ippf - iiabrasil.org.br · demonstrar os atributos e as habilidades adequadas para o cargo....
TRANSCRIPT
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / B
Índice
Sumário Executivo .............................................................................................................. 1
Introdução .......................................................................................................................... 1
1000 – Propósito, Autoridade e Responsabilidade ...................................................... 1
A Relação da Auditoria Interna com o Conselho ................................................................ 3
A. Comunicação Frequente com os Membros do Conselho entre as Reuniões ............. 3
B. Comunicando Questões Sensíveis ........................................................................... 4
C. Considerações Internacionais e sobre a Indústria .................................................. 5
D. Rotatividade do DEA ................................................................................................ 5
A Comunicação por meio de um Plano de Auditoria com Base em Riscos ........................ 5
O Reporte do Conselho ....................................................................................................... 6
A. Áreas de Foco Principal ............................................................................................ 6
B. Sistema de Controle Interno .................................................................................... 7
C. Status do Plano de Auditoria e dos Recursos de Auditoria ...................................... 7
D. Distribuição dos Relatórios de Auditoria ................................................................. 7
E. Fraude/Investigações ............................................................................................... 8
F. Questões de Auditoria Aberta ................................................................................... 8
G. Avaliações de Qualidade ......................................................................................... 8
H. Oportunidades de Educação do Conselho ............................................................... 8
Administração e Coordenação das Atividades do Conselho .............................................. 9
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 1
Sumário Executivo Os conselhos e os auditores internos têm objetivos
entrelaçados. Uma relação de trabalho forte entre os
dois é essencial para que a atividade de auditoria
interna cumpra com suas responsabilidades, não
apenas para com o conselho, mas também para com
a alta administração, acionistas e demais partes
interessadas, conforme for apropriado. O Diretor
Executivo de Auditoria (DEA) reporta
frequentemente ao conselho diretamente,
dependendo da estrutura de governança da
organização. Uma atividade de auditoria interna
eficaz provê ao conselho avaliação e sugestões de
oportunidades de melhoria com relação à
governança, gerenciamento de riscos e controles
internos da organização. É valido dizer, que as
responsabilidades do conselho englobam atividades
que vão além do escopo deste guia.
Há várias atividades, desempenhadas principalmente
pelo DEA, que são primordiais para um bom
relacionamento entre o conselho e a atividade de
auditoria interna:
Manter uma comunicação eficaz com o
conselho e com o presidente, incluindo a
comunicação aberta e honesta com o conselho.
Desenvolver um plano de auditoria baseado em
riscos, que seja adequado aos objetivos
relevantes do estatuto do conselho, e comunicar
o desempenho da atividade de auditoria interna
com relação a este plano.
Reportar formal e informalmente ao conselho,
de forma regular e oportuna.
Auxiliar o conselho a garantir que seu estatuto,
atividades e processos sejam apropriados, para
cumprir com suas responsabilidades.
Garantir que o estatuto, o papel e as atividades
da auditoria interna sejam claramente
compreendidos e sensíveis às necessidades do
conselho.
Auxiliar o conselho a entender as mudanças no
ambiente regulatório e de negócios, com relação
a governança, gerenciamento de riscos,
“compliance” e controles internos.
Introdução O propósito deste guia prático é auxiliar o diretor
executivo de auditoria (DEA) a cumprir com os
requisitos da Estrutura Internacional de Práticas
Profissionais (IPPF), relacionados com a interação e
a comunicação com o conselho. O Glossário da
IPPF define o conselho como “um corpo diretivo da
organização, como: conselho de diretores, conselho
de supervisão, o responsável por uma agência ou
corpo legislativo, conselho de gestores ou curadores
de uma organização sem fins lucrativos ou qualquer
outro corpo nomeado na organização, incluindo o
comitê de auditoria, a quem o diretor executivo de
auditoria pode funcionalmente reportar”.
O IPPF delineia as seguintes Normas Internacionais
para Prática Profissional de Auditoria Interna
(Normas), os Guias Práticos e as Orientações
Práticas, relacionados à interação e comunicação
com o conselho:
1000 – Propósito, Autoridade e Responsabilidade
O propósito, a autoridade e a responsabilidade da
atividade de auditoria interna devem estar
formalmente definidos em um estatuto de auditoria
consistente com a Definição de Auditoria Interna,
com o Código de Ética e com as Normas. O diretor
executivo de auditoria deve revisar periodicamente o
estatuto de auditoria interna e submetê-lo à alta
administração e ao conselho para aprovação.
