Guia Prático AUDITORIA INTEGRADA

Transcrição

1 Guia Prático AUDITORIA INTEGRADA JULHO DE 2012

2

3 Índice Sumário Executivo... 1 Introdução Por que usar uma metodologia integrada de auditoria? Criando um plano de auditoria integrada Conduzindo uma auditoria integrada A auditoria integrada em atividades de auditoria de pequeno porte... 6 Anexo: Checklist de eficácia da auditoria integrada... 8 Autores e Revisores: / C

4

5 Sumário Executivo Historicamente, as auditorias internas foram associadas à obtenção de informações sobre sistemas financeiros e de registros financeiros de uma organização ou negócio. No entanto, agora, as auditorias incluem áreas de conhecimento não financeiro, como segurança, desempenho dos sistemas de informação e preocupações ambientais. Em organizações sem fins lucrativos e agências governamentais, tem havido uma demanda crescente de auditorias de desempenho, que examinam o sucesso na satisfação dos objetivos da missão. Como resultado, há profissionais de auditoria especializados em auditorias de segurança, auditorias de sistemas de informação e auditorias ambientais. Integrar essa base de conhecimento em uma única auditoria produz um resultado mais eficaz, por meio de uma abordagem holística. As decisões relativas à avaliação de riscos exigem dos auditores um maior foco, para ampliar suas perspectivas e pensar fora da caixa. O propósito deste Guia Prático é aumentar a conscientização do auditor interno sobre a auditoria integrada e oferecer orientações sobre como abordar uma auditoria integrada. As seções principais desta orientação oferecem informações para explicar: As diferenças entre uma abordagem de auditoria integrada e uma abordagem de auditoria não integrada. As vantagens de uma abordagem de auditoria integrada. As situações em que uma abordagem de auditoria não integrada possa ser mais eficaz do que uma abordagem integrada. Como criar um plano de auditoria integrada. Considerações sobre as habilidades ou conhecimentos especializados necessários para conduzir uma auditoria integrada. A auditoria integrada em atividades de auditoria de pequeno porte. Introdução O International Professional Practices Framework (IPPF) é o framework conceitual que organiza as orientações fidedignas promulgadas pelo The Institute of Internal Auditors (The IIA). O IPPF inclui a Definição de Auditoria Interna, o Código de Ética, as Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) e orientações fortemente recomendadas, como este Guia Prático. Ao conduzir trabalhos de auditoria integrada, os auditores internos devem considerar as seguintes normas delineadas no IPPF: Norma 1200: Proficiência e Zelo Profissional Devido. Norma 1210: Proficiência. Norma 2010: Planejamento. Norma 2200: Planejamento do Trabalho de Auditoria. Norma 2210: Objetivos do Trabalho de Auditoria. Norma 2230: Alocação de Recursos para o Trabalho de Auditoria. Norma 2240: Programa de Trabalho de Auditoria. O chief audit executive (CAE) deve considerar uma abordagem de auditoria integrada como parte da metodologia geral usada pela atividade de auditoria interna. O objetivo é atingir um trabalho de auditoria mais eficiente e eficaz. As orientações atuais do IPPF servem como base sólida para essa abordagem. Este guia discutirá áreas que melhoram o trabalho de auditoria, oferecendo orientações sobre as áreas que podem variar entre a abordagem tradicional anterior e a abordagem atual de auditoria integrada. / 1

