COMPARAÇÃO DAS ESTRUTURAS OFICIAIS DE ORIENTAÇÃO

Transcrição

1 PERCEPÇÃO GLOBAL DO SETOR PÚBLICO O IIA e a Organização Internacional das Entidades Fiscalizadoras Superiores (INTOSAI) COMPARAÇÃO DAS ESTRUTURAS OFICIAIS DE ORIENTAÇÃO Data de lançamento: 1Q 2016

2

3 Percepção Global do Setor Público: O IIA e a Organização Internacional das Entidades Fiscalizadoras Superiores (INTOSAI) Comparação das Estruturas Oficiais de Orientação Sumário Executivo...5 Introdução...7 Seção Organizações Responsáveis pelo Estabelecimento de Normas...8 Histórico...8 Fatos e Números Essenciais...9 Estruturas Oficiais de Orientação Características Gerais Devido Processo Estrutura Hierárquica Seção Definição de Auditoria Interna Glossário das Normas Código de Ética Independência, Objetividade, Transparência e Accountability Independência no Desempenho dos Serviços de Auditoria Seção Normas de Atributo e Respectivas Orientações Práticas/Orientações de Implantação Realização de Trabalho Não de Auditoria Competência Profissional Fraude Tecnologia da Informação (TI) Sistemas da Qualidade Revisões Externas da Qualidade Referência às Normas e Conformidade com as Normas Seção Normas de Desempenho e Respectivas Orientações Práticas/Orientações de Implantação Programas de Ética Tecnologia da Informação (TI) Divulgação de Resultados Seção Guias Práticos, Guias de Auditoria de Tecnologia Global, e Guias de Avaliação de Risco de TI (Orientação Suplementar) Guias Práticos GTAGs e GAITs Conclusão Autores e Revisores... 35

4 Direitos Reservados 2016 pelo Institute of Internal Auditors, Inc. ( IIA Instituto de Auditores Internos) estritamente reservados. Qualquer reprodução do nome IIA ou logotipo levará o símbolo de registro de marca federal dos EUA. Nenhuma parte deste material pode ser reproduzida em qualquer forma sem permissão por escrito do IIA. Permissão foi obtida do detentor dos direitos autorais, o Institute of Internal Auditors, Inc., 247 Maitland Avenue, Altamonte Springs, Flórida , Estados Unidos da América para publicar esta reprodução, que é a mesma em todos os aspectos relevantes, que o original, a menos que mudanças sejam aprovadas. Nenhuma parte deste documento pode ser reproduzida ou armazenada em qualquer sistema de recuperação, ou transmitida por qualquer forma ou por qualquer meio eletrônico, mecânico, de reprodução, gravação ou outros sem o prévio consentimento por escrito do IIA. O IIA publica este documento para fins informativos e educacionais internacionais. Este documento destina-se a fornecer informações, mas não é um substituto de orientações jurídica ou contábil. O IIA não fornece essas orientações e não oferece qualquer garantia quanto a quaisquer resultados jurídicos ou contábeis através da publicação deste documento. Quando surgirem problemas jurídicos ou contábeis, deve-se buscar assistência profissional. 4

5 Sumário Executivo Há muita semelhança entre a Estrutura Internacional de Práticas Profissionais do IIA (IPPF ) e as Normas Internacionais da Organização Internacional das Entidades Fiscalizadoras Superiores (INTOSAI). 1 Também existem diferenças importantes. A Percepção Global do Setor Público é um documento de referência, que descreve as semelhanças e diferenças entre as duas fontes. A Seção 1 fornece informações gerais sobre o IIA e a INTOSAI e a orientações oficiais promulgadas por cada organização. Os tópicos cobertos incluem: A história com fatos e números essenciais para cada organização. Características gerais, devido processo, e hierarquia associados com cada estrutura. A Seção 2 compara e contrasta códigos de ética, com foco no conceito da independência. Esta Seção destaca também informações sobre a Definição de Auditoria Interna e o Glossário do IIA das Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas). As Seções 2-4 incluem as tabelas detalhadas que fazem referência cruzada dos elementos do IPPF com princípios, capítulos, e seções específicas das Normas Internacionais das Entidades Fiscalizadoras Superiores da INTOSAI (). A Seção 3 faz referência cruzada das Normas de Atributos e Orientações Práticas / Orientações de Implantação do IPPF com as Normas Profissionais da INTOSAI, com foco nos tópicos de: Execução de trabalho não de auditoria. Competência profissional. Fraude. Conhecimento em tecnologia da informação. Sistemas da Qualidade e Revisões Externas da Qualidade. Referência e conformidade com as Normas. A Seção 4 faz referência cruzada das Normas de Desempenho e Orientações Práticas/ Orientações de Implantação do IPPF com as Normas Profissionais da INTOSAI, com atenção focada em programas éticos, riscos da tecnologia da informação e divulgação de resultados. 1 O IPPF é a estrutura oficial de orientação do IIA. As Normas Professionais Internacionais das Entidades Fiscalizadoras Superiores são a estrutura oficial de orientação da INTOSAI. Doravante, serão referidas como estrutura ou estruturas. 5

6 A Seção 5 faz referência cruzada das Orientações Suplementares Guias Práticos do IIA, Guias de Auditoria de Tecnologia Global (GTAGs ) e Guias de Avaliação de Risco de TI (GAITs) - e tópicos similares ou complementares com as Normas Profissionais da INTOSAI. As partes específicas desses tipos de orientação são também citadas nas Seções 2, 3 e 4, quando relevante. Os leitores devem lembrar que ambas as organizações responsáveis pelo estabelecimento de normas são dinâmicas. O IIA e a INTOSAI revisam e reveem continuamente as orientações existentes, e promulgam novas orientações. A partir de julho de 2015, o IIA lançou o novo IPPF para assegurar sua relevância contínua no presente e no futuro. Os aprimoramentos incluem: A adição de uma Missão de Auditoria Interna e de Princípios Fundamentais para a Prática Profissional de Auditoria Interna. A reestruturação e a renomeação do elemento de orientação conhecido como Orientações Práticas para Orientações de Implantação. A criação de um novo nível para as Orientações Suplementares, com elementos que incluem Guias Práticos e outras orientações semelhantes. A remoção das Declarações de Posicionamento como um elemento de orientação dentro do IPPF. Para fins da referência, o termo Orientações Práticas ainda é usado nesta publicação, embora esses documentos agora sejam conhecidos como Orientações de Implantação. Conforme novas Orientações de Implantação forem sendo lançadas, as respectivas Orientações Práticas serão removidas. Também em meados de 2015, a INTOSAI lançou minutas de exposição para comentários sobre as mudanças propostas para: 3000: Norma para Auditoria Operacional 3100: Diretrizes sobre Conceitos Centrais para Auditoria Operacional 3200: Diretrizes para o Processo de Auditoria Operacional 4000: Norma para Auditoria de Conformidade Para as versões mais recentes do IPPF e das normas da INTOSAI, ver o site global do IIA ( e o site da INTOSAI ( 6

7 Introdução Percepção Global do Setor Público: IIA & INTOSAI Comparação das Estruturas Oficiais de Orientação Auditores internos e externos têm papéis e responsabilidades diferentes de governança, articulados pela INTOSAI como segue: Embora as Entidades Fiscalizadoras Superiores (EFS) e os auditores internos tenham papéis claramente distintos e definidos, têm por objetivo comum promover boa governança mediante contribuições à transparência e à accountability, no uso de recursos públicos, assim como promover uma administração pública eficiente, eficaz e econômica. 2 Os auditores internos trabalham para, e se subordinam principalmente a, entidade sob auditoria (administrativamente à gestão, e funcionalmente àqueles encarregados da governança, 3 tais como o conselho, comitê de auditoria, alta administração, ou, onde apropriado, um órgão externo de supervisão), enquanto as EFS funcionam como auditores externos e emitem seus relatórios para o Legislativo ou Parlamento (e indiretamente ao público). Legislação específica pode exigir que a auditoria interna também se comunique com a EFS. 4 Em reconhecimento a esse objetivo comum, o IIA e a INTOSAI firmaram um Memorando de Entendimento (MoU) para aumentar o entendimento e promover a cooperação entre auditores internos e externos no setor público. Uma organização de auditoria do governo pode estar estruturalmente localizada dentro ou fora da entidade auditada. Organizações de auditoria que são externas à entidade auditada e se reportam a terceiros são consideradas organizações de auditoria externa. Esta Percepção Global do Setor Público tem como objetivo fortalecer o MoU e ainda a colaboração entre auditores internos e auditores externos, comparando e contrastando a orientação oficial para auditores internos e externos e suas respectivas organizações responsáveis pelo estabelecimento de normas (IIA e INTOSAI). Esta Percepção Global do Setor Público não pretende cobrir todas as semelhanças e diferenças entre o IIA e a INTOSAI ou suas respectivas estruturas de orientação oficial o IPPF do IIA e as Normas Profissionais da INTOSAI. Pelo contrário, centra-se na comparação e contraste de conceitos-chave que estão presentes em ambas as estruturas de orientação. Estes são os conceitos mais susceptíveis para promover o entendimento e impactar oportunidades de coordenação e cooperação entre auditores internos e externos no exercício de suas funções Ver

