IPPF Guia Prático A Interação com o Conselho. Índice

Transcrição

1

2 Índice Sumário Executivo... 1 Introdução Propósito, Autoridade e Responsabilidade... 1 A Relação da Auditoria Interna com o Conselho... 3 A. Comunicação Frequente com os Membros do Conselho entre as Reuniões... 3 B. Comunicando Questões Sensíveis... 4 C. Considerações Internacionais e sobre a Indústria... 5 D. Rotatividade do DEA... 5 A Comunicação por meio de um Plano de Auditoria com Base em Riscos... 5 O Reporte do Conselho... 6 A. Áreas de Foco Principal... 6 B. Sistema de Controle Interno... 7 C. Status do Plano de Auditoria e dos Recursos de Auditoria... 7 D. Distribuição dos Relatórios de Auditoria... 7 E. Fraude/Investigações... 8 F. Questões de Auditoria Aberta... 8 G. Avaliações de Qualidade... 8 H. Oportunidades de Educação do Conselho... 8 Administração e Coordenação das Atividades do Conselho... 9 Este Guia Prático foi traduzido com o apoio de: / B

3 Sumário Executivo Os conselhos e os auditores internos têm objetivos entrelaçados. Uma relação de trabalho forte entre os dois é essencial para que a atividade de auditoria interna cumpra com suas responsabilidades, não apenas para com o conselho, mas também para com a alta administração, acionistas e demais partes interessadas, conforme for apropriado. O Diretor Executivo de Auditoria (DEA) reporta frequentemente ao conselho diretamente, dependendo da estrutura de governança da organização. Uma atividade de auditoria interna eficaz provê ao conselho avaliação e sugestões de oportunidades de melhoria com relação à governança, gerenciamento de riscos e controles internos da organização. É valido dizer, que as responsabilidades do conselho englobam atividades que vão além do escopo deste guia. Há várias atividades, desempenhadas principalmente pelo DEA, que são primordiais para um bom relacionamento entre o conselho e a atividade de auditoria interna: Manter uma comunicação eficaz com o conselho e com o presidente, incluindo a comunicação aberta e honesta com o conselho. Desenvolver um plano de auditoria baseado em riscos, que seja adequado aos objetivos relevantes do estatuto do conselho, e comunicar o desempenho da atividade de auditoria interna com relação a este plano. Reportar formal e informalmente ao conselho, de forma regular e oportuna. Auxiliar o conselho a garantir que seu estatuto, atividades e processos sejam apropriados, para cumprir com suas responsabilidades. Garantir que o estatuto, o papel e as atividades da auditoria interna sejam claramente compreendidos e sensíveis às necessidades do conselho. Auxiliar o conselho a entender as mudanças no ambiente regulatório e de negócios, com relação a governança, gerenciamento de riscos, compliance e controles internos. Introdução O propósito deste guia prático é auxiliar o diretor executivo de auditoria (DEA) a cumprir com os requisitos da Estrutura Internacional de Práticas Profissionais (IPPF), relacionados com a interação e a comunicação com o conselho. O Glossário da IPPF define o conselho como um corpo diretivo da organização, como: conselho de diretores, conselho de supervisão, o responsável por uma agência ou corpo legislativo, conselho de gestores ou curadores de uma organização sem fins lucrativos ou qualquer outro corpo nomeado na organização, incluindo o comitê de auditoria, a quem o diretor executivo de auditoria pode funcionalmente reportar. O IPPF delineia as seguintes Normas Internacionais para Prática Profissional de Auditoria Interna (Normas), os Guias Práticos e as Orientações Práticas, relacionados à interação e comunicação com o conselho: 1000 Propósito, Autoridade e Responsabilidade O propósito, a autoridade e a responsabilidade da atividade de auditoria interna devem estar formalmente definidos em um estatuto de auditoria consistente com a Definição de Auditoria Interna, com o Código de Ética e com as Normas. O diretor executivo de auditoria deve revisar periodicamente o estatuto de auditoria interna e submetê-lo à alta administração e ao conselho para aprovação Independência e Objetividade A atividade de auditoria interna deve ser independente e os auditores internos devem ser objetivos ao executar seus trabalhos Independência Organizacional O diretor executivo de auditoria deve reportar a um nível dentro da organização que permita à atividade Este Guia Prático foi traduzido com o apoio de: / 1