6 1. Por que usar uma metodologia integrada de auditoria? Quais são as diferenças entre uma abordagem de auditoria integrada e uma abordagem de auditoria não integrada? A auditoria integrada difere da auditoria não integrada em termos de escopo e complexidade geral. A auditoria tradicional e a auditoria integrada diferem em escopo e na profundidade e amplitude da cobertura. Por exemplo, uma auditoria tradicional pode ter foco sobre os aspectos financeiros ou operacionais, enquanto uma auditoria integrada tomará uma abordagem mais global, que examine diversos aspectos, incluindo, mas não se limitando ao financeiro, operacional, TI, regulatório, conformidade, ambiental e fraude. A complexidade de uma auditoria integrada está diretamente relacionada à sua natureza mais ampla, o que pode exigir: O uso de múltiplas técnicas de auditoria para chegar ao resultado desejado. O maior uso de recursos externos ou maior conhecimento da equipe e conjuntos adicionais de habilidades. Melhores habilidades de gestão de projetos, para garantir a coordenação e conclusão eficazes da auditoria. Uma abordagem equilibrada à identificação e classificação de riscos, especialmente em áreas pouco familiares, que não tenham sido tradicionalmente revisadas. Supervisão e criatividade maiores, para o auditor pensar fora da caixa, e comunicação com todas as partes envolvidas no trabalho. Mudanças no modelo atual de estruturação da equipe. A atividade de auditoria interna deve considerar o uso de múltiplas técnicas de auditoria ao conduzir uma auditoria integrada, para chegar ao resultado desejado para o trabalho com eficiência e eficácia. Exemplos dessas técnicas de auditoria podem incluir, mas não se limitam à auditoria contínua, amostragem, pesquisas e análise de dados. Muitas dessas técnicas são usadas em auditorias tradicionais, mas não é uma prática comum usá-las em combinação. A meta principal é pensar fora da caixa e considerar o uso de técnicas apropriadas, para levar, com maior eficiência, ao resultado da auditoria. A auditoria integrada exigirá maior conhecimento, para garantir que ocorram a identificação e avaliação apropriadas dos riscos. A inclusão de pessoal de diversos departamentos, consultores externos, mais pesquisas de auditoria, treinamento e possíveis mudanças no modelo atual de estruturação de equipe podem ser necessários para aperfeiçoar a expertise da equipe de auditoria. Pesquisas de auditoria e treinamento adicionais poderiam acrescentar tempo à auditoria e aumentar seus custos. A equipe de auditoria deve se familiarizar com os recursos de auditoria e de treinamento disponíveis na Internet, que oferecerão as informações desejadas e ajudarão a mitigar o aumento dos custos. Entender e usar os recursos disponíveis em outros departamentos poderia ser uma forma eficaz de trazer expertise para a auditoria, sem aumentar os custos. Uma sugestão é que a atividade de auditoria interna mantenha um inventário dos profissionais da organização que poderiam ser alavancados como especialistas, para suplementar os conhecimentos dos recursos existentes de auditoria. A equipe de auditoria em si precisará ter o conjunto de habilidades necessário para consolidar em uma avaliação de riscos abrangente as informações coletadas. As decisões sobre a avaliação de riscos demandarão coordenação entre todas as partes, para garantir as classificações apropriadas dos riscos. A visão mais holística de uma auditoria integrada exige que o auditor modifique sua perspectiva e pense além do escopo tradicional de auditoria. Um papel crucial para o sucesso de uma auditoria integrada é o auditor 2 /

