Permisso obtida junto ao proprietrio dos direitos autorais, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte

Springs, Florida 32701-4201, USA, para publicar esta traduo, a qual reflete o original em todos os aspectos materiais.

NORMAS INTERNACIONAIS PARA A PRTICA PROFISSIONAL DE AUDITORIA INTERNA (NORMAS)

Normas de Atributos
1000 Propsito, Autoridade e Responsabilidade O propsito, a autoridade e a responsabilidade da atividade de auditoria interna devem estar formalmente definidos em um estatuto de auditoria interna, consistente com a Definio de Auditoria Interna, com o Cdigo de tica e com as Normas. O executivo chefe de auditoria deve revisar periodicamente o estatuto de auditoria interna e submet-lo alta administrao e ao conselho para aprovao. Interpretao: O estatuto de auditoria interna um documento formal que define o propsito, a autoridade e a responsabilidade da atividade de auditoria interna. O estatuto de auditoria interna estabelece a posio da atividade de auditoria interna dentro da organizao; autoriza o acesso aos registros, aos funcionrios e s propriedades fsicas relevantes ao desempenho do trabalho de auditoria e define o escopo das atividades de auditoria interna. A aprovao final do estatuto de auditoria interna de responsabilidade do conselho. 1000.A1 A natureza dos servios de avaliao (assurance) prestados organizao deve ser definida no estatuto de auditoria interna. Se avaliaes (assurances) forem fornecidas para partes externas organizao, a natureza dessas avaliaes (assurances) deve tambm ser definida no estatuto da auditoria interna. 1000.C1 A natureza dos servios de consultoria deve ser definida no estatuto de auditoria interna. 1010 Reconhecimento da Definio de Auditoria Interna, do Cdigo de tica e das Normas no Estatuto de Auditoria Interna A natureza mandatria da Definio de Auditoria Interna, do Cdigo de tica e das Normas deve ser reconhecida no estatuto de auditoria interna. O executivo chefe de auditoria deveria debater sobre a Definio de Auditoria Interna, o Cdigo de tica e as Normas com a alta administrao e com o conselho. 1100 Independncia e Objetividade A atividade de auditoria interna deve ser independente e os auditores internos devem ser objetivos ao executar seus trabalhos. Interpretao: Independncia a imunidade quanto s condies que ameaam a capacidade da atividade de auditoria interna ou do executivo chefe de auditoria de conduzir as responsabilidades de auditoria interna de maneira imparcial. Para atingir o grau de independncia necessrio para conduzir eficazmente as responsabilidades da atividade de auditoria interna, o executivo chefe de auditoria tem acesso direto e irrestrito alta administrao e ao conselho. Isto pode ser alcanado atravs de um relacionamento de duplo reporte. As ameaas independncia devem ser gerenciadas nos nveis do auditor individual, do trabalho de auditoria, funcional e organizacional.
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 1 de 20

A objetividade uma atitude mental imparcial que permite aos auditores internos executarem os trabalhos de auditoria de maneira a confiarem no resultado de seu trabalho e que no seja feito nenhum comprometimento da qualidade. A objetividade requer que os auditores internos no subordinem a outras pessoas o seu julgamento em assuntos de auditoria. As ameaas objetividade devem ser gerenciadas nos nveis do auditor individual, do trabalho de auditoria, funcional e organizacional. 1110 Independncia Organizacional O executivo chefe de auditoria deve reportar-se a um nvel dentro da organizao que permita atividade de auditoria interna cumprir suas responsabilidades. O executivo chefe de auditoria deve confirmar junto ao conselho, pelo menos anualmente, a independncia organizacional da atividade de auditoria interna. 1110.A1 A atividade de auditoria interna deve estar livre de interferncias na determinao do escopo da auditoria interna, na execuo dos trabalhos e na comunicao de resultados. 1111 Interao Direta com o Conselho O executivo chefe de auditoria deve se comunicar e interagir diretamente com o conselho. 1120 Objetividade Individual Os auditores internos devem adotar uma atitude imparcial e isenta e evitar qualquer conflito de interesses. Interpretao: O conflito de interesses uma situao na qual um auditor interno, que esteja em uma posio de confiana, tenha um interesse profissional ou pessoal conflitante. Tais interesses conflitantes podem tornar difcil a ele ou ela executar suas funes com imparcialidade. Um conflito de interesses existe mesmo que no se resulte em nenhum ato antitico ou imprprio. Um conflito de interesses pode criar uma aparncia de impropriedade que pode abalar a confiana no auditor interno, na atividade de auditoria interna e na profisso. Um conflito de interesses pode prejudicar a habilidade do indivduo de executar suas funes e responsabilidades objetivamente. 1130 Prejuzo Independncia ou Objetividade Caso a independncia ou a objetividade sejam prejudicadas de fato ou na aparncia, os detalhes de tal prejuzo devem ser divulgados s partes apropriadas. A natureza da divulgao depender do tipo de prejuzo. Interpretao: O prejuzo independncia organizacional e objetividade individual pode incluir, mas no se limitar, a um conflito de interesses pessoal; limitaes de escopo; restrio de acesso aos registros, ao pessoal e s propriedades e limitaes de recursos, tais como: recursos financeiros. A determinao das partes apropriadas para as quais os detalhes do prejuzo independncia ou objetividade devem ser divulgados depende das expectativas em relao atividade de auditoria interna e das responsabilidades do executivo chefe de auditoria junto alta administrao e ao conselho, conforme esteja descrito no estatuto de auditoria interna, assim como da natureza do prejuzo.
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 2 de 20

1130.A1 Os auditores internos devem abster-se de avaliar operaes especficas pelas quais tenham sido responsveis anteriormente. Presume-se que a objetividade fique prejudicada se um auditor interno prestar servios de avaliao (assurance) de uma atividade pela qual o auditor interno tenha sido responsvel durante ano anterior. 1130.A2 Os trabalhos de avaliao (assurance) de funes pelas quais o executivo chefe de auditoria tenha responsabilidade devem ser supervisionados por uma parte externa atividade de auditoria interna. 1130.C1 Os auditores internos podem prestar servios de consultoria relativos s operaes pelas quais tenham sido responsveis anteriormente. 1130.C2 Caso os auditores internos tenham potenciais prejuzos independncia ou objetividade com relao aos servios de consultoria propostos, o cliente do trabalho de auditoria deve ser informado antes do trabalho ser aceito. 1200 Proficincia e Zelo Profissional Devido Os trabalhos de auditoria devem ser executados com proficincia e zelo profissional devido. 1210 Proficincia Os auditores internos devem possuir o conhecimento, as habilidades e outras competncias necessrias ao desempenho de suas responsabilidades individuais. A atividade de auditoria interna deve possuir, ou obter, coletivamente o conhecimento, as habilidades e outras competncias necessrias ao desempenho de suas responsabilidades. Interpretao: Os conhecimentos, as habilidades e outras competncias so termos gerais que se referem proficincia profissional requerida dos auditores internos para desempenharem eficazmente suas responsabilidades profissionais. Os auditores internos so encorajados a demonstrar sua proficincia obtendo as certificaes e qualificaes profissionais apropriadas, tais como o ttulo de Certified Internal Auditor e outras certificaes promovidas pelo The Institute of Internal Auditors (IIA) e outras organizaes profissionais apropriadas. 1210.A1 O executivo chefe de auditoria deve obter aconselhamento e assistncia competentes caso os auditores internos no possuam os conhecimentos, as habilidades ou outras competncias necessrias realizao de todo ou parte do trabalho de auditoria. 1210.A2 Os auditores internos devem possuir conhecimento suficiente para avaliar o risco de fraude e a maneira com o qual gerenciado pela organizao, porm, no se espera que possuam a especializao de uma pessoa cuja principal responsabilidade seja detectar e investigar fraudes. 1210.A3 Os auditores internos devem possuir conhecimento suficiente sobre os principais riscos e controles de tecnologia da informao e sobre as tcnicas de auditoria baseadas em tecnologia disponveis para a execuo dos trabalhos a eles designados. Entretanto, no se espera que todos os auditores internos possuam a especializao de um auditor interno cuja principal responsabilidade seja auditoria de tecnologia da informao.
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 3 de 20

1210.C1 O executivo chefe de auditoria deve declinar dos trabalhos de consultoria, ou obter competente aconselhamento e assistncia, caso os auditores internos no possuam os conhecimentos, as habilidades ou outras competncias necessrias realizao de todo ou parte do trabalho. 1220 Zelo Profissional Devido Os auditores internos devem empregar o zelo e habilidades esperados de um auditor interno razoavelmente prudente e competente. O zelo profissional devido no implica em infalibilidade. 1220.A1 Os auditores internos devem exercer o zelo profissional devido levando em considerao: A extenso do trabalho necessria para alcanar os objetivos do trabalho de auditoria; A complexidade relativa, a materialidade ou a significncia dos assuntos aos quais os procedimentos de avaliao (assurance) so aplicados; A adequao e a eficcia dos processos de governana, gerenciamento de riscos e controles; A probabilidade de erros significativos, fraudes ou no conformidades; e O custo da avaliao (assurance) em relao aos potenciais benefcios.

1220.A2 No exerccio do zelo profissional devido, os auditores internos devem considerar a utilizao de auditoria baseada em tecnologia e outras tcnicas de anlise de dados. 1220.A3 Os auditores internos devem estar alertas aos riscos significativos que poderiam afetar os objetivos, as operaes ou os recursos. Entretanto, os procedimentos de avaliao (assurance) isoladamente, mesmo quando realizados com o zelo profissional devido, no garantem que todos os riscos significativos sero identificados. 1220.C1 Os auditores internos devem exercer o zelo profissional devido durante um trabalho de consultoria, levando em considerao: As necessidades e as expectativas dos clientes, incluindo a natureza, o prazo e a comunicao dos resultados do trabalho; A complexidade relativa e a extenso do trabalho necessria para alcanar os objetivos do trabalho; e O custo do trabalho de consultoria em relao aos potenciais benefcios.

1230 Desenvolvimento Profissional Contnuo Os auditores internos devem aperfeioar seus conhecimentos, habilidades e outras competncias atravs do desenvolvimento profissional contnuo.

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 4 de 20

1300 Programa de Garantia de Qualidade e Melhoria O executivo chefe de auditoria deve desenvolver e manter um programa de garantia de qualidade e melhoria que compreenda todos os aspectos da atividade de auditoria interna. Interpretao: Um programa de garantia da qualidade e melhoria desenhado para permitir uma avaliao da conformidade da atividade de auditoria interna com a Definio de Auditoria Interna e com as Normas, e uma avaliao quanto a se os auditores internos observam o Cdigo de tica. O programa tambm avalia a eficincia e a eficcia da atividade de auditoria interna e identifica oportunidades de melhoria. 1310 Requerimentos do Programa de Garantia de Qualidade e Melhoria O programa de garantia de qualidade e melhoria deve incluir tanto avaliaes internas quanto externas. 1311 Avaliaes Internas As avaliaes internas devem incluir: Monitoramento contnuo do desempenho da atividade de auditoria interna; e Revises peridicas realizadas atravs de autoavaliao ou por outras pessoas da organizao com conhecimento suficiente das prticas de auditoria interna.

Interpretao: O monitoramento contnuo uma parte integrante da rotina diria de superviso, reviso e avaliao da atividade de auditoria interna. O monitoramento contnuo est incorporado s polticas e prticas rotineiras utilizadas para gerenciar a atividade de auditoria interna e utiliza os processos, as ferramentas e as informaes consideradas necessrias para avaliar a conformidade com a Definio de Auditoria Interna, com o Cdigo de tica e com as Normas. As revises peridicas so avaliaes conduzidas para avaliar a conformidade com a Definio de Auditoria Interna, com o Cdigo de tica e com as Normas. O conhecimento suficiente das prticas de auditoria interna requer, pelo menos, a compreenso de todos os elementos da Estrutura Internacional de Prticas Profissionais (International Professional Practices Framework - IPPF). 1312 Avaliaes Externas As avaliaes externas devem ser realizadas pelo menos uma vez a cada cinco anos, por um revisor, ou uma equipe de reviso, qualificado e independente, externo organizao. O executivo chefe de auditoria deve discutir com o conselho: A necessidade de avaliaes externas mais frequentes; e A qualificao e independncia do revisor externo, ou equipe de reviso, incluindo qualquer potencial conflito de interesses.

Interpretao: Um revisor, ou equipe de reviso, qualificado consiste de indivduos que so competentes na prtica profissional de auditoria interna e no processo de avaliao externa. A avaliao da competncia do revisor e equipe de reviso um julgamento que considera a experincia profissional de auditoria interna e as credenciais profissionais dos indivduos selecionados para
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 5 de 20

realizar a reviso. A avaliao das qualificaes tambm considera o tamanho e a complexidade das organizaes as quais os revisores j tenham tido relacionamentos profissionais, em comparao organizao da atividade de auditoria interna que est sendo revisada, assim como a necessidade de conhecimento tcnico em determinado setor ou indstria especficos. Um revisor, ou equipe de reviso, independente significa no haver nenhum conflito de interesses real ou aparente, e no ser parte ou estar sob o controle da organizao da qual a atividade de auditoria interna faz parte. 1320 Reporte do Programa de Garantia de Qualidade e Melhoria O executivo chefe de auditoria deve comunicar os resultados do programa de garantia de qualidade e melhoria alta administrao e ao conselho. Interpretao: A forma, o contedo e a frequncia da comunicao dos resultados do programa de garantia de qualidade e melhoria so estabelecidos atravs de discusses com a alta administrao e o conselho e consideram as responsabilidades da atividade de auditoria interna e do executivo chefe de auditoria, como disposto no estatuto de auditoria interna. Para demonstrar a conformidade com a Definio de Auditoria Interna, com o Cdigo de tica e com as Normas, os resultados de avaliaes externas e internas peridicas so comunicados to logo estas avaliaes forem completadas, os resultados do monitoramento contnuo so comunicados, pelo menos anualmente. Os resultados incluem a avaliao do revisor, ou equipe de reviso, com relao ao grau de conformidade. 1321 Uso de Em conformidade com as Normas Internacionais para a Prtica Profissional de Auditoria Interna O executivo chefe de auditoria pode declarar que a atividade de auditoria interna est em conformidade com as Normas Internacionais para a Prtica Profissional de Auditoria Interna, somente se os resultados do programa de garantia de qualidade e melhoria sustentam esta declarao. 1322 Divulgao de No Conformidade Quando a no conformidade com a Definio de Auditoria Interna, com o Cdigo de tica ou com as Normas impactar o escopo geral ou a operao da atividade de auditoria interna, o executivo chefe de auditoria deve divulgar a no conformidade e os impactos alta administrao e ao conselho.

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 6 de 20

Normas de Desempenho
2000 Gerenciamento da Atividade de Auditoria Interna O executivo chefe de auditoria deve gerenciar eficazmente a atividade de auditoria interna para assegurar que ela adiciona valor organizao. Interpretao: A atividade de auditoria interna gerenciada eficazmente quando: Os resultados do trabalho da atividade de auditoria interna cumprem o propsito e a responsabilidade includos no estatuto de auditoria interna; A atividade de auditoria interna est em conformidade com a Definio de Auditoria Interna e com as Normas; e Os indivduos que fazem parte da atividade de auditoria interna demonstram conformidade com o Cdigo de tica e com as Normas.

2010 Planejamento O executivo chefe de auditoria deve estabelecer um planejamento baseado em riscos para determinar as prioridades da atividade de auditoria interna, de forma consistente com as metas da organizao. Interpretao: O executivo chefe de auditoria o responsvel pelo desenvolvimento de um planejamento baseado em riscos. O executivo chefe de auditoria leva em considerao a estrutura de gerenciamento de riscos da organizao, incluindo o uso dos nveis de apetite de risco estabelecidos pela administrao para as diferentes atividades ou partes da organizao. Se no houver uma estrutura, o executivo chefe de auditoria utiliza seu prprio julgamento quanto aos riscos aps consultar a alta administrao e o conselho. 2010.A1 O planejamento dos trabalhos da atividade de auditoria interna deve ser baseado em uma avaliao de risco documentada, realizada pelo menos anualmente. As informaes fornecidas pela alta administrao e pelo conselho devem ser consideradas neste processo. 2010.C1 O executivo chefe de auditoria deveria se basear, ao considerar a aceitao de propostas de trabalhos de consultoria, no potencial destes trabalhos para aperfeioar o gerenciamento de riscos, de adicionar valor e de melhorar as operaes da organizao. Os trabalhos aceitos devem ser includos no planejamento. 2020 Comunicao e Aprovao O executivo chefe de auditoria deve comunicar o planejamento da atividade de auditoria interna e os requerimentos de recursos, incluindo alteraes interinas significativas, alta administrao e ao conselho para reviso e aprovao. O executivo chefe de auditoria deve tambm comunicar o impacto das limitaes de recursos. 2030 Gerenciamento de Recursos O executivo chefe de auditoria deve assegurar que os recursos de auditoria interna sejam apropriados, suficientes e eficazmente aplicados para o cumprimento do planejamento aprovado.
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 7 de 20

Interpretao: Apropriado refere-se combinao de conhecimentos, habilidades e outras competncias necessrias para executar o planejamento. Suficiente refere-se quantidade de recursos necessrios para cumprir o planejamento. Os recursos so aplicados eficazmente quando so utilizados de forma a otimizar o cumprimento do planejamento aprovado. 2040 Polticas e Procedimentos O executivo chefe de auditoria deve estabelecer polticas e procedimentos para orientar a atividade de auditoria interna. Interpretao: A forma e o contedo das polticas e procedimentos dependem do tamanho e da estrutura da atividade de auditoria interna, e da complexidade de seu trabalho. 2050 Coordenao O executivo chefe de auditoria deveria compartilhar informaes e coordenar atividades com outros prestadores internos e externos de servios de avaliao (assurance) e consultoria para assegurar que a cobertura apropriada e a minimizao da duplicao de esforos. 2060 Reporte para a Alta Administrao e o Conselho O executivo chefe de auditoria deve reportar periodicamente alta administrao e ao conselho sobre o propsito, a autoridade e a responsabilidade da atividade de auditoria interna e o desempenho em relao ao seu planejamento. Os reportes devem tambm incluir a exposio de pontos de riscos significativos e de controles, incluindo os riscos de fraude, os assuntos de governana e outros assuntos necessrios ou solicitados pela alta administrao e pelo conselho. Interpretao: A frequncia e o contedo dos reportes so determinados em discusso com a alta administrao e com o conselho e dependem da importncia da informao a ser comunicada e da urgncia das respectivas aes a serem tomadas pela alta administrao ou pelo conselho. 2100 Natureza do Trabalho A atividade de auditoria interna deve avaliar e contribuir para a melhoria dos processos de governana, gerenciamento de riscos e controles, utilizando uma abordagem sistemtica e disciplinada. 2110 Governana A atividade de auditoria interna deve avaliar e propor recomendaes apropriadas para a melhoria do processo de governana no seu cumprimento dos seguintes objetivos: Promover a tica e os valores apropriados dentro da organizao; Assegurar o gerenciamento eficaz do desempenho organizacional e a prestao de contas; Comunicar as informaes relacionadas aos riscos e aos controles s reas apropriadas da organizao; e Coordenar as atividades e a comunicao das informaes entre o conselho, os auditores externos e internos e a administrao.
Normas Internacionais Pgina 8 de 20 2009 The Institute of Internal Auditors

Emitido: outubro de 2008 Revisado:

2110.A1 A atividade de auditoria interna deve avaliar o desenho, implantao e a eficcia dos objetivos, programas e atividades da organizao relacionados tica. 2110.A2 A atividade de auditoria interna deve avaliar se a governana de tecnologia da informao da organizao sustenta e d suporte s estratgias e objetivos da organizao. 2110.C1 Os objetivos de trabalho de consultoria devem ser consistentes com os valores e metas globais da organizao. 2120 Gerenciamento de riscos A atividade de auditoria interna deve avaliar a eficcia e contribuir para a melhoria dos processos de gerenciamento de riscos. Interpretao: Determinar se os processos de gerenciamento de riscos so eficazes um julgamento que resulta da avaliao do auditor interno quanto a se: Os objetivos da organizao do suporte e esto alinhados com a misso da organizao; Os riscos significativos so identificados e avaliados; Respostas apropriadas aos riscos so selecionadas de forma a alinhar os riscos com o apetite de risco da organizao; e Informaes de riscos relevantes so capturadas e comunicadas de forma oportuna atravs da organizao, permitindo que colaboradores, administrao e conselho cumpram com suas responsabilidades.

Os processos de gerenciamento de riscos so monitorados atravs de atividades contnuas de gerenciamento, de avaliaes especficas ou de ambos. 2120.A1 A atividade de auditoria interna deve avaliar as exposies a riscos relacionadas governana, s operaes e aos sistemas de informao da organizao, em relao a: Confiabilidade e integridade das informaes financeiras e operacionais; Eficcia e eficincia das operaes; Salvaguarda dos ativos; e Conformidade com leis, regulamentos e contratos.

2120.A2 A atividade de auditoria interna deve avaliar o potencial de ocorrncia de fraude e como a organizao gerencia o risco de fraude. 2120.C1 Durante os trabalhos de consultoria, os auditores internos devem enderear os riscos de forma consistente com os objetivos do trabalho e estar alertas existncia de outros riscos significativos. 2120.C2 Os auditores internos devem incorporar os conhecimentos sobre riscos adquiridos nos trabalhos de consultoria sua avaliao dos processos de gerenciamento de riscos da organizao.
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 9 de 20

2120.C3 Ao auxiliar a administrao no estabelecimento ou na melhoria dos processos de gerenciamento de riscos, os auditores internos devem abster-se de assumir qualquer responsabilidade da administrao de efetivamente gerenciar os riscos. 2130 Controle A atividade de auditoria interna deve auxiliar a organizao a manter controles efetivos a partir da avaliao sua eficcia e eficincia e da promoo de melhorias contnuas. 2130.A1- A atividade de auditoria interna deve avaliar a adequao e a eficcia dos controles em resposta aos riscos, abrangendo a governana, as operaes e os sistemas de informao da organizao, com relao a: Confiabilidade e integridade das informaes financeiras e operacionais; Eficcia e eficincia das operaes; Salvaguarda dos ativos; e Conformidade com leis, regulamentos e contratos.

2130.A2 Os auditores internos deveriam verificar a extenso na qual metas e objetivos operacionais e de programas tenham sido estabelecidos e estejam em conformidade com aqueles da organizao. 2130.A3 Os auditores internos deveriam revisar as operaes e programas para verificar a extenso na qual os resultados so consistentes com as metas e os objetivos estabelecidos, para determinar se as operaes e programas esto sendo implantados ou executados como pretendido. 2130.C1 Durante os trabalhos de consultoria, os auditores internos devem enderear os controles de forma consistente com os objetivos do trabalho e estarem alertas para pontos significativos de controle. 2130.C2 Os auditores internos devem incorporar o conhecimento dos controles adquirido em trabalhos de consultoria na avaliao dos processos de controle da organizao. 2200 Planejamento do Trabalho de Auditoria Os auditores internos devem desenvolver e documentar um planejamento para cada trabalho de auditoria, incluindo os objetivos, o escopo, o prazo e a alocao de recursos do trabalho. 2201 Consideraes sobre o Planejamento No planejamento dos trabalhos de auditoria, os auditores internos devem considerar: Os objetivos da atividade que est sendo revisada e os meios pelos quais a atividade controla seu desempenho; Os riscos significativos para a atividade, seus objetivos, recursos e operaes e os meios pelos quais o impacto potencial dos riscos mantido em um nvel aceitvel; A adequao e a eficcia dos processos de gerenciamento de riscos e controle da atividade, comparativamente a uma estrutura ou modelo de controle compatvel; e As oportunidades para se fazer melhorias significativas nos processos de gerenciamento de riscos e controle da atividade.
Normas Internacionais Pgina 10 de 20 2009 The Institute of Internal Auditors

Emitido: outubro de 2008 Revisado:

2201.A1 Ao planejar um trabalho de auditoria a ser executado por terceiros externos organizao, os auditores internos devem estabelecer com estes um entendimento por escrito dos objetivos, do escopo, das respectivas responsabilidades e de outras expectativas, incluindo restries na distribuio dos resultados do trabalho e acesso aos registros do trabalho. 2201.C1 Os auditores internos devem estabelecer um entendimento com os clientes dos trabalhos de consultoria quanto aos objetivos, ao escopo e s respectivas responsabilidades e a outras expectativas do cliente. Para trabalhos significativos, este entendimento deve ser documentado. 2210 Objetivos do Trabalho de Auditoria Os objetivos devem ser estabelecidos para cada trabalho de auditoria. 2210.A1 Os auditores internos devem conduzir uma avaliao preliminar dos riscos relevantes para a atividade sob reviso. Os objetivos do trabalho de auditoria devem refletir os resultados desta avaliao. 2210.A2 Os auditores internos devem considerar a probabilidade de erros significativos, fraudes, no conformidades e outras exposies ao desenvolver os objetivos do trabalho. 2210.A3 So necessrios critrios adequados para avaliar os controles. Os auditores internos devem verificar a extenso na qual a administrao estabeleceu critrios adequados para determinar se os objetivos e metas tm sido alcanados. Se forem adequados, os auditores internos devem utilizar tais critrios em sua avaliao. Se inadequados, os auditores internos devem trabalhar com a administrao para desenvolver critrios apropriados de avaliao. 2210.C1 Os objetivos dos trabalhos de consultoria devem enderear os processos de governana, gerenciamento de riscos e controle na extenso previamente acordada com o cliente. 2220 Escopo do Trabalho de Auditoria O escopo estabelecido deve ser suficiente para satisfazer os objetivos do trabalho de auditoria. 2220.A1 O escopo do trabalho de auditoria deve incluir consideraes sobre sistemas, registros, pessoal e propriedades fsicas relevantes, incluindo aqueles sob o controle de terceiros. 2220.A2 Se oportunidades de trabalhos de consultoria significativos surgirem durante um trabalho de avaliao (assurance) um entendimento por escrito especfico dos objetivos, do escopo, das respectivas responsabilidades e de outras expectativas que deveriam ser atendidas, assim como os resultados do trabalho de consultoria, deveriam ser comunicados em conformidade com as normas de consultoria.

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 11 de 20

2220.C1 Ao executar trabalhos de consultoria, os auditores internos devem assegurar que o escopo do trabalho seja suficiente para enderear os objetivos previamente acordados. Caso os auditores internos desenvolvam restries quanto ao escopo durante o trabalho, estas restries devem ser discutidas com o cliente para se determinar se o trabalho ir continuar. 2230 Alocao de Recursos para o Trabalho de Auditoria Os auditores internos devem determinar os recursos apropriados e suficientes para cumprir os objetivos do trabalho de auditoria, baseado em uma avaliao da natureza e da complexidade de cada trabalho, das restries de tempo e dos recursos disponveis. 2240 Programa de Trabalho de Auditoria Os auditores internos devem desenvolver e documentar programas de trabalho que atendam aos objetivos do trabalho. 2240.A1 Os programas de trabalho devem incluir os procedimentos para identificar, analisar, avaliar e documentar as informaes durante o trabalho de auditoria. O programa de trabalho deve ser aprovado antes de ser implantado e quaisquer ajustes devem ser prontamente aprovados. 2240.C1 Os programas de trabalho para trabalhos de consultoria podem variar na forma e no contedo dependendo da natureza do trabalho. 2300 Execuo do Trabalho de Auditoria: Os auditores internos devem identificar, analisar, avaliar e documentar informaes suficientes para cumprir os objetivos do trabalho de auditoria. 2310 Identificao das Informaes Os auditores internos devem identificar informaes suficientes, confiveis, relevantes e teis para cumprir os objetivos do trabalho de auditoria. Interpretao: Informao suficiente factual, adequada e convincente de forma que uma pessoa prudente e informada chegaria s mesmas concluses que o auditor. Informao confivel a melhor informao possvel de ser obtida atravs da utilizao de tcnicas de auditoria apropriadas. Informao relevante d suporte s observaes e recomendaes do trabalho de auditoria e consistente com os objetivos do trabalho de auditoria. Informao til auxilia a organizao a atingir as suas metas. 2320 Anlise e Avaliao Os auditores internos devem basear suas concluses e resultados dos trabalhos de auditoria em anlises e avaliaes apropriadas. 2330 Documentao das Informaes Os auditores internos devem documentar as informaes relevantes para dar suporte s concluses e aos resultados do trabalho de auditoria.

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 12 de 20

2330.A1 O executivo chefe de auditoria deve controlar o acesso aos registros dos trabalhos. O executivo chefe de auditoria deve obter a aprovao da alta administrao e/ou advogados antes de liberar tais registros para partes externas, conforme for apropriado. 2330.A2 O executivo chefe de auditoria deve desenvolver requisitos de reteno para os registros do trabalho de auditoria, independentemente do meio onde cada registro est armazenado. Estes requisitos de reteno devem ser consistentes com as diretrizes da organizao e quaisquer outras regulamentaes ou outros requerimentos pertinentes. 2330.C1 O executivo chefe de auditoria deve desenvolver polticas para reger a custdia e reteno de registros de trabalhos de consultoria, bem como sua liberao para partes internas e externas. Estas polticas devem ser consistentes com as diretrizes da organizao e quaisquer exigncias regulatrias ou outros requerimentos pertinentes. 2340 Superviso do Trabalho de Auditoria Os trabalhos de auditoria devem ser adequadamente supervisionados para assegurar que os objetivos sejam alcanados, a qualidade seja assegurada e que a equipe seja desenvolvida. Interpretao: A extenso da superviso requerida depender da proficincia e experincia dos auditores internos e da complexidade do trabalho de auditoria. O executivo chefe de auditoria tem a responsabilidade global pela superviso do trabalho de auditoria, quer ele seja executado pela ou para a atividade de auditoria interna, mas ele pode designar membros da equipe da atividade de auditoria interna com a adequada experincia para efetuar a reviso. A evidncia apropriada da superviso documentada e mantida. 2400 Comunicao dos Resultados Os auditores internos devem comunicar os resultados do trabalho de auditoria. 2410 Critrios para a Comunicao As comunicaes devem incluir os objetivos e o escopo do trabalho de auditoria, assim como as concluses, recomendaes e planos de ao aplicveis. 2410.A1 A comunicao final dos resultados do trabalho deve, quando apropriado, conter a opinio geral e/ou concluses dos auditores internos. 2410.A2 Os auditores internos so encorajados a reconhecer o desempenho satisfatrio nas comunicaes dos trabalhos de auditoria. 2410.A3 Ao divulgar os resultados do trabalho para partes externas organizao, a comunicao deve conter limitaes sobre a distribuio e o uso dos resultados. 2410.C1 A comunicao sobre o progresso e os resultados de um trabalho de consultoria ir variar na forma e no contedo, dependendo da natureza do trabalho e das necessidades do cliente.

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 13 de 20

2420 Qualidade das Comunicaes As comunicaes devem ser precisas, objetivas, claras, concisas, construtivas, completas e tempestivas. Interpretao: Comunicaes precisas so livres de erros e distores e so fiis aos fatos fundamentais. Comunicaes objetivas so justas, imparciais e neutras e so o resultado de um julgamento justo e equilibrado de todos os fatos e circunstncias relevantes. Comunicaes claras so facilmente compreendidas e so lgicas, evitam linguagem tcnica desnecessria e fornecem todas as informaes significativas e relevantes. Comunicaes concisas so diretas ao ponto e evitam elaborao desnecessria, detalhes suprfluos, redundncia e excesso de palavras. Comunicaes construtivas so teis ao cliente do trabalho de auditoria e organizao e conduzem s melhorias onde seja necessrio. Comunicaes completas no omitem nada do que seja essencial audincia alvo e incluem todas as informaes significativas e relevantes e as observaes que do suporte s recomendaes e concluses. Comunicaes tempestivas so oportunas e prticas, dependem da importncia do ponto, permitem administrao tomar as aes corretivas apropriadas. 2421 Erros e Omisses Se uma comunicao final contiver erro ou omisso significativa, o executivo chefe de auditoria deve comunicar a informao correta a todas as partes que tenham recebido a comunicao original. 2430 Uso de Conduzido em Conformidade com as Normas Internacionais para a Prtica Profissional de Auditoria Interna Os auditores internos podem reportar que seus trabalhos so conduzidos em conformidade com as Normas Internacionais para a Prtica Profissional de Auditoria Interna somente se os resultados do programa de garantia de qualidade e melhoria sustentarem esta declarao. 2431 Declarao de No Conformidade do Trabalho de Auditoria Quando a no conformidade com a Definio de Auditoria Interna, com o Cdigo de tica ou com as Normas impactar em um trabalho especfico, a comunicao dos resultados deve divulgar: O princpio ou regra de conduta do Cdigo de tica ou Norma(s) cuja conformidade plena no foi alcanada; A(s) razo(es) para a no conformidade; e O impacto da no conformidade sobre o trabalho de auditoria e sobre os resultados do trabalho comunicados.

2440 Divulgao dos Resultados O executivo chefe de auditoria interna deve comunicar os resultados s partes apropriadas. Interpretao: O executivo chefe de auditoria, ou designado, revisa e aprova a comunicao final do trabalho de auditoria antes da sua emisso e decide a quem e como ela ser disseminada. 2440.A1 O executivo chefe de auditoria o responsvel pela comunicao dos resultados finais s partes que possam assegurar que os resultados recebam a devida considerao.
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 14 de 20

2440.A2 Se no houver exigncias legais, estatutrias ou regulatrias em contrrio, antes de se divulgar os resultados para partes externas organizao, o executivo chefe de auditoria deve: Avaliar o risco potencial organizao; Consultar a alta administrao e/ou advogado, conforme for apropriado; e Controlar a disseminao atravs da restrio da utilizao dos resultados.

2440.C1 O executivo chefe de auditoria o responsvel por comunicar os resultados finais de trabalhos de consultoria aos clientes. 2440.C2 Durante os trabalhos de consultoria, pontos relativos governana, gerenciamento de riscos e controles podem ser identificados. Toda vez que esses pontos forem significativos para a organizao, devem ser comunicadas alta administrao e ao conselho. 2500 Monitoramento do Progresso O executivo chefe de auditoria deve estabelecer e manter um sistema para monitorar a disposio dos resultados comunicados administrao. 2500.A1 O executivo chefe de auditoria deve estabelecer um processo de acompanhamento para monitorar e assegurar que as aes da administrao tenham sido efetivamente implantadas ou que a alta administrao tenha aceitado o risco de no tomar nenhuma ao. 2500.C1 A atividade de auditoria interna deve monitorar a disposio dos resultados dos trabalhos de consultoria na extenso previamente acordada com o cliente. 2600 Deciso quanto a Aceitao de Riscos por parte da Alta Administrao Quando o executivo chefe de auditoria acredita que a alta administrao aceitou um nvel de risco residual que pode ser inaceitvel para a organizao, o executivo chefe de auditoria deve discutir o assunto com a alta administrao. Caso a deciso relativa ao risco residual no seja resolvida, o executivo chefe de auditoria deve reportar a questo ao conselho, para deciso final.

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 15 de 20

Glossrio
Adicionar Valor (Agregar Valor) O valor fornecido ao se aumentarem as oportunidades de se atingir os objetivos organizacionais, identificando melhoria operacional e/ou reduzindo a exposio a riscos atravs de servios tanto de avaliao (assurance) quanto de consultoria. Ambiente de Controle Atitudes e aes do conselho e da administrao em relao importncia dos controles dentro da organizao. O ambiente de controle proporciona a disciplina e a estrutura para se atingir os principais objetivos do sistema de controle interno. O ambiente de controle inclui os seguintes elementos: Integridade e valores ticos. Filosofia e estilo operacional da administrao. Estrutura organizacional. Atribuio de autoridade e responsabilidade. Polticas e prticas de recursos humanos. Competncia do pessoal.

Apetite de Risco O nvel de risco que uma organizao est disposta a aceitar. Atividade de Auditoria Interna Um departamento, diviso, time de consultores ou outros profissionais que prestem servios independentes e objetivos de avaliao (assurance) e consultoria, desenhados para adicionar valor e melhorar as operaes da organizao. A atividade de auditoria interna auxilia uma organizao a realizar seus objetivos a partir da aplicao de uma abordagem sistemtica e disciplinada para avaliar e melhorar a eficcia dos processos de gerenciamento de riscos, controle e governana. Cdigo de tica O Cdigo de tica do The Institute of Internal Auditors (IIA) compe-se dos Princpios relevantes profisso e prtica de auditoria interna e das Regras de Conduta que descrevem o comportamento esperado dos auditores internos. O Cdigo de tica aplica-se tanto s partes quanto s entidades que prestam servios de auditoria interna. O propsito do Cdigo de tica promover uma cultura tica na profisso global de auditoria interna. Conflito de Interesses Qualquer relacionamento que no seja, ou aparenta no ser, no melhor interesse da organizao. Um conflito de interesses prejudicaria a habilidade de um indivduo desempenhar objetivamente suas obrigaes e responsabilidades. Conformidade Aderncia s polticas, planos, procedimentos, leis, regulamentaes, contratos ou outros requerimentos.

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 16 de 20

Conselho (Board) Um conselho um corpo diretivo da organizao, tais como: conselho de diretores, conselho de superviso, responsvel por uma agncia ou corpo legislativo, conselho de gestores ou curadores de uma organizao sem fins lucrativos ou qualquer outro corpo nomeado na organizao, incluindo o comit de auditoria, a quem o executivo chefe de auditoria pode funcionalmente se reportar. Controle Qualquer ao tomada pela administrao, conselho ou outras partes para gerenciar os riscos e aumentar a probabilidade de que os objetivos e metas estabelecidos sero alcanados. A administrao planeja, organiza e dirige a execuo de aes suficientes para prover razovel certeza de que os objetivos e metas sero alcanados. Controle Adequado Est presente se a administrao o tenha planejado e organizado (desenhado) de maneira que fornea uma razovel segurana de que os riscos da organizao tenham sido gerenciados eficazmente e de que as metas e objetivos da organizao sero atingidos eficiente e economicamente. Controles de Tecnologia da Informao Controles que do suporte administrao do negcio e governana, bem como fornecem controles gerais e controles tcnicos sobre a infraestrutura de tecnologia da informao, tais como: aplicativos, informaes, infraestrutura e pessoas. Deve (Must) As Normas utilizam a palavra deve para especificar um requerimento incondicional. Deveria (Should) As Normas utilizam a palavra deveria onde se espera conformidade a menos que, ao se aplicar o julgamento profissional, as circunstncias justifiquem o desvio. Estatuto (Charter) O estatuto de auditoria interna um documento formal que define o propsito, a autoridade e a responsabilidade da atividade de auditoria interna. O estatuto de auditoria interna estabelece a posio da atividade de auditoria interna dentro da organizao; autoriza o acesso aos registros, ao pessoal e s propriedades fsicas relevantes para o desempenho dos trabalhos de auditoria; e define o escopo das atividades de auditoria interna. Estrutura Internacional de Prticas Profissionais (International Professional Practices Framework - IPPF) Estrutura conceitual que organiza as orientaes oficiais promulgadas pelo IIA. As orientaes oficiais so compostas por duas categorias (1) mandatrias e (2) fortemente recomendadas. Executivo chefe de auditoria O executivo chefe de auditoria uma posio de alto nvel na organizao responsvel pelas atividades de auditoria interna. Normalmente, esta seria a de diretor de auditoria interna. No caso em que as atividades de auditoria interna so providas por prestadores externos de servios, o executivo chefe de auditoria a pessoa responsvel pela superviso dos servios contratados e pela garantia de qualidade geral destas atividades, pelo reporte para alta administrao e ao conselho em relao s atividades de auditoria interna e pelo
Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors Normas Internacionais Pgina 17 de 20

acompanhamento dos resultados dos trabalhos. O termo tambm inclui ttulos como auditor geral, lder de auditoria interna, auditor interno chefe e inspetor geral. Fraude Quaisquer atos ilegais caracterizados por desonestidade, dissimulao ou quebra de confiana. Estes atos no implicam no uso de ameaa de violncia ou de fora fsica. As fraudes so perpetradas por partes e organizaes a fim de se obter dinheiro, propriedade ou servios; para evitar pagamento ou perda de servios; ou para garantir vantagem pessoal ou em negcios. Gerenciamento de Riscos Processo para identificar, avaliar, administrar e controlar potenciais eventos ou situaes, para fornecer uma razovel certeza em relao ao cumprimento dos objetivos da organizao. Governana Combinao de processos e estruturas implantadas pelo conselho para informar, dirigir, administrar e monitorar as atividades da organizao com o intuito de alcanar os seus objetivos. Governana da Tecnologia da Informao Consiste da liderana, estruturas organizacionais e processos que asseguram que a tecnologia da informao corporativa sustenta e d suporte s estratgias e aos objetivos da organizao. Independncia Imunidade quanto s condies que ameaam a objetividade ou a aparncia de objetividade. Tais ameaas objetividade devem ser administradas nos nveis de auditor individual, do trabalho de auditoria, funcional e organizacional. Norma Um pronunciamento profissional promulgado pelo Conselho de Normas de Auditoria Interna (Internal Audit Standards Board) que delineia os requerimentos para se executar um amplo espectro de atividades de auditoria interna e para avaliar o desempenho da auditoria interna. Objetividade Atitude mental imparcial que permite aos auditores internos executarem os trabalhos de auditoria de maneira a terem uma confiana honesta no resultado de seu trabalho e que no seja feito nenhum comprometimento da qualidade. A objetividade requer que os auditores internos no subordinem a outras pessoas o seu julgamento em assuntos de auditoria. Objetivos do Trabalho de Auditoria Declaraes amplas desenvolvidas por auditores internos que definem os objetivos pretendidos com os trabalhos de auditoria. Prejuzo (Impairment) Prejuzos na independncia organizacional e na objetividade individual podem incluir conflito de interesses pessoais, limitaes de escopo, restrio de acesso aos registros, ao pessoal e s propriedades e limitaes na disponibilidade de recursos (financeiros).

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 18 de 20

Prestador Externo de Servio Uma pessoa ou empresa externa organizao que tenha conhecimentos, habilidades e experincia especiais em uma disciplina em particular. Processos de Controle Polticas, procedimentos e atividades que fazem parte da estrutura de controle, desenhados para assegurar que os riscos sejam contidos dentro das tolerncias a risco estabelecidas pelo processo de gerenciamento de riscos. Programa de Trabalho de Auditoria Um documento que relaciona os procedimentos a serem seguidos durante um trabalho de auditoria, desenhado para cumprir o planejamento do trabalho. Risco A possibilidade de ocorrer um evento que venha a ter impacto no cumprimento dos objetivos. O risco medido em termos de impacto e de probabilidade. Risco Residual Risco remanescente aps a administrao implantar aes para reduzir o impacto e a probabilidade do evento adverso, incluindo atividades de controle, em resposta a um risco. Servios de Avaliao (Assurance) Exame objetivo da evidncia com o propsito de fornecer para a organizao uma avaliao independente sobre os processos de governana, gerenciamento de riscos e controle. Exemplos podem incluir trabalhos de auditoria financeira, de desempenho, de conformidade, de segurana de sistemas e de due diligence. Servios de Consultoria Atividades de aconselhamento e servios relacionados prestados ao cliente, cuja natureza e escopo so acordados com o cliente e se destinam a adicionar valor e aperfeioar os processos de governana, gerenciamento de riscos e controle da organizao, sem que o auditor interno assuma qualquer responsabilidade que seja da administrao. Exemplos incluem orientao, assessoria, facilitao e treinamento. Significncia A importncia relativa de um assunto dentro do contexto no qual est sendo considerado, incluindo fatores quantitativos e qualitativos, tais como: magnitude, natureza, efeito, relevncia e impacto. O julgamento profissional auxilia os auditores internos quando se avalia a significncia de assuntos dentro do contexto dos objetivos relevantes. Tcnicas de Auditoria Baseadas em Tecnologia Qualquer ferramenta automatizada de auditoria, tais como: software de auditoria generalizado, geradores de dados de teste, programas de auditoria computadorizados, utilitrios de auditoria especializada e tcnicas de auditoria auxiliadas por computador TAACs (computer-assisted audit techniques - CAATs).

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 19 de 20

Trabalho de Auditoria (engagement) Uma atribuio especifica de auditoria interna, tarefa ou atividade de reviso, tais como uma auditoria interna, uma reviso de autoavaliao de controle (control self-assessment), investigao de fraude ou consultoria. Um trabalho de auditoria pode incluir tarefas mltiplas ou atividades desenhadas para cumprir um grupo especfico de objetivos relacionados.

***

Emitido: outubro de 2008 Revisado: 2009 The Institute of Internal Auditors

Normas Internacionais Pgina 20 de 20