4 de auditoria interna cumprir com suas responsabilidades. O diretor executivo de auditoria deve confirmar junto ao conselho, pelo menos anualmente, a independência organizacional da atividade de auditoria interna Interação Direta com o Conselho O diretor executivo de auditoria deve se comunicar e interagir diretamente com o conselho. Guia Prático: Diretor Executivo de Auditoria Indicação, Avaliação de Desempenho e Demissão (em inglês, Chief Audit Executive Appointment, Performance Evaluation and Termination) O DEA terá um alto grau de interação com a alta administração e com o conselho e, portanto, precisa demonstrar os atributos e as habilidades adequadas para o cargo. 1300/1310 Programa de Garantia da Qualidade e Melhoria O diretor executivo de auditoria deve desenvolver e manter um programa de garantia da qualidade e melhoria que compreenda todos os aspectos da atividade de auditoria interna. O programa de melhoria e certificação de qualidade deve incluir tanto avaliações internas quanto externas Comunicação e Aprovação O DEA deve comunicar o planejamento da atividade de auditoria interna e os requisitos de recursos, incluindo alterações interinas significativas, à alta administração e ao conselho para revisão e aprovação. O DEA deve também comunicar o impacto das limitações de recursos. Orientação Prática Comunicação e Aprovação 1. O DEA submeterá anualmente à alta administração e ao conselho, para revisão e aprovação, o sumário do planejamento de auditoria interna, o cronograma de trabalho, o plano de estruturação de equipe e o orçamento financeiro. Este sumário informará a alta administração e o conselho sobre o escopo do trabalho de auditoria interna e sobre quaisquer limitações deste escopo. O DEA também submeterá todas as mudanças interinas significantes para aprovação e informação. 2. O cronograma do trabalho de auditoria, o plano de estruturação da equipe e o orçamento financeiro (todos aprovados), em conjunto com todas as mudanças interinas relevantes, deverão conter informações suficientes para permitir que a alta administração e o conselho se certifiquem de que o planejamento e os objetivos da atividade de auditoria interna dão suporte aos objetivos e ao planejamento da organização e que estão também consistentes com o estatuto de auditoria interna. Norma 2060 Reporte à Alta Administração e ao Conselho O DEA deve reportar periodicamente à alta administração e ao conselho sobre o propósito, a autoridade e a responsabilidade da atividade de auditoria interna e o desempenho em relação ao seu planejamento. Os reportes devem também incluir a exposição a riscos significantes e questões de controles, incluindo os riscos de fraude, os assuntos de governança e outros assuntos necessários ou solicitados pela alta administração e pelo conselho. Orientação Prática Reporte à Alta Administração e ao Conselho A frequência e o conteúdo do reporte são determinados em discussões com a alta administração e com o conselho, e dependem da importância da informação a ser comunicada e da urgência das ações a serem tomadas pela alta administração ou pelo conselho. Este Guia Prático foi traduzido com o apoio de: / 2