7 líder (ou auditor chefe), devido aos maiores requisitos de qualificação e capacidades de gestão de projetos de auditoria. O auditor líder deve ter pleno entendimento do risco em potencial da atividade de auditoria, em todos os aspectos do escopo de auditoria. O auditor líder precisará ter habilidades informais suficientes para garantir o trabalho em equipe eficaz entre a equipe de auditoria e outros que agreguem expertise ao trabalho. Conforme observado, uma auditoria integrada pode exigir recursos adicionais para formar a base de conhecimentos para a identificação e avaliação dos riscos. O auditor líder é responsável por garantir a coordenação entre todas as áreas e uma abordagem equilibrada à identificação e classificação dos riscos. O auditor líder desempenha um papel essencial para um resultado bem-sucedido do plano de trabalho. O auditor líder deve garantir a comunicação entre todas as partes envolvidas e a conclusão tempestiva das atividades de auditoria. São necessárias mais habilidades de gestão de projetos e o uso de uma ferramenta de agendamento é sugerido para monitorar a conclusão. A demanda por uma maior expertise pode exigir a modificação do plano de estruturação da auditoria. Isso poderia incluir contratar membros para a equipe com expertise específica em conformidade regulatória ou engenharia ambiental. O tipo de expertise depende da organização e da auditoria. A complexidade geral de uma auditoria integrada é gerenciável, se as pessoas certas estiverem envolvidas. Isso inclui a vontade de compartilhar expertise por parte dos departamentos da organização, e o conhecimento e o conjunto de habilidades do auditor líder. É necessário que haja intenção de alocar os recursos apropriados, para garantir resultados de sucesso nessas auditorias de maior e mais amplo escopo. em mais oportunidades de ser vista como participante essencial de grandes projetos, desde o início. Muitos percebem que os auditores aumentam sua confiança e se tornam mais proficientes em outras facetas das operações da organização, aumentando sua eficácia. Outras vantagens incluem a maior cobertura, o melhor reporte e a maior eficácia das avaliações de riscos e dos planejamentos de auditoria. Quando a abordagem de auditoria tradicional é mais eficaz do que a abordagem de auditoria integrada? A adoção de uma estratégia de auditoria integrada não significa que auditorias de escopo limitado não serão mais usadas. As avaliações de riscos podem sugerir que uma auditoria de alto risco de um único elemento seja a prioridade. Isso poderia resultar em uma auditoria de escopo menor. Exemplos disso seriam uma auditoria de conformidade com requisitos regulatórios para documentações de empréstimo ou uma auditoria de integridade e precisão de informações da administração. Certas restrições podem limitar a eficácia de uma abordagem de auditoria integrada, incluindo limitações de recursos ou orçamento. Quando a atividade auditada é conduzida por uma equipe de pequeno porte, pode ser necessário limitar o número de auditores envolvidos em uma tarefa, para evitar a interrupção da atividade comercial diária. Em suma, diversas abordagens de auditoria devem ser consideradas. O CAE deve determinar a melhor abordagem com base na organização, na atividade a ser auditada e nos recursos disponíveis. O uso de múltiplas abordagens de auditoria permite que uma complemente a outra. Quais as vantagens da abordagem de auditoria integrada? Adotar uma abordagem de auditoria integrada pode aumentar a credibilidade da atividade de auditoria interna, resultado na maior relevância de seu trabalho e / 3

8 2. Criando um plano de auditoria integrada Para que uma organização adote a auditoria integrada, a estrutura de governança corporativa deve estar suficientemente amadurecida. O conselho 1 deve estar certo de que a atividade de auditoria interna conta com habilidades técnicas e gerenciais suficientes para conduzir uma auditoria integrada. Essas habilidades incluirão habilidades técnicas, interpessoais e gerenciais necessárias para conduzir uma auditoria de escopo mais amplo. Quais dimensões adicionais existem na auditoria? Identificação e avaliação de riscos ampliadas. Identificação dos controles sobre a área de escopo mais amplo. Recursos adicionais necessários, em números e expertise, para executar o plano de auditoria integrada. Aprovação do CAE para concluir o plano de auditoria integrada. 1. Há uma tendência crescente que conselhos solicitem auditorias de questões legais relativas a contratos, conformidade regulatória ou outras preocupações das partes interessadas. A abordagem de auditoria integrada pode ser a mais eficaz. 2. O conselho e a alta administração podem exigir o monitoramento contínuo da organização, para permitir a avaliação de toda a organização e para que essa avaliação seja prestada em tempo real. Uma auditoria integrada pode ser a abordagem mais eficiente e eficaz. 3. Há uma exigência crescente pela avaliação de áreas como governança de TI e computação na nuvem. A avaliação dessas áreas pode estar fora da expertise do departamento de auditoria tradicional, mas poderia ser assumida por uma auditoria integrada. Figura 1 A Figura 1 mostra exemplos em que uma auditoria integrada deveria ser considerada. Primeiro Passo: Revisar o ciclo de gerenciamento de riscos. Faça as seguintes perguntas: O processo existente de gerenciamento de riscos tem alcance suficiente para capturar todos os riscos significantes isto é, eventos que poderiam prevenir o atingimento dos objetivos da organização? Para o universo de auditoria considerado, o mapa de riscos engloba toda a organização? Isso incluiria áreas previamente vistas como externas ao escopo, capacidades ou expertise da função de auditoria interna. Por exemplo, a função de pesquisa e desenvolvimento está produzindo novos designs e produtos? O equipamento e os softwares de controle de processos estão devidamente protegidos? Os instrumentos financeiros estão sendo apropriadamente testados? As questões regulatórias estão sendo abordadas? Está sendo feito lobby suficiente quando apropriado? A reputação está sendo protegida? Estão sendo feitas revisões dessas áreas, e elas estão incluídas na avaliação passada à alta administração e ao conselho? As respostas a essas e a questões parecidas poderiam indicar riscos não abordados pela atividade de auditoria interna. Quando são identificados riscos dessa amplitude, uma auditoria dessas áreas poderia exigir um nível especializado de conhecimento, que poderia ser incorporado a um plano de auditoria integrada. 1 Conforme definido no glossário das Normas, um conselho é um corpo diretivo da organização, como um conselho de administração, conselho de supervisão, chefe de uma agência ou órgão legislativo, conselho de gestores ou curadores de uma organização sem fins lucrativos ou qualquer outro órgão designado da organização, incluindo o comitê de auditoria ao qual o chief audit executive pode reportar funcionalmente. 4 /