8 Seção 1 Organizações Responsáveis pelo Estabelecimento de Normas Histórico Como ilustrado abaixo, IIA e INTOSAI foram ambos fundados durante meados do Século XX, com o IIA com foco em auditoria interna e membros praticantes individuais, e INTOSAI com foco em auditoria externa e uma associação composta por SAIs. HISTÓRICO Característica IIA INTOSAI Ano de Criação Foco da Auditoria Auditoria Interna Auditoria Externa Foco do Membro Praticantes individuais de auditoria interna EFS Organização guarda-chuva para a comunidade de auditoria externa (governamental) Fundador(es) Victor Z. Brink John B. Thurston Robert B. Milne Emilio Fernandez Camus, então presidente da EFS de Cuba Membros Fundadores 24 membros fundadores 34 EFS Local da Primeira Reunião Instantâneo do Progresso Cidade de Nova York (Estados Unidos) emitiu uma declaração de responsabilidades aprovou um Código de Ética administrou o primeiro exame de Certified Internal Auditor (CIA ) emitiu primeiras Normas para a Prática Profissional de Auditoria Interna adotou a Estrutura de Práticas Profissionais e emitiu novo Código de Ética e Definição de Auditoria Interna 2009 adicionou Internacional à Estrutura de Práticas Profissionais Cuba 1977 adotou a Declaração de Lima das Diretrizes para Preceitos de Auditoria 2007 declaração do México sobre a Independência das SAIs 2007 estabeleceu estrutura de primeiro conjunto completo de s lançado em Johanesburgo, África do Sul 8

9 Fatos e Números Essenciais FATOS E NÚMEROS ESSENCIAIS Característica The IIA INTOSAI Sede Altamonte Springs, Flórida, EUA Viena, Áustria (INTOSAI Secretaria-Geral) Membros Atuais indivíduos em 170 países e territórios» 161 departamentos nos EUA» institutos e departamentos globais 192 membros plenos EFS Cinco EFS associadas Propósito da Organização Estratégia 5 Tipos de Serviços Cobertos Governança Organizacional Ser a voz global da profissão de auditor interno, com autoridade reconhecida, líder reconhecido, defensor principal e educador principal. Missão estratégica - pesquisar, divulgar e promover para praticantes e partes interessadas conhecimento sobre auditoria interna e papel apropriado no controle, gerenciamento de riscos e governança. Marco estratégico - definir os princípios da profissão e assegurar que os princípios estejam disponíveis de forma integrada em todo o mundo. Serviços de Avaliação (Assurance) Serviços de Consultoria Conselho Global de Diretores composto por 38 membros eleitos em geral. Servir como organização guarda-chuva para a comunidade de auditoria externa governamental. Plano estratégico - Accountability e normas profissionais: promover EFS fortes, independentes e multidisciplinares (1) fornecendo e mantendo s e (2) contribuindo para o desenvolvimento e a adoção de normas profissionais adequadas e eficazes. Este é o plano estratégico atual da INTOSAI para Trabalhos de certificação Trabalhos de relatório direto Um Conselho Diretivo, conhecido como Congresso, é o órgão superior da INTOSAI, composto por 18 membros EFS. Cada membro tem direito a um voto. Nenhum membro tem direito de veto. 5 MoU entre PSC e IIA, Abril de

10 As normas do IIA definem a auditoria interna, em parte, como uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. O IIA define os serviços de consultoria como atividades de aconselhamento e serviços relacionados prestados ao cliente, cuja natureza e escopo são acordados com o cliente e se destinam a adicionar valor e aperfeiçoar os processos de governança, gerenciamento de riscos e controles da organização, sem que o auditor interno assuma qualquer responsabilidade que seja da administração. Exemplos incluem orientação, assessoria, facilitação e treinamento. Em comparação, as normas da INTOSAI definem dois tipos de serviços de auditoria, os quais envolvem atividade de avaliação (assurance): trabalhos de certificação e trabalhos de relatório direto. Em um trabalho de certificação, como uma auditoria financeira, a parte responsável mensura o objeto de acordo com os critérios e apresenta a informação chave, sobre a qual o auditor então obtém evidência de auditoria suficiente para proporcionar uma base razoável para expressar uma conclusão. Enquanto em um trabalho de relatório direto, como uma auditoria operacional, é o auditor quem mensura ou avalia o objeto de acordo com os critérios. As normas profissionais da INTOSAI estipulam que prestar consultoria para uma entidade é considerado um serviço "não de auditoria". De acordo com a 30 - Código de Ética, quando os auditores têm permissão para prestar serviços que não sejam de auditoria, deve-se ter cuidado para que esses serviços não conduzam a um conflito de interesses. Em particular, os auditores devem garantir que tais orientações ou serviços não incluam as responsabilidades ou poderes de gestão, que devem permanecer firmemente com a gestão da entidade auditada. A Orientação Prática 1130.A2-1: Responsabilidade da Auditoria Interna por outras Funções (Não de Auditoria) aborda situações em que um auditor interno talvez precise executar serviços que não sejam auditoria. Diz que, se os auditores têm esta responsabilidade, eles não estão operando como auditores internos e observa que o desempenho de trabalho não de auditoria pelo auditor interno precisa ser divulgado na comunicação padrão do auditor ao Conselho. 10

11 Estruturas Oficiais de Orientação Características Gerais ORIENTAÇÃO OFICIAL: CARACTERÍSTICAS GERAIS Característica IIA INTOSAI Conjunto de Orientação 6 IPPF Normas Profissionais da INTOSAI Propósito da Orientação Abordagem Baseada em. Regras vs. Princípios Natureza Mandatória da Orientação O propósito do IPPF é organizar a orientação oficial do IIA de uma forma prontamente acessível em tempo hábil, ao mesmo tempo reforçando a posição do IIA como a organização responsável pelo estabelecimento de normas para a profissão de auditoria interna globalmente. Baseada em princípios Os princípios fundamentais, as Normas, a definição de auditoria interna e o código de ética da orientação do IIA são componentes mandatórios para a prática profissional de auditoria interna. Orientação de Implantação e Orientação Suplementar são recomendadas. O propósito da estrutura de normas profissionais da INTOSAI é proporcionar uma estrutura institucional para EFS para promover o desenvolvimento e a transferência de conhecimento, melhorar a auditoria do setor público em todo o mundo, e aumentar a capacidade profissional, a posição e a influência das EFS membros em seus respectivos países. Baseada em princípios As normas profissionais de INTOSAI não são obrigatórias. As EFS podem optar por adotar as Diretrizes Gerais de Auditoria (Nível 4) como suas normas oficiais. Aplicabilidade Auditores internos individuais e atividades de auditoria interna. Aplicável à auditoria interna do setor público e privado. Tradução Inglês (com as Normas traduzidas para mais de 30 idiomas) EFS no nível organizacional e no nível dos auditores individuais. Aplicável somente à auditoria do setor público. Inglês, francês, espanhol, alemão e árabe Declarações 7 "Em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna....Conduzimos nossa auditoria em conformidade com [normas], que são baseadas em [ou são consistentes com] os Princípios Fundamentais de Auditoria (s ) das Normas Internacionais das Entidades Fiscalizadoras Superiores....Conduzimos nossa(s) auditoria(s) em conformidade com as Normas Internacionais das Entidades Fiscalizadoras Superiores. 6 Ver Seção sobre Estrutura Hierárquica das Orientações Oficiais para mais informações. 7 Ver Norma de Atributo do IIA 1321 e INTOSAI

