Perguntas frequentes sobre as Normas Globais de Auditoria Interna de 2024
O sucesso de nossa série de webinars que se concentrou nas novas Normas Globais de Auditoria Interna de 2024 levou a uma lista das perguntas mais frequentes feitas por aqueles que participaram dessas apresentações. Pedimos Liz Sandwith Consultora Especial e ex-membro do Conselho de Normas do IIA, que analisasse essas perguntas e fornecesse suas respostas fundamentadas para maior consideração e clareza.
Q: Como será medido o fornecimento de previsão pela auditoria interna? Isso será baseado no feedback real dos clientes de auditoria?
A: O Domínio I faz referência ao uso de "previsão". O Princípio 6 do Domínio III também faz referência ao termo "previsão" e que ele será incluído no Mandato. O Comitê de Auditoria/Conselho Diretor deve aprovar o Mandato (juntamente com o Estatuto da Auditoria Interna) com referência no Padrão 6.1 ao apoio do Comitê de Auditoria/Conselho Diretor para que a auditoria interna cumpra seu Mandato. Essas são as duas únicas referências a "previsão". Penso na previsão como uma varredura do horizonte e me lembro de uma conversa com um CEO que me disse que não queria "saber onde está o fogo, mas onde estará o fogo". A previsão tem a ver com a auditoria interna apoiando a organização na preparação para o que está por vir, quando a próxima crise poderá ocorrer e qual poderá ser a próxima crise. Mas a auditoria interna não deve ser a única pessoa na organização a olhar para o futuro. A equipe de riscos e a gerência sênior também têm uma responsabilidade. A auditoria interna precisa ser capaz de demonstrar que aplicou os melhores esforços quando examina o horizonte.
Q: Como as novas Normas Globais de Auditoria Interna de 2024 afetarão o processo de certificação do Auditor Interno Certificado (CIA)?
A: A intenção é que o IIA atualize os exames do CIA com a atual prática global de auditoria interna. Haverá maior alinhamento entre os programas de estudos do CIA e as novas Normas Globais de Auditoria Interna do IIA. O IIA buscará minimizar a duplicação e a sobreposição entre as três partes do exame. O CIA procurará esclarecer o conhecimento, as habilidades e as capacidades que os candidatos devem possuir para serem aprovados no exame. Os novos planos de estudos serão publicados até maio de 2024. No entanto, acredito que os novos exames não estarão disponíveis até depois de março de 2025.
Q: Se já atendemos às Normas de Auditoria Interna de 2017, você acha que será necessário mais esforço para atender às novas Normas Globais de Auditoria Interna de 2024?
A: É difícil comentar, mas se você teve uma avaliação de conformidade positiva de seu EQA em relação ao IPPF de 2017 e isso é relativamente recente, então eu sugeriria que será fácil incorporar e estar em conformidade com as novas Normas Globais de Auditoria Interna de 2024. O desafio pode ser trabalhar com seu Comitê/Conselho de Auditoria para incentivá-lo a se envolver no Domínio III.
Q: As organizações são obrigadas a adotar novos termos, como "conclusão de trabalho vs. opinião" em seus relatórios, etc.? Qual é a importância de modelar a nova linguagem do glossário do IIA?
A: As Normas Globais de Auditoria Interna de 2024 fazem referência a "conclusão" em vez de "opinião", o que acredito ser uma linguagem positiva, pois a palavra "opinião" tem um tom subjetivo, enquanto a palavra "conclusão" implica que ela se baseia no trabalho realizado. Eu o incentivaria a adotar o termo conclusão.
Q: Vale a pena iniciar o processo do Certified Internal Auditor (CIA) agora e concluí-lo com as novas Normas Globais de Auditoria Interna de 2024?
A: O exame CIA não será alterado até maio de 2025. Os candidatos em processo - aqueles que iniciaram o processo do exame CIA e já foram aprovados em um ou mais exames - têm direito a um período de transição de três anos para concluir o programa para o qual se inscreveram inicialmente. Todas as partes do exame concluídas são válidas durante o período de três anos. Entretanto, quando o período terminar (o programa expira), se o candidato não tiver concluído todas as três partes, será necessário recomeçar. Aqueles que se inscreverem agora receberão informações sobre mudanças e atualizações pelo menos um ano antes de elas acontecerem.
Q: Quando é exigida a conformidade com os requisitos tópicos? Isso também está previsto para janeiro de 2025, mesmo que os requisitos tópicos ainda não sejam definitivos?
A: Os Requisitos Temáticos se tornarão obrigatórios a partir de janeiro de 2025 quando houver um trabalho de auditoria interna em seu plano de auditoria interna que seja igual ao requisito tópico. O IIA publicou recentemente os requisitos tópicos de segurança cibernética para consulta. A resposta à consulta está aberta de 3 de abril a 3 de julho de 2024. Ela permitirá que você tenha uma ideia do formato, da abordagem e do conteúdo dos requisitos tópicos.
Q: Haverá orientação sobre os tipos de auditorias que podem ser realizadas, como análises temáticas, auditorias de gerenciamento de mudanças, baseadas em resultados (quaisquer novos serviços de auditoria)?
A: Provavelmente haverá apenas os Requisitos Temáticos. Os Requisitos Temáticos, o mais novo componente da Estrutura Internacional de Práticas Profissionais, garantirão que todas as funções de auditoria interna - grandes, pequenas, privadas ou públicas - apliquem uma metodologia de auditoria consistente ao avaliar a eficácia da governança, do gerenciamento de riscos e dos controles de uma área temática específica. O uso dos Requisitos Temáticos será obrigatório quando uma função de auditoria interna definir o escopo de um trabalho de auditoria que inclua o tópico abordado. Entretanto, outras organizações provavelmente produzirão orientações adicionais.
Q: O Domínio III das Normas Globais de Auditoria Interna de 2024 exige que o mandato de auditoria interna seja documentado separadamente do Estatuto de Auditoria Interna?
A: Com base no Estatuto da Auditoria Interna publicado em 28 de março de 2024, o Mandato está incluído no documento do Estatuto.
Q: Para um escritório de auditoria com uma única pessoa, é necessário que ele envolva partes externas em sua estrutura de QAIP? O CAE pode realizar uma autoavaliação anual e uma revisão externa de cinco anos para estar em conformidade? É um desafio encontrar outra pessoa qualificada na organização para auxiliar na estrutura do QAIP.
A: As funções de auditoria interna com uma única pessoa têm dificuldades com relação ao elemento QAIP. A capacidade da função de auditoria interna de estar totalmente em conformidade com as novas Normas Globais de Auditoria Interna de 2024 pode ser afetada por seu tamanho ou pelo tamanho da organização. Com recursos limitados, a conclusão de determinadas tarefas pode ser um desafio. Além disso, se a função de auditoria interna for composta por apenas um membro, um programa adequado de garantia e melhoria da qualidade exigirá assistência de fora da função de auditoria interna. Essa assistência pode ser fornecida por sua equipe de qualidade, se houver uma. Como alternativa, tenho conhecimento de organizações que buscam garantia em relação à auditoria interna de seus auditores externos.
Q: E se as regulamentações locais incluírem algo que contradiga as novas Normas Globais de Auditoria Interna de 2024 (ou seja, supervisão e responsabilidade do Comitê de Auditoria ou exigência de aprovação regulatória para o CAE antes de ingressar na função)?
A: Embora as Normas Globais de Auditoria Interna se apliquem a todas as funções de auditoria interna, os auditores internos do setor público trabalham em um ambiente político sob estruturas de governança, organização e financiamento que podem ser diferentes das do setor privado. A natureza dessas estruturas e as condições relacionadas podem ser afetadas pela jurisdição e pelo nível de governo em que a função de auditoria interna opera. Além disso, algumas terminologias usadas no setor público diferem das do setor privado. Leis e/ou regulamentos podem estabelecer o mandato, a posição organizacional, o relacionamento de reporte, o escopo do trabalho, o financiamento e outros requisitos da função de auditoria interna. Se houver casos em que as leis e os regulamentos contradigam ou desafiem as Normas Globais de Auditoria Interna, a expectativa é que você cumpra as leis e os regulamentos, mas faça referência a isso nas conversas com o Comitê de Auditoria (ou seja, cumpra ou explique).
Q: Estamos planejando fornecer uma visão geral das principais mudanças e atualizações que nossa função de auditoria interna fará para o Comitê de Auditoria em abril. Quais são as principais mensagens que devemos transmitir?
A:O IIA publicou novas orientações sobre o Domínio III. O link pode ser encontrado aqui. Os novos requisitos do 2024 Global Internal Audit Standards buscam elevar a prática da auditoria interna em cinco domínios que abrangem o propósito, a ética e o profissionalismo, a governança, a gestão e o desempenho da profissão. O Domínio III, que se concentra em como a função de auditoria interna é governada, pode ter o maior potencial para transformar a forma como a profissão é vista em todo o mundo. O Domínio III identifica um conjunto de condições necessárias para que a auditoria interna alcance uma colaboração eficaz com o conselho e a alta administração. Além disso, ele articula como o conselho e a gerência sênior devem contribuir para essa colaboração.
Q: A quem se aplicam as novas Normas Globais de Auditoria Interna de 2024? Todas as normas são obrigatórias?
A: A intenção das Normas Globais de Auditoria Interna de 2024 é que elas sejam aplicáveis a todos os profissionais de auditoria interna em exercício. As Normas Globais de Auditoria Interna estabelecem princípios, requisitos, considerações e exemplos para a prática profissional de auditoria interna em nível global. As Normas se aplicam a qualquer indivíduo ou função que preste serviços de auditoria interna, quer uma organização empregue auditores internos diretamente, contrate-os por meio de um prestador de serviços externo ou ambos. As organizações que recebem serviços de auditoria interna variam em termos de afiliação setorial e industrial, finalidade, tamanho, complexidade e estrutura.
Q: Como você avalia os auditores internos "qualificados"? Que formação, experiência e certificações, se houver, são necessárias?
A: O Padrão 7.2 (Domínio III) afirma: O conselho colabora com a alta administração para determinar quais competências e qualificações a organização espera de um executivo-chefe de auditoria. As competências podem variar de acordo com o mandato da auditoria interna, a complexidade e as necessidades específicas da organização, o perfil de risco da organização e o setor e a jurisdição em que a organização opera, entre outros fatores. As competências e qualificações desejadas são normalmente documentadas em uma descrição do cargo e incluem:
- Uma compreensão abrangente das Normas Globais de Auditoria Interna e das principais práticas de auditoria interna.
- Experiência na criação e no gerenciamento de uma função de auditoria interna eficaz, recrutando, contratando e treinando auditores internos e ajudando-os a desenvolver competências relevantes.
- Designação de Certified Internal Auditor® ou outra formação profissional, certificações e credenciais relevantes.
- Experiência em liderança.
- Experiência no setor ou na indústria.
Q: O Livro Vermelho de Auditoria Interna está disponível atualmente com as novas Normas Globais de Auditoria Interna de 2024?
A: Sim, o Red Book está disponível e pode ser encontrado aqui.
Q: Qual é a diferença entre serviços de consultoria e assessoria?
A: Os auditores internos prestam serviços de consultoria para aconselhar as partes interessadas de uma organização sem fornecer garantias ou assumir responsabilidades gerenciais. A natureza e o escopo dos serviços de consultoria estão sujeitos a acordo com as partes interessadas relevantes. Os exemplos incluem a consultoria sobre o projeto e a implementação de novas políticas, processos, sistemas e produtos, bem como o fornecimento de serviços forenses, treinamento e facilitação de discussões sobre riscos e controles. Os "serviços de assessoria" também são conhecidos como "serviços de consultoria".
Q: Quando o executivo-chefe de auditoria (CAE) assume responsabilidade além da função de auditoria interna - como um diretor de riscos - para supervisionar o Gerenciamento de Riscos Corporativos (ERM) da organização, isso é considerado uma boa prática ou uma independência prejudicada?
A: A Norma 7.1 afirma: O executivo-chefe de auditoria deve discutir com o conselho e a alta administração quaisquer funções e responsabilidades atuais ou propostas que tenham o potencial de prejudicar a independência da função de auditoria interna, seja de fato ou aparentemente. O executivo-chefe de auditoria deve aconselhar o conselho e a gerência sênior sobre os tipos de salvaguardas para gerenciar as deficiências reais, potenciais ou percebidas. Quando o executivo-chefe de auditoria tiver uma ou mais funções contínuas além da auditoria interna, as responsabilidades, a natureza do trabalho e as salvaguardas estabelecidas devem ser documentadas no estatuto de auditoria interna. Se essas áreas de responsabilidade estiverem sujeitas à auditoria interna, devem ser estabelecidos processos alternativos para obter garantia, como a contratação de um provedor de garantia externo, objetivo e competente, que se reporte de forma independente ao conselho.
Q: A estratégia de auditoria interna é nova nas normas. Uma estratégia de auditoria interna é obrigatória nas novas Normas Globais de Auditoria Interna de 2024 para a auditoria interna no setor público?
A: Faz sentido que toda função de auditoria interna tenha uma estratégia que reflita onde você e sua função de auditoria interna estão agora, onde querem estar e como chegarão lá, independentemente do setor em que você esteja. A Norma 9.2 cobre a estratégia de auditoria interna e afirma: O executivo-chefe de auditoria deve desenvolver e implementar uma estratégia para a função de auditoria interna que apoie os objetivos estratégicos e o sucesso da organização e se alinhe às expectativas do conselho, da alta administração e de outros stakeholders importantes. Uma estratégia de auditoria interna é um plano de ação projetado para atingir um objetivo geral ou de longo prazo. A estratégia de auditoria interna deve incluir uma visão, objetivos estratégicos e iniciativas de apoio para a função de auditoria interna. Uma estratégia de auditoria interna ajuda a orientar a função de auditoria interna em direção ao cumprimento do mandato de auditoria interna. O executivo-chefe de auditoria deve revisar periodicamente a estratégia de auditoria interna com o conselho e a gerência sênior.
Q: Você poderia compartilhar mais informações sobre a Avaliação Externa de Qualidade (EQA) e a exigência dessa avaliação por empresas não públicas?
A: Os requisitos para um EQA são os mesmos para empresas públicas e privadas. A Norma 8.4 fornece detalhes sobre a função do CAE e do Comitê de Auditoria/Conselho em relação à EQA: O executivo-chefe de auditoria deve desenvolver um plano para uma avaliação externa de qualidade e discutir o plano com o Conselho. A avaliação externa deve ser realizada pelo menos uma vez a cada cinco anos por um avaliador qualificado e independente ou por uma equipe de avaliação. O requisito de uma avaliação externa de qualidade também pode ser cumprido por meio de uma autoavaliação com validação independente.
Q: Para o Padrão 8.1, o executivo-chefe de auditoria (CAE) deve reportar à gerência sênior, como o conselho (por exemplo, plano de auditoria, orçamento, revisões do plano, conclusões e temas de auditoria e resultados do QAIP). Espera-se que esse nível de relatório granular para a alta administração esteja no mesmo nível do Comitê de Auditoria e do Conselho?
A: A intenção do Domínio III e das condições essenciais é incentivar a auditoria interna e a gerência sênior a trabalharem de forma mais colaborativa do que talvez façam atualmente. O executivo-chefe de auditoria deve discutir esse Domínio com o conselho e a gerência sênior. As discussões devem se concentrar em:
- O propósito da auditoria interna, conforme articulado no Domínio I: Objetivo da Auditoria Interna.
- As condições essenciais descritas em cada uma das normas do Domínio III: Administração da função de auditoria interna.
- O impacto potencial sobre a eficácia da função de auditoria interna se o Conselho ou a gerência sênior não fornecer o apoio descrito nas condições essenciais.
Para as funções de auditoria interna mais maduras, não há uma mudança significativa, mas eu dou as boas-vindas ao vínculo estruturado entre a auditoria interna e a gerência sênior.
Q: Quais são as condições/critérios essenciais dentro do Domínio III das Normas Globais de Auditoria Interna de 2024? Por que eles são exclusivos das novas normas da IPPF em comparação com as Normas de Auditoria Interna de 2017?
A: Embora o executivo-chefe de auditoria seja responsável pelos requisitos do Domínio III, as atividades do Comitê/Conselho de Auditoria e da alta administração são essenciais para a capacidade da função de auditoria interna de cumprir o propósito da auditoria interna. Essas atividades são identificadas como "condições essenciais" em cada norma e estabelecem uma base necessária para um diálogo eficaz entre o Comitê/Conselho de Auditoria, a alta administração e o executivo-chefe de auditoria, possibilitando uma função de auditoria interna eficaz. Eu sugeriria que elas foram incluídas para fortalecer a relação entre o Comitê de Auditoria/Conselho Diretor, a gerência sênior e a auditoria interna e, portanto, fortalecer os arranjos de governança.