5 2420 Qualidade das Comunicações As comunicações devem ser precisas, objetivas, claras, concisas, construtivas, completas e oportunas. Orientação Prática Qualidade das Comunicações 1. Colete, avalie e resuma dados e evidências com cuidado e precisão. 2. Extraia e expresse observações, conclusões e recomendações sem preconceito, partidarismo, interesses pessoais ou influência indevida de outros. 3. Melhore a clareza, evitando linguajar técnico desnecessário e fornecendo, em contexto, todas as informações significantes e relevantes. 4. Desenvolva as comunicações com o objetivo de tornar cada elemento significante, mas sucinto. 5. Adote tons e conteúdos úteis, positivos e bem intencionados, que foquem nos objetivos da organização. 6. Garanta que a comunicação seja consistente com o estilo e a cultura da organização. 7. Planeje a duração da apresentação dos resultados do trabalho, para evitar atrasos indevidos Divulgação dos Resultados O DEA deve comunicar os resultados às partes apropriadas. Orientação Prática Comunicação de Informações Delicadas Dentro ou Fora da Cadeia de Comando Uma vez que o auditor interno tenha julgado as novas informações substanciais e confiáveis, ele ou ela comunicaria normalmente a informação de forma oportuna à alta administração e ao conselho. A Relação da Auditoria Interna com o Conselho Uma relação forte entre a auditoria interna e o conselho amplia a capacidade da atividade de auditoria interna em atingir os objetivos definidos no estatuto de auditoria. O DEA geralmente é o principal condutor do desenvolvimento e da manutenção deste relacionamento; no entanto, outros membros da atividade de auditoria interna também podem contribuir, participando de reuniões do conselho e preparando materiais para o conselho. Além disso, a atividade de auditoria interna contribui para este relacionamento ao executar precisa e profissionalmente seus projetos e ao analisar seus resultados. Um relacionamento forte é baseado em confiança e credibilidade, que devem crescer e se fortalecer por meio de interações e comunicações oportunas e relevantes. O DEA e o conselho devem estabelecer um entendimento claro das expectativas da atividade de auditoria interna. Essas expectativas são apresentadas formalmente nos planos anuais e nos estatutos do conselho e da atividade de auditoria interna, que devem ser revisados e aprovados periodicamente. A maioria dos conselhos tem expectativas adicionais que evoluem com base no desempenho da organização, nas tendências da indústria e nas perspectivas de cada membro do conselho. O DEA deve compreender essas expectativas, para que ele possa dar os passos apropriados para corresponder a elas. As tarefas e responsabilidades de um DEA variam de uma organização para a outra, dependendo da estrutura de governança da organização e na natureza da relação de reporte funcional ao conselho. A. Comunicação Frequente com os Membros do Conselho entre as Reuniões Comunicações claras, relevantes e frequentes entre o DEA e os membros do conselho são essenciais. Devido à complexidade e importância dos riscos relacionados aos negócios de hoje, discussões Este Guia Prático foi traduzido com o apoio de: / 3

6 frequentes com o presidente e outros membros do conselho podem complementar as reuniões e comunicações formais. Dependendo das organizações e indivíduos envolvidos, pode ser melhor que as comunicações sigam um protocolo predeterminado, como: Reuniões regulares com membros individuais do conselho, com uma pauta predefinida. Reuniões mais frequentes entre o presidente do conselho e o DEA, dependendo das questões com as quais a organização estiver lidando e das preferências do presidente. Comunicações periódicas sobre questões relevantes. Em muitas organizações, a relação entre o DEA e os membros do conselho é muito coesa, o que tende a levar a mais comunicações ad-hoc não apenas sobre questões críticas, mas também sobre questões menos urgentes. Muitos DEAs consideram a interação com os membros do conselho, principalmente sobre problemas rotineiros do negócio, útil para a construção de uma relação de aconselhamento confiável e para manter a consciência sobre o que está acontecendo na organização. As diretrizes básicas das comunicações, independente do meio usado, incluem: Certifique-se de que a informação é oportuna, relevante, baseada em fatos, balanceada, objetiva e completa. Considere a formalidade e o tom das comunicações para garantir que sejam apropriados. Evite fazer comentários presumidos, sem fatos suficientes. Considere as repercussões que comentários sobre fraquezas nos controles ou outras falhas de gestão podem criar. Documente as comunicações se necessário, por motivos profissionais ou de negócios. Não espere até que haja a necessidade de abordar uma questão sensível ou contenciosa para começar a estabelecer um relacionamento forte com o conselho. Gerencie potenciais conflitos entre o conselho e a gestão de acordo com as responsabilidades estabelecidas no estatuto de auditoria interna. A Norma 2420 Qualidade das Comunicações e a Prática Recomendada relacionada Qualidade das Comunicações fornecem orientação para uma boa comunicação com o conselho, seja em uma situação de reunião formal ou de reunião menos formal, cara a cara. B. Comunicando Questões Sensíveis A necessidade de lidar com questões sensíveis, como uma falha da alta administração na gestão do risco estratégico e/ou operacional, assim como comportamentos e atitudes eticamente questionáveis (incluindo fraude) pode surgir a qualquer momento. Consequentemente, o DEA deve ter habilidades de comunicação escrita e oral altamente desenvolvidas para transmitir informações para todas as partes interessadas de forma oportuna e apropriada. A comunicação eficaz de questões sensíveis depende do estabelecimento de canais de comunicação formal e informal e de relacionamentos fortes, baseados em confiança e credibilidade, com os membros da gerência e do conselho. Dependendo dos fatos e circunstâncias da questão sensível, o DEA deve considerar consultar os principais membros da gerência, como o conselheiro geral (chefe do departamento jurídico). As seguintes diretrizes básicas devem ser consideradas: Fatos e detalhes estão disponíveis e documentados. Descobertas podem ser verificadas e opiniões e conjecturas são claramente articuladas como tal. As comunicações são oportunas e urgentes (e verdadeiramente de natureza sensível). O DEA pode enfrentar uma situação em que a gerência tente atrasar o reporte de uma questão, deixe de lado alguns ou todos os elementos críticos Este Guia Prático foi traduzido com o apoio de: / 4