9 Segundo Passo: Visão geral dos controles internos. Após identificar o universo de riscos mais amplo, a auditoria interna deve revisar os controles relativos a esses riscos. Por exemplo, dentro da organização, pode haver a duplicação de processos de controle da saída de bens para venda, como a verificação da documentação, sistemas de acesso eletrônico, supervisão manual e vigilância por closed caption television (CCTV). É possível que todos esses controles individuais possam ser testados separadamente, como a verificação da documentação (em uma revisão das contas a pagar), teste de acesso eletrônico (em uma revisão do departamento encarregado dos equipamentos), teste de amostragem da supervisão manual (em uma revisão do departamento de remessa) e uso de CCTV (em uma revisão da função de segurança). A auditoria integrada, nesse exemplo, exigiria que o processo de auditoria tivesse foco sobre o controle das remessas e o registro dos itens, em vez de uma auditoria de transações individuais e auditorias de sistemas. Terceiro Passo: Identificar o nível necessário de expertise. O CAE deve considerar a expertise que não entraria, normalmente, na abordagem histórica de auditoria interna. A expertise necessária para conduzir a revisão pode existir dentro da organização, mas não fazer parte da atividade de auditoria interna, ou pode ser identificada uma lacuna de expertise que deva ser terceirizada. Quarto Passo: Considerar métodos e cronograma. Mapeie os métodos e o cronograma da cobertura de auditoria necessária junto à lista nova e expandida de riscos. Esse é um processo direto de cálculo das horas de trabalho necessárias para cada tarefa. Quinto Passo: Calcular os recursos. Calcule os recursos necessários, em termos da capacidade existente dentro da atividade de auditoria interna e da organização, e qualquer nova capacidade que seria necessária, como pessoas qualificadas para revisar áreas específicas. O resultado desse cálculo será o custo componente de conduzir a auditoria integrada. Sexto Passo: Priorizar as atividades auditáveis dentro do plano de auditoria. É importante que os critérios usados para comparar e avaliar os riscos, em todas as áreas da organização que serão abordadas no programa de auditoria integrada, tenham um sistema comum de pontuação. Sétimo Passo: Combinar os custos. O custo do plano de auditoria integrada deve ser determinado. Esse é um processo simples, de combinar os custos identificados no Quinto Passo com a lista priorizada de auditorias identificada no Sexto Passo. Oitavo Passo: Buscar aprovação do conselho. O CAE deve estar preparado para responder às seguintes perguntas, ao apresentar um plano de auditoria integrada, como parte de um conjunto geral (agendado) de auditorias apresentado ao conselho para aprovação: A abordagem de auditoria integrada dá maior garantia ao conselho e à alta administração? Isso pode ser demonstrado? O plano de auditoria integrada é entregável? Qual o custo? Há uma métrica de equação do custo da auditoria versus garantia que demonstre o benefício dessa abordagem? 3. Conduzindo uma auditoria integrada Questões para o Auditor Líder Durante o planejamento de auditoria, o auditor líder deve entender todas as facetas do plano de auditoria e quais habilidades ou conhecimentos especializados podem ser necessários para sua condução. O auditor líder deve montar uma equipe com os conhecimentos e experiências combinados necessários para avaliar os riscos e os controles relevantes da atividade sob revisão. / 5

10 Ao construir tal equipe, o auditor líder deve considerar se é necessário aumentar o nível de habilidades ou conhecimentos especializados da equipe para melhorar a qualidade da auditoria. O líder da equipe deve supervisionar o trabalho do especialista, para confirmar se há evidências suficientes de quaisquer erros identificados ou deficiências de procedimento/controle reportadas. O líder da equipe pode promover o desenvolvimento dos auditores internos, encarregando a equipe de trabalhar com o especialista, para garantir uma transferência de habilidades e de conhecimento para a equipe de auditoria. As expectativas do trabalho a ser realizado pelo especialista devem ser comunicadas claramente pelo líder da equipe. Estruturando uma equipe de auditoria integrada A seleção eficaz de membros para a equipe de auditoria, incluindo aqueles com habilidades ou conhecimentos especializados, é necessária para atingir um resultado positivo em uma auditoria integrada. Atividades de auditoria de menor porte podem não ter profissionais com especializações específicas à auditoria, para garantir a estruturação adequada da equipe de auditoria. O co-sourcing, auditores convidados ou o uso de especialistas internos ou externos são soluções comuns para esse desafio. Os especialistas complementarão as habilidades e o conhecimento organizacional da equipe existente. Todos os membros da equipe devem entender seu papel e como ele se relaciona com a auditoria e com os riscos da atividade sob revisão. Competências da atividade de auditoria integrada O CAE tem opções para estruturar o departamento de auditoria, para garantir que tenha as habilidades, os conhecimentos e as especialidades necessárias para auditorias integradas de sucesso. Os auditores internos devem ter oportunidade de obter o conhecimento e as habilidades necessárias para conduzir qualquer tipo de auditoria. A Norma do The IIA 1210: Proficiência declara que todos os auditores internos devem ter o conhecimento, as habilidades e outras competências necessárias para cumprir com suas responsabilidades individuais. No entanto, o custo e o tempo para treinar todos os auditores internos em todos os aspectos seriam proibitivos para muitas organizações. O melhor uso dos recursos pode ser usar os auditores internos e os especialistas nas áreas de trabalho para as quais foram treinados e nas quais são mais competentes. Os auditores internos com ampla abrangência de habilidades podem ser um risco de retenção, por conta de sua maior demanda no mercado. A rotatividade excessiva da equipe pode levar a um ciclo de retreinamento para substituir talentos perdidos. Tal possibilidade não pode prevenir que as organizações adotem uma estratégia agressiva de treinamento, para ampliar a base de habilidades e conhecimentos da atividade. Os CAEs precisam considerar sua estratégia de retenção, para prevenir a perda de talentos. O treinamento das novas habilidades pode fazer parte de uma boa estratégia de retenção. 4. A auditoria integrada em atividades de auditoria de pequeno porte Muitas atividades de auditoria de menor porte são estruturadas para atender à natureza e à escala dos negócios em que atuam. Tais organizações podem incluir as seguintes características comuns: Um a cinco auditores. Horas produtivas de auditoria interna inferiores a ao ano. Nível limitado de co-sourcing ou terceirização. Uma atividade de auditoria de menor porte pode não ter infraestrutura para apoiar um programa/um plano de auditoria integrada, em comparação com o que uma função maior seria capaz de apoiar. Para alavancar com eficácia a auditoria integrada em um departamento de auditoria de pequeno porte, maior consideração deve ser dada a como a auditoria integrada pode ser alavancada para apoiar os objetivos de gerenciamento de riscos da organização. 6 /

11 A Norma do The IIA 2000: Gerenciamento da Atividade de Auditoria Interna exige que o CAE gerencie com eficácia a atividade de auditoria interna, para garantir que ela agregue valor à organização. Ao alavancar um modelo com base em riscos, o planejamento do trabalho realizado por meio da lente da avaliação integrada de riscos pode dar à atividade de auditoria de menor porte a oportunidade de uma maior eficiência e de apoiar a cobertura eficaz dos riscos dentro do programa e dos objetivos de auditoria. O conceito de auditoria integrada pode frequentemente incluir recursos externos ao departamento que possuam conhecimentos especializados ou técnicos de auditoria, para melhor apoiar o planejamento e a definição do escopo do trabalho em múltiplas áreas de riscos. Em alguns casos, esses recursos podem ser encontrados dentro da organização, desde que a objetividade dos recursos seja mantida. Em outros casos, os recursos que possuem os conhecimentos especializados ou técnicos necessários para orientar o desenvolvimento do escopo do trabalho podem ser trazidos de fora. A equipe do departamento deve trabalhar com especialistas alocados e alavancar as oportunidades de aprendizado quando possível. Em casos em que o orçamento de treinamento possa apoiar as habilidades ou os conhecimentos necessários à equipe para múltiplos trabalhos, essas oportunidades devem ser oferecidas. O desenvolvimento de checklists de procedimento de auditoria com base em riscos, mecanismos de definição de escopo e metodologias comuns de teste, para estruturar os trabalhos mais adequados ao modelo integrado, promoverá a execução eficiente e é útil. Considerações comuns da fase de planejamento devem incluir a complexidade e a duração do trabalho, a estruturação da equipe e o valor de tais checklists (isto é, o potencial de recorrência do trabalho). Tais materiais poderiam promover o desenvolvimento de modelos de programas de trabalho de auditoria integrada, o que reduziria o tempo necessário à equipe para concluir trabalhos com eficácia e atingir os objetivos do trabalho. Atividades de auditoria de menor porte podem escolher estruturar a equipe de um trabalho com base na cobertura de riscos das áreas examinadas. Os CAEs são encorajados a se envolver mais em trabalhos de maior risco ou complexos. A definição de procedimentos de auditoria e a coordenação da conclusão são essenciais às atividades de auditoria de menor porte. A comunicação entre os membros da equipe é fundamental para garantir que o trabalho seja desenvolvido da forma mais eficiente e eficaz. Como muitas atividades de auditoria de pequeno porte estão inseridas em organizações menores, os auditados podem ter muitas áreas de responsabilidade e podem estar sujeitos a múltiplas prioridades. Nesse ambiente, a ênfase deve estar sobre o gerenciamento eficaz dos clientes e dos dados, para apoiar a conclusão tempestiva dos trabalhos e do reporte relacionado. O processo de execução do trabalho será o mesmo que o de outros trabalhos conduzidos em conformidade com as Normas. Pode ser necessário que o CAE dê atenção especial ao reporte eficaz dos resultados do trabalho realizado. Deve ser definido o reporte específico ao trabalho, se exigido como parte do planejamento do projeto. Isso deve incluir o conteúdo esperado e o formato das comunicações, orientações quanto aos destinatários das comunicações e se outras partes, externas à função, devem ser consultadas antes da finalização e divulgação. Os trabalhos de auditoria integrada incluem a consideração de múltiplas áreas de riscos; quaisquer descobertas reportadas provavelmente exigirão um maior público para socialização e a coordenação relacionada para garantir os planos de ação necessários por parte da administração. / 7