12 Existem várias semelhanças gerais entre o IPPF e as Normas Profissionais da INTOSAI. Ambas estruturas são baseadas em princípios e se esforçam para fortalecer a posição de suas respectivas profissões. Ambas reconhecem que a auditoria é conduzida em diversos ambientes legais e culturais e que essas diferenças podem afetar o modo como ela é praticada. A Norma 1000 do IIA estabelece que "o propósito, a autoridade e a responsabilidade da atividade de auditoria interna devem estar formalmente definidos em um estatuto de auditoria interna, consistente com a Definição de Auditoria Interna, o Código de Ética e as Normas do IIA". Por outro lado, as EFS realizam suas tarefas conforme mandato legal. A 1 - A Declaração de Lima diz que "os poderes básicos de auditoria das Entidades Fiscalizadoras Superiores deverão estar previstos na Constituição; detalhes podem ser estabelecidos na legislação. 8 A 21 diz, ainda, que as EFS devem ter legislação e regulamentos de orientação nos termos dos quais possam ser responsáveis e responsabilizadas. Essa legislação e esses regulamentos abrangem, em geral, (1) autoridade, jurisdição e responsabilidades da auditoria, (2) condições que envolvem a nomeação e demissão do dirigente da EFS e membros de instituições colegiadas, (3) os requisitos de gestão operacional e financeira da EFS, (4) publicação tempestiva dos relatórios de auditoria, (5) a supervisão das atividades da EFS, e (6) o equilíbrio entre o acesso público à informação e a confidencialidade das evidências de auditoria e outras informações da EFS. 9 Os termos efetivos dos poderes de auditoria da EFS dependerão das condições e requisitos de cada país. 8 1, , Princípio

13 No que se refere à natureza mandatória da orientação oficial, as Normas do IIA exigem que ambos os níveis organizacional e do auditor individual estejam em conformidade com as Normas, a menos que existam diferenças nas leis e regulamentos. As Normas Profissionais da INTOSAI, por outro lado, não exigem conformidade no nível do auditor individual. Em vez disso, servem como estrutura para membros da INTOSAI desenvolverem suas próprias normas nacionais. 10 De acordo com a 100, "as s abrangem os requisitos de auditoria do setor público em nível organizacional (EFS), enquanto no nível de auditorias individuais visam apoiar os membros da INTOSAI no desenvolvimento de suas próprias abordagens profissionais, de acordo com seus mandatos e com leis e regulamentos nacionais". 11 Devido às diferentes condições e estruturas das EFS, nem todas as normas ou diretrizes de auditoria se aplicam a todos os aspectos de seus trabalhos. Assim, as EFS têm a opção de desenvolver normas oficiais tanto baseadas em como consistentes com os Princípios Fundamentais de Auditoria Operacional. No entanto, "uma EFS pode declarar que as normas que desenvolveu ou adotou baseiam-se ou são consistentes com os Princípios Fundamentais de Auditoria apenas se essas normas cumprirem plenamente todos os princípios relevantes. 12 O IIA exige traduções dos elementos mandatórios do IPPF, que estão atualmente disponíveis em mais de 30 idiomas. O IIA também encoraja os institutos a traduzirem elementos não mandatórios. As Normas Profissionais da INTOSAI estão disponíveis nos idiomas oficiais da organização: árabe, inglês, francês, alemão e espanhol. 10 Na Declaração da África do Sul de 2010, a INTOSAI solicitou a seus membros que usassem a estrutura como referência comum para a auditoria do setor público; medissem seu próprio desempenho e orientação em auditoria com base nas s, e implementassem as s de acordo com seu mandato e leis e regulamentos nacionais; elevassem a conscientização das s e INTOSAI GOVs [Orientação para Boa Governança] no mundo, regionalmente, e em nível nacional; e compartilhassem experiência, melhores práticas, e desafios para implementar as s e INTOSAI GOVs com aqueles responsáveis por desenvolver e revisar s e GOVs da INTOSAI" , Introdução , Propósito e Aplicabilidade das s 13

14 Devido Processo ORIENTAÇÃO OFICIAL: SUPERVISÃO E DEVIDO PROCESSO Característica O IPPF do IIA Normas Profissionais da INTOSAI Devido Processo Segue um procedimento de devido processo no estabelecimento de normas de auditoria novas e revisadas. Emite minutas de exposição para comentários públicos de membros, partes interessadas e outros profissionais para as revisões das Normas, do Código de Ética e da Definição de Auditoria Interna. Segue um procedimento de devido processo na criação de orientação recomendada (não-mandatória). Responsabilidade pelo Processo de Estabelecimento de Normas O Conselho Internacional de Normas de Auditoria Interna (IIASB) é o único responsável pela emissão de normas novas ou revisadas. Um representante do PSC da INTOSAI participa como observador do IIASB e de outros Comitês Profissionais do IIA relacionados ao tema. Segue um procedimento de devido processo no estabelecimento de normas de auditoria novas e revisadas. Emite minutas de exposição para comentário público O Comitê de Normas Profissionais (PSC) da INTOSAI desenvolve e mantém todas as s. Um representante do IIA participa como observador do Comitê Diretor do PSC e dos subcomitês da INTOSAI sobre controle interno e auditoria operacional. Aprovação Aprovação final pelo IIASB. Endosso final por todas as EFS no Congresso da INTOSAI. 13 Supervisão do Devido Processo O Conselho de Supervisão da Estrutura Internacional de Práticas Profissionais (IPPFOC), uma organização independente que avalia e orienta sobre a adequação e propriedade dos processos de estabelecimento de normas e orientações do IIA. Um representante da INTOSAI é membro pleno do IPPFOC. Ciclo de Revisão Orientações mandatórias: Ciclo de revisão de três anos. Orientações recomendadas: Monitoramento contínuo por comitês globais, sem ciclo fixo de revisão. Codificação do Devido Processo Manual de Diretrizes do IIA, Seção 3 O Conselho Diretor da INTOSAI Nível 1: Nenhum ciclo de revisão especificado. Nível 2: Ciclo de revisão de nove ou quinze anos, dependendo da específica. Nível 3: Ciclo de revisão de nove ou quinze anos. Nível 4: Ciclo de revisão de cinco anos. Orientação da INTOSAI para a Boa Governança (GOVs): Ciclo de revisão de cinco ou seis anos. Devido processo para normas profissionais da INTOSAI 13 Estatuto INTOSAI, artigo 4: o Congresso é a maior autoridade da INTOSAI, composto de todos os membros plenos e associados. O Congresso se reúne a cada 3 anos. As reuniões são presididas e acordadas pelo dirigente da EFS do país anfitrião. 14

15 O IIA e a INTOSAI atualizam suas normas regularmente para refletir os últimos desenvolvimentos em auditoria e para assegurar que a orientação seja oportuna e relevante. O IIA revê a sua orientação obrigatória a cada três anos e não tem um ciclo de revisão fixo para a sua orientação suplementar. Os intervalos de manutenção da INTOSAI são baseados na hierarquia da estrutura. A única exceção é que as s relacionadas à revisão de pares são atualizadas a cada três anos. Estrutura Hierárquica O IIA e a INTOSAI ambos usam o termo normas, mas de maneiras diferentes. As Normas do IIA são um de quatro componentes mandatórios do conjunto de orientação oficial (junto com os Princípios Fundamentais, Definição, e Código de Ética), enquanto todo o conjunto de orientação oficial da Intosai é conhecido como as normas profissionais da INTOSAI. As Normas Profissionais da INTOSAI não são mandatórias. O IPPF do IIA Missão da Auditoria Interna Todo IPPF é coberto pela Missão de Auditoria Interna, que articula o que a auditoria interna pretende realizar dentro de uma organização. Seu lugar no IPPF demonstra como os praticantes devem alavancar a estrutura inteira para facilitar sua habilidade de cumprir a missão. Orientação Mandatória: Os elementos obrigatórios incluem: Princípios Fundamentais para a Prática Profissional de Auditoria Interna (Princípios Fundamentais) Definição de Auditoria Interna Código de Ética Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) A conformidade com os princípios fundamentais estabelecidos na orientação mandatória é necessária e essencial para a prática profissional da auditoria interna. A orientação mandatória é desenvolvida seguindo um processo estabelecido de devida diligência, que inclui um período de exposição pública. Orientação Recomendada: Os elementos recomendados incluem: Orientações de Implantação (Orientações Práticas) Orientações Suplementares (por exemplo, Guias de práticas, GTAGs e GAITs) A orientação recomendada é endossada pelo IIA mediante um processo formal de devida diligência. Descreve práticas para a implementação eficaz dos Princípios Fundamentais, da Definição de Auditoria Interna, do Código de Ética e das Normas do IIA. 15

16 Normas Profissionais da INTOSAI Nível 1 - Princípios Fundamentais ( 1) O nível 1 é composto unicamente da 1, a Declaração de Lima de 1977, que requer o estabelecimento de EFS efetivas e fornece diretrizes sobre preceitos de auditoria. Nível 2 - Pré-requisitos para o funcionamento das Entidades Fiscalizadoras Superiores (s 10-99) O nível 2 das s são pronunciamentos sobre as pré-condições necessárias para o funcionamento adequado e conduta profissional das EFS, incluindo princípios e orientação sobre independência, transparência e accountability, ética e controle de qualidade. O objetivo é promover princípios sólidos para o funcionamento eficaz da auditoria do setor público em um nível internacional. Nível 3 Princípios Fundamentais de Auditoria (s ) O nível 3 das s contém pronunciamentos comuns dos membros da INTOSAI sobre os princípios profissionais geralmente reconhecidos que servem de base para a auditoria eficaz e independente de entidades do setor público. A finalidade é promover e proteger boas práticas de auditoria, apoiar o desenvolvimento contínuo de EFS eficazes, e fornecer uma fundação comum para a cooperação internacional dentro da INTOSAI e de suas organizações regionais. Nível 4 Diretrizes de Auditoria (s ) O nível 4 das s traduz o nível 3 das s em diretrizes operacionais mais específicas e detalhadas que podem ser usadas no dia a dia. A finalidade é fornecer uma base para as normas e manuais na auditoria do setor público, que podem ser aplicadas pelos membros individuais da INTOSAI. GOVs da INTOSAI GOVs da INTOSAI expressam as recomendações da INTOSAI aos governos e outros com responsabilidade pela gestão de fundos públicos e de atividades publicamente financiadas. A finalidade é promover a boa governança, incluindo o estabelecimento de sistemas eficazes de controle interno, auditoria interna confiável, e normais adequadas da contabilidade e relatório no setor público. Os auditores externos podem usar GOVs da INTOSAI para avaliar o desempenho da auditoria interna. 16

17 Seção 2 Percepção Global do Setor Público: IIA & INTOSAI Comparação das Estruturas Oficiais de Orientação Definição de Auditoria Interna As palavras independente, objetivo e sistemático são comuns entre a Definição de Auditoria Interna do IIA e a descrição de auditoria do setor público da INTOSAI. Ver - Seção 2 - Código de Ética para uma discussão adicional do uso de cada associação do termo independência. O IIA define auditoria interna como uma atividade independente e objetiva de avaliação (assurance) e de consultoria, desenhada para adicionar valor e melhorar as operações de uma organização. Ela auxilia uma organização a realizar seus objetivos a partir da aplicação de uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processos de gerenciamento de riscos, controle e governança. 14 A INTOSAI descreve a auditoria do setor público como "um processo sistemático de obter e avaliar objetivamente evidências para determinar se as informações ou as condições reais estão em conformidade com critérios estabelecidos". A auditoria do setor público é essencial, pois proporciona aos órgãos legislativo e de supervisão, bem como aos responsáveis pela governança e ao público em geral, informações e avaliações independentes e objetivas relativas à condução e ao desempenho das operações, programas ou políticas governamentais. 15 TABELA DE REFERÊNCIA CRUZADA: DEFINIÇÃO, GLOSSÁRIO E CÓDIGO DE ÉTICA Definição do IIA, Glossário de Normas e Código de Ética Normas Profissionais da INTOSAI Definição de Auditoria Interna 1, 3 18, 22 Código de Ética Princípio de Integridade Princípio Princípio de Objetividade Princípio , 16, 17, 18 Princípio de Confidencialidade Princípio 1, Princípio de Competência Princípio , 30, 33 Regra de Conduta de Integridade 2 13 Regra de Conduta de Objetividade 3 14, 16, 17, 18 Regra de Conduta de Confidencialidade 4 27 Regra de Conduta de Competência 5 29, 30, 33 = Seção ou Capítulo = Parágrafo: 14 IPPF do IIA, Definição de Auditoria Interna

18 Glossário das Normas Nem o IIA nem a INTOSAI conta com glossários detalhados que envolvam seus respectivos conjuntos de orientação oficial. O IIA possui um Glossário das Normas, e a INTOSAI fornece a 1003, um Glossário de Termos para as Diretrizes de Auditoria Financeira. A INTOSAI também possui terminologia compilada 16 definida pela 100 Princípios Fundamentais de Auditoria do Setor Público. O interessante é que esta compilação e o Glossário das Normas do IIA não têm termos em comum. Código de Ética Os códigos de ética do IIA e da INTOSAI adotam princípios ou requerimentos basicamente idênticos. Ambos os códigos também fornecem orientação sobre conduta. Além disso, as 20 e 21 fornecem orientação relacionada aos princípios e boas práticas de transparência e accountability Drafting Conventions for Auditing Guidelines, INTOSAI PSC 17 20: Princípios de transparência e accountability; 21: Princípios de transparência e accountability PRINCÍPIOS E BOAS PRÁTICAS 18

19 CÓDIGO DE ÉTICA Característica IPPF do IIA Normas Profissionais da INTOSAI Visão Geral Aplicabilidade O Código de Ética do IIA consiste em dois componentes: Princípios relevantes para a profissão e a prática da auditoria interna. Regras de conduta que descrevem normas esperadas na interpretação e aplicação dos princípios. Aplica-se a entidades e indivíduos que executam serviços de auditoria interna, membros do IIA e proprietários e candidatos de certificações do IIA. O Código de Ética da INTOSAI aborda 18 Confiança, confidencialidade e credibilidade Integridade Independência, objetividade e imparcialidade» Neutralidade política» Conflitos de interesse. Sigilo Profissional Competência» Desenvolvimento profissional Dirigido ao auditor individual, ao dirigente da EFS, aos executivos, e a todos que trabalham para as EFS, ou em seu nome, envolvidos no trabalho de auditoria. No entanto, o código não deve ser interpretado como tendo qualquer impacto sobre a estrutura organizacional da EFS. Cada EFS é responsável pelo desenvolvimento de seu próprio código de ética que melhor se adapte ao seu próprio ambiente. O código de ética da INTOSAI destina-se a constituir uma base para os códigos de ética nacionais. Adotado 1968 Desenvolvido e atualizado conforme necessário pelo Comitê Global de Ética Endossado em Marcado para revisão a cada 15 anos. Revisão atualmente em curso. Requerimentos de Ética Aplicação Auditores internos devem aplicar e defender os seguintes princípios: Integridade Objetividade Confidencialidade Competência Violações ao Código de Ética são avaliadas e administradas de acordo com o Estatuto Social e Diretrizes Administrativas do IIA. Auditores devem se submeter às exigências éticas dos conceitos incorporados nas palavras-chave: Integridade Independência e objetividade Confidencialidade Competência A aplicação se baseia no código nacional de ética aprovado. 18 I 30: Código de Ética Uma exposição pública do Código de Ética da INTOSAI está em andamento, o qual poderá influenciar as informações fornecidas no momento. 19

