formulando e expressando opiniões de auditoria interna · na emissão de opiniões de auditoria...

Formulando e Expressando Opiniões de Auditoria Interna

IPPF – Guia Prático Formulando e Expressando Opiniões de Auditoria Interna

Guia Prático

FORMULANDO E EXPRESSANDO

OPINIÕES DE AUDITORIA INTERNA

Março de 2009


www.iiabrasil.org.br / B Este Guia Prático foi traduzido com o apoio de:

Índice

1. Sumário Executivo ..................................................................................................................... 1

2. Introdução .................................................................................................................................. 1

3. Planejando a Expressão de uma Opinião................................................................................... 2

3.1 Expressando uma Opinião ................................................................................................. 3

3.2 Escopo das Opiniões .......................................................................................................... 4

3.3 Estabelecendo um Critério Adequado para a Opinião ....................................................... 5

4. Escopo do Trabalho .................................................................................................................... 6

4.1 Avaliação dos Resultados .................................................................................................. 7

5. Uso de Graus ao Expressar uma Opinião ................................................................................... 7

5.1 Uso de Opiniões de Avaliação Negativa (Limitada) e Opiniões “Informais” ..................... 8

5.2 Dependência do Trabalho de Terceiros ao Apoiar uma Opinião ......................................... 9

5.3 Orientações de Reguladores e Outros Formadores de Normas .......................................... 9

5.4 Outras Considerações Legais ............................................................................................ 9

Anexo A: Exemplos: Classificações ou Rankings de Riscos ......................................................... 11

Anexo B: Exemplos: Opinião de Auditoria Micro e Macro (Classificação) .................................... 13

Anexo C: Opinião de Nível Macro (Exemplo) ................................................................................. 15

Anexo D: Orientações da IPPF Relacionadas ................................................................................ 16


www.iiabrasil.org.br / 1 Este Guia Prático foi traduzido com o apoio de:

1. Sumário Executivo Natureza deste Guia: Este documento fornece

orientações práticas aos auditores internos que

desejam formar e expressar uma opinião sobre

alguns ou todos os sistemas de governança,

gerenciamento de riscos e controle interno de uma

organização.

Esta orientação não tem o objetivo de representar

todas as considerações que possam ser necessárias.

Algumas das Normas Internacionais para a Prática

Profissional de Auditoria Interna (Normas)

relacionadas e outros documentos de orientação

relacionados a este tópico são fornecidos no Anexo

D.

Aplicabilidade

Esta orientação pode ser aplicável e útil para:

Diretores Executivos de Auditoria (DEAs).

Conselhos.

Gerência executiva e operacional.

Outros prestadores externos de avaliação.

Outros órgãos profissionais e regulatórios.

Histórico

O conselho, a gerência e outras partes interessadas

pedem aos auditores internos que forneçam opiniões

como parte de cada relatório de auditoria individual,

assim como com relação à adequação geral da

governança, gerenciamento de riscos e controle

dentro da organização. Essas solicitações podem ser

para uma avaliação ou opiniões em um nível amplo

para a organização como um todo (opinião de nível

macro) ou sobre componentes individuais das

operações da organização (opinião de nível micro).

Exemplos de opiniões de nível macro e micro

incluem:

Uma opinião sobre o sistema geral de

controle interno da organização sobre o

reporte financeiro (macro).

Uma opinião sobre os controles e

procedimentos da organização para a

conformidade com as leis e regulamentos

aplicáveis, tais como saúde e segurança,

quanto esses controles e procedimentos são

conduzidos em múltiplos países ou

subsidiárias (macro).

Uma opinião sobre a eficácia dos controles

tais como gestão de orçamentos e

desempenho, quando tais controles são

aplicados em múltiplas subsidiárias e a

cobertura abrange a maioria dos ativos,

recursos, receitas, etc., da organização

(macro).

Uma opinião sobre um processo do negócio

ou atividade individual dentro de uma única

organização, departamento ou local (micro).

Uma opinião sobre o sistema de controle

interno em uma subsidiária ou unidade de

reporte, quando todo o trabalho é conduzido

em uma única auditoria (micro).

Uma opinião sobre a conformidade da

organização com as políticas, leis e

regulamentos relativos à privacidade de

dados, quando o escopo do trabalho é

conduzido em uma única ou poucas

unidades de negócio (micro).

2. Introdução A necessidade de opiniões de auditoria e a

habilidade da auditoria interna expressá-las

dependem de diversas circunstâncias, incluindo o

entendimento das necessidades das partes

interessadas; a determinação do escopo, natureza,

timing e extensão do trabalho de auditoria

necessário; garantia de que haja recursos suficientes



para completar o trabalho; a avaliação dos resultados

do trabalho conduzido.

Os requisitos das partes interessadas para opiniões

de auditoria interna, incluindo o nível de avaliação

necessário, devem ser classificados pelo DEA junto à

alta administração e o conselho.

Discussões com as partes interessadas podem

incluir:

O valor da opinião para as partes

interessadas, incluindo (quando apropriado)

por que isso está sendo solicitado.

O timing para emissão e tipo da(s)

opinião(ões).

A forma como a opinião é fornecida (ex., por

escrito ou verbalmente).

O nível de avaliação a ser prestado.

O período ou momento que a opinião cobre.

O escopo da opinião buscada (ex., se deve

ser limitada ao reporte financeiro, controles

operacionais ou conformidade com

regulamentos específicos).

Os critérios usados para expressar as

opiniões.

O processo de classificação a ser aplicado

em relação às descobertas de auditoria

individuais.

Usuários potenciais da avaliação, além da

gerência e do conselho.

Na emissão de opiniões de auditoria interna, o DEA

considera o impacto potencial sobre a organização se

o relatório for distribuído a usuários externos. Em

tais circunstâncias, seria apropriado consultar um

conselheiro jurídico, especialmente se “informações

confidenciais” forem um fator importante.

3. Planejando a Expressão de uma Opinião Ao desenvolver planos de auditoria para apoiar a

expressão de uma opinião, há uma variedade de

fatores que a atividade de auditoria interna deve

considerar. Eles incluem:

As características únicas de opiniões de nível

macro versus micro. Opiniões macro são

geralmente baseadas nos resultados de

múltiplos projetos de auditoria, enquanto

opiniões micro são normalmente baseadas

nos resultados de um único projeto de

auditoria ou de alguns projetos conduzidos

ao longo de um período limitado de tempo.

A natureza da opinião a ser fornecida;

especificamente, se uma avaliação positiva

ou negativa será emitida. Em geral, mais

evidências e um escopo mais amplo de

trabalho são necessários para uma opinião de

avaliação positiva.