12 ANEXO: Checklist de eficácia da auditoria integrada A seguir, estão perguntas fundamentais que o CAE deve fazer, para garantir que a atividade de auditoria interna esteja usando, com eficácia, uma abordagem de auditoria integrada. Uma abordagem eficaz de auditoria integrada englobaria todas as áreas de cobertura da auditoria. Essas áreas de cobertura podem incluir, mas não se limitam ao financeiro, operacional, TI, ambiental, fraude e conformidade. 1. Plano Anual de Auditoria a. O plano de auditoria incorpora a cobertura de todas as áreas de alto risco? b. Cada atividade auditável está definida, para garantir que cubra as áreas em seu escopo? c. A avaliação de riscos é feita de forma integrada? Por exemplo, os fatores de riscos da avaliação de riscos garantem a cobertura de áreas de alto risco? d. A descrição de cada fator está incluída? 2. Comunicação por Escrito a. Sua lista de questões por escrito identifica a causa raiz por meio da análise de áreas dentro do escopo da atividade auditável? b. As recomendações garantem a inclusão de áreas ou fatores que afetariam a causa raiz? c. A opinião geral, se houver, reflete as observações feitas e é considerada em alinhamento com o framework identificado no planejamento? 3. Plano de Auditoria (Trabalho) a. A cobertura da auditoria inclui um framework geral? b. O modelo de estruturação da equipe complementa o escopo do trabalho? c. Os membros da equipe entendem como suas atividades de trabalho se relacionam entre si e como afetam os objetivos e o escopo do trabalho? d. As conclusões dos testes específicos de auditoria abordam a configuração do framework de controle na fase do planejamento de auditoria? e. Os membros da equipe do trabalho reúnem-se periodicamente, para garantir que todos os membros entendam o que buscam atingir, e suas conclusões estão em alinhamento com o framework estabelecido durante o planejamento? f. Ao longo da auditoria, os membros da equipe estão cientes das correlações dos diversos controles, para avaliar devidamente o impacto de quaisquer deficiências? g. Uma abordagem de auditoria integrada foi considerada? h. Se a equipe decidiu que uma abordagem de auditoria integrada não facilitaria o atingimento dos objetivos de trabalho declarados, os motivos foram registrados? 4. Modelo de Estruturação da Equipe a. O modelo de estruturação da equipe atende às necessidades do projeto específico de auditoria? b. Para o plano anual de auditoria do ano atual, estão disponíveis recursos externos e internos para apoio à equipe de auditoria? Se não, foi planejado um treinamento para ampliar os conhecimentos da equipe de auditoria antes da iniciação da auditoria? 5. Avaliações Após o Trabalho a. As autoavaliações, revisões por pares e normas de qualidade do departamento garantem que os objetivos do trabalho integrado sejam atingidos e estejam em alinhamento com o framework do planejamento? b. A avaliação inclui discussões/feedback sobre o que os membros da equipe aprenderam com o processo de auditoria integrada (ex., auditores operacionais entendem sobre controles de TI)? c. As respostas às pesquisas da administração indicam que a abordagem integrada oferece resultados de valor agregado? 8 /

13 Autores: James Reinhard, CIA, CPA, CISA Brad Ames, CPA, CISA Andrew Robertson Rita Thakkar, CIA, CPA, CA Ryon Pulsipher, CPA David Bentley Revisores: Steve Hunt, CIA, CISA, CRMA, CGEIT, CRISC, CBM Steven Jameson, CIA, CCSA, CFSA, CRMA, CPA, CFE / 9

14

15

16 Sobre o Instituto Fundado em 1941, The Institute of Internal Auditors (The IIA) é uma associação profissional com sede global em Altamonte Springs, Fla., EUA. O The IIA é a voz da profissão de auditoria interna em todo o mundo, autoridade reconhecida, líder valorizado, advogado chefe e principal educador. Sobre os Guias Práticos Os Guias Práticos fornecem uma orientação detalhada para a condução de atividades de auditoria interna. Eles incluem processos e procedimentos detalhados, como ferramentas e técnicas, programas e abordagens passo-a-passo, assim como exemplos de deliverables. Os Guias Práticos fazem parte do IPPF do The IIA. Como parte da categoria de orientação Fortemente Recomendada, a conformidade não é obrigatória, mas é altamente recomendada, e a orientação é endossada pelo The IIA por meio de processos formais de revisão e aprovação. Para mais materiais de orientação fidedignos fornecidos pelo The IIA, por favor visite nosso website: Isenção de Responsabilidade O The IIA publica este documento para fins informativos e educacionais. Este material de orientação não tem como objetivo fornecer respostas definitivas a circunstâncias específicas individuais e, como tal, tem o único propósito de servir de guia. The IIA recomenda que você sempre busque conselhos especializados independentes, relacionados diretamente a qualquer situação específica. The IIA não assume responsabilidade pela confiança depositada unicamente neste guia. Copyright Copyright 2012 The Institute of Internal Auditors. Para permissão para reprodução, favor entrar em contato com o The IIA pelo guidance@theiia.org. SEDE GLOBAL 247 Maitland Ave. Altamonte Springs, FL EUA T: F: W: