Compliance19 maio, 2025

Visão geral das Normas Globais de Auditoria Interna 2024

As Normas Internacionais para a Prática Profissional de Auditoria Interna do IIA global foram alteradas. Essa é uma boa notícia para os membros do IIA em todo o mundo, mas exigirá alguma atenção e adaptação para atender aos novos requisitos. Por isso, nossa série de webinars que acreditamos que o ajudará a incorporar as novas Normas em sua função de auditoria interna.

Nesta visão geral, abordaremos:

Qual é a nova estrutura das Normas do IIA?

As Normas Globais de Auditoria Interna contêm

  • 5 Domínios, representados no gráfico mostrado aqui. Vamos dar uma olhada mais de perto nesses domínios daqui a pouco.
  • 15 Princípios, que são descrições amplas de um grupo relacionado de requisitos e considerações.
  • 52 padrões ,sendo que cada padrão inclui:
    • Requisitos – práticas obrigatórias para a auditoria interna, reconhecidas pelo uso de "deve" em cada declaração.
    • Considerações para implementação – práticas comuns e preferenciais a serem consideradas ao implementar os requisitos; as declarações nessas seções usam os termos "deve" ou "pode".
    • Exemplos de evidência de conformidade – exemplos para demonstrar que os requisitos foram implementados. Os exemplos não têm a intenção de ser uma lista exaustiva.

Os recursos adicionais das Normas Globais de Auditoria Interna incluem:

  • A seção de Fundamentos. Uma seção introdutória que descreve a estrutura, a aplicabilidade e como usar as Normas, bem como uma visão geral do processo de definição de normas e a descrição da conexão entre a auditoria interna e o interesse público.
  • O Glossário. Fornece definições dos principais termos usados nas Normas. As Normas usam certos termos de maneiras muito específicas, centradas na auditoria interna, que correspondem à sua definição no Glossário.
  • Uma seção especial. "Aplicação das Normas Globais de Auditoria Interna no Setor Público", que segue o Domínio V: Execução de Serviços de Auditoria Interna e descreve estratégias para conformidade em meio às circunstâncias e condições exclusivas da auditoria interna no setor público.

Quais são algumas das alterações no glossário?

O processo de atualização do glossário envolveu a revisão de cada termo quanto à sua relevância, a pesquisa e a comparação com outros padrões e estruturas, a realização de pesquisas iniciais e a revisão de milhares de comentários públicos.

Alguns pontos a serem observados:

  • Alguns termos foram excluídos ou novos termos foram adicionados.
  • 32 novos termos e definições foram adicionados às Normas Globais de Auditoria Interna de 2024 (por exemplo, atividade sob revisão, garantia, competência). O link para o documento completo do Glossário pode ser encontrado aqui: Comparação do Glossário: Normas Globais de Auditoria Interna de 2024 com as Normas de 2017 (theiia.org).
  • 13 termos de 2017 foram excluídos do Glossário das Normas Globais de Auditoria Interna de 2024. Eles incluem - agregar valor, controle adequado, opinião geral sobre governança de tecnologia da informação.
  • O glossário ajuda os auditores internos a entender as Normas, mas não significa que esses são os únicos termos que podem ser usados. Sabemos que as pessoas usam termos diferentes para significar a mesma coisa e isso geralmente não é um problema. Mas isso permitiu o desenvolvimento dos Domínios onde antes não havia informações. Outros termos podem ser usados em outros lugares para significar a mesma coisa ou algo semelhante.

Como isso afeta a profissão?

Domínio I - Objetivo da auditoria interna

O Propósito da Auditoria Interna oferece uma visão geral simples e concisa da essência da auditoria interna, destinada a ser facilmente comunicada às partes interessadas. Poderia ser chamado de "discurso de elevador". Ele começa com uma Declaração de Propósito: "A auditoria interna fortalece a capacidade da organização de criar, proteger e sustentar o valor, fornecendo ao conselho e à gerência garantias, conselhos, percepções e previsões independentes, baseadas em riscos e objetivas."

A Declaração de Propósito combina elementos da atual Definição de Auditoria Interna e da Missão da Auditoria Interna e inclui uma lista dos benefícios da auditoria interna. A auditoria interna aprimora esses aspectos e habilidades da organização.

A Declaração de Propósito também inclui uma lista de condições necessárias para otimizar os benefícios da auditoria interna.

Domínio II - Ética e profissionalismo

O Domínio II incorpora e substitui o Código de Ética existente e o que é chamado de "padrões de atributos" nos Padrões de 2017 - especificamente objetividade, competência e devido cuidado profissional - para remover a duplicação.

Domínio III - Administração da função de auditoria interna

O Domínio III agrupa as Normas que envolvem o relacionamento entre o executivo-chefe de auditoria (CAE), o conselho e a administração sênior na governança da função de auditoria interna. Muitas dessas Normas e conceitos existem nas Normas de 2017, mas foram adicionados detalhes mais diretos e claros para dar algum peso à importância de estabelecer e apoiar o mandato (autoridade, função e responsabilidades), a independência e a supervisão da função de auditoria interna.

Embora o executivo-chefe de auditoria seja responsável pelos requisitos desse domínio, os arranjos de governança adequados, apoiados pelas atividades do conselho e da gerência sênior, são essenciais para permitir que a função de auditoria interna seja eficaz e cumpra o Propósito da Auditoria Interna (Domínio I).

O Domínio III agora tem princípios e normas, bem como condições essenciais - chamadas de atenção para o conselho e a gerência sênior. As "condições essenciais", juntamente com os requisitos para o executivo-chefe de auditoria, estabelecem uma base necessária para uma função eficaz de auditoria interna.

Domínio IV - Gerenciando a função de auditoria interna

No Domínio IV, todos os Princípios e Normas abordam o executivo-chefe de auditoria, um termo definido no glossário e na introdução a esse domínio como o papel de liderança responsável pelo gerenciamento eficaz de todos os aspectos da função de auditoria interna. O título específico do cargo e/ou as responsabilidades podem variar.

As Normas no Domínio IV abrangem como o executivo-chefe de auditoria planeja estrategicamente, gerencia recursos, comunica-se efetivamente com as partes interessadas e aprimora a qualidade da função de auditoria interna.

Domínio V - Execução de serviços de auditoria interna

O domínio V inclui as normas para planejamento, execução e comunicação dos resultados do trabalho. As normas, os requisitos e as considerações para implementação nesse domínio são aplicáveis a serviços de garantia e consultoria, a menos que especificado de outra forma em normas individuais. A razão para isso foi apresentar uma abordagem generalizada e consistente para o gerenciamento de projetos que identifica os elementos fundamentais de planejamento, execução e comunicação de cada trabalho.

Embora não existam padrões separados de garantia e consultoria, o grupo de trabalho do Conselho de Normas acrescentou ou modificou a linguagem em todo o Domínio V para esclarecer quando os requisitos podem não se aplicar aos serviços de consultoria.

Os Princípios do Domínio V abrangem o planejamento do trabalho, o trabalho de campo, o desenvolvimento e a comunicação das constatações, o desenvolvimento de recomendações e/ou planos de ação e o acompanhamento das ações corretivas da administração.

Conclusão

O primeiro webinar de uma série de apresentações sobre os Padrões de 2024 apresentou uma visão de helicóptero dos 5 Domínios, 15 Princípios e 52 Padrões. Ele se concentrou principalmente no conteúdo principal dos 5 Domínios. Reconhece-se e aceita-se que muitas das mudanças são familiares e de prática comum em funções maduras de auditoria interna, por exemplo, o Domínio V - Execução de Serviços de Auditoria Interna. Porém, a maioria dos profissionais de auditoria interna em exercício precisará adaptar alguns elementos do que fazem para garantir a conformidade contínua. Portanto, junte-se a nós no restante dos webinars, que se aprofundarão em cada um dos Domínios.

Para obter mais informações e detalhes, acesse aqui.

Veja uma demonstração

Perguntas frequentes sobre as Normas Globais de Auditoria Interna de 2024

O sucesso de nossa série de webinars que se concentrou nas novas Normas Globais de Auditoria Interna de 2024 levou a uma lista das perguntas mais frequentes feitas por aqueles que participaram dessas apresentações. Pedimos Liz Sandwith Consultora Especial e ex-membro do Conselho de Normas do IIA, que analisasse essas perguntas e fornecesse suas respostas fundamentadas para maior consideração e clareza.


Q: Como será medido o fornecimento de previsão pela auditoria interna? Isso será baseado no feedback real dos clientes de auditoria?

A: O Domínio I faz referência ao uso de "previsão". O Princípio 6 do Domínio III também faz referência ao termo "previsão" e que ele será incluído no Mandato. O Comitê de Auditoria/Conselho Diretor deve aprovar o Mandato (juntamente com o Estatuto da Auditoria Interna) com referência no Padrão 6.1 ao apoio do Comitê de Auditoria/Conselho Diretor para que a auditoria interna cumpra seu Mandato. Essas são as duas únicas referências a "previsão". Penso na previsão como uma varredura do horizonte e me lembro de uma conversa com um CEO que me disse que não queria "saber onde está o fogo, mas onde estará o fogo". A previsão tem a ver com a auditoria interna apoiando a organização na preparação para o que está por vir, quando a próxima crise poderá ocorrer e qual poderá ser a próxima crise. Mas a auditoria interna não deve ser a única pessoa na organização a olhar para o futuro. A equipe de riscos e a gerência sênior também têm uma responsabilidade. A auditoria interna precisa ser capaz de demonstrar que aplicou os melhores esforços quando examina o horizonte.


Q: Como as novas Normas Globais de Auditoria Interna de 2024 afetarão o processo de certificação do Auditor Interno Certificado (CIA)?

A: A intenção é que o IIA atualize os exames do CIA com a atual prática global de auditoria interna. Haverá maior alinhamento entre os programas de estudos do CIA e as novas Normas Globais de Auditoria Interna do IIA. O IIA buscará minimizar a duplicação e a sobreposição entre as três partes do exame. O CIA procurará esclarecer o conhecimento, as habilidades e as capacidades que os candidatos devem possuir para serem aprovados no exame. Os novos planos de estudos serão publicados até maio de 2024. No entanto, acredito que os novos exames não estarão disponíveis até depois de março de 2025.


Q: Se já atendemos às Normas de Auditoria Interna de 2017, você acha que será necessário mais esforço para atender às novas Normas Globais de Auditoria Interna de 2024?

A: É difícil comentar, mas se você teve uma avaliação de conformidade positiva de seu EQA em relação ao IPPF de 2017 e isso é relativamente recente, então eu sugeriria que será fácil incorporar e estar em conformidade com as novas Normas Globais de Auditoria Interna de 2024. O desafio pode ser trabalhar com seu Comitê/Conselho de Auditoria para incentivá-lo a se envolver no Domínio III.


Q: As organizações são obrigadas a adotar novos termos, como "conclusão de trabalho vs. opinião" em seus relatórios, etc.? Qual é a importância de modelar a nova linguagem do glossário do IIA?

A: As Normas Globais de Auditoria Interna de 2024 fazem referência a "conclusão" em vez de "opinião", o que acredito ser uma linguagem positiva, pois a palavra "opinião" tem um tom subjetivo, enquanto a palavra "conclusão" implica que ela se baseia no trabalho realizado. Eu o incentivaria a adotar o termo conclusão.


Q: Vale a pena iniciar o processo do Certified Internal Auditor (CIA) agora e concluí-lo com as novas Normas Globais de Auditoria Interna de 2024?

A: O exame CIA não será alterado até maio de 2025. Os candidatos em processo - aqueles que iniciaram o processo do exame CIA e já foram aprovados em um ou mais exames - têm direito a um período de transição de três anos para concluir o programa para o qual se inscreveram inicialmente. Todas as partes do exame concluídas são válidas durante o período de três anos. Entretanto, quando o período terminar (o programa expira), se o candidato não tiver concluído todas as três partes, será necessário recomeçar. Aqueles que se inscreverem agora receberão informações sobre mudanças e atualizações pelo menos um ano antes de elas acontecerem.


Q: Quando é exigida a conformidade com os requisitos tópicos? Isso também está previsto para janeiro de 2025, mesmo que os requisitos tópicos ainda não sejam definitivos?

A: Os Requisitos Temáticos se tornarão obrigatórios a partir de janeiro de 2025 quando houver um trabalho de auditoria interna em seu plano de auditoria interna que seja igual ao requisito tópico. O IIA publicou recentemente os requisitos tópicos de segurança cibernética para consulta. A resposta à consulta está aberta de 3 de abril a 3 de julho de 2024. Ela permitirá que você tenha uma ideia do formato, da abordagem e do conteúdo dos requisitos tópicos.


Q: Haverá orientação sobre os tipos de auditorias que podem ser realizadas, como análises temáticas, auditorias de gerenciamento de mudanças, baseadas em resultados (quaisquer novos serviços de auditoria)?

A: Provavelmente haverá apenas os Requisitos Temáticos. Os Requisitos Temáticos, o mais novo componente da Estrutura Internacional de Práticas Profissionais, garantirão que todas as funções de auditoria interna - grandes, pequenas, privadas ou públicas - apliquem uma metodologia de auditoria consistente ao avaliar a eficácia da governança, do gerenciamento de riscos e dos controles de uma área temática específica. O uso dos Requisitos Temáticos será obrigatório quando uma função de auditoria interna definir o escopo de um trabalho de auditoria que inclua o tópico abordado. Entretanto, outras organizações provavelmente produzirão orientações adicionais.


Q: O Domínio III das Normas Globais de Auditoria Interna de 2024 exige que o mandato de auditoria interna seja documentado separadamente do Estatuto de Auditoria Interna?

A: Com base no Estatuto da Auditoria Interna publicado em 28 de março de 2024, o Mandato está incluído no documento do Estatuto.


Q: Para um escritório de auditoria com uma única pessoa, é necessário que ele envolva partes externas em sua estrutura de QAIP? O CAE pode realizar uma autoavaliação anual e uma revisão externa de cinco anos para estar em conformidade? É um desafio encontrar outra pessoa qualificada na organização para auxiliar na estrutura do QAIP.

A: As funções de auditoria interna com uma única pessoa têm dificuldades com relação ao elemento QAIP. A capacidade da função de auditoria interna de estar totalmente em conformidade com as novas Normas Globais de Auditoria Interna de 2024 pode ser afetada por seu tamanho ou pelo tamanho da organização. Com recursos limitados, a conclusão de determinadas tarefas pode ser um desafio. Além disso, se a função de auditoria interna for composta por apenas um membro, um programa adequado de garantia e melhoria da qualidade exigirá assistência de fora da função de auditoria interna. Essa assistência pode ser fornecida por sua equipe de qualidade, se houver uma. Como alternativa, tenho conhecimento de organizações que buscam garantia em relação à auditoria interna de seus auditores externos.


Q: E se as regulamentações locais incluírem algo que contradiga as novas Normas Globais de Auditoria Interna de 2024 (ou seja, supervisão e responsabilidade do Comitê de Auditoria ou exigência de aprovação regulatória para o CAE antes de ingressar na função)?

A: Embora as Normas Globais de Auditoria Interna se apliquem a todas as funções de auditoria interna, os auditores internos do setor público trabalham em um ambiente político sob estruturas de governança, organização e financiamento que podem ser diferentes das do setor privado. A natureza dessas estruturas e as condições relacionadas podem ser afetadas pela jurisdição e pelo nível de governo em que a função de auditoria interna opera. Além disso, algumas terminologias usadas no setor público diferem das do setor privado. Leis e/ou regulamentos podem estabelecer o mandato, a posição organizacional, o relacionamento de reporte, o escopo do trabalho, o financiamento e outros requisitos da função de auditoria interna. Se houver casos em que as leis e os regulamentos contradigam ou desafiem as Normas Globais de Auditoria Interna, a expectativa é que você cumpra as leis e os regulamentos, mas faça referência a isso nas conversas com o Comitê de Auditoria (ou seja, cumpra ou explique).


Q: Estamos planejando fornecer uma visão geral das principais mudanças e atualizações que nossa função de auditoria interna fará para o Comitê de Auditoria em abril. Quais são as principais mensagens que devemos transmitir?

A:O IIA publicou novas orientações sobre o Domínio III. O link pode ser encontrado aqui. Os novos requisitos do 2024 Global Internal Audit Standards buscam elevar a prática da auditoria interna em cinco domínios que abrangem o propósito, a ética e o profissionalismo, a governança, a gestão e o desempenho da profissão. O Domínio III, que se concentra em como a função de auditoria interna é governada, pode ter o maior potencial para transformar a forma como a profissão é vista em todo o mundo. O Domínio III identifica um conjunto de condições necessárias para que a auditoria interna alcance uma colaboração eficaz com o conselho e a alta administração. Além disso, ele articula como o conselho e a gerência sênior devem contribuir para essa colaboração.


Q: A quem se aplicam as novas Normas Globais de Auditoria Interna de 2024? Todas as normas são obrigatórias?

A: A intenção das Normas Globais de Auditoria Interna de 2024 é que elas sejam aplicáveis a todos os profissionais de auditoria interna em exercício. As Normas Globais de Auditoria Interna estabelecem princípios, requisitos, considerações e exemplos para a prática profissional de auditoria interna em nível global. As Normas se aplicam a qualquer indivíduo ou função que preste serviços de auditoria interna, quer uma organização empregue auditores internos diretamente, contrate-os por meio de um prestador de serviços externo ou ambos. As organizações que recebem serviços de auditoria interna variam em termos de afiliação setorial e industrial, finalidade, tamanho, complexidade e estrutura.


Q: Como você avalia os auditores internos "qualificados"? Que formação, experiência e certificações, se houver, são necessárias?

A: O Padrão 7.2 (Domínio III) afirma: O conselho colabora com a alta administração para determinar quais competências e qualificações a organização espera de um executivo-chefe de auditoria. As competências podem variar de acordo com o mandato da auditoria interna, a complexidade e as necessidades específicas da organização, o perfil de risco da organização e o setor e a jurisdição em que a organização opera, entre outros fatores. As competências e qualificações desejadas são normalmente documentadas em uma descrição do cargo e incluem:

  • Uma compreensão abrangente das Normas Globais de Auditoria Interna e das principais práticas de auditoria interna.
  • Experiência na criação e no gerenciamento de uma função de auditoria interna eficaz, recrutando, contratando e treinando auditores internos e ajudando-os a desenvolver competências relevantes.
  • Designação de Certified Internal Auditor® ou outra formação profissional, certificações e credenciais relevantes.
  • Experiência em liderança.
  • Experiência no setor ou na indústria.

Q: O Livro Vermelho de Auditoria Interna está disponível atualmente com as novas Normas Globais de Auditoria Interna de 2024?

A: Sim, o Red Book está disponível e pode ser encontrado aqui.


Q: Qual é a diferença entre serviços de consultoria e assessoria?

A: Os auditores internos prestam serviços de consultoria para aconselhar as partes interessadas de uma organização sem fornecer garantias ou assumir responsabilidades gerenciais. A natureza e o escopo dos serviços de consultoria estão sujeitos a acordo com as partes interessadas relevantes. Os exemplos incluem a consultoria sobre o projeto e a implementação de novas políticas, processos, sistemas e produtos, bem como o fornecimento de serviços forenses, treinamento e facilitação de discussões sobre riscos e controles. Os "serviços de assessoria" também são conhecidos como "serviços de consultoria".


Q: Quando o executivo-chefe de auditoria (CAE) assume responsabilidade além da função de auditoria interna - como um diretor de riscos - para supervisionar o Gerenciamento de Riscos Corporativos (ERM) da organização, isso é considerado uma boa prática ou uma independência prejudicada?

A: A Norma 7.1 afirma: O executivo-chefe de auditoria deve discutir com o conselho e a alta administração quaisquer funções e responsabilidades atuais ou propostas que tenham o potencial de prejudicar a independência da função de auditoria interna, seja de fato ou aparentemente. O executivo-chefe de auditoria deve aconselhar o conselho e a gerência sênior sobre os tipos de salvaguardas para gerenciar as deficiências reais, potenciais ou percebidas. Quando o executivo-chefe de auditoria tiver uma ou mais funções contínuas além da auditoria interna, as responsabilidades, a natureza do trabalho e as salvaguardas estabelecidas devem ser documentadas no estatuto de auditoria interna. Se essas áreas de responsabilidade estiverem sujeitas à auditoria interna, devem ser estabelecidos processos alternativos para obter garantia, como a contratação de um provedor de garantia externo, objetivo e competente, que se reporte de forma independente ao conselho.


Q: A estratégia de auditoria interna é nova nas normas. Uma estratégia de auditoria interna é obrigatória nas novas Normas Globais de Auditoria Interna de 2024 para a auditoria interna no setor público?

A: Faz sentido que toda função de auditoria interna tenha uma estratégia que reflita onde você e sua função de auditoria interna estão agora, onde querem estar e como chegarão lá, independentemente do setor em que você esteja. A Norma 9.2 cobre a estratégia de auditoria interna e afirma: O executivo-chefe de auditoria deve desenvolver e implementar uma estratégia para a função de auditoria interna que apoie os objetivos estratégicos e o sucesso da organização e se alinhe às expectativas do conselho, da alta administração e de outros stakeholders importantes. Uma estratégia de auditoria interna é um plano de ação projetado para atingir um objetivo geral ou de longo prazo. A estratégia de auditoria interna deve incluir uma visão, objetivos estratégicos e iniciativas de apoio para a função de auditoria interna. Uma estratégia de auditoria interna ajuda a orientar a função de auditoria interna em direção ao cumprimento do mandato de auditoria interna. O executivo-chefe de auditoria deve revisar periodicamente a estratégia de auditoria interna com o conselho e a gerência sênior.


Q: Você poderia compartilhar mais informações sobre a Avaliação Externa de Qualidade (EQA) e a exigência dessa avaliação por empresas não públicas?

A: Os requisitos para um EQA são os mesmos para empresas públicas e privadas. A Norma 8.4 fornece detalhes sobre a função do CAE e do Comitê de Auditoria/Conselho em relação à EQA: O executivo-chefe de auditoria deve desenvolver um plano para uma avaliação externa de qualidade e discutir o plano com o Conselho. A avaliação externa deve ser realizada pelo menos uma vez a cada cinco anos por um avaliador qualificado e independente ou por uma equipe de avaliação. O requisito de uma avaliação externa de qualidade também pode ser cumprido por meio de uma autoavaliação com validação independente.


Q: Para o Padrão 8.1, o executivo-chefe de auditoria (CAE) deve reportar à gerência sênior, como o conselho (por exemplo, plano de auditoria, orçamento, revisões do plano, conclusões e temas de auditoria e resultados do QAIP). Espera-se que esse nível de relatório granular para a alta administração esteja no mesmo nível do Comitê de Auditoria e do Conselho?

A: A intenção do Domínio III e das condições essenciais é incentivar a auditoria interna e a gerência sênior a trabalharem de forma mais colaborativa do que talvez façam atualmente. O executivo-chefe de auditoria deve discutir esse Domínio com o conselho e a gerência sênior. As discussões devem se concentrar em:

  • O propósito da auditoria interna, conforme articulado no Domínio I: Objetivo da Auditoria Interna.
  • As condições essenciais descritas em cada uma das normas do Domínio III: Administração da função de auditoria interna.
  • O impacto potencial sobre a eficácia da função de auditoria interna se o Conselho ou a gerência sênior não fornecer o apoio descrito nas condições essenciais.

Para as funções de auditoria interna mais maduras, não há uma mudança significativa, mas eu dou as boas-vindas ao vínculo estruturado entre a auditoria interna e a gerência sênior.


Q: Quais são as condições/critérios essenciais dentro do Domínio III das Normas Globais de Auditoria Interna de 2024? Por que eles são exclusivos das novas normas da IPPF em comparação com as Normas de Auditoria Interna de 2017?

A: Embora o executivo-chefe de auditoria seja responsável pelos requisitos do Domínio III, as atividades do Comitê/Conselho de Auditoria e da alta administração são essenciais para a capacidade da função de auditoria interna de cumprir o propósito da auditoria interna. Essas atividades são identificadas como "condições essenciais" em cada norma e estabelecem uma base necessária para um diálogo eficaz entre o Comitê/Conselho de Auditoria, a alta administração e o executivo-chefe de auditoria, possibilitando uma função de auditoria interna eficaz. Eu sugeriria que elas foram incluídas para fortalecer a relação entre o Comitê de Auditoria/Conselho Diretor, a gerência sênior e a auditoria interna e, portanto, fortalecer os arranjos de governança.

Liz Sandwith
Internal Audit and Risk Management Consultant
Liz Sandwith has been a member of the IIA Standards Board for the last 6 years. Because of her involvement in the IPPF Evolution project, the IIA asked her to stay on as a Special Adviser to the Standards Board. 
Back To Top