20 Independência, Objetividade, Transparência e Accountability Os conceitos de independência, objetividade, transparência e accountability são enfatizados tanto pelo IIA como pela INTOSAI. A orientação do IIA posiciona a independência e a objetividade como um meio para atender às demandas crescentes das partes interessadas por transparência e para posicionar os auditores internos em um nível maior de accountability. 19 A INTOSAI descreve independência, accountability e transparência como pré-requisitos democráticos essenciais que permitem que as EFS liderem pelo exemplo, cumpram com suas responsabilidades de uma forma completa e objetiva, e destaquem sua credibilidade. 20 Independência no Desempenho de Serviços de Auditoria De acordo com a Norma 1000 do IIA, a independência organizacional é estabelecida pelo Estatuto de Auditoria Interna. Além disso: A atividade de auditoria interna deve ser independente e os auditores internos devem ser objetivos ao executar seus trabalhos (Norma 1100). Presume-se que a objetividade fique prejudicada se um auditor interno prestar serviços de avaliação (assurance) de uma atividade pela qual o auditor interno tenha sido responsável durante ano anterior (Norma 1130.A1). Os auditores internos podem prestar serviços de consultoria relativos às operações pelas quais tenham sido responsabilidade anteriormente (Norma 1130.C1). Orientação adicional sobre independência organizacional, assim como sobre objetividade individual, é fornecida no Guia Prático do IIA: Independência e objetividade. 19 IPPF Guia Prático: Independência e Objetividade 20 20: Princípios de Transparência e Accountability 20

21 O grau necessário de independência de uma EFS é estabelecido na Constituição, embora os detalhes possam ser ajustados na legislação. A 1: A Declaração de Lima especifica que não só a atividade de auditoria deve ser independente, mas os auditores também devem ser independentes, estabelecendo que a independência das Entidades Fiscalizadoras Superiores está ligada inseparavelmente à independência de seus membros. 21 A 30 acrescenta que é essencial que os auditores sejam independentes e imparciais, não só de fato, mas também em aparência. Em todos os assuntos relacionados com o trabalho de auditoria, a independência dos auditores não deve ser prejudicada por interesses pessoais ou externos. A independência pode ser prejudicada, por exemplo, por pressão externa ou influência sobre auditores; preconceitos mantidos pelos auditores sobre indivíduos, entidades auditadas, projetos ou programas; últimos empregos anteriores na entidade auditada; ou relações pessoais ou financeiras que possam causar conflitos de lealdade ou de interesses. Os auditores têm a obrigação de não se envolverem em todos os assuntos com os quais tenha um interesse investido. 22 Independência da entidade auditada e de outros grupos externos de interesse é indispensável para os auditores. Isto implica que os auditores devem se comportar de uma forma que aumente, ou que de forma alguma diminua, sua independência define os membros como aquelas pessoas que tomam decisões para a Entidade de Fiscalização Superior e respondem por essas decisões a terceiros, ou seja, membros de um órgão colegiado de tomada de decisões ou um chefe de uma SAI monocrática." Código de Ética" Capítulo 3, # Ibid, #

22 Seção 3 Normas de Atributos e Respectivas Orientações Práticas/Orientações de Implantação As Normas do IIA são um conjunto de requisitos mandatórios com base em princípios consistidos de: Declarações dos requerimentos fundamentais para a prática profissional de auditoria interna e para a avaliação da eficácia do desempenho que são internacionalmente aplicáveis às organizações e aos indivíduos. Interpretações esclarecendo termos ou conceitos contidos nas Declarações. As Normas consistem nas Normas de Atributo e de Desempenho. As Normas de Atributo, discutidas nesta seção, abordam os atributos das organizações e dos indivíduos que realizam auditoria interna. As Orientações Práticas/Orientações de Implantação discutidas nesta seção ajudam os auditores internos na aplicação das normas de atributos e na promoção de melhores práticas. TABELA DE REFERÊNCIA CRUZADA: NORMAS DE ATRIBUTO Normas de Atributo do IIA Normas Profissionais da INTOSAI Propósito, Autoridade e Responsabilidade I 1; IV 10 Princípio 4 Princípio 1 13, 14, Independência e Objetividade 1110 Independência Organizacional 5 1-3; 6 1-3; Princípios 1, 2, 3, 5, 6, Objetividade Individual Princípio Prejuízo à Independência ou à Objetividade Princípio Proficiência 14 1, 3, Zelo Profissional Devido 31, 37, 41, 45, 46 30, Desenvolvimento Profissional Contínuo 1300 Programa de Garantia e de Melhoria de Qualidade 1310 Exigências do Programa de Garantia de Qualidade e Melhoria Princípio , Avaliações Internas

23 1312 Avaliações Externas Princípio Reporte do Programa de Garantia de Qualidade e Melhoria = Seção ou Capítulo = Parágrafo = Inúmeras referências cruzadas ou ampla aplicabilidade Princípio 9 6 TABELA DE REFERÊNCIA CRUZADA: NORMAS DE ATRIBUTO & RESPECTIVAS ORIENTAÇÕES PRÁTICAS (ORIENTAÇÕES DE IMPLANTAÇÃO) Orientações práticas de atributo do IIA (Orientações de Implantação) Normas Profissionais da INTOSAI A2-1 Responsabilidade da Auditoria Interna por outras Funções (não de auditoria) Princípio Proficiência A1-1 Contratando Prestadores Externos de Serviços para Apoiar ou Complementar a Atividade de Auditoria Interna Princípio Zelo Profissional Devido 31, Desenvolvimento Profissional Contínuo Uso de em conformidade com as normas internacionais para a prática profissional da auditoria interna 2 = Seção ou Capítulo = Parágrafo 23

24 Execução de Trabalho Não de Auditoria. A Orientação Prática 1130.A2-1: Responsabilidade da Auditoria Interna por outras Funções (não de Auditoria) aborda situações em que um auditor interno pode ser solicitado a executar serviços não de auditoria. Ela estabelece que se os auditores tiverem a responsabilidade por serviços não de auditoria, não estarão trabalhando como auditores internos, e que o desempenho de tal trabalho necessita ser divulgado na comunicação padrão do auditor para o Conselho. Em comparação, as Normas Profissionais de INTOSAI não definem especificamente o que constitui serviços não de auditoria. Entretanto, a 30 Código de Ética estabelece que quando os auditores têm autorização de fornecer orientações ou serviços que não sejam de auditoria a uma entidade auditada, deve-se tomar cuidado para que estes serviços não conduzam a um conflito de interesse. Em particular, os auditores devem garantir que tais orientações ou serviços não incluam as responsabilidades ou poderes de gestão, que devem permanecer firmemente com a gestão da entidade auditada. Ao comparar as orientações, é importante considerar que a definição de serviços não de auditoria difere entre as duas normas. Ao contrário do IPPF, as Normas Profissionais da INTOSAI não definem consulta como um serviço de auditoria. Competência Profissional. O IIA e a INTOSAI requerem que seus respectivos auditores tenham e mantenham competência profissional mediante desenvolvimento profissional contínuo. De acordo com a Norma 1210 do IIA: Proficiência, os auditores internos devem possuir o conhecimento, as habilidades, e outras competência necessárias ao desempenho de suas responsabilidades individuais, e a atividade de auditoria interna deve possuir, ou obter, coletivamente o conhecimento, as habilidades e outras competências necessárias ao desempenho de suas responsabilidades. Os auditores internos são encorajados a demonstrar sua proficiência obtendo as certificações e qualificações profissionais apropriadas. A Norma 1230: Desenvolvimento Profissional Contínuo requer que os auditores internos aperfeiçoem suas competências mediante desenvolvimento profissional contínuo. Do mesmo modo, a 100 da INTOSAI Princípios Fundamentais de auditoria do setor público diz que a equipe de auditoria deve coletivamente possuir o conhecimento, as habilidades e a competência para concluir a auditoria, e deve manter sua competência profissional por meio de desenvolvimento profissional contínuo. A Orientação Prática do IIA: Desenvolvimento Profissional Contínuo especifica que a educação profissional continuada (CPE) pode ser obtida mediante filiação, participação e voluntariado em organizações profissionais. 24