7 ou discorde que a questão deva ser reportada ao conselho. O DEA deve considerar cuidadosamente a importância de tais questões e determinar até que ponto a questão deve ser levantada. O DEA também deve considerar suas obrigações com respeito ao Código de Ética do IIA, ao estatuto de auditoria interna, ao código de conduta da organização e leis e regras aplicáveis. Quando for determinado que uma questão sensível deva ser levantada, é essencial que o DEA se comunique diretamente com o presidente do conselho ou autoridade semelhante da estrutura de governança. A comunicação, principalmente de questões importantes ou sensíveis, é melhor conduzida quando baseada em um relacionamento profissional e de confiança com o presidente e outros membros do conselho. O DEA deve reconhecer que discussões formais ou informações a respeito de questões sensíveis com indivíduos que não o presidente podem prejudicar a credibilidade do DEA aos olhos do presidente e indiretamente aos olhos de outros membros do conselho e da administração. Orientação Prática Comunicação de Informações Delicadas Dentro e Fora da Cadeia de Comando fornece orientações adicionais. C. Considerações Internacionais e sobre a Indústria As estruturas de governança e de propriedade diferem de um país para o outro e entre indústrias. Em alguns países, há um sistema de conselho de dois níveis, que se dividem entre a função de supervisão (conselho de supervisão) e de gestão operante (conselho de gestão). Nesses casos, a atividade de auditoria interna pode não reportar diretamente ao conselho, mas ao proprietário ou até à alta administração, como o diretor executivo, diretor financeiro ou o diretor operacional. Embora as estruturas organizacionais possam variar, os princípios e práticas delineadas neste Guia Prático ainda são relevantes. A maioria das vezes em que o termo conselho for utilizado neste guia prático, interprete-o como o executivo a quem o DEA reporta (disciplinar/administrativamente). Além disso, deve haver uma relação subordinação definida pelo conselho de supervisão. Na maioria dos casos, o comitê de auditoria é o subcomitê do conselho de supervisão. O reporte ao comitê de auditoria deve ser coordenado com o executivo a quem o DEA reporta (se não for o diretor executivo) e com o diretor executivo. O DEA deve garantir que a atividade de auditoria interna esteja coordenada apropriadamente com outras funções internas também, como conformidade regulatória, jurídico, recursos humanos, segurança e outras. D. Rotatividade do DEA O conselho supervisiona a rotatividade do DEA, quando não tem a responsabilidade de aprovar/direcionar a saída do DEA e a contratação de um substituto. O papel do conselho, nesta atividade, ajuda a garantir a independência do DEA e a garantir que ele ou ela tenha as competências necessárias para o cargo. Quando indicado inicialmente para este cargo, ou deixando o mesmo, o DEA deve trabalhar em conjunto com o conselho para garantir a transparência completa com relação aos motivos para esta mudança. O Guia Prático: Diretor Executivo de Auditoria Indicação, Avaliação de Desempenho e Demissão fornece orientações adicionais. A Comunicação por meio de um Plano de Auditoria com Base em Riscos Um dos aspectos mais importantes da interação com o conselho é passar a confiança de que a atividade de auditoria interna está inteiramente comprometida com a alta administração, alertar sobre os riscos emergentes e de que a atividade possui um plano de Este Guia Prático foi traduzido com o apoio de: / 5

8 auditoria que demonstra como a Auditoria Interna está auxiliando o conselho em cumprir com suas responsabilidades de supervisão do gerenciamento de riscos, compliance e controles internos. Um plano de auditoria pode ser uma estrutura e um mecanismo de comunicação com o conselho, já que o DEA deve fornecer atualizações regulares sobre seu trabalho e o status do plano de auditoria. O conselho deve aprovar o plano de auditoria e contribuir para o seu desenvolvimento. O DEA deve utilizar técnicas de avaliação de riscos no desenvolvimento do plano da atividade de auditoria interna e na determinação das prioridades para a alocação dos recursos de auditoria interna. A avaliação de riscos é utilizada para selecionar áreas a serem incluídas no plano da atividade de auditoria interna. Além disso, o DEA deve buscar orientação sobre o que o conselho e a organização consideram importantes para auxiliar na avaliação de riscos, na priorização de projetos e na alocação dos recursos de auditoria. Uma parte significante no estabelecimento das bases para a preparação de um plano de auditoria baseado em riscos é ter um entendimento do apetite ao risco das principais partes interessadas geralmente o conselho e a alta administração. O apetite ao risco é o nível de risco que as partes interessadas estão dispostas a aceitar ao longo da condução dos negócios. É um fator chave no desenvolvimento de um plano de auditoria baseado em riscos. Um bom modo para se entender o apetite ao risco é através da revisão da filosofia de gerenciamento de riscos da empresa; por meio de debates com o grupo responsável pelo gerenciamento de riscos, o conselho e a alta administração; e, com respeito ao risco de demonstrações financeiras, por meio de reuniões com o diretor financeiro e com o auditor externo. O DEA reúne esses dados, desenvolve o plano de auditoria e apresenta o plano de auditoria proposto à gerência para revisão e ao conselho para aprovação. Regularmente - por exemplo, trimestralmente -, discussões breves com o conselho sobre temas de riscos, sua relevância contínua e sobre riscos emergentes devem ser conduzidas. Uma revisão/ atualização do plano de auditoria pode ser necessária para garantir que ele continue a incluir os riscos mais relevantes. O conselho também deve entender quais riscos significantes não são abordados e se recursos suficientes estão disponíveis para cumprir com os requisitos. Em suma, o conselho precisa entender como a Auditoria Interna está auxiliando o conselho a cumprir com suas responsabilidades. Para mais informações sobre a inserção do Gerenciamento de Riscos da Organização (Enterprise Risk Management ERM) no processo de planejamento de auditoria, veja a Orientação Prática : Usando o Processo de Gerenciamento de Riscos no Planejamento de Auditoria Interna (julho de 2009) e a Orientação Prática : Mapas de Avaliação (julho de 2009). O Reporte do Conselho O conselho, como todos, tem tempo limitado e responsabilidades crescentes. A comunicação do DEA, folhetos e relatórios devem ser focados em riscos. Uma boa diretriz para interagir com o conselho é entender quais são seus interesses e estabelecer expectativas de reportar sobre essas áreas excepcionalmente. Além disso, os requisitos de reporte do estatuto da auditoria interna devem ser considerados. Para reuniões formais com o conselho, todas as partes podem se beneficiar se os materiais de leitura forem relevantes, completos e baseados em riscos, deixando mais tempo de debate para os itens ou questões significantes. Listados abaixo estão as áreas a serem consideradas para comunicações formais com o conselho. A. Áreas de Foco Principal As áreas de foco principal são uma combinação das questões críticas que chamam a atenção do conselho Este Guia Prático foi traduzido com o apoio de: / 6

9 como os temas de riscos estabelecidos durante o planejamento de auditoria, quaisquer temas de riscos que surjam durante o ano e questões relacionadas a tarefas especiais. O DEA deve garantir que as comunicações estejam calibradas apropriadamente para permitir que o conselho entenda a severidade ou importância das questões. O conselho deve ser mantido atualizado sobre o que tem sido feito: resultados até o momento, planos de melhoria, progresso em comparação com planos de melhoria, avaliação atual da área de risco e o que foi planejado para todas as áreas/temas principais. Embora este documento defenda o reporte limitado ao conselho de itens significantes e excepcionais, o conselho precisa estar atualizado sobre o que está havendo na organização, mesmo em áreas de menor risco. A tendência atual em desenvolvimento pode ser a questão de risco emergente de amanhã. A análise de tendências dos resultados de auditoria pode, frequentemente, revelar áreas onde a atenção da gerência seja necessária e uma pequena mudança de ênfase pode impedir uma tendência de se tornar uma questão emergente. B. Sistema de Controle Interno Uma das métricas fundamentais sobre a solidez de uma organização é a maturidade e eficiência de seu sistema de controles internos. Assim como as tendências, a análise e opinião da auditoria interna sobre o sistema de controles internos e suas ideias a respeito podem servir tanto para manter o conselho informado quanto para incentivar a gerência a rascunhar e implementar melhorias. É especialmente importante para a gerência, por meio de atividades eficientes de monitoramento, garantir que o sistema de controles internos continue operando eficientemente ao longo do tempo. A auditoria interna deve reportar ao conselho sobre a eficiência das atividades de monitoramento conduzidas pela gerência. O DEA deve compreender caso o conselho valorize uma opinião a respeito de governança, gerenciamento de riscos e controles internos e sobre o escopo de trabalho necessário para realizar tal avaliação. C. Status do Plano de Auditoria e dos Recursos de Auditoria O DEA deve discutir o status do plano de auditoria com o conselho regularmente. O DEA deve informar o conselho sobre as mudanças no planejamento de auditoria e no raciocínio que o fundamenta. O DEA e o conselho devem chegar a um acordo sobre as mudanças no planejamento e o protocolo para aprovação do conselho para tais mudanças. Geralmente, devem ser esperadas mudanças no plano de auditoria, dependendo da dinâmica de cada organização e das mudanças na indústria e do ambiente de operação. O plano de auditoria pode contemplar a participação da auditoria interna nas iniciativas da organização, em um sentido de orientação e consultoria. Nesses casos, o conselho deve estar ciente do escopo desses projetos e o DEA deve determinar o conteúdo mais apropriado para o reporte ao conselho. Tal reporte deve mencionar a natureza desses serviços no contexto do estatuto da auditoria interna e do impacto na independência e na objetividade. O DEA também deve discutir a capacidade da atividade de auditoria interna de completar o plano de auditoria, incluindo se a auditoria interna tem os recursos apropriados e se a gerência impôs quaisquer limitações de escopo ao trabalho dos auditores internos. Além disso, o DEA deve disponibilizar ao conselho as qualificações do pessoal de auditoria, para que possam avaliar se os recursos adequados foram alocados à atividade. D. Distribuição dos Relatórios de Auditoria A decisão de distribuir os relatórios de auditoria ao conselho depende das preferências do mesmo. O DEA deve, no entanto, explicar ao conselho o escopo e as descobertas da auditoria realizada. Isto pode ser feito por meio da entrega dos relatórios de auditoria, de um sumário executivo de cada auditoria ou de um sumário das descobertas periodicamente. Este Guia Prático foi traduzido com o apoio de: / 7

10 O DEA deve considerar a colaboração da alta administração e consultar o conselho para determinar a abordagem mais apropriada para disponibilizar essas informações. E. Fraude/Investigações Fraudes/Investigações são, frequentemente, da responsabilidade da atividade de auditoria interna. Em tal situação, a auditoria interna deve trazer ao conselho fraudes/investigações de natureza significante ou aquelas que envolvam funcionários críticos à estrutura de controle. O DEA deve entender as expectativas do conselho a respeito dos tipos de investigações e da extensão das informações que devem ser comunicadas. O conselho deve estar ciente (assim como nas Áreas de Foco Principal) da natureza de um incidente em potencial, do que está sendo feito para investigar e entender o impacto do incidente e, no final das contas, o que permitiu que ele ocorresse, planos de ação corretiva e progresso da implementação, e ações disciplinares. F. Questões de Auditoria Aberta Embora a gerência normalmente seja responsável por resolver questões, de acordo com a Norma 2500 do IIA Monitoramento do Progresso, a atividade de auditoria interna deve monitorar a resolução de questões de auditoria aberta. As questões significantes de auditoria aberta que não se esperem resolver dentro do prazo, ou que estão atrasadas, devem ser reportadas ao conselho com um plano de recuperação e uma análise sobre a viabilidade deste plano. Reuniões futuras devem incluir um relatório de monitoramento do progresso do plano de melhoria. G. Avaliações de Qualidade A atividade de auditoria interna deve desenvolver um programa de avaliação interna apropriado e deve identificar os Indicadores Chave de Desempenho (Key Performance Indicators KPIs). Os KPIs da atividade de auditoria interna compõem uma plataforma para discutir questões relacionadas à atividade e possivelmente ganhar o apoio do conselho para conduzir as mudanças necessárias. O estabelecimento dos KPIs deve ser feito em um grupo que inclua a alta administração, assim como o conselho, e deve haver um consenso de que os KPIs escolhidos são significantes e apropriados. Além de conduzir a discussão sobre as questões relacionadas ao departamento, KPIs são relevantes na avaliação do desempenho do DEA. Uma vez que o conselho compreender e concordar com os KPIs, o reporte frequente do real em comparação com o desempenho desejado, com explicações detalhadas, será necessário. Em casos em que os KPIs relevantes não possam ser atingidos, uma notificação oportuna ao conselho deve ser preparada, incluindo: Tipo de indicador de desempenho envolvido. Discrepância entre o desempenho desejado e o real. Motivo para a divergência. Planos para resolver essa lacuna. OS KPIs devem dar alguma indicação com relação às melhorias feitas na atividade de auditoria interna, resultantes da análise de KPIs. Além disso, os resultados das avaliações internas e externas (conforme abordado na Norma 1300 do IIA) devem ser comunicados ao conselho e o DEA deve indicar como as recomendações serão implementadas. Informações adicionais sobre o desenvolvimento e uso de KPIs como parte de um programa de avaliação interna (Norma 1311 do IIA) podem ser encontradas no Guia Prático Medindo a Eficiência e a Eficácia da Auditoria Interna. H. Oportunidades de Educação do Conselho O DEA pode desempenhar um papel crítico em garantir que o conselho esteja ciente dos tópicos atuais, ajudando assim no cumprimento de suas obrigações conforme descrito em seu estatuto. O DEA deve considerar as necessidades do conselho, ajudando a mantê-lo informado sobre as questões que impactam sua capacidade de cumprir com seus deveres como: auxiliar o conselho a entender as mudanças no ambiente regulatório e de negócios Este Guia Prático foi traduzido com o apoio de: / 8

11 com relação a governança, gerenciamento de riscos, conformidade e controles relacionados. O DEA deve considerar fornecer ao conselho materiais educacionais relevantes, para ajudá-lo a entender os riscos de seu ambiente (por exemplo: riscos da indústria, mudanças regulatórias, mudanças nas regras de contabilidade). Administração e Coordenação das Atividades do Conselho O DEA pode desempenhar um papel de consultor valioso do conselho, auxiliando em suas responsabilidades administrativas e de governança, revisando suas atividades e sugerindo melhorias. Exemplos de atividades que o DEA pode conduzir, dependendo da estrutura de governança da organização, são: Encorajar o conselho a conduzir revisões periódicas de suas atividades e práticas, a fim de avaliar se as atividades estão cumprindo com o estatuto do conselho e se estão consistentes com as práticas de liderança. Isto pode envolver a facilitação de uma autoavaliação usando pesquisas ou benchmarking em comparação com diretrizes externas, etc. Revisar o estatuto para o conselho, ao menos anualmente, e orientar se o estatuto aborda todas as responsabilidades esperadas de corpos reguladores relevantes. Manter uma pauta de planejamento para as reuniões do conselho que detalhe todas as atividades necessárias, a fim de verificar se elas foram concluídas, e que facilite o reporte anual ao conselho de que todos os seus deveres requeridos foram concluídos. Elaborar para o presidente do conselho, ou equivalente, a pauta de reuniões do conselho; facilitar a distribuição do material aos membros do conselho e revisar ou preparar as minutas das reuniões. Reunir-se periodicamente com o presidente do conselho, ou equivalente, para discutir se os materiais e informações fornecidas ao conselho são compatíveis com suas necessidades. Trabalhar com o conselho para determinar se quaisquer sessões ou apresentações, educacionais ou informativas, seriam úteis; por exemplo: sessões sobre riscos e controles para novos membros do conselho ou atualizações sobre mudanças regulatórias que impactem as responsabilidades do conselho. Perguntar ao conselho se a frequência das reuniões e o tempo disponibilizado são suficientes. Revisar com o conselho as linhas de reporte funcional e administrativo da atividade de auditoria interna, para garantir que a estrutura organizacional em prática permite a independência adequada aos auditores internos, conforme a Norma 1110 do IIA. Auxiliar o conselho na avaliação da adequação do pessoal, do orçamento da auditoria, do escopo e dos resultados das atividades de auditoria interna, para garantir que não há limitações que impeçam a habilidade da auditoria interna de cumprir com suas responsabilidades. Fornecer informações sobre a coordenação e a supervisão de outras funções de controle, avaliação e monitoramento (por exemplo: gerenciamento de riscos, compliance, segurança, continuidade de negócios, auditoria jurídica, ética, ambiental e externa). Este Guia Prático foi traduzido com o apoio de: / 9

12 Autores: Richard A. Schmidt, CIA Kevin D. Lacy, CIA Erich Schumann, CIA Revisores: Douglas J. Anderson, CIA James Rose, CIA Steven E. Jameson, CIA, CCSA, CFSA Este Guia Prático foi traduzido com o apoio de: / 10

13 Isenção de Responsabilidade Sobre o Instituto Fundado em 1941, The Institute of Internal Auditors (IIA) é uma associação profissional com sede global em Altamonte Springs, Fla., EUA. O IIA é a voz da profissão de auditoria interna em todo o mundo, autoridade reconhecida, líder valorizado, advogado chefe e principal educador. Sobre os Guias Práticos Os Guias Práticos fornecem uma orientação detalhada para a condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de deliverables. Os Guias Práticos são parte da IPPF do IIA. Como parte da categoria de orientação Fortemente Recomendada, a conformidade não é obrigatória, mas é altamente recomendada, e a orientação é endossada pelo IIA por meio de processos formais de revisão e aprovação. Para mais materiais de orientação fidedignos fornecidos pelo IIA, por favor, visite nosso website: ou O IIA publica este documento para fins informativos e educacionais. Este material de orientação não tem como objetivo fornecer respostas definitivas a específicas circunstâncias e, como tal, tem o único propósito de servir de guia. O IIA recomenda que você sempre busque conselhos especializados independentes, relacionados diretamente a qualquer situação específica. O IIA não assume responsabilidade pela confiança depositada unicamente neste guia. Direitos Autorais Copyright 2011 The Institute of Internal Auditors. Para permissão para reprodução, favor entrar em contato com o IIA pelo certificacao@iiabrasil.org.br :

14