O propósito e o uso de quaisquer

solicitações especiais para as quais uma

opinião será dada.

A natureza e extensão da evidência de

auditoria necessária para apoiar a opinião a

ser fornecida e o período de tempo

necessário para conduzir o trabalho. Isso é

especialmente importante para opiniões

macro, quando a opinião pode exigir

múltiplos projetos para ser completada.

Discussões e comum acordo com as partes

interessadas (normalmente, a alta

administração e o conselho) quanto aos

critérios que serão usados em determinar a

opinião a ser fornecida.

A necessidade de um planejamento e

desenvolvimento cuidadosos de um plano de



auditoria e abordagem que forneçam à

atividade de auditoria interna evidências

relevantes e suficientes para apoiar a

opinião. Essa abordagem pode incluir

agregar os resultados de auditorias

anteriormente concluídas para apoiar a

opinião, ou identificar áreas de importância

e risco nas quais as evidências de auditoria

precisem ser completadas ou obtidas para

apoiar a expressão da opinião de auditoria

interna planejada. Além disso, quando

projetos múltiplos forem necessários para

fornecer a opinião, esses projetos devem ser

identificados e incluídos no plano de

auditoria interna.

A consideração de todos os projetos

planejados relacionados (incluindo a

dependência do trabalho de outros ou

autoavaliações) e separar tempo para a

avaliação final. Por exemplo, dar uma

opinião sobre os controles de inventário em

uma organização global (ex., auditorias em

30 locais internacionais) exigirão um

planejamento extenso da cobertura do

escopo e do tempo para completar o trabalho

antes da opinião ser dada.

Se há recursos e habilidades adequadas para

conduzir todo o trabalho necessário para

servir de apoio suficiente para a opinião. Do

contrário, deve-se decidir entre recusar a

expressão da opinião ou qualificar a opinião

(excluindo certas áreas ou riscos do escopo

da opinião).

Discussões com a gerência e comunicação

do plano de auditoria interna, incluindo o

timing e escopo de cada projeto e os critérios

que serão usados em determinar a opinião a

ser fornecida à gerência e, se apropriado, ao

conselho.

3.1 Expressando uma Opinião

Não é incomum para a atividade de auditoria interna

fornecer opiniões de níveis tanto macro quanto

micro, incluindo uma opinião sobre a adequação

geral das políticas, procedimentos e processos da

organização para apoiar a governança, o

gerenciamento de riscos e os controles internos.

Quando fornecidas, tais opiniões são geralmente

escritas e serão de maior valor se tiverem a forma de

“avaliação positiva”, às vezes referidas como opiniões

de “avaliação razoável”. O DEA é o melhor indivíduo

para fornecer opiniões macro, considerando sua

posição para obter uma visão geral a fundo dos

resultados de auditoria de nível micro.

Avaliação positiva (avaliação razoável) fornece o mais

alto nível de avaliação e um dos tipos mais fortes de

opiniões de auditoria. Ao prestar uma avaliação

positiva, o auditor toma uma posição definitiva, o

que pode ser binário em sua natureza; por exemplo,

que os controles internos são ou não eficazes na

situação ou que os riscos são ou não são eficazmente

gerenciados.

As variações na expressão de uma opinião de

avaliação positiva podem incluir o uso de graus, nos

quais a eficácia dos controles internos ou

gerenciamento de riscos é avaliado usando um

sistema de classificação. Exemplos comuns de um

sistema de classificação incluem o uso de códigos de

cor (tais como vermelho-amarelo-verde) ou o uso de

uma escala de classificação (tais como 1 a 4).

Quando tais escalas são usadas, elas devem ser

acordadas e de significado comumente entendido

dentro da organização. Mais orientações sobre o

“Uso de Graus” são fornecidas nos Anexos.

A expressão da opinião pode incluir informações

sobre a direção da opinião desde uma auditoria

anterior. Por exemplo, a opinião pode indicar que os

controles ou gerenciamento de riscos são

satisfatórios, mas sua eficácia pode ter diminuído

desde o período de auditoria anterior.

Uma opinião de avaliação positiva exige o nível mais

alto de evidências. Isso implica não apenas se os

processos de controles/mitigação de riscos são



adequados e eficazes, mas também se evidências

suficientes foram coletadas para garantir

razoavelmente que evidências do contrário, se

existentes, teriam sido identificadas. O auditor

assume completa responsabilidade pela suficiência

dos procedimentos de auditoria para descobrir o que

deveria ter sido razoavelmente descoberto por um

auditor prudente.

Opiniões de avaliação positiva fornecer ao leitor um

alto nível de confiança e conforto quanto à

integridade das informações inclusas. Da mesma

forma, solicita-se frequentemente às atividades de

auditoria interna que forneçam tais opiniões de

avaliação positiva.

Uma opinião pode ser qualificada, o que pode ser

útil em situações nas quais haja uma exceção à

opinião geral. Por exemplo, a opinião pode indicar

que os controles foram: “Satisfatórios com a exceção

dos controles de contas a pagar, que demandam

melhoria significante.”

3.2 Escopo das Opiniões

Pode-se solicitar que DEAs forneçam opiniões de

um nível geral (macro) ou de um nível de atividade

de auditoria individual (micro). O conteúdo a seguir

enfatiza a diferença entre os dois.

Nível Macro

Enquanto opiniões de nível macro são emitidas ou

fornecidas em um determinado momento (ex.,

anualmente), a evidência de auditoria de apoio é

geralmente acumulada ao longo de um período de

tempo e baseada nos resultados de diversas

atividades de auditoria, do trabalho conduzido por

outros e de evidências informais. Uma opinião de

nível macro pode evoluir ou mudar conforme

atividades individuais forem concluídas e evidências

de auditoria adicionais (incluindo descobertas/

exceções) forem descobertas.

Ao expressar uma opinião macro, o DEA considera

diversos fatores:

O propósito para qual a opinião será usada.

Se a opinião pode ser dada com base no

período de auditoria e na cronologia de teste.

Um entendimento claro do que a

organização considera desempenho

satisfatório “no geral”.

O apetite de riscos da organização e os

critérios para a opinião.

A suficiência do trabalho de auditoria e das

evidências de auditoria (incluindo o trabalho

de outros e evidências informais) para apoiar

a opinião solicitada.

Às vezes, a auditoria interna pode não ser capaz de

obter evidências suficientes (ex., por conta de

limitações de recursos) para apoiar todas as áreas

cobertas pela opinião macro. Como resultado,

apenas uma opinião macro limitada pode ser

possível; por exemplo, uma opinião sobre a

conformidade com os regulamentos ambientais pode

ser limitada ao excluir uma avaliação com

regulamentos que orientem quanto à eliminação de

resíduos. O potencial para uma opinião limitada

deve ser reconhecido como parte do processo de

planejamento, para que as partes interessadas

entendam que a opinião será limitada.

Expressar uma opinião no nível macro pode ser uma

tarefa complexa. Pode exigir o estabelecimento de

metodologias e planejamento para:

Agregar e interpretar as descobertas de

diversas auditorias, algumas das quais

podem ter sido concluídas meses antes da

data da opinião. Em tais circunstâncias, o

DEA terá que exercitar o zelo devido para

garantir que as normas consistentes tenham

sido usadas nas auditorias para avaliar

quaisquer descobertas e tirar conclusões.

Além disso, o acompanhamento das ações

corretivas e eventos subsequentes à auditoria

anterior deve ser considerado.



Metodologias para incorporar as evidências

de auditoria desenvolvidas por meios menos

formais. Isso pode ocorrer já que opiniões

macro são normalmente abrangente em

natureza e exigem uma cobertura mais

ampla. Dessa forma, a dependência de

outros tipos de processos de avaliação pode

ser necessária. Por exemplo, os resultados de

autoavaliações da gerência e a consideração

de evidências informais (isto é, evidências

não específicas a um trabalho de auditoria)

de fontes diferentes poderiam ser utilizados

se o auditor acreditar que são confiáveis.

Evidências informais podem incluir a

avaliação subjetiva da auditoria interna (ex.,

com base nas visitas aos locais e observações

das operações), mas a dependência de tais

evidências pode ser divulgada na hora de

expressar a opinião macro.

Consideração da evidência que pode ter sido

obtida por meio da dependência do trabalho

dos outros. Isso pode incluir, por exemplo,

uma revisão do trabalho de diversos grupos

de certificação de qualidade dentro da

organização ou o trabalho concluído para

cumprir com requisitos regulatórios, cada

um dos quais pode ter sido aplicado usando

metodologias de avaliação diferentes ou

variáveis. Em tais situações, é imperativo

que o DEA avalie o risco associado à

utilização do trabalho de terceiros e

considere explicar isto na hora de expressar

sua opinião.

Nível Micro

Opiniões de nível micro são geralmente resultado de

uma atividade de auditoria individual. Uma atividade

assim pode ser relacionada aos controles em torno

de um processo, risco ou unidade de negócio

específica. A formulação de tais opiniões exige a

consideração das descobertas de auditoria e suas

classificações respectivas.

Opiniões micro são normalmente menos complexas

do que opiniões macro. Pesquisas recentes indicam

que a maioria das organizações de auditoria no

mundo todo emitem opiniões de auditoria de nível

micro, usando um sistema de classificação/graus

como parte da expressão de suas opiniões gerais. No

entanto, também foi observado que muitas

organizações de auditoria não desenvolveram uma

estrutura de critérios formais para comparação e

para tirar suas conclusões.

Em algumas organizações, quando o auditor fornece

opiniões macro sobre riscos e a organização como

um todo, opiniões do nível de atividade de auditoria

individual (micro) podem não ser tão importantes

para partes interessadas do nível sênior ou para o

conselho, porque estão mais preocupados com a

opinião macro geral. Em tais casos, é especialmente

importante gerenciar as expectativas das partes

interessadas abaixo deste nível sênior, já que as

partes interessadas responsáveis pelas áreas

auditadas esperarão, normalmente, um relatório ou

opinião quanto à conclusão da tarefa específica.

3.3 Estabelecendo um Critério Adequado

para a Opinião

Os auditores devem ter um meio de mensurar ou

julgar os resultados e impacto das questões

identificadas em uma auditoria. Isso pode ser feito

por meio do desenvolvimento de uma estrutura de

critério. Critérios adequados são fatores relevantes e

apropriados para as características particulares da

organização auditada e contra os quais os resultados

podem ser objetivamente comparados. Eles têm o

foco, quando possível, nos resultados esperados a

alcançar por meio de sistemas de controle interno e

são idealmente estabelecidos antes da execução do

plano de auditoria geral. Esses critérios devem ser

relevantes, confiáveis, neutros, compreensíveis e

completos. Por exemplo, o conjunto de observações

permite à equipe de auditoria formar uma conclusão

com relação a cada objetivo de auditoria ou com

relação a um processo ou função como um todo. O

DEA garante que exista uma estrutura de critérios

para esse processo.



Como parte do processo de planejamento, a base

para a opinião é discutida com diversas partes

interessadas usando a estrutura de critérios e de

avaliação. Isso inclui discutir objetivos específicos

com os principais proprietários de processos,

executivos principais e outras partes interessadas,

incluindo o conselho, conforme apropriado. É

importante que a gerência dentro da organização

auditada entenda e aceite esses critérios e como eles

podem impactá-la e sua responsabilidade com

relação à manutenção de um ambiente de controle

interno forte.

Ao estabelecer critérios adequados, é importante que

a atividade de auditoria interna determine se a

organização estabeleceu princípios básicos com

relação ao que constitui práticas apropriadas de

governança, gerenciamento de riscos e controle. Isso

incluiria:

Uma comunicação clara da definição de

controle adotada pela organização; por

exemplo, a organização adotou o modelo

COSO ou CoCo?

O entendimento da gerência quanto ao que

poderia constituir um nível satisfatório de

controle. Por exemplo, satisfatório poderia

significar que 90 por cento (ou outra

porcentagem aceitável) das transações

dentro de um objetivo de controle são

conduzidas de acordo com os procedimentos

de controle estabelecidos; alternativamente,

isso também poderia significar que 85 por

cento (ou outra porcentagem aceitável) dos

controles gerais estão funcionando de acordo

com o objetivo.

Uma comunicação clara por parte da

gerência quanto a suas tolerâncias ou

apetites de risco, incluindo limites de

materialidade.

Tais princípios corporativos principais fornecem uma

estrutura de comum acordo com relação à qual

conclusões podem ser tiradas e uma opinião

expressada de uma maneira que seja entendida

mutuamente pela gerência e pelos auditores

internos.

Na ausência de tais princípios, é recomendado que a

auditoria interna não forneça uma opinião, já que

não há modelo para referência que apoie

objetivamente a conclusão do auditor interno.

4. Escopo do Trabalho A natureza e forma da opinião expressada depende

do escopo do trabalho conduzido e da evidência de

auditoria coletada. Um passo fundamental no

desenvolvimento do escopo é desenvolver um plano

de auditoria que resulte em evidências suficientes e

apropriadas de auditoria, que permitam ao auditor

tirar uma conclusão quanto aos resultados do

trabalho de auditoria conduzido. Ao discutir o plano

com suas principais partes interessadas, o DEA

articula precisamente o que está incluído no escopo

de trabalho e o tipo de opinião a ser dada. Isso é

importante, para comunicar às partes interessadas

principais para evitar confusão, principalmente com

relação a opiniões de nível macro.

Consideração da adequação do escopo de auditoria é

necessária para opiniões de nível micro e macro. No

entanto, com opiniões macro, isso se torna mais

complexo. A possibilidade de uma opinião de nível

macro sobre a governança, o gerenciamento de riscos

e controle vai depender da integridade do universo

de auditoria e da cobertura deste universo por parte

do auditor. A expressão de uma opinião de nível

macro pode demorar mais para completar, como

resultado da extensão do trabalho que precisará ser

concluído e da necessidade de agregar os resultados

de diversas auditorias individuais que coletivamente

apoiarão a opinião de nível macro.

Elementos comuns incluídos na definição do escopo

ao qual a opinião se aplica são:

Descrições de porções da organização que

estão sendo cobertas, seja o escopo definido

como a organização como um todo ou



apenas componentes específicos da

organização, riscos de alto nível (ex., ações

da competição) ou categorias de risco (ex.,

riscos de crédito).

Componentes de controle cobertos pela

auditoria; isto é, os controles financeiros,

operacionais ou de conformidade específicos

sendo abordados (ex., declarando

especificamente que a opinião é relativa ao

desenvolvimento de processos, objetivos de

desempenho, requisitos de documentação,

resultados financeiros, etc.).

O momento ou período de tempo sobre o

qual a opinião é expressada.

4.1 Avaliação dos Resultados

Um passo importante no processo de planejamento é

o estabelecimento de uma metodologia a ser seguida

para avaliar os resultados do trabalho de auditoria

completado. Isso pode envolver a avaliação e

classificação das descobertas de auditorias

individuais e sua significância relativa para o projeto

individual, categorias individuais de risco/categorias

de risco ou a organização como um todo.

Os elementos a seguir devem ser considerados:

Materialidade – A magnitude ou significância de um

objetivo chave de negócio fundamental para a

opinião é importante. O auditor interno deve

considerar a magnitude do risco residual de que um

objetivo de negócio não seja alcançado.

Impacto – A consequência das questões/descobertas

de auditoria são consideradas e plenamente

compreendidas no contexto da opinião a ser dada

(isto é, micro versus macro). Um diferente nível de

importância pode ser dado a uma opinião de

auditoria usando os mesmos critérios de

classificação, dependendo do impacto sobre a

organização. Por exemplo, algumas questões podem

ter um impacto material sobre o alcance das metas

ou sobre a mitigação dos riscos em um nível micro,

mas não em um nível macro (ex., o fracasso em

gerenciar pagamentos em duplicidade em potencial

pode ser material para uma subsidiária, mas não para

a organização como um todo).

Outro fator a ser considerado na classificação da

adequação dos controles em uma opinião micro é

classificar o nível de riscos fornecidos pelos

controles em prática, de modo que os objetivos da

gerência sejam atingidos. (Exemplos de

classificações de riscos são apresentados no Anexo

A).

5. Uso de Graus ao Expressar uma Opinião É comum que atividades de auditoria interna usem

um sistema de graus na emissão de relatórios de

auditoria.

Ao usar um sistema de graus para comunicar uma

opinião de avaliação positiva, deve-se tomar cuidado

com as palavras, principalmente em definir “linhas

d’água”, tais como adequado ou inadequado. O

conteúdo deve ser claro e apropriadamente definido

para o leitor. Usar termos gerais, tais como

satisfatório, eficaz ou insatisfatório, pode não ser

suficiente para definir o significado. A organização

precisa ter um entendimento claro e comum desses

termos e do que constitui um nível aceitável de

desempenho, sendo que tudo isso exige uma

estrutura de referência. Por exemplo, o termo eficaz

normalmente se refere a controles eficazes tanto em

seu desenvolvimento quanto em sua operação. A

opinião precisa indicar se ambos os significados são

adequados.

A clareza da comunicação é melhorada se a

organização adotou uma definição amplamente

entendida dos controles internos, tais como o

modelo COSO. Ao preparar o relatório, o DEA

garante que quaisquer termos técnicos (ex., fraqueza

material) estejam claramente definidos para o leitor.

Desenvolver uma diretriz como as incluídas nos



Anexos eliminará parte da subjetividade e ajudará a

evitar confusão.

O uso de uma escala de graus geralmente exige uma

estrutura de avaliação bem definida. Por exemplo,

uma opinião que meramente declare que os

controles internos cumprem com os critérios

mínimos definidos não exigiria tanta evidência

quanto uma opinião que declara que os controles

internos estão muito melhores ou piores do que o

benchmark definido.

A melhor precisão na informação fornecida em uma

opinião normalmente aumenta a quantidade de

evidências necessárias para apoiar a opinião. Usar

um grau como parte de uma opinião de avaliação

positiva pode fornecer informações úteis para o

leitor, mas evidências suficientes são necessárias

para apoiar aquele nível mais avançado de detalhes

dados na opinião. A escala de classificação esclarece

se a opinião diz respeito à organização como um todo

ou ao assunto da auditoria (tarefa específica de

auditoria).

Também é importante considerar a consistência e

sustentabilidade do sistema de graus ou classificação

ao longo dos anos de auditoria. Sistemas de graus ou

classificação que mudam muito frequentemente

podem ser confusos para as partes interessadas e

podem impactar a comparabilidade e clareza do

reporte na organização.

5.1 Uso de Opiniões de Avaliação

Negativa (Limitada) e Opiniões

“Informais”

Uma opinião de “avaliação negativa”, às vezes

chamada de opinião de “avaliação limitada”, é uma

declaração de que nada resultou da atenção do

auditor a um objetivo específico, tal como a eficácia

de um sistema de controle interno, a adequação de

um processo de gerenciamento de riscos ou alguma

outra questão específica. O auditor interno não

assume responsabilidade pela suficiência do escopo

e procedimentos de auditoria para encontrar todas as

preocupações e questões significantes. Tal opinião é

considerada, normalmente, menos valiosa do que

uma avaliação positiva e, portanto, os auditores

consideram seu valor antes de fornecê-la.

Ocasionalmente, pode-se solicitar à auditoria interna

que dê uma opinião “informal” ou verbal quanto à

adequação das políticas e processos de governança,

gerenciamento de riscos ou controle, seja em nível

macro ou micro. Quando possível, a expressão de tal

opinião não deve ser subjetiva em sua natureza, mas

sim baseada em evidências objetivas (conforme

discutido anteriormente). No entanto, quando partes

interessadas aceitariam uma opinião mais subjetiva,

o fato de que a opinião é subjetiva deve ser

claramente divulgado com qualquer comentário

verbal.

Ao expressar uma opinião informal, o DEA considera

uma gama de fatores:

A suficiência do trabalho de auditoria

(incluindo o trabalho de outros e evidências

informais) para apoiar a opinião solicitada.

Se a opinião pode ser postergada até que

evidências adicionais sejam obtidas.

Os critérios para a opinião e um

entendimento claro do que a organização

considera como desempenho satisfatório.

O apetite de riscos da organização.

O propósito para qual a opinião será usada.

Se a opinião informal será positiva ou

negativa em sua natureza.

Se a opinião será limitada e colocada em

contexto das evidências de apoio que foram

ou não obtidas (ex., “Esta opinião se baseia

nas sete auditorias concluídas neste ano.

Não concluímos auditorias da subsidiária

XYZ e nossa opinião não se estende a ela”).



Em sua essência, os fatores são os mesmos que

aqueles que seriam considerados ao expressar uma

opinião por escrito.

Será importante reconhecer casos nos quais a

resposta mais apropriada é uma indicação de que

mais trabalhos serão necessários para expressar uma

opinião sobre a área sendo discutida.

Em alguns casos, pode ser necessário que a auditoria

interna se recuse a emitir uma opinião verbal,

especialmente se houver uma escassez de evidências

ou trabalho suficiente para apoiar a opinião.

5.2 Dependência do Trabalho de

Terceiros ao Apoiar uma Opinião

Em muitas organizações, há uma variedade de

funções ou pessoas que fornecem à gerência e ao

conselho avaliações sobre aspectos específicos das

operações da organização, comumente chamados de

“outros prestadores de avaliação” (OAPs – other

assurance providers).

Se o DEA pretende depender deste trabalho para

propósitos de expressar sua própria opinião, passos

apropriados devem ser tomados, incluindo a

avaliação da competência, independência e

objetividade do OAP. O DEA:

Determina que o OAP possui o

conhecimento, habilidades e outras

competências necessárias para o trabalho do

qual ele dependerá;

Avalia as relações organizacionais do OAP,

para garantir que não haja relações

impedindo que o OAP forneça julgamentos

e opiniões imparciais ou justas na condução

de suas atividades de avaliação.

Obtém informações suficientes com relação

aos objetivos e escopo do trabalho do OAP,

para confirmar que ele cumpriu com os

requisitos específicos da auditoria. Uma

melhor prática comum é estabelecer

reuniões frequentes de comunicação, nas

quais o DEA poderá saber das atividades

planejadas, resultados do trabalho e

relatórios do OAP (ou outras comunicações

semelhantes).

Avaliar os riscos de usar o trabalho do OAP,

especialmente no que tange ao nível de

avaliação e confiança com relação a

opiniões.

Depois que o DEA determinar que poderá ou não

depender do trabalho de terceiros, este fato deve ser

incluso nas discussões com as principais partes

interessadas e, se relevante, com o conselho. É

importante que todas as partes entendam como o

trabalho dos OAPs pode impactar opiniões de

auditoria macro ou micro, incluindo o grau de

confiança a ser depositada em tais opiniões.

5.3 Orientações de Reguladores e Outros

Formadores de Normas

Na medida do possível, esta orientação busca a

harmonia com outros reguladores globais e não tem

intenção de entrar em conflito com leis e

regulamentos conhecidos de outros órgãos

reguladores e formadores de normas. Os auditores

internos não devem deixar de lado suas

responsabilidades de conformidade com as leis e

regulamentos locais. No entanto, quando tais leis ou

regulamentos locais não existirem ou entrarem em

conflito, esta orientação pode ser útil para o

fornecimento de opiniões de auditoria a todos os

praticantes que buscam a conformidade com esta

orientação até onde for possível.

5.4 Outras Considerações Legais

O uso de opiniões pode resultar em uma maior

dependência dos relatórios de auditoria interna. Este

é um resultado desejável, já que aumenta o valor e a

clareza do nível de avaliação prestado no relatório de

auditoria. No entanto, a maior dependência pode

também resultar em consequências legais e de

outras naturezas, se alguém depender do relatório e

uma falha de controle surgir após o relatório for

emitido. Além disso, podem existir ramificações



legais para as próprias credenciais de certificação do

DEA, caso problemas de não conformidade surjam.

Para gerenciar essas consequências, o DEA é

encorajado a usar um linguajar apropriado no

relatório e em qualquer isenção de responsabilidade

que alerte o leitor quanto às limitações do nível de

avaliação prestado. Ao assinar uma opinião de um

relatório como contador certificado, contador

público certificado, auditor interno certificado ou

outra certificação profissional parecida, o DEA deve

alertar os leitores de que não é possível prestar uma

avaliação absoluta e encorajá-los a considerar todas

as consequências legais. Ao ser claro quanto a essas

questões e documentá-las para os usuários dos

relatórios, o DEA é capaz de gerenciar as

expectativas e limitar riscos legais desnecessários.



Anexo A: Exemplos: Classificações ou Rankings de Riscos Os exemplos a seguir são exemplos de sistemas que

podem ser aplicados para classificar ou ordenar

riscos em um ranking. Em todos estes, é importante

esclarecer o contexto (isto é, classificação relativa à

organização como um todo versus ao sujeito da

auditoria). Essas classificações/rankings de riscos

também podem ser aplicáveis a certas opiniões de

nível micro.

Empresa A: Opinião de Classificação de

Risco

Muito Alto – O risco residual depois da

consideração da adequação e/ou eficácia dos

controles/mitigadores de riscos continua muito alto

de acordo com a matriz de avaliação de riscos

(critérios de classificação de riscos) da organização

(ou divisão, ou entidade). Ele está acima do nível

aceitável de tolerância.

Alto - O risco residual depois da consideração da

adequação e/ou eficácia dos controles/mitigadores de

riscos continua alto de acordo com a matriz de

avaliação de riscos da organização (ou divisão, ou

entidade). Ele está acima do nível aceitável de

tolerância.

Médio – O risco residual após a consideração da

adequação e/ou eficácia dos controles/mitigadores de

riscos é médio de acordo com a matriz de avaliação

de riscos da organização (ou divisão, ou entidade),

estando, portanto, dentro da tolerância a riscos da

organização.

Baixo Risco – O risco residual após a consideração

da adequação e/ou eficácia dos controles/mitigadores

de riscos é baixo e, portanto, está dentro da

tolerância a riscos da organização.

Empresa B: Classificação de Riscos de

Deficiência com Relação às Descobertas

de Auditoria (Nível Micro)

Risco de Alta Prioridade – Como esta é uma questão

de alta prioridade, a atenção imediata da gerência é

necessária. Esta é uma questão séria de controle

interno ou gerenciamento de riscos que, se não

mitigada, pode, com um alto grau de certeza, levar a:

Perdas substanciais, possivelmente em

conjunto com outras fraquezas na estrutura

de controle ou na entidade ou no processo

sendo auditado.

Sérias violações das estratégias, políticas ou

valores corporativos.

Sérios danos à reputação, tais como

publicidade negativa em mídias nacionais ou

internacionais.

Um significante impacto regulatório adverso,

tal como a perda de licenças de operação ou

multas materiais.

Risco Médio – Como esta é uma questão de média

prioridade, a atenção oportuna da gerência é

recomendada. Esta é uma questão de controle

interno ou gerenciamento de riscos que pode levar a:

Perdas financeiras (estipular níveis).

Perda de controles dentro da entidade ou

processo sendo auditado.

Danos à reputação, tais como publicidade

negativa em mídias locais ou regionais.

Impacto regulatório adverso, tal como

sanções públicas ou multas não materiais.

Risco Baixo – Como esta é uma questão de baixa

prioridade, a atenção rotineira da gerência é

recomendada. Esta é uma questão de controle

interno ou gerenciamento de riscos, cuja solução



pode levar à melhoria da qualidade e/ou eficiência da

entidade ou processo sendo auditado. Os riscos são

limitados.

Empresa C: Classificação de Risco

Prioritários de uma Deficiência (Nível

Micro)

Qualquer um ou mais critérios notados abaixo

resultarão em um ranking de prioridade, caso

controles de mitigação não estejam em prática:

(Observação: Duas ou mais observações do ranking

de prioridade podem resultar em uma opinião de

auditoria “insatisfatória”.)

Há um possível erro em uma demonstração

financeira ou divulgação financeira, exigindo

um ajuste pós-impostos nas demonstrações

financeiras ou divulgações relacionadas

maior ou igual a $XX milhões.

Os controles não estão em operação

conforme o desejado e estima-se que pode

haver uma oportunidade de eficácia e

eficiência operacional com ganho econômico

potencial maior que 0,5 por cento da renda

total líquida ou maior que 1 por cento de

uma classificação de grupo das contas

patrimoniais, tais como ativos fixos, ativos

correntes, passivos correntes, etc., ou que

tenha um efeito material adverso sobre a

reputação da empresa.

Um controle fundamental não está

funcionando conforme o desejado, de acordo

com o indicado pelos resultados do teste de

exceção do auditor, em excesso por XX por

cento (usando uma amostra representativa

suficiente) e não existem controles para

mitigação (ou uma taxa inferior de teste de

exceção, se a exposição for significante).

Sistemas de informação (de acordo com o

definido) críticos estão significativamente

comprometidos, por conta de controles

ineficazes sobre a segurança lógica/de

aplicações, proteção de dados (incluindo

informações dos clientes/funcionários) e

uma falta de verificações de edições do

sistema e controles de mitigação limitados.

Fraquezas prioritárias no controle

identificadas em uma auditoria interna

anterior continuam não resolvidas sem causa

razoável para o atraso.

As descobertas de auditoria identificaram

controles ineficazes que levaram a uma

fraude interna ou externa (conforme

definida) em progresso (isto é, comprovada)

ou há uma alta probabilidade de que uma

fraude potencial (isto é, crível) poderia

existir, superior a $XX.



Anexo B: Exemplos: Opinião de Auditoria Micro e Macro (Classificação) Os exemplos a seguir são exemplos de classificação

que podem ser aplicados com relação a opiniões de

auditoria. Em todos eles, é importante esclarecer o

contexto; isto é, opinião relativa à organização como

um todo (macro) versus a uma revisão de auditoria

individual de um sujeito ou processo em particular

(micro). Será importante ter um processo de ranking

de riscos e metodologia em prática, semelhantes

àqueles apresentados no Anexo A, para formular

essas opiniões.

Empresa D: Grau Tier 3

Sistema Inadequado de Controle Interno – As

descobertas indicam franquezas significantes de

controle e a necessidade de ações corretivas

urgentes. Em casos nos quais a ação corretiva não

tenha começado, a ação corretiva atual não foi, no

momento da auditoria, suficiente ou não teve

progresso suficiente para abordar a gravidade das

fraquezas de controle identificadas.

Sistema Adequado de Controle Interno Sujeito a

Reservas – Uma variedade de descobertas, algumas

das quais são significantes, foram levantadas. Em

casos nos quais a ação corretiva estiver em progresso

para abordar essas descobertas e outras questões

conhecidas pela gerência, essas ações estarão em um

estágio muito inicial para permitir que uma opinião

de auditoria satisfatória seja dada.

Sistema Satisfatório de Controle Interno – As

descobertas indicam que, de um ponto de vista geral,

os controles são satisfatórios, embora algumas

melhorias possam ter sido recomendadas.

Empresa E: Grau Tier 4

Eficaz Os controles avaliados são adequados, apropriados e eficazes para prestar

avaliação razoável de que os riscos estão sendo gerenciados e de que os objetivos

devem ser alcançados.

Necessárias Poucas Melhorias Algumas fraquezas de controle específicas foram notadas; geralmente, no entanto,

os controles avaliados são adequados, apropriados e eficazes para prestar

avaliação razoável de que os riscos estão sendo gerenciados e de que os objetivos

devem ser alcançados.

Necessárias Muitas Melhorias Diversas fraquezas de controle específicas foram notadas. Os controles avaliados

provavelmente não prestarão avaliação razoável de que os riscos estejam sendo

gerenciados e de que os objetivos devam ser alcançados.

Insatisfatório Os controles avaliados não são adequados, apropriados ou eficazes para prestar

avaliação razoável de que os riscos estejam sendo gerenciados e de que os

objetivos devam ser alcançados.



Empresa E: Grau Tier 5 Com Escala

MATRIZ DE AVALIAÇÃO E CLASSIFICAÇÃO

Determinantes do Escopo do Trabalho Bem Controlado

(A)

Satisfatório –

Alto (B)

Satisfatório – Baixo (C) Oportunidades

Materiais de

Melhoria (F)

Eficácia e Eficiência Operacional Eficaz Adequado Problemas Sérios, Mas

Não Materiais

Divulgação

Dependência do Reporte Financeiro Eficaz Adequado Problemas Sérios, Mas

Não Materiais

Divulgação

Conformidade com Leis e

Regulamentos Aplicáveis

Eficaz Adequado Problemas Sérios, Mas

Não Materiais

Divulgação

Salvaguarda de Ativos Eficaz Adequado Problemas Sérios, Mas

Não Materiais

Divulgação



Anexo C: Opinião de Nível Macro (Exemplo) Observação: É necessário ter uma metodologia e

processo em prática para avaliar os resultados

cumulativos das tarefas de auditoria e descobertas de

auditoria para expressar tal opinião.

Para: Presidente, Comitê de Auditoria

De: Chefe de Auditoria Interna

Assunto: Auditoria Interna de (auditado ou outra

entidade) para o período terminado em __________

Completamos o plano de auditoria interna de

(declarar o auditado ou outra entidade). O(s)

objetivo(s) deste trabalho foi(foram) (listar os

objetivos amplos de auditoria).

O plano foi preparado considerando (declarar os

principais motivadores usados no desenvolvimento

do plano). A auditoria interna foi conduzida de

acordo com as Normas Internacionais para a Prática

Profissional de Auditoria Interna.

A auditoria interna examinou (descrever o que foi

examinado; ex., a estrutura de controle da gestão, a

estratégia de avaliação de riscos, políticas e práticas,

as informações usadas na tomada de decisões, o

reporte aplicável à entidade examinada, etc.).

O escopo da auditoria incluiu (inclusões do escopo).

Adicionalmente, o exame cobriu atividades que

ocorreram durante o período (período coberto pela

avaliação).

Os critérios usados para avaliar a entidade foram

(descrever os critérios e sua fonte). Os critérios

foram discutidos e acordados junto à gerência

(definir quem) antes da condução dos

procedimentos detalhados de auditoria.

Concluímos que (inserir uma opinião positiva/grau

para cada objetivo). Nossa opinião geral sobre XXX é

satisfatória ou insatisfatória (basear a opinião geral

da entidade por meio da avaliação das opiniões

objetivas de auditoria específicas).

Em meu julgamento profissional como (título),

procedimentos de auditoria suficientes e apropriados

foram conduzidos e evidências foram coletadas para

apoiar a precisão das conclusões alcançadas e

contidas neste relatório. As conclusões foram

baseadas em uma comparação das situações

existentes no período com os critérios de auditoria.

As evidências coletadas cumprem com as normas

profissionais de auditoria e são suficientes para servir

de prova, para a alta administração, das conclusões

derivadas da auditoria interna.



Anexo D: Orientações da IPPF Relacionadas Orientações obrigatórias da IPPF relacionadas

incluem:

2010 – Planejamento: “O diretor executivo de

auditoria deve estabelecer um plano baseado em

riscos para determinar as prioridades da atividade de

auditoria interna, de forma consistente com as metas

da organização.”

2410.A1 - Critérios para a Comunicação: “A

comunicação final dos resultados do trabalho deve

(quando apropriado) conter a opinião geral e/ou

conclusão do auditor interno”.

2120 – Gerenciamento de riscos: “A atividade de

auditoria interna deve monitorar e avaliar a eficácia

do sistema de gerenciamento de riscos da

organização.”

2120.A1 – A atividade de auditoria interna deve

avaliar as exposições riscos relacionadas aos sistemas

de governança, operações e informação da

organização com relação a:

Dependência e integridade das informações

financeiras e operacionais.

Eficácia e eficiência das operações.

Salvaguarda de ativos; e

Conformidade com leis, regulamentos e

contratos.

2130.A1 – A atividade de auditoria interna deve

avaliar a adequação e eficácia dos controles em

resposta aos riscos dentro dos sistemas de

governança, operações e informação da organização

com relação a:

Dependência e integridade das informações

financeiras e operacionais.

Eficácia e eficiência das operações.

Salvaguarda de ativos; e

Conformidade com leis, regulamentos e

contratos.

Orientações fortemente recomendadas da IPPF

relacionadas incluem:

Prática Recomendada 1210.A1-1 - Obtendo

Prestadores Externos de Serviços para Apoiar ou

Complementar a Atividade de Auditoria Interna. Ela

também engloba os conceitos das seguintes Normas

de Auditoria do AICPA: SAS 65 – A Consideração

do Auditor Quanto à Função de Auditoria Interna

em uma Auditoria de Demonstrações Financeiras e

SAS 73 – Usando o Trabalho de Terceiros.

Prática Recomendada 1210.A1-1 - Obtendo

Prestadores Externos de Serviços para Apoiar ou

Complementar a Atividade de Auditoria Interna.

1. Cada membro da atividade de auditoria

interna não precisa ser qualificado em todas

as disciplinas. A atividade de auditoria

interna pode usar prestadores externos de

serviços ou recursos internos que estejam

qualificados em disciplinas como

contabilidade, auditoria, economia, finanças,

estatística, tecnologia da informação,

engenharia, tributação, direito, direito

ambiental e outras áreas necessárias para

cumprir com as responsabilidades da

atividade de auditoria interna.

2. Um prestador externo de serviços é uma

pessoa ou empresa, independente da

organização, que tem conhecimento,

habilidade ou experiência especial em uma

disciplina em particular. Prestadores

externos de serviços incluem atuários,

contadores, avaliadores, especialistas em

cultura ou idiomas, especialistas ambientais,

investigadores de fraude, advogados,

engenheiros, geólogos, especialistas em

segurança, estatísticos, especialistas em

tecnologia da informação, os auditores

externos da organização e outras

organizações de auditoria. Um prestador

externo de serviços pode ser abordado pelo

conselho, pela alta administração ou pelo

diretor executivo de auditoria (DEA).



3. Prestadores externos de serviços podem ser

usados pela atividade de auditoria interna

em conexão com, entre outras coisas:

O alcance de objetivos no cronograma

do trabalho de auditoria.

Atividades de auditoria nas quais uma

habilidade ou conhecimento

especializado seja necessário, tal como

tecnologia da informação, estatística,

impostos ou tradução de idiomas.

Avaliações de ativos tais como terrenos

ou edificações, obras de arte, pedras

preciosas, investimentos e instrumentos

financeiros complexos.

Determinação de quantidades ou

condições físicas de certos ativos, tais

como reservas minerais ou de petróleo.

Mensuração do trabalho concluído e a

ser concluído dos contratos em

progresso.

Investigações de fraude e segurança.

Determinação de quantias, usando

métodos especializados, tais como

determinações atuariais de obrigações

de benefícios do funcionário.

Interpretação de requisitos legais,

técnicos e regulatórios.

Avaliação do programa de certificação

de qualidade e melhoria da atividade de

auditoria interna, em conformidade com

as Normas.

Fusões e Aquisições.

Consultoria de gerenciamento de riscos

e outras questões.

4. Quando DEA pretende usar e depender do

trabalho de um prestador externo de

serviços, o DEA precisa considerar a

competência, independência e objetividade

do prestador externo de serviços com relação

à tarefa específica a ser conduzida. A

avaliação da competência, independência e

objetividade também é necessária quando o

prestador externo de serviços é selecionado

pela alta administração ou pelo conselho e o

DEA pretende usar e depender do trabalho

do prestador externo de serviços. Quando a

seleção é feita por outros e a avaliação do

DEA determina que ele não deve usar e

depender do trabalho deste prestador

externo de serviços, é necessária a

comunicação de tais resultados à alta

administração ou ao conselho, conforme

apropriado.

5. O DEA determina que o prestador externo

de serviços possui o conhecimento,

habilidades e outras competências

necessárias para conduzir o trabalho ao

considerar:

A certificação profissional, licença ou

outro reconhecimento da competência

do prestador externo de serviços na

disciplina relevante.

Participação do prestador externo de

serviços em uma organização

profissional apropriada e adesão ao

código de ética daquela organização.

A reputação do prestador externo de

serviços. Isso pode incluir contatar

terceiros que conheçam o trabalho do

prestador externo de serviços.

A experiência do prestador externo de

serviços no tipo de trabalho que está

sendo considerado.

A extensão da educação e treinamento

recebido pelo prestador externo de

serviços nas disciplinas que dizem

respeito à tarefa específica.

O conhecimento e experiência do

prestador externo de serviços sobre a

indústria na qual a organização opera.

6. O DEA precisa avaliar a relação do prestador

externo de serviços com a organização e com



a atividade de auditoria interna, para garantir

que a independência e objetividade sejam

mantidas ao longo do trabalho. Ao conduzir

a avaliação, o DEA verifica se não há

relações financeiras, organizacionais ou

pessoais que impeçam o prestador externo

de serviços de realizar julgamentos e

opiniões imparciais e justas ao conduzir ou

reportar o trabalho.

7. O DEA avalia a independência e

objetividade do prestador externo de

serviços, ao considerar:

O interesse financeiro que o prestador

externo de serviço pode ter na

organização.

A relação pessoal ou profissional que o

prestador externo de serviços pode ter

com o conselho, a alta administração ou

outros dentro da organização.

A relação que o prestador externo de

serviços pode ter tido com a organização

e as atividades sendo revisadas.

A extensão de outros serviços contínuos

que o prestador externo de serviços

possa estar prestando à organização.

A compensação ou outros incentivos

que o prestador externo de serviços

possa ter.

8. Se o prestador externo de serviços também

for o auditor externo da organização e a

natureza do trabalho for de serviços de

auditoria estendidos, o DEA precisa verificar

se o trabalho conduzido não prejudica a

independência do auditor externo. Serviços

de auditoria estendidos referem-se àqueles

serviços além dos requisitos das normas de

auditoria geralmente aceitas pelos auditores

externos. Se os auditores externos da

organização atuam ou aparentam atuar como

membros da alta administração, então a sua

independência está prejudicada. Além disso,

os auditores externos podem fornecer à

organização outros serviços, tais como

tributação e consultoria. A independência

precisa ser avaliada com relação a toda a

variedade de serviços prestados à

organização.

9. Para certificar-se de que o escopo do

trabalho é adequado para os propósitos da

atividade de auditoria interna, o DEA obtém

informações suficientes relativas ao escopo

do trabalho do prestador externo de serviços.

Pode ser prudente documentar essa e outras

questões em uma carta de compromisso ou

contrato. Para isso, o DEA revisa os itens a

seguir com o prestador externo de serviços:

Objetivos e escopo do trabalho,

incluindo os entregáveis e cronogramas.

Questões específicas que se esperam

ser cobertas nas comunicações do

trabalho.

Acesso a registros, pessoal e

propriedades físicas relevantes.

Informações relativas a suposições e

procedimentos a empregar.

Propriedade e custódia de papéis de

trabalho dos trabalhos, se aplicável.

Confidencialidade e restrições das

informações obtidas durante o trabalho.

Quando aplicável, a conformidade com

as Normas e as normas de práticas de

trabalho da atividade de auditoria

interna.

Ao revisar o trabalho de um prestador externo de

serviços, o DEA avalia a adequação do trabalho

realizado, o que inclui a suficiência das informações

obtidas para chegar a uma base razoável para as

conclusões alcançadas e para a resolução de

exceções e outras questões incomuns.

Quando o DEA emite comunicações de trabalho e

um prestador externo de serviços foi utilizado, o

DEA pode, conforme apropriado, se referir a tais

serviços prestados. O prestador externo de serviços



precisa ser informado e, se apropriado, deve-se obter

seu aval antes de fazer tais referências em

comunicações de trabalho.



Membros da Equipe do Guia Prático: Gilbert T. Radford, CIA

Bruce C. Sloan

Debbie E. H. Loxton

Norman D. Marks

Trygve Sorlie, CIA, CCSA



Sobre o Instituto

Fundado em 1941, The Institute of Internal Auditors

(IIA) é uma associação profissional com sede global

em Altamonte Springs, Fla., EUA. O IIA é a voz da

profissão de auditoria interna em todo o mundo,

autoridade reconhecida, líder valorizado, advogado

chefe e principal educador.

Sobre os Guias Práticos

Os Guias Práticos são uma declaração do IIA para

auxiliar uma grande variedade de partes interessadas,

incluindo aquelas que não pertençam à profissão da

auditoria interna, a entender questões significantes

de governança, riscos ou controle e a delinear os

papéis e responsabilidades relacionados dos

auditores internos quanto a uma questão

significante. Os Guias Práticos fazem parte da

Estrutura Internacional de Práticas Profissionais

(IPPF) do IIA. Como parte da categoria de

orientação Fortemente Recomendada, a

conformidade não é obrigatória, mas é altamente

recomendada, e a orientação é endossada pelo IIA

por meio de processos formais de revisão e

aprovação. Para mais materiais de orientação

fidedignos fornecidos pelo IIA, visite nosso website:

www.iiabrasil.org.br ou www.theiia.org

Isenção de Responsabilidade

O IIA publica este documento para fins informativos

e educacionais. Este material de orientação não tem

como objetivo fornecer respostas definitivas a

específicas circunstâncias individuais e, como tal,

tem o único propósito de servir de guia. O IIA

recomenda que você sempre busque conselhos

especializados independentes, relacionados

diretamente a qualquer situação específica. O IIA

não assume responsabilidade pela confiança

depositada unicamente neste guia.

Copyright

Os direitos autorais deste documento pertencem ao

The IIA. Para permissão para reprodução, favor

entrar em contato com o IIA pelo e-mail:

[email protected]

Rua Princesa Isabel, 94 1º andar Brooklin Paulista04601-000

formulando e expressando opiniões de auditoria interna · na emissão de opiniões de auditoria...

Documents