25 Fraude Tanto o IIA como a INTOSAI abordam diversos aspectos de fraude em relação com o conhecimento, planejamento e reporte exigidos. Em geral: Os auditores internos devem ter conhecimento suficiente para avaliar o risco de fraude e a maneira com o qual é gerenciado pela organização, com a ressalva de que não se espera que os auditores internos tenham a especialização de uma pessoa cuja responsabilidade principal seja detectar e investigar fraude. A atividade de auditoria interna deve avaliar o potencial para a ocorrência de fraude e como a organização gerencia o risco de fraude. 24 Requerimentos de zelo profissional devido também incluem que seja considerada a possibilidade de fraude. 25 Além do mais, o CAE deve comunicar todos os riscos significativos de fraude à Alta Administração e ao Conselho. 26 Dois guias práticos fornecem orientação adicional em maior profundidade sobre fraude: A auditoria de Programas Antissuborno e Anticorrupção Auditoria Interna e Fraude Em vez de exigir explicitamente conhecimento da avaliação do risco de fraude, a estipula que uma equipe de auditoria deve possuir coletivamente a competência profissional necessária para realizar a auditoria, incluindo familiaridade com métodos de investigação ou avaliação. Com respeito ao risco de fraude em nível de trabalho de auditoria, os auditores externos devem: Estar alertas para os riscos de fraude e fazer indagações relativas ao processo para identificar e responder aos riscos de fraude quando relevantes para os objetivos da auditoria ( 100, 51). Considerar o risco de fraude e o abuso potencial de recursos ou indicações de práticas irregulares de relevância para os objetivos e a utilização dos recursos ( ). Avaliar o risco de fraude ao planejar a auditoria ( ). mencionar todas as ocorrências significativas de não conformidade e de comportamento não apropriado que forem encontradas durante ou que tenha relação com a auditoria. Onde tais ocorrências não sejam pertinentes às questões de auditoria, é previsto que, não obstante, sejam comunicadas ao auditado de preferência por escrito no nível apropriado. ( ). 24 Norma 1210.A2 IIA 25 Norma 1220 IIA 26 Norma 2060 IIA Princípios Fundamentais de Auditoria Operacional"

26 Tecnologia da Informação (TI) Tanto os auditores internos como os externos devem ter conhecimento adequado de TI. Os auditores internos devem ter conhecimento suficiente dos principais riscos e controles de TI e de técnicas de auditoria baseadas em tecnologia disponíveis para realizar seus trabalhos. 28 As Normas da INTOSAI requerem entendimento relacionado ao uso de técnicas de TI em auditorias, mas, da mesma forma que em riscos de fraude, não requerem explicitamente conhecimento de avaliação de risco de TI, especificamente: A EFS precisa dominar a variedade de aptidões e experiência necessárias para desempenhar com eficácia o mandato de auditoria. Seja qual for a natureza das auditorias a serem empreendidas sob esse mandato, o trabalho de auditoria deve ser executado por pessoas cujas formação e experiência sejam condizentes com a natureza, o escopo e as complexidades da tarefa de auditoria. A EFS deve se equipar com todos tipos de metodologias de auditoria atualizadas, incluindo técnicas baseadas em sistemas, métodos de revisão analítica, amostragem estatística e auditoria de sistemas de informação automatizados. 29 Informações adicionais sobre comparativo de orientações de IT são encontradas na seção 5 deste relatório. Sistemas da Qualidade O IIA e a INTOSAI fornecem orientação para sistemas da qualidade reforçados para suas respectivas organizações de auditoria. A orientação do IIA é mais estreitamente focada do que a da INTOSAI. As principais orientações fornecidas pelo IIA para programas de garantia de qualidade e melhoria (QAIPs) de organizações de auditoria interna incluem: O CAE deve desenvolver e manter um QAIP que compreenda todos os aspectos da atividade da auditoria interna (Norma 1300: Programa de Garantia de Qualidade e Melhoria). O QAIP deve incluir tanto avaliações internas quanto externas (Norma 1310: Requerimentos do Programa de Garantia de Qualidade e Melhoria). As avaliações internas devem incluir monitoramento contínuo do desempenho da atividade de auditoria interna e autoavaliações ou avaliações periódicas realizadas por outras pessoas dentro da organização com conhecimento suficiente das práticas de auditoria interna (Norma 1311: Avaliações Internas). O CAE deve comunicar os resultados do QAIP à Alta Administração e ao Conselho (Norma 1320: Reporte do Programa de Garantia de Qualidade e Melhoria). 28 Norma 1210.A3 do IIA Princípios Fundamentais de Auditoria

27 A Orientação Prática : Avaliações Internas fornece a orientação recomendada para executar avaliações internas dentro da atividade da auditoria interna, incluindo que o CAE comunique os resultados das avaliações internas pelo menos uma vez por ano. O Guia Prático do IIA Mensurando a Eficácia e a Eficiência da Auditoria Interna fornece maior orientação. A 40 do INTOSAI Controle da qualidade para as EFS descreve os elementos de um sistema de controle de qualidade incluindo: Responsabilidades da liderança para a qualidade dentro da organização. Exigências éticas relevantes. Aceitação e continuidade do relacionamento com clientes e de trabalhos específicos. Recursos Humanos. Execução do trabalho. Monitoramento, e a necessidade de documentar as políticas e os procedimentos do controle da qualidade da empresa e comunicá-los ao pessoal da empresa. A 40 fornece também exigências específicas para um processo interno de monitoramento projetado para fornecer segurança razoável de que as políticas e os procedimentos que se relacionam ao sistema do controle da qualidade são relevantes, adequados e estejam funcionando eficazmente. Este processo deve: (a) incluir uma consideração e uma avaliação contínua do sistema de controle da qualidade da empresa, incluindo, de forma cíclica, inspeção de pelo menos um trabalho concluído para cada sócio do trabalho; (b) exigir que o processo de monitoramento seja atribuído a um sócio ou sócios ou outras pessoas com experiência e autoridade suficientes e apropriadas na empresa para assumirem essa responsabilidade; e (c) exigir que aqueles que executam o trabalho ou a revisão do controle da qualidade do trabalho não estejam envolvidos na inspeção dos trabalhos. Para Auditorias operacionais, diretrizes sobre controle da qualidade em nível de trabalho individual são fornecidas pela 3100 Orientações sobre Conceitos Centrais para Auditoria Operacional (Seção 2.5) Diretrizes sobre controle da qualidade em um nível de compromisso individual para auditorias financeiras e de conformidade podem ser encontradas em diversas s. Para auditorias financeiras, orientações são encontrada em 1000, 1220, e 1620, e para auditorias de conformidade, orientações são encontradas em 4100 (Seção 5.2) e 4200 (Seção 5.2). 27

28 Revisões Externas da Qualidade A Norma 1312 do IIA: Avaliações externas exige que avaliações externas sejam realizadas pelo menos uma vez a cada cinco anos por um avaliador, ou uma equipe de avaliação, qualificado e independente, externo à organização, enquanto que a 20 da INTOSAI Princípios de transparência e accountability não exige uma avaliação externa, mas permite que as EFS usem avaliações externas independentes, que podem ser feitas mediante revisões de pares. A 20 orienta, ainda, que as EFS devem informar publicamente os resultados das revisões de pares e avaliações externas independentes. Referência às Normas e Conformidade com as Normas O chefe da auditoria interna pode indicar que a auditoria interna está em conformidade com as Normas Internacionais para a Prática Profissional de Auditoria Interna se, e somente se, os resultados de um programa de garantia de qualidade e melhoria suporte essa indicação. 31 As Normas Profissionais da INTOSAI não requerem explicitamente uma revisão externa. Se as normas de auditoria de uma EFS forem baseadas em, ou consistentes com, os princípios fundamentais da auditoria operacional, então as palavras Conduzimos nossa(s) auditoria(s) de acordo com [normas], que são baseadas em [ou consistentes com] os princípios fundamentais da auditoria operacional das normas internacionais de entidades fiscalizadoras superiores podem ser incluídas no relatório de auditoria ou comunicadas de maneira geral. 32 Tais referências em relatórios de auditoria ou em Relatórios do Auditor só devem ser feitas se as normas aplicadas cumprirem totalmente com todos os princípios relevantes. Os princípios não se sobrepõem a leis, regulamentações ou mandatos nacionais IIA Norma