1100 – Independência e Objetividade
A atividade de auditoria interna deve ser
independente e os auditores internos devem ser
objetivos ao executar seus trabalhos.
1110 – Independência Organizacional
O diretor executivo de auditoria deve reportar a um
nível dentro da organização que permita à atividade
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 2
de auditoria interna cumprir com suas
responsabilidades. O diretor executivo de auditoria
deve confirmar junto ao conselho, pelo menos
anualmente, a independência organizacional da
atividade de auditoria interna.
1111 – Interação Direta com o Conselho
O diretor executivo de auditoria deve se comunicar e
interagir diretamente com o conselho.
Guia Prático: Diretor Executivo de Auditoria – Indicação, Avaliação de Desempenho e Demissão (em inglês, Chief Audit Executive – Appointment, Performance Evaluation and Termination)
O DEA terá um alto grau de interação com a alta
administração e com o conselho e, portanto, precisa
demonstrar os atributos e as habilidades adequadas
para o cargo.
1300/1310 – Programa de Garantia da Qualidade e Melhoria
O diretor executivo de auditoria deve desenvolver e
manter um programa de garantia da qualidade e
melhoria que compreenda todos os aspectos da
atividade de auditoria interna. O programa de
melhoria e certificação de qualidade deve incluir
tanto avaliações internas quanto externas.
2020 – Comunicação e Aprovação
O DEA deve comunicar o planejamento da atividade
de auditoria interna e os requisitos de recursos,
incluindo alterações interinas significativas, à alta
administração e ao conselho para revisão e
aprovação. O DEA deve também comunicar o
impacto das limitações de recursos.
Orientação Prática 2020-1 – Comunicação e Aprovação
1. O DEA submeterá anualmente à alta
administração e ao conselho, para revisão e
aprovação, o sumário do planejamento de
auditoria interna, o cronograma de trabalho, o
plano de estruturação de equipe e o orçamento
financeiro. Este sumário informará a alta
administração e o conselho sobre o escopo do
trabalho de auditoria interna e sobre quaisquer
limitações deste escopo. O DEA também
submeterá todas as mudanças interinas
significantes para aprovação e informação.
2. O cronograma do trabalho de auditoria, o plano
de estruturação da equipe e o orçamento
financeiro (todos aprovados), em conjunto com
todas as mudanças interinas relevantes, deverão
conter informações suficientes para permitir que
a alta administração e o conselho se certifiquem
de que o planejamento e os objetivos da atividade
de auditoria interna dão suporte aos objetivos e
ao planejamento da organização e que estão
também consistentes com o estatuto de auditoria
interna.
Norma 2060 – Reporte à Alta Administração e ao Conselho
O DEA deve reportar periodicamente à alta
administração e ao conselho sobre o propósito, a
autoridade e a responsabilidade da atividade de
auditoria interna e o desempenho em relação ao seu
planejamento. Os reportes devem também incluir a
exposição a riscos significantes e questões de
controles, incluindo os riscos de fraude, os assuntos
de governança e outros assuntos necessários ou
solicitados pela alta administração e pelo conselho.
Orientação Prática 2060-1 – Reporte à Alta Administração e ao Conselho
A frequência e o conteúdo do reporte são
determinados em discussões com a alta
administração e com o conselho, e dependem da
importância da informação a ser comunicada e da
urgência das ações a serem tomadas pela alta
administração ou pelo conselho.
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 3
2420 – Qualidade das Comunicações
As comunicações devem ser precisas, objetivas,
claras, concisas, construtivas, completas e
oportunas.
Orientação Prática 2420-1 – Qualidade das Comunicações
1. Colete, avalie e resuma dados e evidências
com cuidado e precisão.
2. Extraia e expresse observações, conclusões e
recomendações sem preconceito,
partidarismo, interesses pessoais ou
influência indevida de outros.
3. Melhore a clareza, evitando linguajar técnico
desnecessário e fornecendo, em contexto,
todas as informações significantes e
relevantes.
4. Desenvolva as comunicações com o objetivo
de tornar cada elemento significante, mas
sucinto.
