trabalho em relação a procedimentos legais, o CAE trabalha em
colaboração estreita com o aconselhamento jurídico em relação à documentação a fornecer.
***
Práticas Recomendadas 87
Prática Recomendada 2330.A2-1:
Retenção dos Arquivos
Norma Primária Relacionada
2330.A2 – O responsável pela auditoria tem de definir quais os requisitos de retenção dos
arquivos, independentemente dos meios em que cada informação esteja armazenada. Tais
requisitos de retenção têm de ser consistentes com as orientações da organização e com outras
exigências regulamentares pertinentes.
_____________________________________________________________________________
1. Os requisitos quanto à retenção de registos de trabalho variam consoante as jurisdições e
ambientes legais.
2. O responsável pela auditoria (CAE) elabora por escrito uma política de retenção que
satisfaça as necessidades da organização e dos requisitos legais das jurisdições onde a
organização exerce a actividade.
3. A política de retenção dos registos necessita de conter disposições adequadas para a
retenção dos registos relacionados com os trabalhos realizados pelos fornecedores de
serviços externos.
***
Práticas Recomendadas 88
Práticas Recomendadas 89
Prática Recomendada 2340-1:
Supervisão do Trabalho
Norma Primária Relacionada
2340 – Supervisão do trabalho
Os trabalhos de auditoria têm de ser devidamente supervisionados de forma a assegurar que os
objectivos são alcançados, que a qualidade é assegurada e que promove o desenvolvimento do
staff.
Interpretação:
A extensão da supervisão necessária, dependerá da proficiência e experiência dos auditores
internos e da complexidade do trabalho. O responsável pela auditoria tem a
responsabilidade geral de supervisionar o trabalho, quer o mesmo seja realizado pela ou
para a actividade de auditoria interna, podendo no entanto designar membros da actividade
de auditoria interna com a experiência adequada para realizar a revisão. A evidência
adequada de supervisão é documentada e arquivada.
____________________________________________________________________________________________
1. O responsável pela auditoria (CAE) ou pessoa designada fornece uma supervisão adequada.
A supervisão é um processo que se inicia com o planeamento e continua ao longo do
trabalho. O processo inclui:
Assegurar que os auditores designados possuem os necessários conhecimentos, técnicas
e outras competências para realizar o trabalho.
Fornecer as instruções apropriadas durante o planeamento do trabalho e aprovar o
programa.
Assegurar que o programa é concluído, a menos que haja modificações justificadas e
autorizadas.
Verificar que os papéis de trabalho suportam as observações, conclusões e
recomendações.
Assegurar que as comunicações são correctas, objectivas, claras, concisas, construtivas e
oportunas.
Assegurar que os objectivos da auditoria são alcançados.
Proporcionar oportunidades para o desenvolvimento dos conhecimentos, capacidades
técnicas e outras competências dos auditores internos.
2. Compete ao CAE a responsabilidade por todos os trabalho de auditoria, quer realizados pela
ou para a actividade de auditoria interna e todos os juízos profissionais feitos ao longo do
trabalho O CAE adopta os meios necessários para garantir que tal responsabilidade é
satisfeita. Os meios adequados incluem políticas e procedimentos destinados a:
Práticas Recomendadas 90
Minimizar o risco de que auditores internos ou outros que desempenhem trabalhos para
a actividade de auditoria interna possam emitir julgamentos profissionais ou tomem
outras atitudes que sejam inconsistentes com o juízo profissional do CAE, de forma tal
que haja um impacte negativo para o trabalho.
Solucionar discrepâncias entre os juízos profissionais feitos pelo CAE e o staff da
auditoria interna, sobre questões relevantes do trabalho. Tais meios poderão incluir a
discussão de factos pertinentes, novas pesquisas ou investigações, e documentação e
conciliação dos diferentes pontos de vista nos papéis de trabalho. Em caso de
divergências de opinião sobre uma questão ética, os meios adequados poderão incluir a
colocação do assunto à ponderação daqueles que na organização tenham a
responsabilidade de questões éticas.
3. Todos os papéis de trabalho são revistos para assegurar que suportam adequadamente as
comunicações e que são realizados todos os procedimentos de auditoria. A evidência da
revisão de supervisão consiste em que cada papel de trabalho deve ser rubricado e datado
após a sua revisão. Outras técnicas que fornecem uma evidência de supervisão incluem o
preenchimento de uma lista de verificação (checklist) dos papéis de trabalho; a preparação
de um memo especificando a natureza, extensão e resultados da revisão. Ou a avaliação e
aceitação de revisões feitas através de software dos papéis de trabalho.
4. Os revisores poderão preparar um registo por escrito (ou seja notas de revisão) das questões
que se levantam no processo de revisão. Quando esclarecidas as notas de revisão, deve
tomar-se cuidado em assegurar que os papéis de trabalho evidenciam adequadamente que as
questões levantadas durante a revisão foram solucionadas. Seguem-se as seguintes
alternativas com respeito ao tratamento das notas de revisão:
Reter as notas de revisão com um registo das questões levantadas pelo revisor e dos
passos dados para a sua resolução, e os resultados de tais passos.
Destruição das notas de revisão após as questões esclarecidas e os papéis de trabalho
devidamente corrigidos para proporcionar a informação necessária.
5. A supervisão do trabalho permite igualmente o treino e o desenvolvimento do staff e a
avaliação do desempenho.
***
Práticas Recomendadas 91
Prática Recomendada 2410-1:
Critérios de Comunicação
Norma Primária Relacionada
2410 – Critérios de Comunicação
As comunicações têm de incluir os objectivos e o âmbito do trabalho bem como as conclusões
recomendações e planos de acção aplicáveis.
____________________________________________________________________________________________
1. Embora o formato e o conteúdo do relatório de auditoria possam variar consoante a
organização e o tipo de trabalho, eles terão de conter, no mínimo, o objectivo, âmbito e
resultados do trabalho.
2. As comunicações finais do trabalho de auditoria poderão incluir uma informação sobre os
antecedentes e resumos. A informação dos antecedentes poderá identificar as unidades
organizacionais e as actividades analisadas e fornecer informação explicativa. Poderá ainda
incluir a situação das observações, conclusões e recomendações de relatórios anteriores e
uma indicação se o relatório se refere a uma auditoria programada ou diz respeito a um
pedido. Os resumos são representações equilibradas do conteúdo do relatório.
3. As declarações de âmbito descrevem os objectivos do trabalho e poderão informar o leitor,
a razão pela qual a auditoria foi realizada e o seu alcance.
4. As declarações de âmbito identificam as actividades auditadas e poderão incluir informação
de suporte tal como o espaço de tempo da revisão e as actividades relacionadas que não
foram objecto da análise, para delinear a fronteira do trabalho. Podem descrever a natureza
e a extensão do trabalho realizado.
5. Os resultados incluem as observações, conclusões, opiniões, recomendações e planos de
acção.
6. As observações são declarações pertinentes dos factos. O auditor interno comunica tais
observações que são necessárias para justificar ou impedir um mal entendido das conclusões
e recomendações do auditor interno. O auditor interno pode transmitir observações ou
recomendações menos importantes de modo informal.
7. As observações e as recomendações de auditoria resultam de um processo de comparar um
critério (a situação correcta) com uma condição (a situação existente) Haja ou não uma
diferença, o auditor interno tem uma base para construir um relatório. Quando as condições
obedecerem ao critério, poderá ser apropriado reconhecer um desempenho satisfatório. As
observações e recomendações são fundamentadas nos seguintes atributos:
Práticas Recomendadas 92
Critério: As normas, medidas ou expectativas utilizadas na avaliação e/ou verificação (a
situação correcta).
Condição: A evidência factual encontrada pelo auditor interno no decorrer da análise (a
situação corrente).
Causa: A razão para a diferença entre as condições esperadas e as actuais.
Efeito: O risco ou exposição que a organização e/ou terceiros encontram porque a
condição não é consistente com o critério (o impacte da diferença) Ao determinar o grau
de risco ou da exposição, os auditores internos consideram o efeito que as suas
observações e recomendações poderão ter nas operações da organização e suas
demonstrações financeiras.
As observações e recomendações poderão incluir o que foi realizado pelo auditado,
questões relacionadas, e informação de suporte.
8. As conclusões e as opiniões são as avaliações do auditor interno dos efeitos das observações
e recomendações feitas às actividades analisadas. Põem geralmente as observações e as
recomendações em perspectiva baseada nas suas implicações genéricas. Identificam
claramente quaisquer conclusões do trabalho no relatório. As conclusões podem cobrir o
âmbito total de um trabalho ou apenas aspectos específicos. Podem cobrir, mas não são
limitadas a, se os objectivos operacionais ou dos programas estão em conformidade com os
da organização, se os objectivos e metas da organização estão a ser alcançados, e se a
actividade em análise está a funcionar conforme planeado. Uma opinião poderá incluir uma
avaliação geral dos controlos ou poderá ser limitada a controlos específicos ou aspectos do
trabalho.
9. O auditor interno poderá transmitir recomendações para melhoramentos, reconhecimento de
desempenho satisfatório e acções correctivas. As recomendações são baseadas nas
observações e conclusões do auditor interno. Apelam à acção para corrigir as condições
existentes e melhorar as operações, e poderão sugerir abordagens para corrigir ou melhorar
o desempenho como forma de orientação para a gestão alcançar os resultados desejados. As
recomendações podem ser genéricas ou específicas. Por exemplo, em algumas
circunstâncias, o auditor interno poderá recomendar uma acção de carácter genérico e
sugestões específicas para a sua implementação. Noutras circunstâncias, poderá o auditor
interno sugerir um prosseguimento da investigação ou estudo.
10. O auditor interno poderá transmitir as acções desenvolvidas pelo cliente, em termos de
melhoramentos desde o último trabalho, ou a realização de uma operação bem controlada.
Esta informação poderá ser necessária para descrever com isenção as condições existentes e
dar perspectiva e equilíbrio às comunicações finais do trabalho.
11. O auditor interno poderá transmitir os pontos de vista do cliente sobre as conclusões,
opiniões ou recomendações do auditor interno.
Práticas Recomendadas 93
12. Como parte das discussões do auditor interno com o cliente do trabalho, o auditor interno
obtém a concordância dos resultados do trabalho e sobre qualquer plano de acção necessário
para melhorar as operações. Se o auditor interno e o cliente do trabalho discordarem dos
resultados do trabalho, as comunicações do trabalho manifestam ambas as posições e as
razões do desacordo. Os comentários escritos do cliente do trabalho poderão ser incluídos
como anexo ao relatório do trabalho, no corpo do relatório ou na carta a acompanhar.
13. Não é apropriado divulgar certas observações a todos os destinatários do relatório, por ser
confidencial, reservada ou relacionada com actos impróprios ou ilegais. Divulgar tal
informação em relatório separado. Distribuir o relatório ao Conselho, se as condições
relatadas envolverem os gestores superiores.
14. Os relatórios intercalares são feitos por escrito ou verbais e podem ser transmitidos
formalmente ou informalmente. Utilize relatórios intercalares para transmitir informação
que requer uma atenção especial, para comunicar uma modificação do âmbito do trabalho
da actividade em análise, ou para manter a gestão informada do progresso da auditoria
quando esta se estenda por períodos alongados. A utilização de relatórios intercalares não
diminui ou elimina a necessidade de um relatório final.
15. É emitido um relatório assinado após a conclusão do trabalho. É apropriado a emissão de
relatórios sintéticos, realçando os resultados da auditoria, para níveis de gestão superiores
ao nível do cliente do trabalho, e poderão ser emitidos separadamente ou em conjunto com
o relatório final. O termo ‘ assinado ’ significa que o nome do auditor interno é
manualmente ou electronicamente assinado no relatório ou numa carta a acompanhar. O
responsável pela auditoria determina qual é o auditor interno autorizado a assinar o relatório
Se os relatórios do trabalho forem distribuídos por meios electrónicos, é mantida pela
actividade de auditoria interna uma versão assinada nos arquivos.
***
Práticas Recomendadas 94
Práticas Recomendadas 95
Prática Recomendada 2420-1:
Qualidade das Comunicações
Norma Primária Relacionada
2420 – Qualidade das Comunicações
As comunicações deverão ser precisas, objectivas, claras, concisas, construtivas, completas e
oportunas.
Interpretação:
As comunicações precisas são livres de erros e distorções e são fiéis aos factos apontados.
As comunicações objectivas são razoáveis, imparciais e sem preconceitos e são o resultado
de uma avaliação razoável e equilibrada de todos os factos relevantes e circunstâncias. As
comunicações claras são facilmente entendidas e lógicas, evitando linguagem técnica
desnecessária e fornecendo todas as informações significativas e relevantes. As
comunicações concisas vão directamente ao assunto evitando uma elaboração, detalhe
supérfluo, redundância e palavreado. As comunicações construtivas são úteis ao cliente e à
organização e conduzem a melhoramentos quando necessário. As comunicações completas
não deixam em falta o necessário para os clientes visados e incluem toda a informação
significativa e relevante e observações para sustentarem as recomendações e conclusões. As
comunicações oportunas são feitas em tempo adequado, dependendo da importância da
matéria, e permitindo que a gestão possa empreender as acções correctivas necessárias.
____________________________________________________________________________________________
1. Obtenha, avalie e resuma os dados e evidência com cuidado e precisão.
2. Deduza e exprima as observações, conclusões e recomendações sem preconceitos, partidarismo,
interesse pessoal e influência indevida de terceiros.
3. Melhore a clareza, evitando linguagem técnica desnecessária e fornecendo toda a informação
necessária no contexto.
4. Desenvolva a comunicação com o objectivo de tornar cada elemento elucidativo mas sucinto.
5. Adopte um conteúdo e tom útil, positivo e bem explicado, que foque os objectivos da organização.
6. Assegure que a comunicação é consistente com o estilo e a cultura da organização.
7. Planeie o prazo da apresentação da comunicação dos resultados e evite demoras indevidas
***.
Práticas Recomendadas 96
Práticas Recomendadas 97
Prática Recomendada 2440-1:
Divulgação dos Resultados
Norma Primária Relacionada
2440 – Divulgação de Resultados
O Responsável pela auditoria tem de divulgar os resultados aos destinatários apropriados.
Interpretação:
O responsável pela auditoria ou seu designado analisa e aprova a comunicação final do
trabalho antes da sua emissão e decide a quem e como será divulgado.
_________________________________________________________________
1. Os auditores internos discutem as conclusões e recomendações com os níveis apropriados
da gestão antes do responsável pela auditoria (CAE) emitir as comunicações finais do
trabalho. Tal é habitualmente conseguido durante a realização do trabalho e/ou reuniões
após o mesmo estar concluído (ou seja, reuniões de encerramento).
2. Outra técnica é a da gestão da actividade auditada rever o rascunho das questões,
observações e recomendações. Tais discussões e revisões ajudam a evitar mal entendidos ou
interpretações erradas de factos, proporcionando ao cliente do trabalho a oportunidade de
clarificar elementos específicos e exprimir opiniões sobre as observações, conclusões e
recomendações.
3. O nível dos participantes nas discussões e revisões varia consoante a organização e a
natureza do relatório; incluirá normalmente tais indivíduos que são conhecedores das
operações detalhadas e aqueles que podem autorizar a implementação de acções correctivas.
4. Ainda que o nível dos participantes nas discussões e revisões possa variar em função das
organizações e da natureza do relatório, devem normalmente incluir os indivíduos que
tenham conhecimento detalhado das operações e aqueles que possam autorizar a
implementação de acções correctivas.
5. O CAE distribui a comunicação final do trabalho à gestão da actividade auditada e àqueles
membros da organização que possam dar a devida atenção aos resultados do trabalho e
tomar as medidas correctivas para que a acção correctiva seja levada a efeito. Quando
apropriado, o CAE poderá enviar um relatório resumido aos membros superiores da
organização. Quando for estipulado no estatuto de auditoria interna ou na política da
organização, o CAE comunica igualmente às restantes partes interessadas ou entidades
afectadas, tais como os auditores externos e o Conselho.
***
Práticas Recomendadas 98
Práticas Recomendadas 99
Prática Recomendada 2500 -1:
Monitorização do Progresso
Norma Primária Relacionada
2500 – Monitorização do Progresso
O responsável pela auditoria tem de estabelecer e manter um sistema de monitorização do efeito
dos resultados comunicados à gestão.
_____________________________________________________________________________
1. Para monitorizar eficazmente as disposições dos resultados, o responsável pela auditoria
interna estabelece procedimentos para incluir:
O período de tempo necessário para a resposta da gestão sobre as observações e
recomendações do trabalho.
Avaliação da resposta da gestão.
Verificação da resposta (quando apropriado).
Realização de um “follow-up” do trabalho (quando apropriado)
Um processo de comunicação que faça subir as respostas/acções insatisfatórias,
incluindo a aceitação do risco, aos níveis adequados dos gestores superiores ou do
Conselho gestão.
2. Se determinadas observações e recomendações reportadas forem suficientemente relevantes
para merecerem uma acção imediata da parte dos gestores ou do Conselho, a actividade de
auditoria interna monitoriza as acções levadas a efeito, até que a observação seja corrigida
ou a recomendação implementada.
3. A actividade de auditoria interna pode efectivamente monitorizar o progresso através do
seguinte:
Comunicação das observações e recomendações aos níveis apropriados da gestão
responsável pela tomada de acção.
Recebimento e avaliação das respostas da gestão e do plano de acção proposto às
observações e recomendações feitas durante o trabalho ou dentro de um período
razoável de tempo após a comunicação dos resultados do trabalho. As respostas são
mais úteis se incluírem informação suficiente para que o CAE possa avaliar a adequação
e a oportunidade das acções propostas.
Recebimento de actualizações periódicas da gestão para avaliar a situação dos seus
esforços para corrigir as observações e/ou implementar as recomendações.
Recebimento e avaliação da informação de outras unidades da organização a quem foi
atribuída responsabilidade de um “follow-up” ou acções correctivas.
Práticas Recomendadas 100
Participação aos gestores superiores e/ou ao Conselho da situação das respostas às
observações e recomendações.
***
Práticas Recomendadas 101
Prática Recomendada 2500.A1-1:
Processo “Follow-up”
Norma Primária Relacionada
2500.A1 - O Responsável pela auditoria tem de estabelecer um processo “follow-up” para
monitorizar e assegurar que as acções da gestão foram efectivamente implementadas ou que os
gestores superiores aceitaram o risco de não tomar qualquer medida.
____________________________________________________________________________
1. Os auditores internos verificam se a gestão tomou uma acção correctiva ou implementou a
recomendação. O auditor interno verifica se foram alcançados os resultados esperados, ou
se os gestores superiores ou o Conselho assumiram o risco de não efectuar qualquer acção
ou implementar a recomendação.
2. O ‘follow-up’ é um processo através do qual os auditores internos avaliam a adequação,
eficácia e oportunidade das acções tomadas pela gestão sobre as observações e
recomendações relatadas, incluindo aquelas feitas pelos auditores externos ou outros. Este
processo inclui igualmente a verificação se os gestores superiores e/ou o Conselho
assumiram o risco de não tomar uma acção correctiva sobre as observações reportadas.
3. O estatuto da actividade de auditoria interna deverá definir a responsabilidade pelo “followup”. O responsável pela auditoria (CAE) determina a natureza, prazo e extensão do “followup”, tendo em consideração o seguinte:
Importância da revelação participada.
Grau do esforço e o custo necessários para corrigir a condição reportada.
Impacte que pode resultar caso a acção correctiva não seja tomada
Complexidade da acção correctiva.
Período de tempo envolvido.
4. O CAE é responsável pela calendarização das actividades de “follow-up” como parte do
desenvolvimento do programa de trabalhos. A calendarização do “follow-up” é baseada no
risco e na exposição envolvidos, bem como no grau da dificuldade e importância do prazo
da implementação da acção correctiva.
5. Quando o CAE for da opinião de que a resposta verbal ou por escrito indica que a acção
tomada é suficiente quando confrontada com a relativa importância da observação ou
recomendação, os auditores internos poderão segui-la como parte do próximo trabalho.
6. Os auditores internos verificam se as acções tomadas sobre as observações ou
recomendações remediaram as condições referenciadas. As acções “follow-up “deverão ser
devidamente documentadas.
***
Práticas Recomendadas 102