Práticas Recomendadas 1. Práticas Recomendadas

Transcrição

1 Práticas Recomendadas 1 Práticas Recomendadas

2

3 Práticas Recomendadas 3 Prática Recomendada : Estatuto da Auditoria Interna Norma Primária Relacionada Objectivo, Autoridade e Responsabilidade O objectivo, autoridade e responsabilidade da actividade de auditoria interna tem de ser formalmente definidos num Estatuto de Auditoria Interna, consistente com a Definição de Auditoria Interna, o Código de Ética e as Normas. O responsável pela auditoria tem de rever periodicamente o estatuto de auditoria interna e apresenta-lo aos gestores superiores e ao Conselho para aprovação. Interpretação: O estatuto de auditoria interna é um documento formal o qual define o objectivo, autoridade e responsabilidade da actividade de auditoria interna, autoriza o acesso aos registos, pessoal e bens físicos relevantes para o desempenho dos trabalhos; e define o âmbito das actividades de auditoria interna. A aprovação final do estatuto de auditoria interna compete ao Conselho. 1. O estabelecimento de um Estatuto de Auditoria Interna formal e por escrito é crítico para a gestão da actividade de auditoria interna. O Estatuto fornece uma declaração de reconhecimento, para revisão e aceitação pela gestão e para sua aprovação, conforme documentado nas actas do Conselho. Facilita igualmente uma avaliação periódica da adequação do objectivo, autoridade e responsabilidade da actividade de auditoria interna, o qual estabelece o papel a desempenhar pela actividade de auditoria interna. Quando se levante uma questão, o estatuto fornece um acordo formal e escrito feito com a gestão e o Conselho sobre a actividade de auditoria interna. 2. O responsável pela auditoria (CAE) é responsável pela avaliação periódica do objectivo, autoridade e responsabilidade definidos no estatuto e se os mesmos continuam a ser adequados de forma a permitir que a actividade cumpra com os seus objectivos. O CAE é igualmente responsável por comunicar o resultado desta avaliação aos gestores superiores e ao Conselho. ***

4

5 Práticas Recomendadas 5

6

7 Práticas Recomendadas 7 Prática Recomendada : Independência Orgânica Norma Primária Relacionada 1110 Independência Orgânica O responsável pela auditoria tem de reportar a um nível no interior da organização que permita que a função de auditoria interna cumpra com as suas responsabilidades. O responsável pela auditoria tem de confirmar ao Conselho, pelo menos uma vez em cada ano, a independência da actividade de auditoria interna. 1. O apoio dos gestores superiores e do Conselho ajuda a actividade de auditoria interna em obter a cooperação dos clientes do seu trabalho e a desempenha-lo livre de interferências. 2. O responsável pela auditoria (CAE), ao reportar funcionalmente ao Conselho e administrativamente ao Presidente do Conselho de Administração facilita a independência orgânica. No mínimo, o CAE necessita de reportar a uma entidade no seio da organização, com suficiente autoridade para proporcionar uma independência e assegurar uma cobertura ampla de auditoria, uma comunicação adequada das recomendações do trabalho e uma acção apropriada às recomendações feitas. 3. O reporte funcional ao Conselho representa na prática o envolvimento do Conselho: Na aprovação do estatuto geral da actividade de auditoria interna. Na aprovação da avaliação do risco feita pela auditoria interna e no plano de auditoria relacionado. Através das comunicações do CAE sobre os resultados das actividades de auditoria interna ou de outras questões que o CAE determine serem necessárias, incluindo as reuniões em privado com o CAE sem a presença da gestão, bem como a confirmação anual da independência orgânica da actividade de auditoria interna. Na aprovação de todas as decisões relativas ao desempenho, avaliação, nomeação ou destituição do CAE. Na aprovação da compensação anual e ajustamento do salário do CAE. Indagando adequadamente da gestão e do CAE sobre limitações de âmbito ou orçamentais que impeçam a actividade de auditoria interna de cumprir com as suas responsabilidades. 4. O reporte administrativo é o relacionamento de reporte na estrutura orgânica da gestão que possibilita as operações do dia-a-dia da actividade de auditoria interna. O reporte administrativo inclui tipicamente: A contabilidade orçamental e da gestão A administração dos recursos, incluindo a avaliação do pessoal e sua compensação.

8 Práticas Recomendadas 8 Comunicações internas e fluxos da informação. Gestão das políticas e procedimentos da actividade de auditoria interna ***

9 Práticas Recomendadas 9 Prática Recomendada : Interacção com o Conselho Norma Primária Relacionada 1111 Interacção Directa com o Conselho O responsável pela auditoria tem de comunicar e interagir directamente com o Conselho 1. Ocorre comunicação directa quando o responsável pela auditoria (CAE) está habitualmente presente e participa nas reuniões do Conselho de administração que se relacionam com as responsabilidades do Conselho em matéria de supervisão de auditoria, reporte financeiro, governação da organização, e controlo. A presença e participação do CAE nestas reuniões proporcionam uma oportunidade para a obtenção de informações sobre desenvolvimentos estratégicos do negócio e das operações e para o levantamento de questões sobre riscos de alto nível, sistemas, procedimentos e questões de controlo na sua fase inicial. A presença em reuniões proporciona igualmente uma oportunidade para a troca de informações sobre os planos e actividades da auditoria interna e para manter as partes informadas sobre quaisquer outras questões de interesse mútuo. 2. Tais comunicações e interacção ocorrem igualmente quando o CAE se reúne com o Conselho, pelo menos anualmente. ***