29 Seção 4 Normas de Desempenho e Respectivas Orientações Práticas/Orientações de Implantação Esta seção faz referência cruzada das Normas de Desempenho e Orientações Práticas/Orientações de Implantação do IPPF com as Normas Profissionais da INTOSAI, com atenção focada em programas de ética, riscos de tecnologia da informação e disseminação de resultados. As tabelas abaixo refletem apenas as normas do IPPF do IIA e da INTOSAI que tenham correlações-chave. TABELA DE REFERÊNCIA CRUZADA: NORMAS DE DESEMPENHO Normas Profissionais da INTOSAI Normas de Desempenho do IIA Gerenciamento da Atividade de Auditoria Interna 1 Princípio Planejamento Gerenciamento de Recursos 7 1 Princípio Políticas e Procedimentos Coordenação Reporte para a Alta Administração e o Conselho Governança Gerenciamento de Riscos Controle 45, Planejamento do Trabalho de Auditoria Interna 2201 Considerações sobre o Planejamento: 2210 Objetivos do Trabalho da Auditoria 2220 Escopo do Trabalho da Auditoria 2230 Alocação de Recursos para o Trabalho da Auditoria 2300 Execução do Trabalho da Auditoria 44, , , ; ; 2.2.9; , ,

30 TABELA DE REFERÊNCIA CRUZADA: NORMAS DE DESEMPENHO (CONTINUAÇÃO) Normas Profissionais da INTOSAI Normas de Desempenho do IIA Identificação das Informações Análise e Avaliação Documentação das Informações 2340 Supervisão do Trabalho da Auditoria 2400 Comunicação de Resultados VI Critérios para a Comunicação 51 39, Qualidade das Comunicações VI Uso de Conduzido em Conformidade com as Normas Internacionais para a Prática Profissional da Auditoria Interna , 9, 10 7, Declaração de Não Conformidade do Trabalho da Auditoria Divulgação de Resultados VI 16 Princípio 7, Opiniões Gerais Monitoramento do Progresso Princípio = Seção ou Capítulo = Parágrafo = Inúmeras referências cruzadas ou ampla aplicabilidade 30

31 TABELA DE REFERÊNCIA CRUZADA: ORIENTAÇÕES PRÁTICAS DE DESEMPENHO (ORIENTAÇÕES DE IMPLANTAÇÃO) Orientações Práticas de Desempenho do IIA (Orientações de Implantação) 1 40 Normas Profissionais da INTOSAI Coordenação Depositando Confiança no Trabalho de Outros Provedores de Avaliação Governança: Avaliações Gerenciando o risco da atividade de auditoria interna 40, 46 28, Planejamento do Trabalho de Auditoria 44, Usando uma abordagem top-down Baseada em Risco para Identificar os Controles a serem Avaliados em um Trabalho de Auditoria Interna A1-1 Avaliação de Risco no Planejamento do Trabalho de Auditoria Programa de Trabalho A2-1 Retenção dos Registros Critérios para a Comunicação 17 2; , 39, 40 = Seção ou Capítulo = Parágrafo As Normas de Desempenho, discutidas nesta seção, descrevem a natureza da auditoria interna e fornecem critérios de qualidade contra os quais o desempenho desses serviços pode ser medido. As Orientações Práticas/Orientações de Implantação discutidas nesta seção ajudam os auditores internos na aplicação das normas de desempenho e na promoção de melhores práticas. Programas de Ética A Norma 2110.A1 do IIA diz que a atividade de auditoria interna deve avaliar o desenho, a implantação e a eficácia dos objetivos, programas e atividades da organização relacionados à ética. Mais informações são fornecidas no Guia Prático/Orientação Suplementar: Avaliando as Atividades e Programas Relacionados à Ética. Princípios éticos da organização de auditoria também são incorporados na estrutura de controle da qualidade da INTOSAI. A 40 requer que a EFS estabeleça políticas e procedimentos projetados para fornecer segurança razoável de que a empresa e seu pessoal cumprem com as exigências éticas relevantes. No entanto, a INTOSAI não avalia especificamente programas de ética de uma entidade sujeita à auditoria a menos que isso esteja no escopo da auditoria. 31

32 Tecnologia da Informação (TI) As normas de IIA requerem uma avaliação periódica detalhada da governança de TI, exposições a riscos de TI e adequação e eficácia de controles de TI em toda a organização. Especificamente, a atividade de auditoria interna deve: Avaliar se a governança da TI da organização dá suporte às estratégias e aos objetivos da organização. 34 Avaliar as exposições a risco relacionadas aos sistemas da informação. 35 Avaliar a adequação e a eficácia dos controles em resposta aos riscos nos sistemas da informação da organização. 36 A 3000 inclui um apêndice de seis páginas sobre auditoria operacional e TI. 37 Outras informações sobre comparação de orientações de TI podem ser encontradas na seção 5 deste relatório. Divulgação dos Resultados Auditores internos e externos têm diferentes requisitos relativos à divulgação de resultados fora da organização. Caso não existam exigências legais, estatutárias ou normativas em outro sentido, o executivo chefe de auditoria da atividade de auditoria interna deve, antes de liberar os resultados para as partes fora da organização: Avaliar o risco potencial à organização. Consultar com a alta administração e/ou advogado, conforme apropriado. Controlar a disseminação restringindo o uso dos resultados. 38 Por outro lado, as EFS deverão ter poderes e obrigação constitucionais de relatar seus achados anualmente ao legislativo ou a qualquer outro órgão público responsável; esse relatório será publicado. Essa prática garantirá uma ampla distribuição e discussão e criará melhores oportunidades para reforçar os achados da Entidade Fiscalizadora Superior. 39 A 300 afirma, ainda, que a distribuição ampla de relatórios de auditoria pode promover a credibilidade da função de auditoria. As EFS devem decidir sobre o método de distribuição, em conformidade com seus respectivos mandatos. Os relatórios devem ser distribuídos para a entidade sujeita a auditoria, para o Executivo e/ou o Legislativo e, quando relevante, tornados acessíveis ao público em geral diretamente e mediante a mídia e para outras partes interessadas, a menos que proibido por lei ou regulamentos Norma A2 do IIA 35 Norma A1 do IIA 36 Norma 2130.A1 do IIA Diretrizes de Implantação para Auditoria Operacional 38 Norma 2440.A2 do IIA 39 1 Declaração de Lima " 40 1 Declaração de Lima " 32

33 Seção 5 Guias Práticos, Guias de Auditoria de Tecnologia Global, e Guias de Avaliação de Risco de TI (Orientação Suplementar) Guias Práticos, Guias de Auditoria de Tecnologia Global (GTAG) e Guias de Avaliação de Risco de TI (GAIT) estão na camada de Orientação Suplementar do IPPF de orientações recomendadas endossadas pelo IIA mediante um processo formal de aprovação. Guias Práticos Os Guias Práticos do IIA fornecem orientações detalhadas para conduzir atividades de auditoria interna. Incluem processos e procedimentos detalhados, tais como ferramentas e técnicas, programas e abordagens passo a passo, incluindo exemplos de resultados práticos. Os guias práticos são mais estreitamente relacionados com as diretrizes sobre assuntos específicos do nível 4 das. TABELA DE REFERÊNCIA CRUZADA: GUIAS PRÁTICOS (ORIENTAÇÃO SUPLEMENTAR) Normas Profissionais da INTOSAI Guias Práticos (Orientação Suplementar) do IIA Auditoria de Programas Antissuborno e Anticorrupção Gestão da Continuidade dos Negócios Avaliando a Responsabilidade Social Corporativa X Auditoria Interna e Fraude Programa de Garantia de Qualidade e Melhoria IIA Guias Práticos (Orientação Suplementar) Auditoria de Programas Antissuborno e Anticorrupção X X Gestão da Continuidade dos Negócios X X X X X Avaliando a Responsabilidade Social Corporativa Auditoria Interna e Fraude X X Programa de Garantia de Qualidade e Melhoria X X = Documentos de orientação abordam tópicos semelhantes ou complementares. 33

34 GTAGs e GAITs GTAGs e GAITs são Guias Práticos focados na tecnologia que fornecem orientação detalhada para executar serviços de auditoria interna de avaliação (assurance) e de consultoria relacionados a TI. Incluem processos e procedimentos detalhados, tais como ferramentas e técnicas, programas e abordagens passo a passo, incluindo exemplos de resultados práticos. GTAGs e GAITS são estreitamente associados com a 5310, a orientação de TI única da INTOSAI. A 5310 é um guia de metodologia de revisão da segurança do sistema de informação. O objetivo principal deste guia é auxiliar às EFS que possuem mandato para rever os programas da segurança do sistema de informação instalados por várias organizações governamentais. Pode também ser usado pelas EFS para montar programas de segurança detalhados, eficazes e econômicos em seus próprios escritórios. TABELA DE REFERÊNCIA CRUZADA: GTAG E GAIT (ORIENTAÇÃO SUPLEMENTAR) Guias de Auditoria de Tecnologia Global (GTAGs) e Guias de Avaliação de Risco de TI (GAITs) do IIA Normas Profissionais da INTOSAI GTAG 1 GTAG 2 Riscos e Controles da Tecnologia da Informação Controles de Gerenciamento de Mudanças e Correções: Crítica para o Sucesso Organizacional X X GTAG 4 Gerenciamento de Auditoria da TI X GTAG 7 Terceirização da Tecnologia da Informação X GTAG 8 Auditando Controles de Aplicativos X GTAG 9 Gerenciamento de Identidade e Acesso X GTAG 10 Gestão da Continuidade dos Negócios X X X X X X GTAG 11 Desenvolvendo o Plano de Auditoria da TI X GTAG 12 Auditando Projetos de TI X GTAG 13 Prevenção e Detecção de Fraude em um Mundo Automatizado X X GTAG 14 Auditando Aplicativos Desenvolvidos pelo Usuário X GTAG 15 Governança da Segurança da Informação X GTAG 16 Tecnologias da Análise de Dados X GTAG 17 Auditando a Governança de TI X GAIT Metodologia GAIT X GAIT GAIT para Avaliação de Deficiências de Controles Gerais de TI X GAIT GAIT para Negócios e Riscos de TI X X = Documentos de orientação abordam tópicos semelhantes ou complementares. 34

35 Conclusão Percepção Global do Setor Público: IIA & INTOSAI Comparação das Estruturas Oficiais de Orientação Em resumo, existem várias semelhanças gerais entre o IPPF do IIA e as Normas Profissionais da INTOSAI. Ambas estruturas são baseadas em princípios e se esforçam para fortalecer o posicionamento da profissão de auditoria interna, e ambas reconhecem que a auditoria é conduzida em ambientes legais e culturais diversos - e que essas diferenças legais e culturais podem afetar a forma como é praticada. Há, também, algumas diferenças-chave entre as organizações responsáveis pelo estabelecimento de normas e suas orientações oficiais. A finalidade deste documento é servir como um recurso para auxiliar os praticantes da auditoria interna e para aprimorar sua compreensão da coordenação e da cooperação entre as duas entidades. O IIA e a INTOSAI continuarão a trabalhar em conjunto para atualizar este documento, sempre que as informações mudarem. Futuros projetos de colaboração também podem ser lançados. Autores, Cooperadores e Revisores Autores e Cooperadores Tina Kim, CPA, CIA, CGAP, CMA, CFF, CITP, CFE Jacek Jezierski Mariusz Sujka Kamila Zyndul Revisores Bruce Turner, CGAP, CRMA, CISA, CFE, PFIIA Drs. Tea Enting-Beijering, RA Bruce C. Sloan, CPA, CA, CRMA Traduzido por IIA Brasil Revisado por Wagner Martins de Morais, CIA, CRMA, CGAP 35

36 Sobre o IIA Brasil O Instituto dos Auditores Internos do Brasil é uma entidade civil sem fins econômicos que tem como objetivo proporcionar informações que agreguem valor à carreira dos seus associados. Oferecemos conhecimento, novas técnicas, atualizamos e certificamos estes profissionais. Sua fundação ocorreu em 20 de novembro de 1960 e hoje estamos entre os 10 maiores institutos em número de associados entre as afiliadas do IIA Global (The Institute of Internal Auditors). Promover o valor dos auditores internos nas organizações, proporcionar condições para o desenvolvimento e a capacitação dos executivos do setor e, ainda, disseminar o papel deste profissional no mercado são preocupações do IIA Global e do Instituto brasileiro. Entre suas atividades de capacitação, o IIA Brasil oferece cursos técnicos, seminários e congressos, incentivando o debate e o intercâmbio de assuntos referentes à Auditoria Interna no país. Desde 1º de janeiro de 2013, o Instituto conta com um novo Conselho de Administração eleito por meio do voto direto dos afiliados. Após esta seleção também foram escolhidos e aprovados pelo Conselho os membros da Diretoria Executiva responsáveis pelo direcionamento e desenvolvimento dos trabalhos juntamente com o staff do IIA Brasil. Conselho de Administração biênio 2014/2016 Presidente do Conselho Vice-Presidente do Conselho Conselheiro Conselheiro Conselheiro Conselheiro Conselheiro Conselheiro Conselheiro Conselheiro (ex-presidente) Carlos Renato Fontes Trisciuzzi, CIA, CCSA, CRMA, QIAL, Paulo Roberto Reichelt Ayres, CIA, CRMA Artur Henrique de Toledo Damasceno, CIA, CRMA, CFSA Carlos Berti Niemeyer, CIA, CCSA, CRMA Herbert Otto Homolka CIA, CCSA, CGAP, CFSA, CRMA Igor Estrada Gouvêa, CIA, CRMA Maurício Augusto Souza Lopes, CRMA Paulo Michael Vanca, CRMA Rene Guimarães Andrich, CIA, CCSA, CRMA Oswaldo Basile CIA, CCSA, CRMA Diretoria Executiva - biênio 2014/2016 Diretor-Presidente Diretor Vice-Presidente Diretor Secretário Diretor de Certificação Diretor Tesoureiro Andre Luiz Marini Chagas, CRMA Wanderley Barbosa de Freitas, CIA, CRMA Paulo Gomes Fábio Pimpão, CIA, CCSA e CRMA Antonio Edson Maciel dos Santos, CCSA 36

37 37

38 Sobre IIA Estabelecido em 1941, o Instituto de Auditores Internos (IIA) é uma associação profissional internacional com sede global em Altamonte Springs, Flórida, EUA. O IIA é a voz global da profissão de auditor interno, sua autoridade e seu líder reconhecidos, seu principal defensor e maior instrutor. Este material não é parte do IPPF, mas pode ser útil para aqueles que praticam auditoria interna e suas partes interessadas. Para material adicional referente ao setor público fornecido por IIA, favor visitar nosso site em: Sobre o Comitê do Setor Público O Comitê do Setor Público do IIA (PSC) é um grupo de voluntários do IIA focado em desenvolver orientação e percepção para atender às necessidades dos auditores internos e outros interessados no setor público. Na ocasião da preparação deste documento de percepção em 2015, o PSC incluía 22 representantes de 14 países nos seis continentes mais povoados África, Ásia, Austrália, Europa, América do Norte e América do Sul. Isenção de Responsabilidade O IIA publica este documento para fins de informação e instrução. Este material não visa fornecer respostas definitivas a circunstâncias individuais específicas e, como tal, visa apenas a ser usado como percepção. IIA recomenda que você busque sempre aconselhamento independente especializado relacionando-se diretamente a qualquer situação específica. IIEE não aceita qualquer responsabilidade por qualquer um que dependa unicamente deste material. Direitos Reservados Direitos Autorais 2016 The Institute of Internal Auditors. Para permissão para reproduzir, favor contatar IIA em guidance@theiia.org. 38

39 GLOBAL HEADQUARTERS 247 Maitland Ave. Altamonte Springs, FL USA T: F: W: