As Normas Internacionais para a Prática Profissional de Auditoria Interna do IIA global foram alteradas. Essa é uma boa notícia para os membros do IIA em todo o mundo, mas exigirá alguma atenção e adaptação para atender aos novos requisitos. Por isso, nossa série de webinars que acreditamos que o ajudará a incorporar as novas Normas em sua função de auditoria interna.
Nesta visão geral, abordaremos:
As Normas Globais de Auditoria Interna contêm
Os recursos adicionais das Normas Globais de Auditoria Interna incluem:
O processo de atualização do glossário envolveu a revisão de cada termo quanto à sua relevância, a pesquisa e a comparação com outros padrões e estruturas, a realização de pesquisas iniciais e a revisão de milhares de comentários públicos.
Alguns pontos a serem observados:
O Propósito da Auditoria Interna oferece uma visão geral simples e concisa da essência da auditoria interna, destinada a ser facilmente comunicada às partes interessadas. Poderia ser chamado de "discurso de elevador". Ele começa com uma Declaração de Propósito: "A auditoria interna fortalece a capacidade da organização de criar, proteger e sustentar o valor, fornecendo ao conselho e à gerência garantias, conselhos, percepções e previsões independentes, baseadas em riscos e objetivas."
A Declaração de Propósito combina elementos da atual Definição de Auditoria Interna e da Missão da Auditoria Interna e inclui uma lista dos benefícios da auditoria interna. A auditoria interna aprimora esses aspectos e habilidades da organização.
A Declaração de Propósito também inclui uma lista de condições necessárias para otimizar os benefícios da auditoria interna.
O Domínio II incorpora e substitui o Código de Ética existente e o que é chamado de "padrões de atributos" nos Padrões de 2017 - especificamente objetividade, competência e devido cuidado profissional - para remover a duplicação.
O Domínio III agrupa as Normas que envolvem o relacionamento entre o executivo-chefe de auditoria (CAE), o conselho e a administração sênior na governança da função de auditoria interna. Muitas dessas Normas e conceitos existem nas Normas de 2017, mas foram adicionados detalhes mais diretos e claros para dar algum peso à importância de estabelecer e apoiar o mandato (autoridade, função e responsabilidades), a independência e a supervisão da função de auditoria interna.
Embora o executivo-chefe de auditoria seja responsável pelos requisitos desse domínio, os arranjos de governança adequados, apoiados pelas atividades do conselho e da gerência sênior, são essenciais para permitir que a função de auditoria interna seja eficaz e cumpra o Propósito da Auditoria Interna (Domínio I).
O Domínio III agora tem princípios e normas, bem como condições essenciais - chamadas de atenção para o conselho e a gerência sênior. As "condições essenciais", juntamente com os requisitos para o executivo-chefe de auditoria, estabelecem uma base necessária para uma função eficaz de auditoria interna.
No Domínio IV, todos os Princípios e Normas abordam o executivo-chefe de auditoria, um termo definido no glossário e na introdução a esse domínio como o papel de liderança responsável pelo gerenciamento eficaz de todos os aspectos da função de auditoria interna. O título específico do cargo e/ou as responsabilidades podem variar.
As Normas no Domínio IV abrangem como o executivo-chefe de auditoria planeja estrategicamente, gerencia recursos, comunica-se efetivamente com as partes interessadas e aprimora a qualidade da função de auditoria interna.
O domínio V inclui as normas para planejamento, execução e comunicação dos resultados do trabalho. As normas, os requisitos e as considerações para implementação nesse domínio são aplicáveis a serviços de garantia e consultoria, a menos que especificado de outra forma em normas individuais. A razão para isso foi apresentar uma abordagem generalizada e consistente para o gerenciamento de projetos que identifica os elementos fundamentais de planejamento, execução e comunicação de cada trabalho.
Embora não existam padrões separados de garantia e consultoria, o grupo de trabalho do Conselho de Normas acrescentou ou modificou a linguagem em todo o Domínio V para esclarecer quando os requisitos podem não se aplicar aos serviços de consultoria.
Os Princípios do Domínio V abrangem o planejamento do trabalho, o trabalho de campo, o desenvolvimento e a comunicação das constatações, o desenvolvimento de recomendações e/ou planos de ação e o acompanhamento das ações corretivas da administração.
O primeiro webinar de uma série de apresentações sobre os Padrões de 2024 apresentou uma visão de helicóptero dos 5 Domínios, 15 Princípios e 52 Padrões. Ele se concentrou principalmente no conteúdo principal dos 5 Domínios. Reconhece-se e aceita-se que muitas das mudanças são familiares e de prática comum em funções maduras de auditoria interna, por exemplo, o Domínio V - Execução de Serviços de Auditoria Interna. Porém, a maioria dos profissionais de auditoria interna em exercício precisará adaptar alguns elementos do que fazem para garantir a conformidade contínua. Portanto, junte-se a nós no restante dos webinars, que se aprofundarão em cada um dos Domínios.
Para obter mais informações e detalhes, acesse aqui.
O sucesso de nossa série de webinars que se concentrou nas novas Normas Globais de Auditoria Interna de 2024 levou a uma lista das perguntas mais frequentes feitas por aqueles que participaram dessas apresentações. Pedimos Liz Sandwith Consultora Especial e ex-membro do Conselho de Normas do IIA, que analisasse essas perguntas e fornecesse suas respostas fundamentadas para maior consideração e clareza.
A: O Domínio I faz referência ao uso de "previsão". O Princípio 6 do Domínio III também faz referência ao termo "previsão" e que ele será incluído no Mandato. O Comitê de Auditoria/Conselho Diretor deve aprovar o Mandato (juntamente com o Estatuto da Auditoria Interna) com referência no Padrão 6.1 ao apoio do Comitê de Auditoria/Conselho Diretor para que a auditoria interna cumpra seu Mandato. Essas são as duas únicas referências a "previsão". Penso na previsão como uma varredura do horizonte e me lembro de uma conversa com um CEO que me disse que não queria "saber onde está o fogo, mas onde estará o fogo". A previsão tem a ver com a auditoria interna apoiando a organização na preparação para o que está por vir, quando a próxima crise poderá ocorrer e qual poderá ser a próxima crise. Mas a auditoria interna não deve ser a única pessoa na organização a olhar para o futuro. A equipe de riscos e a gerência sênior também têm uma responsabilidade. A auditoria interna precisa ser capaz de demonstrar que aplicou os melhores esforços quando examina o horizonte.
A: A intenção é que o IIA atualize os exames do CIA com a atual prática global de auditoria interna. Haverá maior alinhamento entre os programas de estudos do CIA e as novas Normas Globais de Auditoria Interna do IIA. O IIA buscará minimizar a duplicação e a sobreposição entre as três partes do exame. O CIA procurará esclarecer o conhecimento, as habilidades e as capacidades que os candidatos devem possuir para serem aprovados no exame. Os novos planos de estudos serão publicados até maio de 2024. No entanto, acredito que os novos exames não estarão disponíveis até depois de março de 2025.
A: É difícil comentar, mas se você teve uma avaliação de conformidade positiva de seu EQA em relação ao IPPF de 2017 e isso é relativamente recente, então eu sugeriria que será fácil incorporar e estar em conformidade com as novas Normas Globais de Auditoria Interna de 2024. O desafio pode ser trabalhar com seu Comitê/Conselho de Auditoria para incentivá-lo a se envolver no Domínio III.
A: As Normas Globais de Auditoria Interna de 2024 fazem referência a "conclusão" em vez de "opinião", o que acredito ser uma linguagem positiva, pois a palavra "opinião" tem um tom subjetivo, enquanto a palavra "conclusão" implica que ela se baseia no trabalho realizado. Eu o incentivaria a adotar o termo conclusão.
A: O exame CIA não será alterado até maio de 2025. Os candidatos em processo - aqueles que iniciaram o processo do exame CIA e já foram aprovados em um ou mais exames - têm direito a um período de transição de três anos para concluir o programa para o qual se inscreveram inicialmente. Todas as partes do exame concluídas são válidas durante o período de três anos. Entretanto, quando o período terminar (o programa expira), se o candidato não tiver concluído todas as três partes, será necessário recomeçar. Aqueles que se inscreverem agora receberão informações sobre mudanças e atualizações pelo menos um ano antes de elas acontecerem.
A: Os Requisitos Temáticos se tornarão obrigatórios a partir de janeiro de 2025 quando houver um trabalho de auditoria interna em seu plano de auditoria interna que seja igual ao requisito tópico. O IIA publicou recentemente os requisitos tópicos de segurança cibernética para consulta. A resposta à consulta está aberta de 3 de abril a 3 de julho de 2024. Ela permitirá que você tenha uma ideia do formato, da abordagem e do conteúdo dos requisitos tópicos.
A: Provavelmente haverá apenas os Requisitos Temáticos. Os Requisitos Temáticos, o mais novo componente da Estrutura Internacional de Práticas Profissionais, garantirão que todas as funções de auditoria interna - grandes, pequenas, privadas ou públicas - apliquem uma metodologia de auditoria consistente ao avaliar a eficácia da governança, do gerenciamento de riscos e dos controles de uma área temática específica. O uso dos Requisitos Temáticos será obrigatório quando uma função de auditoria interna definir o escopo de um trabalho de auditoria que inclua o tópico abordado. Entretanto, outras organizações provavelmente produzirão orientações adicionais.
A: Com base no Estatuto da Auditoria Interna publicado em 28 de março de 2024, o Mandato está incluído no documento do Estatuto.
A: As funções de auditoria interna com uma única pessoa têm dificuldades com relação ao elemento QAIP. A capacidade da função de auditoria interna de estar totalmente em conformidade com as novas Normas Globais de Auditoria Interna de 2024 pode ser afetada por seu tamanho ou pelo tamanho da organização. Com recursos limitados, a conclusão de determinadas tarefas pode ser um desafio. Além disso, se a função de auditoria interna for composta por apenas um membro, um programa adequado de garantia e melhoria da qualidade exigirá assistência de fora da função de auditoria interna. Essa assistência pode ser fornecida por sua equipe de qualidade, se houver uma. Como alternativa, tenho conhecimento de organizações que buscam garantia em relação à auditoria interna de seus auditores externos.
A: Embora as Normas Globais de Auditoria Interna se apliquem a todas as funções de auditoria interna, os auditores internos do setor público trabalham em um ambiente político sob estruturas de governança, organização e financiamento que podem ser diferentes das do setor privado. A natureza dessas estruturas e as condições relacionadas podem ser afetadas pela jurisdição e pelo nível de governo em que a função de auditoria interna opera. Além disso, algumas terminologias usadas no setor público diferem das do setor privado. Leis e/ou regulamentos podem estabelecer o mandato, a posição organizacional, o relacionamento de reporte, o escopo do trabalho, o financiamento e outros requisitos da função de auditoria interna. Se houver casos em que as leis e os regulamentos contradigam ou desafiem as Normas Globais de Auditoria Interna, a expectativa é que você cumpra as leis e os regulamentos, mas faça referência a isso nas conversas com o Comitê de Auditoria (ou seja, cumpra ou explique).
A:O IIA publicou novas orientações sobre o Domínio III. O link pode ser encontrado aqui. Os novos requisitos do 2024 Global Internal Audit Standards buscam elevar a prática da auditoria interna em cinco domínios que abrangem o propósito, a ética e o profissionalismo, a governança, a gestão e o desempenho da profissão. O Domínio III, que se concentra em como a função de auditoria interna é governada, pode ter o maior potencial para transformar a forma como a profissão é vista em todo o mundo. O Domínio III identifica um conjunto de condições necessárias para que a auditoria interna alcance uma colaboração eficaz com o conselho e a alta administração. Além disso, ele articula como o conselho e a gerência sênior devem contribuir para essa colaboração.
A: A intenção das Normas Globais de Auditoria Interna de 2024 é que elas sejam aplicáveis a todos os profissionais de auditoria interna em exercício. As Normas Globais de Auditoria Interna estabelecem princípios, requisitos, considerações e exemplos para a prática profissional de auditoria interna em nível global. As Normas se aplicam a qualquer indivíduo ou função que preste serviços de auditoria interna, quer uma organização empregue auditores internos diretamente, contrate-os por meio de um prestador de serviços externo ou ambos. As organizações que recebem serviços de auditoria interna variam em termos de afiliação setorial e industrial, finalidade, tamanho, complexidade e estrutura.
A: O Padrão 7.2 (Domínio III) afirma: O conselho colabora com a alta administração para determinar quais competências e qualificações a organização espera de um executivo-chefe de auditoria. As competências podem variar de acordo com o mandato da auditoria interna, a complexidade e as necessidades específicas da organização, o perfil de risco da organização e o setor e a jurisdição em que a organização opera, entre outros fatores. As competências e qualificações desejadas são normalmente documentadas em uma descrição do cargo e incluem:
A: Sim, o Red Book está disponível e pode ser encontrado aqui.
A: Os auditores internos prestam serviços de consultoria para aconselhar as partes interessadas de uma organização sem fornecer garantias ou assumir responsabilidades gerenciais. A natureza e o escopo dos serviços de consultoria estão sujeitos a acordo com as partes interessadas relevantes. Os exemplos incluem a consultoria sobre o projeto e a implementação de novas políticas, processos, sistemas e produtos, bem como o fornecimento de serviços forenses, treinamento e facilitação de discussões sobre riscos e controles. Os "serviços de assessoria" também são conhecidos como "serviços de consultoria".
A: A Norma 7.1 afirma: O executivo-chefe de auditoria deve discutir com o conselho e a alta administração quaisquer funções e responsabilidades atuais ou propostas que tenham o potencial de prejudicar a independência da função de auditoria interna, seja de fato ou aparentemente. O executivo-chefe de auditoria deve aconselhar o conselho e a gerência sênior sobre os tipos de salvaguardas para gerenciar as deficiências reais, potenciais ou percebidas. Quando o executivo-chefe de auditoria tiver uma ou mais funções contínuas além da auditoria interna, as responsabilidades, a natureza do trabalho e as salvaguardas estabelecidas devem ser documentadas no estatuto de auditoria interna. Se essas áreas de responsabilidade estiverem sujeitas à auditoria interna, devem ser estabelecidos processos alternativos para obter garantia, como a contratação de um provedor de garantia externo, objetivo e competente, que se reporte de forma independente ao conselho.
A: Faz sentido que toda função de auditoria interna tenha uma estratégia que reflita onde você e sua função de auditoria interna estão agora, onde querem estar e como chegarão lá, independentemente do setor em que você esteja. A Norma 9.2 cobre a estratégia de auditoria interna e afirma: O executivo-chefe de auditoria deve desenvolver e implementar uma estratégia para a função de auditoria interna que apoie os objetivos estratégicos e o sucesso da organização e se alinhe às expectativas do conselho, da alta administração e de outros stakeholders importantes. Uma estratégia de auditoria interna é um plano de ação projetado para atingir um objetivo geral ou de longo prazo. A estratégia de auditoria interna deve incluir uma visão, objetivos estratégicos e iniciativas de apoio para a função de auditoria interna. Uma estratégia de auditoria interna ajuda a orientar a função de auditoria interna em direção ao cumprimento do mandato de auditoria interna. O executivo-chefe de auditoria deve revisar periodicamente a estratégia de auditoria interna com o conselho e a gerência sênior.
A: Os requisitos para um EQA são os mesmos para empresas públicas e privadas. A Norma 8.4 fornece detalhes sobre a função do CAE e do Comitê de Auditoria/Conselho em relação à EQA: O executivo-chefe de auditoria deve desenvolver um plano para uma avaliação externa de qualidade e discutir o plano com o Conselho. A avaliação externa deve ser realizada pelo menos uma vez a cada cinco anos por um avaliador qualificado e independente ou por uma equipe de avaliação. O requisito de uma avaliação externa de qualidade também pode ser cumprido por meio de uma autoavaliação com validação independente.
A: A intenção do Domínio III e das condições essenciais é incentivar a auditoria interna e a gerência sênior a trabalharem de forma mais colaborativa do que talvez façam atualmente. O executivo-chefe de auditoria deve discutir esse Domínio com o conselho e a gerência sênior. As discussões devem se concentrar em:
Para as funções de auditoria interna mais maduras, não há uma mudança significativa, mas eu dou as boas-vindas ao vínculo estruturado entre a auditoria interna e a gerência sênior.
A: Embora o executivo-chefe de auditoria seja responsável pelos requisitos do Domínio III, as atividades do Comitê/Conselho de Auditoria e da alta administração são essenciais para a capacidade da função de auditoria interna de cumprir o propósito da auditoria interna. Essas atividades são identificadas como "condições essenciais" em cada norma e estabelecem uma base necessária para um diálogo eficaz entre o Comitê/Conselho de Auditoria, a alta administração e o executivo-chefe de auditoria, possibilitando uma função de auditoria interna eficaz. Eu sugeriria que elas foram incluídas para fortalecer a relação entre o Comitê de Auditoria/Conselho Diretor, a gerência sênior e a auditoria interna e, portanto, fortalecer os arranjos de governança.