10 Práticas Recomendadas 10

11 Práticas Recomendadas 11 Prática Recomendada : Objectividade Individual Norma Primária Relacionada Objectividade Individual Os auditores internos deverão ter uma atitude de imparcialidade, livre de preconceitos e evitar conflitos de interesse. Interpretação: O conflito de interesses é uma situação perante a qual um auditor interno, que se encontra numa posição de confiança, tem um interesse profissional ou pessoal competitivo. Tais interesses competitivos poderão dificultar de forma imparcial o cumprimento das suas responsabilidades. Existe um conflito de interesses mesmo que não resulte qualquer acto contrário à ética ou impróprio. Um conflito de interesses poderá criar a aparência de irregularidade que motivará a perda de confiança no auditor interno, na actividade de auditoria interna e na profissão. Um conflito de interesses poderia enfraquecer a capacidade de um indivíduo poder cumprir de forma objectiva com os seus deveres ou responsabilidades. 1. A objectividade individual significa que os auditores internos realizem auditorias de forma tal que eles próprios acreditem honestamente no produto do seu trabalho e que não estabeleçam compromissos de qualidade significativos. Os auditores internos não devem ser colocados em situações que possam enfraquecer a sua capacidade de emitir julgamentos profissionais objectivos. 2. A objectividade individual implica que o responsável pela auditoria (CAE) organize as missões de trabalho nomeando um staff que evite conflitos de interesse potenciais ou actuais e preconceitos, obtendo periodicamente informação do staff de auditores internos relativa a potenciais conflitos de interesse e preconceitos e, quando possível, procedendo periodicamente à rotação do staff de auditoria interna designado. 3. A revisão dos resultados do trabalho de auditoria interna antes dos mesmos serem divulgados fornece uma segurança razoável de que o trabalho foi realizado de forma objectiva. 4. A objectividade do auditor interno não é afectada desfavoravelmente quando o auditor recomenda normas de controlo para sistemas, ou revê procedimentos, antes da sua implementação. Presume-se que a objectividade do auditor é prejudicada quando este desenha, instala, prepara minutas para/ou opera tais sistemas. 5. O desempenho ocasional pelo auditor interno de trabalho que não seja de auditoria, contendo para o efeito tal referência explícita nos relatórios apresentados, não enfraqueceria

12 Práticas Recomendadas 12 necessariamente a objectividade. Contudo, compete aos gestores e ao auditor interno terem atenção especial em evitar que a objectividade do auditor interno seja afectada de forma adversa. ***

13 Práticas Recomendadas 13 Prática Recomendada : Impedimentos à Independência e Objectividade Norma Primária Relacionada 1130 Impedimentos à Independência ou Objectividade Caso exista impedimento à independência ou objectividade, real ou aparente, os pormenores de tal impedimento têm de ser divulgados às entidades competentes. A natureza de tal divulgação dependerá do tipo de impedimento. Interpretação: Os impedimentos à independência orgânica e objectividade individual poderão incluir, mas não estão limitados a, conflitos de interesse pessoais, limitações de âmbito, restrições ao acesso a registos, pessoal, e bens, e limitações de recursos, tais como o financiamento. A decisão das partes envolvidas, a quem os detalhes de um impedimento à independência ou objectividade devem ser divulgados, está dependente das expectativas da actividade de auditoria interna e das responsabilidades que o responsável pela auditoria interna tenha perante os gestores superiores e o Conselho, conforme descrito no estatuto de auditoria interna, bem como da natureza do impedimento. 1. Os auditores internos terão de divulgar ao responsável pela auditoria (CAE) quaisquer situações em que exista um impedimento potencial à independência ou objectividade ou que possa razoavelmente inferir-se haver um, ou em caso de dúvidas sobre a existência de um eventual impedimento à objectividade ou independência Se o responsável pela auditoria determinar que o impedimento existe ou que possa ser inferido, ele ou ela terão de renomear o(s) auditor (es). 2. Uma limitação de âmbito é uma restrição colocada à actividade de auditoria interna que impede a actividade de atingir os seus objectivos e planos. Entre outras situações, uma limitação de âmbito poderá limitar: O âmbito definido no estatuto do auditor interno. O acesso da actividade de auditoria interna a registos, pessoal e bens físicos, relevantes para a realização dos trabalhos de auditoria. O plano de actividades aprovado. O desempenho de procedimentos indispensáveis à realização do trabalho de auditoria. O plano de pessoal e o orçamento financeiro aprovado.

14 Práticas Recomendadas Uma limitação de âmbito, bem como o seu efeito potencial, tem de ser comunicado de preferência por escrito ao Conselho. O responsável pela auditoria necessita de verificar se é apropriado informar o Conselho, sobre limitações existentes que foram previamente comunicadas ao Conselho e por estes aceites. Tal poderá ser necessário em especial quando se verificarem alterações na organização, Conselho, gestores superiores ou outras modificações. 4. Os auditores internos não deverão aceitar honorários, ofertas bilhetes de entretenimento de um empregado, freguês, cliente, fornecedor ou parceiro comercial que possa criar a aparência de que a objectividade do auditor foi posta em causa. A aparência de que a objectividade foi posta em causa poderá aplicar-se a trabalhos correntes ou futuros a cargo do auditor. O estatuto dos trabalhos não pode ser considerado como justificação para a aceitação de honorários, ofertas ou bilhetes de entretenimento. A aceitação de artigos promocionais (tais como canetas, calendários ou amostras) que são oferecidos aos empregados e ao público em geral e que têm um valor reduzido, não impede o julgamento profissional dos auditores internos. Os auditores internos deverão reportar de imediato aos seus superiores a oferta de todos os honorários ou ofertas de valor significativo. ***

15 Práticas Recomendadas 15 Prática Recomendada 1130.A1-1: Avaliação de Operações cuja responsabilidade estava anteriormente a cargo dos Auditores Internos Norma Primária Relacionada 1130.A1 Os auditores internos têm de abster-se de avaliar operações específicas cuja responsabilidade lhes havia sido anteriormente confiada. Considera-se que a objectividade é prejudicada quando um auditor interno avalia uma actividade perante a qual fora responsável durante o ano precedente. 1. As pessoas transferidas para, ou temporariamente contratadas pela actividade de auditoria interna, não deverão ser nomeadas para auditar as actividades que previamente executaram ou perante as quais tenham tido a responsabilidade de gestão, até ter decorrido pelo menos um ano). Presume-se que tais nomeações enfraqueçam a objectividade e deverão ser tidas em conta na supervisão do trabalho de auditoria e na divulgação dos resultados de auditoria. ***

16 Práticas Recomendadas 16

17 Práticas Recomendadas 17 Prática Recomendada 1130.A2-1: Responsabilidade da Auditoria Interna por outras (extra auditoria) Funções Norma Primária Relacionada 1130.A2 Os trabalhos de garantia para funções cuja responsabilidade esteve anteriormente a cargo do responsável pela auditoria têm de ser supervisionadas por entidade de fora da actividade de auditoria interna. 1. Os auditores internos não deverão aceitar responsabilidades por trabalhos que não são de auditoria e que estão sujeitas a avaliações periódicas pela auditoria interna. Se tiverem tal responsabilidade, não estão a actuar como auditores internos 2. Quando a actividade de auditoria interna, o responsável pela auditoria (CAE) ou o auditor interno individual é responsável, ou quando a gestão pondera atribuir uma responsabilidade operacional que a actividade de auditoria interna possa vir a auditar, a independência e objectividade do auditor interna poderá estar enfraquecida. No mínimo, o CAE terá de ponderar os seguintes factores ao avaliar o impacte da independência e objectividade: Os requisitos do Código de Ética e das Normas Internacionais para a Prática Profissional da Auditoria Interna (Normas. Expectativa dos stakeholders que poderão incluir os accionistas, Conselho de Administração, Comité de Auditoria, gestores, órgãos legislativos, entidades públicas, entidades reguladoras e associações de interesse público. Concessões e/ou restrições contidas no estatuto da actividade de auditoria interna. Observações exigidas pelas Normas. Cobertura de auditoria das actividades ou responsabilidades empreendidas pelo auditor interno. Importância da função operacional para a organização (em termos de receitas, despesas, reputação e influência). Extensão ou duração do trabalho e âmbito de responsabilidade. Adequação da separação de responsabilidades. Se existe qualquer antecedente histórico ou outra evidência de que a objectividade do auditor interno possa estar em risco.

18 Práticas Recomendadas Se o estatuto da actividade de auditoria interna contiver restrições específicas ou falha de menção explícita relativa à atribuição de funções ao auditor interno, que não são de auditoria, a divulgação e discussão de tais restrições deverá ser feita com a gestão. Caso a gestão insista em tal atribuição de funções, então será necessária a discussão desta revelação com o Conselho. Caso o estatuto seja omisso a esse respeito, as orientações contidas nos itens abaixo deverão ser considerados. Todos os itens mencionados abaixo estão subordinados à terminologia do estatuto. 4. Quando a actividade de auditoria interna aceitar responsabilidades operacionais e se tal operação faz parte do plano de auditoria, o CAE necessita de: Minimizar o impedimento à objectividade utilizando a contratação de uma entidade externa ou auditores externos para concluírem auditorias a tais áreas que reportam ao CAE. Confirmar que os indivíduos com responsabilidade operacional para tais áreas que reportam ao CAE não participarão nas auditorias da operação. Assegurar que os auditores que efectuam o trabalho de garantia de tais áreas que reportam ao CAE são supervisionados por, e reportam os resultados da avaliação, aos gestores superiores e ao Conselho. Revelar as responsabilidades operacionais do auditor para a função, a significância da operação para a organização (em termos de receitas, despesas, ou outra informação pertinente), e a relação daqueles que auditaram a função. 1. As responsabilidades operacionais do auditor carecem de ser reveladas no relatório de auditoria de tais áreas que reportam ao CAE e na comunicação habitual do auditor ao Conselho. Os resultados da auditoria poderão igualmente ser discutidas com a gestão e/ com outras partes interessadas. A revelação do impedimento não anula a necessidade de que os trabalhos de garantia para funções sobre as quais o CAE tem responsabilidade carecem de ser supervisionados por entidade externa à actividade de auditoria interna. ***

19 Práticas Recomendadas 19 Prática Recomendada : Proficiência e Cuidado Profissional Adequado Norma Primária Relacionada 1200 Proficiência e Cuidado profissional adequado Os trabalhos de auditoria têm de ser desempenhados com proficiência e cuidado profissional adequado. 1. A proficiência e o cuidado profissional adequado são da responsabilidade do responsável pela auditoria (CAE) e de cada auditor interno. Como tal, o CAE assegura que as pessoas designadas para efectuar cada auditoria possuem colectivamente os conhecimentos e o domínio das técnicas e matérias necessárias para a adequada realização da auditoria. 2. O cuidado profissional adequado inclui a conformidade com o Código de Ética e, conforme apropriado, com o código de conduta da organização bem como com os códigos de conduta de outras designações profissionais que o auditor interno possua. O Código de Ética ultrapassa a mera definição de auditoria interna, para incluir dois componentes essenciais: Princípios que são relevantes para a profissão e prática de auditoria interna: integridade, objectividade, confidencialidade e competência. Normas de conduta que descrevem as regras comportamentais que se esperam dos auditores internos. Tais normas ajudam a interpretar os princípios em aplicações práticas e destinam-se a orientar a conduta ética dos auditores internos. ***

20 Práticas Recomendadas 20

21 Práticas Recomendadas 21 Prática Recomendada : Proficiência Norma Primária Relacionada 1210 Proficiência Os auditores internos terão de possuir os conhecimentos, técnicas e a competência necessárias para o desempenho da sua responsabilidade individual. A actividade de auditoria interna tem de possuir ou obter, colectivamente, as técnicas e outra competência necessárias para o desempenho das suas responsabilidades. Interpretação: O conhecimento, técnicas e outras competências é um termo colectivo que se refere à proficiência profissional dos auditores internos para que eles possam cumprir com as suas responsabilidades. Os auditores internos são encorajados a demonstrar a sua proficiência obtendo certificações e qualificações profissionais adequadas, tais como a designação de certified internal auditor e outras designações oferecidas pelo The Institute of Internal Auditors e por outras organizações profissionais apropriadas. 1. O conhecimento, técnicas e outras competências referidas na norma incluem: Competência na aplicação das normas de auditoria interna, procedimentos, e técnicas no desempenho do trabalho. Por proficiência entende-se a capacidade de saber aplicar os conhecimentos às situações encontradas e resolvê-las de forma adequada sem recurso extensivo a investigações técnicas e auxílio. Proficiência nos princípios de contabilidade e técnicas quando os auditores internos trabalhem consideravelmente com registos financeiros e relatórios. Conhecimento para identificar os indicadores de fraude. Entendimento dos princípios de gestão para reconhecer e avaliar a materialidade e o significado dos desvios relativamente às boas práticas comerciais. Um entendimento significa a capacidade em aplicar os conhecimentos gerais a situações prováveis de encontrar, para reconhecer desvios significativos e para ser capaz de realizar a investigação necessária à obtenção de soluções razoáveis. Uma compreensão dos fundamentos de disciplinas comerciais tais como contabilidade, economia, legislação comercial, fiscalidade, finanças, métodos quantitativos, tecnologia da informação, gestão do risco e fraude. Uma compreensão significa capacidade para reconhecer a existência de problemas, reais ou potenciais e identificar a pesquisa adicional subsequente a realizar ou o auxílio a obter. Técnicas para se relacionar com pessoas, entendendo as relações humanas e mantendo uma relação satisfatória com os clientes do trabalho.

22 Práticas Recomendadas 22 Técnicas na comunicação verbal e escrita para claramente e eficazmente transmitir os objectivos do trabalho, avaliações, conclusões e recomendações. 2. Devem ser estabelecidos pelo responsável pela auditoria interna (CAE) critérios apropriados de formação e de experiência para o preenchimento dos lugares de auditoria interna, dando consideração ao âmbito do trabalho e nível de responsabilidade, e obtendo razoável garantia quanto à competência e qualificações de cada candidato a auditor. 3. A actividade de auditoria interna necessita de possuir colectivamente os conhecimentos, técnicas e outras competências necessárias à prática da profissão na organização. Uma avaliação anual dos conhecimentos, técnicas e outras competências da actividade de auditoria interna ajuda a identificar áreas de oportunidade que poderão ser abordadas no Continuing Professional Development, recrutamento ou contratação em parceria. 4. O Continuing Professional Development é essencial para permitir que o staff de auditoria interna se mantenha competente. 5. O CAE poderá obter o auxílio de outros técnicos contratados do exterior da actividade de auditoria interna para apoiar ou complementar áreas onde a actividade de auditoria interna não se sinta suficientemente competente. ***

23 Práticas Recomendadas 23 Prática Recomendada 1210.A1-1: A obtenção de Serviços Externos para Apoio ou Complemento da Actividade de Auditoria Interna Norma Primária Relacionada 1210.A1 O responsável pela auditoria tem de obter o aconselhamento e assistência competente, quando os auditores internos carecerem dos conhecimentos, das técnicas e outras competências necessárias para realizar parte ou a totalidade do seu trabalho.. 1. Cada membro da actividade de auditoria interna não necessita de ser qualificado em todas as disciplinas. A actividade de auditoria interna poderá servir-se de consultores, ou de recursos internos qualificados em disciplinas tais como contabilidade, auditoria, economia, finanças, estatística, tecnologia da informação, engenharia, fiscalidade, legislação, questões ambientais e outras áreas, de acordo com as necessidades para satisfazer as responsabilidades da auditoria. 2. Um fornecedor de serviços externos é uma pessoa singular ou empresa, independente da organização, o qual possui um conhecimento especializado, aptidão, e experiência numa disciplina particular. Os fornecedores de serviços externos incluem actuários, contabilistas, avaliadores, peritos em cultura ou idiomas, especialistas de ambiente, investigadores de fraude, advogados, engenheiros, geólogos, especialistas em seguros, técnicos de estatística, especialistas em tecnologia da informação, os auditores externos da organização e outras organizações de auditoria. Um fornecedor de serviços externos poderá ser contratado pelo Conselho, gestores superiores, ou pelo responsável pela auditoria (CAE). 3. Os fornecedores de serviços externos poderão ser aproveitados pela actividade de auditoria interna, em conjunto com, entre outros: Consecução dos objectivos no programa de trabalho delineado. Actividades de auditoria onde sejam necessárias aptidões e conhecimentos especializados, tais como tecnologia de informação, estatística, impostos ou tradução de idiomas. Avaliação de activos tais como terrenos e edifícios, obras de arte, pedras preciosas, investimentos, e instrumentos financeiros complexos. Determinação de quantidades ou condição física de certos activos tais como reservas de minerais e petróleo. Medição de obras concluídas e a concluir em contratos em curso. Investigação de fraude e de segurança.

24 Práticas Recomendadas 24 Determinação de quantidades pelo uso de métodos especializados tais como cálculos actuariais em obrigações assumidas com benefícios sociais a empregados. Interpretação de exigências legais, técnicas e regulamentares. Avaliação do programa de garantia e de melhoria da qualidade da actividade de auditoria interna em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas). Fusões e aquisições. Consultoria em matéria de gestão do risco e outros assuntos. 4. Quando o CAE decidir recrutar e confiar no trabalho de um fornecedor de serviços externos, o CAE necessitará de ter em consideração a competência, independência e objectividade do fornecedor de serviços externos consoante o trabalho específico a realizar. A avaliação da competência, independência e objectividade é também necessária quando o fornecedor de serviços externos for seleccionado pelos gestores superiores ou pelo Conselho, e o CAE tencione utilizar e confiar no trabalho do fornecedor de serviços externos. Quando a selecção for feita por outros e a avaliação feita do CAE determinar que ele ou ela não devem utilizar e confiar no trabalho do fornecedor de serviços externos, então é necessário que a comunicação de tais resultados seja feita aos gestores superiores ou ao Conselho, consoante o caso. 5. O CAE verifica se o fornecedor de serviços externos possui os necessários conhecimentos, aptidão e capacidade para a realização, tendo em atenção o seguinte: Carteira profissional, licença ou outro reconhecimento da competência do fornecedor de serviços externos na disciplina específica. Filiação do fornecedor de serviços externos numa organização profissional adequada e a sua adesão ao código de ética da organização. A reputação do fornecedor de serviços externos. Tal poderá incluir um contacto com outras entidades familiarizadas com o trabalho do fornecedor de serviços externos. A experiência do fornecedor de serviços externos no tipo de trabalho a ser realizado. As qualificações académicas e formação recebida pelo fornecedor de serviços externos nas disciplinas relacionadas com o trabalho específico. Os conhecimentos e experiência do fornecedor de serviços externos, da actividade em que a organização opera. 6. O CAE necessita de avaliar a relação existente entre o fornecedor de serviços externos com a organização e com a actividade de auditoria interna para assegurar que a independência e a objectividade é mantida ao longo do trabalho. Ao efectuar a avaliação, o CAE verifica que não existem relações financeiras, organizacionais ou pessoais que impeçam o fornecedor de serviços externos de submeter um julgamento e opinião imparcial, e sem preconceitos, ao desempenhar ou relatar sobre o trabalho executado. 7. O CAE avalia a independência e objectividade do fornecedor de serviços externos, tendo em atenção o seguinte:

25 Práticas Recomendadas 25 Os interesse financeiro que o fornecedor possa ter na organização. A relação pessoal ou profissional que o fornecedor de serviços externos possa ter perante o Conselho, gestores superiores ou outros dentro da organização. A relação que o fornecedor de serviços externos possa ter tido com a organização ou as actividades a serem analisadas. A extensão de outros trabalhos em curso que o fornecedor de serviços externos possa estar a realizar para a organização. Honorários ou outros incentivos que o fornecedor de serviços externos possa auferir. 8. Quando o fornecedor de serviços externos for também o auditor externo da organização e a natureza da atribuição forem também trabalhos de auditoria alargados, o CAE necessita de assegurar que o trabalho desenvolvido não interfere com a independência do auditor externo. Por trabalhos de auditoria alargados entendem-se serviços tais que se alongam para além dos trabalhos normais de auditoria geralmente aceites pelos auditores externos. Se os auditores externos da organização actuarem ou aparentarem actuar como elementos dos quadros superiores, da gestão, ou como empregados da organização, então a sua independência poderá ser prejudicada. Complementarmente, os auditores externos poderão prestar outros serviços à organização tais como de fiscalidade ou consultoria. A independência necessita de ser avaliada em relação ao âmbito conjunto dos serviços fornecidos à organização. 9. Para verificar se o âmbito do trabalho é adequado para os objectivos da actividade de auditoria interna, o CAE obtém uma informação adequada. Será prudente documentar estes e outros assuntos numa carta de aceitação ou contrato. Para conseguir tal objectivo, o CAE analisa o seguinte com o fornecedor de serviços externos: Os objectivos e o âmbito do trabalho, incluindo os fornecimentos e prazos de entrega. Questões específicas a serem cobertas no relatório a apresentar, quando aplicável. Acesso aos registos importantes, pessoal e activos fixos. Informação relativa a dados assumidos e procedimentos a respeitar. Propriedade e custódia dos papéis de trabalho, quando aplicável. Confidencialidade e restrições quanto à informação obtida durante o trabalho. Quando aplicável, conformidade com as Normas e as regras da prática da actividade de auditoria interna. 10. Ao analisar o trabalho de um fornecedor de serviços externos, o CAE avalia a adequação do trabalho executado, o qual inclui a suficiência da informação obtida. A avaliação deve conter informação suficiente ou proporcionar uma base razoável para garantir um fundamento seguro das conclusões alcançadas e a resolução de excepções ou outras questões invulgares. 11. Quando o CAE emitir um relatório, e tenham sido utilizados serviços de um fornecedor externo, o CAE poderá, conforme apropriado, referir-se a tais serviços fornecidos. O

26 Práticas Recomendadas 26 fornecedor de serviços externos necessita de ser informado e, quando apropriado, obtida a sua anuência, antes de feita tal referência no relatório. ***

27 Práticas Recomendadas 27 Prática Recomendada : Cuidado Profissional Adequado Norma Primária Relacionada 1220 Cuidado profissional adequado Os auditores internos têm de utilizar o cuidado e a técnica que se espera de um auditor interno razoavelmente prudente e competente. Um cuidado profissional adequado não implica infalibilidade. 1. O cuidado profissional adequado apela para a aplicação do cuidado e capacidade esperadas de um auditor interno competente, e razoavelmente prudente, na mesma ou em circunstâncias similares. O cuidado profissional é, por conseguinte, adequado à complexidade da auditoria a realizar. O exercício de cuidado profissional adequado envolve os auditores internos estarem estar de alerta para a possibilidade de fraude, actuações incorrectas intencionais, erros e omissões, ineficiência, desperdício, ineficácia e conflitos de interesse, bem como estarem de alerta para as condições e actividades em que as irregularidades possam ser mais prováveis de ocorrer. Isto envolve os auditores internos poderem identificar os controlos inadequados e recomendar melhoramentos para promover a conformidade com os procedimentos e práticas aceitáveis. 2. O cuidado profissional adequado implica responsabilidade e competência razoáveis, não infalibilidade ou desempenho extraordinário. Como tal, o cuidado profissional adequado requer que o auditor realize análises e verificações numa extensão razoável. Deste modo, os auditores internos não podem fornecer uma garantia absoluta de que não existam irregularidades ou incumprimentos. Todavia, a possibilidade de irregularidades materiais ou de incumprimentos, necessita de ser considerada sempre que o auditor interno empreenda um trabalho de auditoria interna. ***

28 Práticas Recomendadas 28

29 Práticas Recomendadas 29 Prática Recomendada : Formação Profissional Contínua Norma Primária Relacionada 1230 Formação Profissional Contínua Os auditores internos têm de aperfeiçoar os seus conhecimentos, capacidades e outras competências através de um desenvolvimento profissional contínuo. 1. Os auditores internos são responsáveis por dar continuidade à sua formação para melhorar e manter a sua proficiência. Os auditores internos têm de manter-se informados sobre as melhorias e desenvolvimentos correntes incluindo a orientação contida no Enquadramento Internacional de Práticas Profissionais de Auditoria Interna do IIA. A formação profissional contínua (CPE) poderá ser obtida através da filiação, participação e voluntariado em associações profissionais tais como o IIA; participação em conferências, seminários, programas de formação interna, conclusão de cursos universitários e auto-estudo; e através da participação em projectos de investigação. 2. Os auditores internos são encorajados a demonstrar a sua proficiência obtendo uma certificação profissional apropriada, tal como a de Certified Internal Auditor, outras designações oferecidas pelo IIA, e designações adicionais relacionadas com a auditoria interna. 3. Os auditores internos são encorajados a continuar com o CPE (relacionado com as actividades da organização e com industria) para manterem a sua proficiência em relação aos processos de governação, risco e controlo da sua particular organização. 4. Os auditores internos que desempenhem trabalhos especializados de auditoria e de consultoria tais como a tecnologia da informação, impostos, actuário, ou desenho de sistemas poderão empreender um CPE especializado de forma a se capacitarem para o desempenho do seu trabalho de auditoria interna com proficiência. 5. Os auditores internos que detenham certificações profissionais são responsáveis por obter um CPE adequado, para satisfazer os requisitos relacionados com a certificação profissional que detêm. 6. Os auditores internos que não possuam certificações profissionais adequadas, são encorajados a prosseguir com um programa e/ou auto-estudo para obterem a certificação profissional. ***

30 Práticas Recomendadas 30

31 Práticas Recomendadas 31 Prática Recomendada : Programa de Avaliação e Melhoria de Qualidade Norma Primária Relacionada Programa de Avaliação e Melhoria da Qualidade O responsável pela auditoria tem de desenvolver e manter um programa de avaliação e melhoria da qualidade o qual cubra todos os aspectos da actividade de auditoria interna. Interpretação: Um programa de avaliação de garantia e melhoramento de qualidade é concebido para proporcionar uma avaliação da conformidade da actividade de auditoria interna com a Definição de Auditoria Interna e as Normas e uma avaliação do cumprimento pelos auditores internos do Código de Ética. O programa avalia igualmente a eficiência e a eficácia da actividade de auditoria interna e identifica oportunidades para o seu melhoramento. 1. É da competência do responsável pela auditoria (CAE) o estabelecer uma actividade de auditoria interna cujo âmbito do trabalho inclui todas as actividades abrangidas nas Normas e na definição de auditoria interna. Para assegurar tal, a Norma 1300 exige que o CAE desenvolva e mantenha um programa de garantia e melhoria da qualidade (QA&IP) 2. O CAE é responsável pela implementação dos processos destinados a proporcionar uma garantia razoável aos vários stakeholders que a actividade de auditoria interna: É desempenhada de acordo com o estatuto,o qual deve ser consistente com Definição de Auditoria Interna, Código de Ética e as Normas. É exercida de modo eficaz e eficiente. É entendida pelos referidos stakeholders como valor acrescentado e melhoria das operações da organização. Estes processos incluem uma supervisão adequada, avaliações internas periódicas e uma monitorização contínua de garantia de qualidade e de avaliações externas periódicas. 3. O QA&IP necessita de ser suficientemente abrangente para cobrir todos os aspectos operacionais da gestão da actividade de auditoria interna, conforme referido na Definição de Auditoria Interna, no Código de Ética, nas Normas e nas melhores práticas da profissão. O processo do QA&IP é executado por, ou sujeito à supervisão directa do CAE. Exceptuando o caso de actividades de auditoria interna de menor dimensão, o CAE teria de delegar a maior

32 Práticas Recomendadas 32 parte da responsabilidade do QA&IP a subordinados. Em ambientes complexos ou de grande dimensão (caso, por exemplo, em que haja diversas unidade de negócio e/ou locais de funcionamento) o CAE estabelece uma função de QA&IP formal encabeçada por um executivo da auditoria interna independente do segmento de auditoria e de consultoria da actividade de auditoria interna. Tal função independente deve ser dirigida por um executivo da Auditoria Interna. Tal executivo (de staff reduzido) administra e monitoriza estas actividades para um QA&IP de sucesso. ***

33 Práticas Recomendadas 33 Prática Recomendada : Avaliação dos Programas de Qualidade Norma Primária Relacionada 1310 Requisitos do Programa de Avaliação de Qualidade e Melhoramento O Programa de qualidade e melhoramento inclui quer as avaliações internas quer as externas. 1 O programa de avaliação de garantia de qualidade e melhoramento (QAIP) é um processo de efectuar avaliações contínuas e periódicas de todo um espectro de trabalho de auditoria e de consultoria realizado pela actividade de auditoria interna Estas avaliações contínuas e periódicas são compostas de processos rigorosos e abrangentes, supervisões contínuas e testam o trabalho de auditoria interna e de consultoria; e validações periódicas da conformidade com a Definição de Auditoria Interna, do Código de Ética e das Normas. Tal inclui igualmente as medições contínuas e análises métricas do desempenho (ex. realização do plano de auditoria interna, ciclo de tempo, recomendações aceites e a satisfação do cliente). Quando os resultados destas avaliações demonstrarem espaço para melhoria pela actividade de auditoria interna, o responsável pela auditoria interna (CAE) implementará tais melhorias através do QA&IP. 2. As avaliações são feitas com o objectivo de avaliar e concluir sobre a qualidade da actividade de auditoria interna e conduzem a recomendações para a sua melhoria. Os QAIPS incluem uma avaliação do seguinte: Conformidade com a Definição, Código de Éticas e as Normas, incluindo acções correctivas oportunas para remediar quaisquer situações de não conformidade. Adequação do estatuto da actividade de auditoria interna, metas, objectivos, políticas e procedimentos, Contributo prestado à governação, gestão de risco e processos de controlo. Conformidade com as leis aplicáveis, regulamentos e normas governamentais e da actividade, Eficácia das actividades de melhoria contínua e adopção das melhores práticas. Medida em que a actividade de auditoria interna acrescenta valor e contribui para a melhoria da organização 3. Todos os esforços do QA&IP incluem igualmente uma monitorização envolvendo recomendações sobre uma apropriada e oportuna modificação dos recursos, tecnologias, processos e procedimentos.

34 Práticas Recomendadas Para assegurar uma responsabilidade e transparência, o CAE comunicará os resultados do programa de avaliações de qualidade externas, e quando apropriado, das internas, aos diversos stakeholders da actividade, (tais como os gestores superiores, o Conselho e os auditores externos) O CAE deverá relatar aos gestores superiores e ao Conselho, pelo menos uma vez por ano, sobre os esforços do programa de qualidade e os resultados. ***

35 Práticas Recomendadas 35 Prática Recomendada : Avaliações Internas Norma Primária Relacionada 311 Avaliações Internas As avaliações internas têm de incluir: A monitorização contínua do desempenho da actividade de auditoria interna; e Revisões periódicas realizadas através da auto-avaliação ou por outras pessoas da organização, com conhecimento adequado das práticas de auditoria interna. Interpretação: A monitorização contínua faz parte integrante da supervisão do dia-a-dia, revisão, e medição da actividade de auditoria interna. A monitorização contínua é incorporada nas políticas e práticas de rotina utilizadas pela gestão para avaliar a conformidade com a Definição de Auditoria Interna, do Código de Ética e das Normas. As revisões periódicas são avaliações feitas para verificar a conformidade com a Definição de auditoria Interna, do Código de Ética e das Normas. Um conhecimento adequado de práticas de auditoria interna requer pelo menos um entendimento de todos os elementos do Enquadramento Internacional de Práticas Profissionais. 1. Os processos e os instrumentos utilizados numa avaliação interna contínua incluem: Supervisão do trabalho Se os checklists e procedimentos (por exemplo: num manual de auditoria e de procedimentos, estão a ser seguidos. Feedback dos clientes de auditoria e de outros stakeholders, Análises feitas por colegas, dos papéis de trabalho, com staff não envolvido nas respectivas auditorias. Orçamentos de projectos, sistemas de verificação dos tempos gastos, conclusão do plano de auditoria, e recuperação de custos. e/ou Análise de outros desempenhos métricos (tais como ciclos de tempo e recomendações aceites) 2. As conclusões são obtidas quanto à qualidade do desempenho contínuo e é feito um followup, para assegurar que foram implementados os procedimentos adequados.

36 Práticas Recomendadas O Quality Assessment Manual do IIA ou outro conjunto de orientações similares deve ser utilizado como base para avaliações internas periódicas. 4. As avaliações periódicas internas poderão: Incluir entrevistas mais aprofundadas e sondagens feitas aos stakeholders, Serem realizadas pelos membros da actividade de auditoria interna (auto-avaliação) Serem realizadas por Auditores Internos Certificados (CIAs), ou por outros profissionais competentes de auditoria, destacados algures da organização. Abranger uma combinação de auto-avaliação e preparação de materiais subsequentemente revistos por CIAs, ou por outros profissionais competentes de auditoria, Incluir um benchmarking das práticas da actividade de auditoria interna e métricas de desempenho em comparação com as melhores práticas da profissão de auditoria interna. 1 Uma avaliação interna periódica, realizada num curto espaço de tempo antecedendo uma avaliação externa, poderá facilitar e reduzir o custo de uma avaliação externa. Caso a avaliação seja desempenhada por um revisor externo qualificado e independente ou por uma equipa de revisores, os resultados da avaliação não deverão relatar quaisquer garantias sobre os resultados da avaliação externa subsequente. O relatório poderá oferecer sugestões e recomendações para melhorar as práticas da actividade de auditoria interna. Caso a avaliação externa tome a forma de auto avaliação com validação independente as avaliações internas periódicas poderão servir como parte deste processo de auto avaliação. 2 São obtidas conclusões quanto à qualidade do desempenho e iniciada uma acção adequada para alcançar melhorias e conformidade com as Normas, conforme necessário. 7 O CAE estabelece uma estrutura de reporte dos resultados das avaliações internas periódicas, que mantenha uma credibilidade adequada e objectividade. Normalmente, aqueles a quem foi confiada a responsabilidade de efectuar revisões contínuas e periódicas reportam ao CAE na fase da execução das revisões e comunicam os resultados directamente ao CAE. 8 O CAE reporta, pelo menos uma vez em cada, os resultados das avaliações internas, os planos de acção necessários e o sucesso da sua implementação aos gestores superiores e ao Conselho. ***

37 Práticas Recomendadas 37 Prática Recomendada : Avaliações Externas Norma Primária Relacionada 1312 Avaliações Externas As avaliações externas têm de ser feitas pelo menos uma vez em cada cinco anos por um revisor qualificado e independente, ou equipa de revisores do exterior da organização. O responsável pela auditoria interna tem de discutir com o Conselho: A necessidade de avaliações externas frequentes, e As qualificações e independência do revisor externo ou da equipa de revisores, incluindo quaisquer conflitos de interesse. Interpretação: Um revisor qualificado ou equipa de revisores consiste de indivíduos que são competentes na prática da profissão de auditoria interna e no processo de avaliação externa. A avaliação da competência do revisor e da equipa de revisores é um juízo que considera a experiência profissional de auditoria interna e as credenciais profissionais dos indivíduos seleccionados para realizar a avaliação. A avaliação das qualificações considera igualmente a dimensão e complexidade das organizações às quais os revisores estiveram associados em relação à organização para a qual a actividade de auditoria interna é solicitada a ser avaliada, bem como a necessidade de conhecimentos do sector, industria ou técnica específicos. Um revisor independente ou equipa de revisores significa que não tenha um conflito de interesses real ou aparente e não faça parte de, ou esteja sob controlo da organização à qual a actividade de auditoria interna pertence. 1 As avaliações externas cobrem um espectro inteiro de trabalho de auditoria e de consultoria realizado pela actividade de auditoria interna e não deverá ser limitado a avaliar o QAIP. Para alcançar o máximo benefício de uma avaliação externa, o âmbito do trabalho deverá incluir o benchmarking, a identificação, e o reporte das práticas essenciais que poderiam assistir a actividade de auditoria interna em se tornar mais eficaz e/ou mais efectiva. Tal poderá ser conseguido através de uma revisão externa completa, feita por um revisor externo qualificado ou por uma equipa de revisores ou por uma auto avaliação interna abrangente com validação independente feita por um revisor externo independente ou equipa de revisores. Contudo, deverá o CAE assegurar que o âmbito especifique claramente quais os objectivos esperados que uma avaliação externa deverá fornecer em cada caso. 2 As avaliações externas de uma actividade de auditoria interna contêm uma opinião expressa quanto ao espectro integral do trabalho de garantia e de consultoria realizado (ou que deveria

38 Práticas Recomendadas 38 ser realizado com base no estatuto de auditoria interna) pela actividade de auditoria interna, incluindo a sua conformidade com a Definição de Auditoria Interna, Código de Ética e as Normas, e, conforme apropriado, incluir recomendações para o seu melhoramento. Aparte a conformidade com a Definição de Auditoria Interna, com o Código de Ética e com as Normas, o âmbito do trabalho é ajustado consoante o arbítrio do CAE, dos gestores superiores ou do Conselho. Tais avaliações poderão ter um valor considerável para o CAE e para os outros membros da actividade de auditoria interna, especialmente quando o benchmarking e as melhores práticas são compartilhados. 3 Ao concluir a revisão deverá ser apresentada aos gestores superiores e ao Conselho uma comunicação formal. 4 Existem duas abordagens às avaliações externas. A primeira abordagem é uma extensa avaliação externa conduzida por ou revisor externo qualificado e independente ou equipa de revisores. Esta abordagem envolve uma equipa externa de profissionais competentes sob a liderança de um gestor de projectos experiente e profissional. A segunda abordagem envolve a utilização de um revisor externo qualificado e independente ou equipa de revisão para conduzir uma validação independente da auto-avaliação interna e um relatório completado pela actividade de auditoria interna. Os revisores externos independentes deverão ser bem versados na condução das práticas fundamentais de auditoria interna. 5 Os indivíduos que efectuam avaliações externas são livres de qualquer obrigação ou interesse para com a organização cuja actividade de auditoria interna está a ser submetida à avaliação externa ou para com o pessoal de tal organização. Questões particulares relativas à independência, são objecto de consideração do CAE em consulta com o Conselho, na selecção de um revisor externo qualificado e independente ou equipa de revisores, as quais incluem: Quaisquer conflitos de interesse aparentes ou reais de empresas que fornecem: A auditoria externa de demonstrações financeiras. Serviços de consultoria relevantes nas áreas de governação, gestão de risco, relatórios financeiros, controlo interno e outras áreas relacionadas. Assistência à actividade de auditoria interna. A relevância e a dimensão do trabalho desenvolvido pelo fornecedor dos serviços especializados é para ser considerada na deliberação. Quaisquer conflitos de interesse reais ou aparentes relacionados com anteriores empregados da organização que se disponibilizariam para efectuar o trabalho. Deverá ser dada consideração ao período de tempo em que o indivíduo esteve independente da organização. Os indivíduos que efectuarem a avaliação são independentes da organização cuja actividade de auditoria interna é sujeita à avaliação não têem ter quaisquer conflitos reais ou aparentes. Por independente da organização significa que não faz parte de ou que não está sob controlo da organização à qual a actividade de auditoria interna pertence. Na selecção de um revisor qualificado e independente ou de uma equipa de revisão, é para

39 Práticas Recomendadas 39 ser dada consideração a qualquer conflito de interesse real ou aparente que o revisor possa ter devido ao relacionamento passado ou presente com a organização ou com a actividade de auditoria interna, incluindo a participação do revisor nas avaliações de qualidade interna. Os indivíduos de outros departamentos da organização em questão ou noutra organização relacionada, não obstante estarem separados da actividade de auditoria interna, não são considerados como independentes para efeito de conduzirem uma avaliação externa. Uma organização relacionada poderá ser uma organização mãe; uma afiliada no mesmo grupo de entidades; ou uma entidade com fins de orientação regular, supervisão, ou responsabilidade de garantia de qualidade em relação à entidade em questão. Conflitos reais ou aparentes envolvendo acordos paritários. Os acordos paritários envolvendo três ou mais organizações (por exemplo dentro da mesma indústria ou de outro grupo com afinidades, associações regionais ou outro grupo de organizações excepto as que foram excluídas no ponto anterior) poderão ser estruturadas de forma a aliviarem as preocupações de independência, mas haverá cuidado de forma a assegurar que não se ponha em causa a questão da independência. As revisões paritárias entre duas organizações não passariam o teste de independência. Para ultrapassar as preocupações quanto à aparência da realidade de impedimento à independência em casos tais como os que foram abordados nesta secção, um ou mais indivíduos poderiam fazer parte da equipa de avaliação externa para validarem de forma independente o trabalho realizado por essa equipa de avaliação externa. 6. A integridade exige que o(s) revisor(es) sejam honestos e sinceros dentro dos constrangimentos da confidencialidade. O sentido de serviço e da confiança depositada não deverão subordinar-se a ganhos e vantagens pessoais. A objectividade é uma atitude mental e uma qualidade que imprime valor aos serviços do(s) revisor(es). O princípio da objectividade impõe a obrigação de ser imparcial, mentalmente honesto, e livre de conflitos de interesse. 7. O desempenho e a comunicação dos resultados de uma avaliação externa requer o exercício de um juízo profissional. Por conseguinte, um indivíduo actuando como um revisor deve: Ser um auditor interno profissional competente e certificado, que possua um conhecimento aprofundado das Normas. Ser muito versado nas melhores práticas da profissão. Ter, pelo menos, três anos de experiência recente na prática de auditoria interna ou de consultoria relacionada a nível da gestão. Os dirigentes de equipas de revisão independente e os revisores externos que efectuem uma validação dos resultados da auto avaliação deverão possuir um nível adicional de competência e experiência adquirida em anteriores equipas de avaliações externas de qualidade, de terem completado um curso de avaliação de qualidade do The IIA ou equivalente, ou de experiência como CAE ou de gestão superior de auditoria interna comparável.