5. Adote tons e conteúdos úteis, positivos e
bem intencionados, que foquem nos
objetivos da organização.
6. Garanta que a comunicação seja consistente
com o estilo e a cultura da organização.
7. Planeje a duração da apresentação dos
resultados do trabalho, para evitar atrasos
indevidos.
2440 – Divulgação dos Resultados
O DEA deve comunicar os resultados às partes
apropriadas.
Orientação Prática 2440-2 – Comunicação de Informações Delicadas Dentro ou Fora da Cadeia de Comando
Uma vez que o auditor interno tenha julgado as
novas informações substanciais e confiáveis, ele ou
ela comunicaria normalmente a informação – de
forma oportuna – à alta administração e ao conselho.
A Relação da Auditoria Interna com o Conselho Uma relação forte entre a auditoria interna e o
conselho amplia a capacidade da atividade de
auditoria interna em atingir os objetivos definidos no
estatuto de auditoria. O DEA geralmente é o
principal condutor do desenvolvimento e da
manutenção deste relacionamento; no entanto,
outros membros da atividade de auditoria interna
também podem contribuir, participando de reuniões
do conselho e preparando materiais para o conselho.
Além disso, a atividade de auditoria interna contribui
para este relacionamento ao executar precisa e
profissionalmente seus projetos e ao analisar seus
resultados. Um relacionamento forte é baseado em
confiança e credibilidade, que devem crescer e se
fortalecer por meio de interações e comunicações
oportunas e relevantes.
O DEA e o conselho devem estabelecer um
entendimento claro das expectativas da atividade de
auditoria interna. Essas expectativas são
apresentadas formalmente nos planos anuais e nos
estatutos do conselho e da atividade de auditoria
interna, que devem ser revisados e aprovados
periodicamente. A maioria dos conselhos tem
expectativas adicionais que evoluem com base no
desempenho da organização, nas tendências da
indústria e nas perspectivas de cada membro do
conselho. O DEA deve compreender essas
expectativas, para que ele possa dar os passos
apropriados para corresponder a elas. As tarefas e
responsabilidades de um DEA variam de uma
organização para a outra, dependendo da estrutura
de governança da organização e na natureza da
relação de reporte funcional ao conselho.
A. Comunicação Frequente com os Membros do Conselho entre as Reuniões
Comunicações claras, relevantes e frequentes entre
o DEA e os membros do conselho são essenciais.
Devido à complexidade e importância dos riscos
relacionados aos negócios de hoje, discussões
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 4
frequentes com o presidente e outros membros do
conselho podem complementar as reuniões e
comunicações formais. Dependendo das
organizações e indivíduos envolvidos, pode ser
melhor que as comunicações sigam um protocolo
predeterminado, como:
Reuniões regulares com membros individuais
do conselho, com uma pauta predefinida.
Reuniões mais frequentes entre o presidente do
conselho e o DEA, dependendo das questões
com as quais a organização estiver lidando e das
preferências do presidente.
Comunicações periódicas sobre questões
relevantes.
Em muitas organizações, a relação entre o DEA e os
membros do conselho é muito coesa, o que tende a
levar a mais comunicações ad-hoc – não apenas
sobre questões críticas, mas também sobre questões
menos urgentes. Muitos DEAs consideram a
interação com os membros do conselho,
principalmente sobre problemas rotineiros do
negócio, útil para a construção de uma relação de
aconselhamento confiável e para manter a
consciência sobre o que está acontecendo na
organização.
As diretrizes básicas das comunicações,
independente do meio usado, incluem:
Certifique-se de que a informação é oportuna,
relevante, baseada em fatos, balanceada,
objetiva e completa.
Considere a formalidade e o tom das
comunicações para garantir que sejam
apropriados.
Evite fazer comentários presumidos, sem fatos
suficientes.
Considere as repercussões que comentários
sobre fraquezas nos controles ou outras falhas
de gestão podem criar.
Documente as comunicações se necessário, por
motivos profissionais ou de negócios.
Não espere até que haja a necessidade de
abordar uma questão sensível ou contenciosa
para começar a estabelecer um relacionamento
forte com o conselho.
Gerencie potenciais conflitos entre o conselho e
a gestão de acordo com as responsabilidades
estabelecidas no estatuto de auditoria interna.
A Norma 2420 – Qualidade das Comunicações e a
Prática Recomendada relacionada 2420-1 –
Qualidade das Comunicações fornecem orientação
para uma boa comunicação com o conselho, seja em
uma situação de reunião formal ou de reunião menos
formal, cara a cara.
B. Comunicando Questões Sensíveis
A necessidade de lidar com questões sensíveis, como
uma falha da alta administração na gestão do risco
estratégico e/ou operacional, assim como
comportamentos e atitudes eticamente questionáveis
(incluindo fraude) pode surgir a qualquer momento.
Consequentemente, o DEA deve ter habilidades de
comunicação escrita e oral altamente desenvolvidas
para transmitir informações para todas as partes
interessadas de forma oportuna e apropriada. A
comunicação eficaz de questões sensíveis depende
do estabelecimento de canais de comunicação
formal e informal e de relacionamentos fortes,
baseados em confiança e credibilidade, com os
membros da gerência e do conselho.
Dependendo dos fatos e circunstâncias da questão
sensível, o DEA deve considerar consultar os
principais membros da gerência, como o conselheiro
geral (chefe do departamento jurídico). As seguintes
diretrizes básicas devem ser consideradas:
Fatos e detalhes estão disponíveis e
documentados.
Descobertas podem ser verificadas e opiniões e
conjecturas são claramente articuladas como
tal.
As comunicações são oportunas e urgentes (e
verdadeiramente de natureza sensível).
O DEA pode enfrentar uma situação em que a
gerência tente atrasar o reporte de uma questão,
deixe de lado alguns ou todos os elementos críticos
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 5
ou discorde que a questão deva ser reportada ao
conselho. O DEA deve considerar cuidadosamente a
importância de tais questões e determinar até que
ponto a questão deve ser levantada. O DEA também
deve considerar suas obrigações com respeito ao
Código de Ética do IIA, ao estatuto de auditoria
interna, ao código de conduta da organização e leis e
regras aplicáveis.
Quando for determinado que uma questão sensível
deva ser levantada, é essencial que o DEA se
comunique diretamente com o presidente do
conselho ou autoridade semelhante da estrutura de
governança. A comunicação, principalmente de
questões importantes ou sensíveis, é melhor
conduzida quando baseada em um relacionamento
profissional e de confiança com o presidente e
outros membros do conselho. O DEA deve
reconhecer que discussões formais ou informações a
respeito de questões sensíveis com indivíduos que
não o presidente podem prejudicar a credibilidade
do DEA aos olhos do presidente e indiretamente aos
olhos de outros membros do conselho e da
administração.
Orientação Prática 2440-2 – Comunicação de
Informações Delicadas Dentro e Fora da Cadeia de
Comando fornece orientações adicionais.
C. Considerações Internacionais e sobre a Indústria
As estruturas de governança e de propriedade
diferem de um país para o outro e entre indústrias.
Em alguns países, há um sistema de conselho de
dois níveis, que se dividem entre a função de
supervisão (conselho de supervisão) e de gestão
operante (conselho de gestão). Nesses casos, a
atividade de auditoria interna pode não reportar
diretamente ao conselho, mas ao proprietário ou até
à alta administração, como o diretor executivo,
diretor financeiro ou o diretor operacional. Embora
as estruturas organizacionais possam variar, os
princípios e práticas delineadas neste Guia Prático
ainda são relevantes. A maioria das vezes em que o
termo “conselho” for utilizado neste guia prático,
interprete-o como o executivo a quem o DEA reporta
(disciplinar/administrativamente). Além disso, deve
haver uma relação subordinação definida pelo
conselho de supervisão. Na maioria dos casos, o
comitê de auditoria é o subcomitê do conselho de
supervisão. O reporte ao comitê de auditoria deve
ser coordenado com o executivo a quem o DEA
reporta (se não for o diretor executivo) e com o
diretor executivo.
O DEA deve garantir que a atividade de auditoria
interna esteja coordenada apropriadamente com
outras funções internas também, como
conformidade regulatória, jurídico, recursos
humanos, segurança e outras.
D. Rotatividade do DEA
O conselho supervisiona a rotatividade do DEA,
quando não tem a responsabilidade de
aprovar/direcionar a saída do DEA e a contratação
de um substituto. O papel do conselho, nesta
atividade, ajuda a garantir a independência do DEA
e a garantir que ele ou ela tenha as competências
necessárias para o cargo.
Quando indicado inicialmente para este cargo, ou
deixando o mesmo, o DEA deve trabalhar em
conjunto com o conselho para garantir a
transparência completa com relação aos motivos
para esta mudança.
O Guia Prático: Diretor Executivo de Auditoria –
Indicação, Avaliação de Desempenho e Demissão
fornece orientações adicionais.
A Comunicação por meio de um Plano de Auditoria com Base em Riscos Um dos aspectos mais importantes da interação com
o conselho é passar a confiança de que a atividade
de auditoria interna está inteiramente comprometida
com a alta administração, alertar sobre os riscos
emergentes e de que a atividade possui um plano de
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 6
auditoria que demonstra como a Auditoria Interna
está auxiliando o conselho em cumprir com suas
responsabilidades de supervisão do gerenciamento
de riscos, “compliance” e controles internos.
Um plano de auditoria pode ser uma estrutura e um
mecanismo de comunicação com o conselho, já que
o DEA deve fornecer atualizações regulares sobre
seu trabalho e o status do plano de auditoria. O
conselho deve aprovar o plano de auditoria e
contribuir para o seu desenvolvimento.
O DEA deve utilizar técnicas de avaliação de riscos
no desenvolvimento do plano da atividade de
auditoria interna e na determinação das prioridades
para a alocação dos recursos de auditoria interna. A
avaliação de riscos é utilizada para selecionar áreas a
serem incluídas no plano da atividade de auditoria
interna. Além disso, o DEA deve buscar orientação
sobre o que o conselho e a organização consideram
importantes para auxiliar na avaliação de riscos, na
priorização de projetos e na alocação dos recursos de
auditoria.
Uma parte significante no estabelecimento das bases
para a preparação de um plano de auditoria baseado
em riscos é ter um entendimento do apetite ao risco
das principais partes interessadas – geralmente o
conselho e a alta administração. O apetite ao risco é
o nível de risco que as partes interessadas estão
dispostas a aceitar ao longo da condução dos
negócios. É um fator chave no desenvolvimento de
um plano de auditoria baseado em riscos. Um bom
modo para se entender o apetite ao risco é através da
revisão da filosofia de gerenciamento de riscos da
empresa; por meio de debates com o grupo
responsável pelo gerenciamento de riscos, o
conselho e a alta administração; e, com respeito ao
risco de demonstrações financeiras, por meio de
reuniões com o diretor financeiro e com o auditor
externo. O DEA reúne esses dados, desenvolve o
plano de auditoria e apresenta o plano de auditoria
proposto à gerência para revisão e ao conselho para
aprovação.
Regularmente - por exemplo, trimestralmente -,
discussões breves com o conselho sobre temas de
riscos, sua relevância contínua e sobre riscos
emergentes devem ser conduzidas. Uma revisão/
atualização do plano de auditoria pode ser necessária
para garantir que ele continue a incluir os riscos
mais relevantes. O conselho também deve entender
quais riscos significantes não são abordados e se
recursos suficientes estão disponíveis para cumprir
com os requisitos. Em suma, o conselho precisa
entender como a Auditoria Interna está auxiliando o
conselho a cumprir com suas responsabilidades.
Para mais informações sobre a inserção do
Gerenciamento de Riscos da Organização (Enterprise
Risk Management – ERM) no processo de
planejamento de auditoria, veja a Orientação Prática
2010-2: Usando o Processo de Gerenciamento de
Riscos no Planejamento de Auditoria Interna (julho
de 2009) e a Orientação Prática 2050-1: Mapas de
Avaliação (julho de 2009).
O Reporte do Conselho O conselho, como todos, tem tempo limitado e
responsabilidades crescentes. A comunicação do
DEA, folhetos e relatórios devem ser focados em
riscos. Uma boa diretriz para interagir com o
conselho é entender quais são seus interesses e
estabelecer expectativas de reportar sobre essas áreas
excepcionalmente. Além disso, os requisitos de
reporte do estatuto da auditoria interna devem ser
considerados.
Para reuniões formais com o conselho, todas as
partes podem se beneficiar se os materiais de leitura
forem relevantes, completos e baseados em riscos,
deixando mais tempo de debate para os itens ou
questões significantes.
Listados abaixo estão as áreas a serem consideradas
para comunicações formais com o conselho.
A. Áreas de Foco Principal
As áreas de foco principal são uma combinação das
questões críticas que chamam a atenção do conselho
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 7
como os temas de riscos estabelecidos durante o
planejamento de auditoria, quaisquer temas de
riscos que surjam durante o ano e questões
relacionadas a tarefas especiais. O DEA deve
garantir que as comunicações estejam calibradas
apropriadamente para permitir que o conselho
entenda a severidade ou importância das questões.
O conselho deve ser mantido atualizado sobre o que
tem sido feito: resultados até o momento, planos de
melhoria, progresso em comparação com planos de
melhoria, avaliação atual da área de risco e o que foi
planejado para todas as áreas/temas principais.
Embora este documento defenda o reporte limitado
ao conselho de itens significantes e excepcionais, o
conselho precisa estar atualizado sobre o que está
havendo na organização, mesmo em áreas de menor
risco. A tendência atual em desenvolvimento pode
ser a questão de risco emergente de amanhã. A
análise de tendências dos resultados de auditoria
pode, frequentemente, revelar áreas onde a atenção
da gerência seja necessária e uma pequena mudança
de ênfase pode impedir uma tendência de se tornar
uma questão emergente.
B. Sistema de Controle Interno
Uma das métricas fundamentais sobre a solidez de
uma organização é a maturidade e eficiência de seu
sistema de controles internos. Assim como as
tendências, a análise e opinião da auditoria interna
sobre o sistema de controles internos – e suas ideias
a respeito – podem servir tanto para manter o
conselho informado quanto para incentivar a
gerência a rascunhar e implementar melhorias. É
especialmente importante para a gerência, por meio
de atividades eficientes de monitoramento, garantir
que o sistema de controles internos continue
operando eficientemente ao longo do tempo. A
auditoria interna deve reportar ao conselho sobre a
eficiência das atividades de monitoramento
conduzidas pela gerência.
O DEA deve compreender caso o conselho valorize
uma opinião a respeito de governança,
gerenciamento de riscos e controles internos e sobre
o escopo de trabalho necessário para realizar tal
avaliação.
C. Status do Plano de Auditoria e dos Recursos de Auditoria
O DEA deve discutir o status do plano de auditoria
com o conselho regularmente. O DEA deve informar
o conselho sobre as mudanças no planejamento de
auditoria e no raciocínio que o fundamenta. O DEA
e o conselho devem chegar a um acordo sobre as
mudanças no planejamento e o protocolo para
aprovação do conselho para tais mudanças.
Geralmente, devem ser esperadas mudanças no
plano de auditoria, dependendo da dinâmica de cada
organização e das mudanças na indústria e do
ambiente de operação.
O plano de auditoria pode contemplar a participação
da auditoria interna nas iniciativas da organização,
em um sentido de orientação e consultoria. Nesses
casos, o conselho deve estar ciente do escopo desses
projetos e o DEA deve determinar o conteúdo mais
apropriado para o reporte ao conselho. Tal reporte
deve mencionar a natureza desses serviços no
contexto do estatuto da auditoria interna e do
impacto na independência e na objetividade.
O DEA também deve discutir a capacidade da
atividade de auditoria interna de completar o plano
de auditoria, incluindo se a auditoria interna tem os
recursos apropriados e se a gerência impôs quaisquer
limitações de escopo ao trabalho dos auditores
internos. Além disso, o DEA deve disponibilizar ao
conselho as qualificações do pessoal de auditoria,
para que possam avaliar se os recursos adequados
foram alocados à atividade.
D. Distribuição dos Relatórios de Auditoria
A decisão de distribuir os relatórios de auditoria ao
conselho depende das preferências do mesmo. O
DEA deve, no entanto, explicar ao conselho o
escopo e as descobertas da auditoria realizada. Isto
pode ser feito por meio da entrega dos relatórios de
auditoria, de um sumário executivo de cada auditoria
ou de um sumário das descobertas periodicamente.
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 8
O DEA deve considerar a colaboração da alta
administração e consultar o conselho para
determinar a abordagem mais apropriada para
disponibilizar essas informações.
E. Fraude/Investigações
Fraudes/Investigações são, frequentemente, da
responsabilidade da atividade de auditoria interna.
Em tal situação, a auditoria interna deve trazer ao
conselho fraudes/investigações de natureza
significante ou aquelas que envolvam funcionários
críticos à estrutura de controle. O DEA deve
entender as expectativas do conselho a respeito dos
tipos de investigações e da extensão das informações
que devem ser comunicadas.
O conselho deve estar ciente (assim como nas Áreas
de Foco Principal) da natureza de um incidente em
potencial, do que está sendo feito para investigar e
entender o impacto do incidente e, no final das
contas, o que permitiu que ele ocorresse, planos de
ação corretiva e progresso da implementação, e
ações disciplinares.
F. Questões de Auditoria Aberta
Embora a gerência normalmente seja responsável
por resolver questões, de acordo com a Norma 2500
do IIA – Monitoramento do Progresso, a atividade de
auditoria interna deve monitorar a resolução de
questões de auditoria aberta. As questões
significantes de auditoria aberta que não se esperem
resolver dentro do prazo, ou que estão atrasadas,
devem ser reportadas ao conselho com um plano de
recuperação e uma análise sobre a viabilidade deste
plano. Reuniões futuras devem incluir um relatório
de monitoramento do progresso do plano de
melhoria.
G. Avaliações de Qualidade
A atividade de auditoria interna deve desenvolver um
programa de avaliação interna apropriado e deve
identificar os Indicadores Chave de Desempenho
(Key Performance Indicators – KPIs). Os KPIs da
atividade de auditoria interna compõem uma
plataforma para discutir questões relacionadas à
atividade e possivelmente ganhar o apoio do
conselho para conduzir as mudanças necessárias. O
estabelecimento dos KPIs deve ser feito em um
grupo que inclua a alta administração, assim como o
conselho, e deve haver um consenso de que os KPIs
escolhidos são significantes e apropriados.
Além de conduzir a discussão sobre as questões
relacionadas ao departamento, KPIs são relevantes
na avaliação do desempenho do DEA. Uma vez que
o conselho compreender e concordar com os KPIs, o
reporte frequente do real em comparação com o
desempenho desejado, com explicações detalhadas,
será necessário. Em casos em que os KPIs relevantes
não possam ser atingidos, uma notificação oportuna
ao conselho deve ser preparada, incluindo:
Tipo de indicador de desempenho envolvido.
Discrepância entre o desempenho desejado e o
real.
Motivo para a divergência.
Planos para resolver essa lacuna.
OS KPIs devem dar alguma indicação com relação
às melhorias feitas na atividade de auditoria interna,
resultantes da análise de KPIs. Além disso, os
resultados das avaliações internas e externas
(conforme abordado na Norma 1300 do IIA) devem
ser comunicados ao conselho e o DEA deve indicar
como as recomendações serão implementadas.
Informações adicionais sobre o desenvolvimento e
uso de KPIs como parte de um programa de
avaliação interna (Norma 1311 do IIA) podem ser
encontradas no Guia Prático Medindo a Eficiência e
a Eficácia da Auditoria Interna.
H. Oportunidades de Educação do Conselho
O DEA pode desempenhar um papel crítico em
garantir que o conselho esteja ciente dos tópicos
atuais, ajudando assim no cumprimento de suas
obrigações conforme descrito em seu estatuto. O
DEA deve considerar as necessidades do conselho,
ajudando a mantê-lo informado sobre as questões
que impactam sua capacidade de cumprir com seus
deveres como: auxiliar o conselho a entender as
mudanças no ambiente regulatório e de negócios
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 9
com relação a governança, gerenciamento de riscos,
conformidade e controles relacionados. O DEA deve
considerar fornecer ao conselho materiais
educacionais relevantes, para ajudá-lo a entender os
riscos de seu ambiente (por exemplo: riscos da
indústria, mudanças regulatórias, mudanças nas
regras de contabilidade).
Administração e Coordenação das Atividades do Conselho O DEA pode desempenhar um papel de consultor
valioso do conselho, auxiliando em suas
responsabilidades administrativas e de governança,
revisando suas atividades e sugerindo melhorias.
Exemplos de atividades que o DEA pode conduzir,
dependendo da estrutura de governança da
organização, são:
Encorajar o conselho a conduzir revisões
periódicas de suas atividades e práticas, a fim de
avaliar se as atividades estão cumprindo com o
estatuto do conselho e se estão consistentes com
as práticas de liderança. Isto pode envolver a
facilitação de uma autoavaliação usando
pesquisas ou benchmarking em comparação com
diretrizes externas, etc.
Revisar o estatuto para o conselho, ao menos
anualmente, e orientar se o estatuto aborda todas
as responsabilidades esperadas de corpos
reguladores relevantes.
Manter uma pauta de planejamento para as
reuniões do conselho que detalhe todas as
atividades necessárias, a fim de verificar se elas
foram concluídas, e que facilite o reporte anual
ao conselho de que todos os seus deveres
requeridos foram concluídos.
Elaborar para o presidente do conselho, ou
equivalente, a pauta de reuniões do conselho;
facilitar a distribuição do material aos membros
do conselho e revisar ou preparar as minutas das
reuniões.
Reunir-se periodicamente com o presidente do
conselho, ou equivalente, para discutir se os
materiais e informações fornecidas ao conselho
são compatíveis com suas necessidades.
Trabalhar com o conselho para determinar se
quaisquer sessões ou apresentações, educacionais
ou informativas, seriam úteis; por exemplo:
sessões sobre riscos e controles para novos
membros do conselho ou atualizações sobre
mudanças regulatórias que impactem as
responsabilidades do conselho.
Perguntar ao conselho se a frequência das
reuniões e o tempo disponibilizado são
suficientes.
Revisar com o conselho as linhas de reporte
funcional e administrativo da atividade de
auditoria interna, para garantir que a estrutura
organizacional em prática permite a
independência adequada aos auditores internos,
conforme a Norma 1110 do IIA.
Auxiliar o conselho na avaliação da adequação do
pessoal, do orçamento da auditoria, do escopo e
dos resultados das atividades de auditoria interna,
para garantir que não há limitações que impeçam
a habilidade da auditoria interna de cumprir com
suas responsabilidades.
Fornecer informações sobre a coordenação e a
supervisão de outras funções de controle,
avaliação e monitoramento (por exemplo:
gerenciamento de riscos, “compliance”,
segurança, continuidade de negócios, auditoria
jurídica, ética, ambiental e externa).
IPPF – Guia Prático A Interação com o Conselho
Este Guia Prático foi traduzido com o apoio de: www.iiabrasil.org.br / 10
Autores: Richard A. Schmidt, CIA
Kevin D. Lacy, CIA
Erich Schumann, CIA
Revisores: Douglas J. Anderson, CIA
James Rose, CIA
Steven E. Jameson, CIA, CCSA, CFSA
Sobre o Instituto
Fundado em 1941, The Institute of Internal Auditors
(IIA) é uma associação profissional com sede global
em Altamonte Springs, Fla., EUA. O IIA é a voz da
profissão de auditoria interna em todo o mundo,
autoridade reconhecida, líder valorizado, advogado
chefe e principal educador.
Sobre os Guias Práticos
Os Guias Práticos fornecem uma orientação
detalhada para a condução de atividades de auditoria
interna. Eles incluem processos e procedimentos
detalhados, como ferramentas e técnicas, programas
e abordagens passo-a-passo, assim como exemplos
de deliverables. Os Guias Práticos são parte da IPPF
do IIA. Como parte da categoria de orientação
Fortemente Recomendada, a conformidade não é
obrigatória, mas é altamente recomendada, e a
orientação é endossada pelo IIA por meio de
processos formais de revisão e aprovação. Para mais
materiais de orientação fidedignos fornecidos pelo
IIA, por favor, visite nosso website:
www.iiabrasil.org.br ou www.theiia.org
:
Isenção de Responsabilidade
O IIA publica este documento para fins informativos
e educacionais. Este material de orientação não tem
como objetivo fornecer respostas definitivas a
específicas circunstâncias e, como tal, tem o único
propósito de servir de guia. O IIA recomenda que
você sempre busque conselhos especializados
independentes, relacionados diretamente a qualquer
situação específica. O IIA não assume
responsabilidade pela confiança depositada
unicamente neste guia.
Direitos Autorais
Copyright © 2011 The Institute of Internal
Auditors. Para permissão para reprodução, favor
entrar em contato com o IIA pelo e-mail: