IIA
ENQUADRAMENTO INTERNACIONAL DE
PRÁTICAS PROFISSIONAIS DE AUDITORIA
INTERNA
A. ORIENTAÇÕES OBRIGATÓRIAS
A.1. Definição de Auditoria Interna
A.2. Código de Ética
A.3. Normas Internacionais para a Prática Profissional de Auditoria
Interna (Standards)
Normas de Atributos
1000 - Objectivo, Autoridade, e Responsabilidade 1010 - Reconhecimento da Definição de Auditoria Interna, do Código de Ética e das
Normas no Estatuto da Auditoria Interna 1100 - Independência e Objectividade
1110 - Independência Organizacional 1111 - Interacção Directa com o Conselho 1120 - Objectividade Individual 1130 - Impedimentos à Independência e Objectividade
1200 - Proficiência e Adequado Cuidado Profissional
1210 - Proficiência 1220 – Cuidado Profissional Adequado 1230 - Desenvolvimento Profissional Contínuo
1300 - Programa de Garantia de Qualidade e Aperfeiçoamento
1310 - Requisitos do Programa de Garantia de Qualidade e Aperfeiçoamento 1311 - Avaliações Internas. 1312 - Avaliações Externas 1320 - Reporte sobre o Programa de Garantia de Qualidade e Aperfeiçoamento 1321 - Utilização da Expressão “Em Conformidade com as Normas para a Prática
Normas de Desempenho
2000 – Gestão da Actividade de Auditoria Interna
2010 – Planeamento 2020 – Comunicação e Aprovação 2030 – Gestão dos Recursos 2040 – Políticas e Procedimentos 2050 – Coordenação 2060 – Reporte aos Gestores Superiores e ao Conselho
2070 – External Service Provider and Organizational Responsibility for Internal
Auditing 2100 – Natureza do Trabalho 2110 – Governação 2120 – Gestão do Risco 2130 – Controlo 2200 – Planeamento do Compromisso de Auditoria
2201 – Considerações sobre o Planeamento 2210 – Objectivos do Compromisso 2220 – Âmbito do Compromisso 2230 – Alocação de Recursos ao Compromisso 2240 – Programa de Trabalho do Compromisso
2300 – Realização do Compromisso 2310 – Identificação da Informação 2320 – Análise e Avaliação 2330 – Documentação da Informação 2340 – Supervisão do Compromisso 2400 – Comunicação dos Resultados
2410 – Critérios para a Comunicação 2420 – Qualidade das Comunicações 2421 – Erros e Omissões
2430 – Utilização da Expressão “Conduzido em Conformidade com as Normas
Internacionais para a Prática Profissional de Auditoria Interna” 2431 – Divulgação de Não Conformidade 2440 – Divulgação dos Resultados
2450 – Overall Opinions
2500 – Monitorização do Progresso
2600 – Resolução da Aceitação dos Riscos pelos Gestores Superiores
B. ORIENTAÇÕES FORTEMENTE RECOMENDADAS
B.1. Documentos sobre Tomadas de Posição (Position Papers)
The Role of IA in Enterprise–wide Risk Management
The Role of IA in Resourcing The IA Activity
The Three Lines of Defense in Effective Risk Management and Control (Jan.2013)
B.2. Recomendações de Práticas (Practice Advisories)
Relativas a Normas de Atributos
PR 1000-1: Estatuto da Auditoria Interna PR 1110-1: Independência Organizacional PR 1111-1: Interacção com o Conselho PR 1120-1: Objectividade Individual
PR 1130-1: Impedimentos à Independência e Objectividade
PR 1130.A1-1: Avaliação de Operações Pelas Quais os Auditores Internos Eram Anteriormente Responsáveis
PR 1130.A2-1: Responsabilidade da Auditoria Interna por Outras Funções (extra auditoria)
PR 1200-1: Proficiência e Adequado Cuidado Profissional PR 1210-1: Proficiência
PR 1210.A1-1: Obtenção de Serviços Externos para Apoio ou Complemento da Actividade de Auditoria Interna
PR 1220-1: Cuidado Profissional Adequado PR 1230-1: Formação Profissional Contínua
PR 1300-1: Programa de Garantia de Qualidade e Aperfeiçoamento PR 1310-1: Avaliação do Programa de Qualidade
PR 1311-1: Avaliações Internas PR 1312-1: Avaliações Externas
PR 1312-2: Avaliações Externas: Auto-Avaliação com Validação Independente PA 1312-3: Independence of External Assessment Team in the Private Sector PA 1312-4: Independence of the External Assessment Team in the Public Sector PR 1321-1: Utilização da Expressão “Em conformidade com as Normas
Internacionais para a Prática Profissional de Auditoria Interna”
PR 2020-1: Comunicação e Aprovação PR 2030-1: Gestão dos Recursos PR 2040-1: Políticas e Procedimentos PR 2050-1: Coordenação
PA 2050-2: Assurance Maps
PA 2050-3: Relying on the Work of Other Assurance Providers PR 2060-1: Reporte aos Gestores Superiores e ao Conselho PA 2110-1: Governance: Definition
PA 2110-2: Governance: Relationship With Risk and Control PA 2110-3: Governance: Assessments
PR 2120-1: Avaliação da Adequação dos Processos de Gestão do Risco PA 2120-2: Managing the Risk of Internal Audit Activity
PA 2120-3: Internal Audit Coverage of Risks to Achieve Strategic Objectives PR 2130-1: Avaliação da Adequação dos Processos de Controlo
PR 2130.A1-1: Fiabilidade e Integridade da Informação
PR 2130.A1-2: Avaliação do Enquadramento de Privacidade de uma Organização PR 2200-1: Planeamento do Compromisso
PA 2200-2: Using a Topdown Risk-based Approach to Identify the Controls to Be
Assessed in an Internal Audit Engagement
PR 2210-1: Objectivos do Compromisso
PR 2210.A1-1: Avaliação do Risco no Planeamento do Compromisso PR 2230-1: Alocação de Recursos ao Compromisso
PR 2240-1: Programa do Trabalho do Compromisso
PA 2300-1: Use of Personal Information in Conducting Engagements PA 2320-1: Analytical Procedures
PA 2320-2: Root Cause Analysis PA 2320-3: Audit Sampling
PA 2320-4: Continuous Assurance
PR 2330 -1: Documentação da Informação
PR 2330.A1-1: Controlo de Acesso aos Arquivos do Compromisso PA 2330.A1-2: Granting Access to Engagement Records
PR 2330.A2-1: Retenção dos Arquivos PR 2340-1: Supervisão do Compromisso
PA 2400-1: Legal Considerations in Communicating Results PR 2410-1: Critérios de Comunicação
PR 2420-1: Qualidade das Comunicações PR 2440-1: Divulgação dos Resultados
PA 2440-2: Communicating Sensitive Information Within and Outside the Chain of
Command
PA 2440.A2-1: Communications Outside the Organization PR 2500-1: Monitorização do Progresso
B.3. Guias de Práticas (Practice Guides)
B.3.1. Practice Guides - General
Internal Auditing and Fraud
Auditing Business External Relationships
Formulating and Expressing Internal Audit Opinions
Evaluating Corporate Social Responsibility/Sustainable Development
Auditing Executive Compensation and Benefits
CAE Appointment, Performance Evaluation, and Termination
Measuring Internal Audit Effectiveness and Efficiency
Assessing the Adequacy of Risk Management Using ISO 31000
Assisting Small Internal Audit Activities in Implementing the International Standards for the Professional Practice of Internal Auditing
Auditing the Control Environment
Interaction with the Board
Independence and Objectivity
Reliance by Internal Audit on Other Assurance Providers
Coordinating Risk Management and Assurance
Quality Assurance and Improvement Program
Evaluating Ethics-related Programs and Activities
Integrated Auditing
Auditing Privacy Risks (2nd ed)
Developing the Internal Audit Strategic Plan
Assessing Organizational Governance in the Private Sector
Selecting, Using and Creating Maturity Models: a Tool for Assurance and Consulting Engagements (Jul.13)
Auditing Anti-bribery and Anti-corruption Programs (Jun.14)
Business Continuity Management (Ago.14)
B.3.2. Practice Guides - Public Sector
Assessing Organizational Governance in the Public Sector (Out.14)
How to Build a Strategic Competency Plan in the Public Sector (coming
soon)
B.3.3. Practice Guides – GTAG (Global Technology Audit Guides)
GTAG 1 – Information Technology Risk and Controls (2nd edition)
GTAG 2 - Change and Patch Management Controls: Critical for Organizational Success (2nd edition)
GTAG 3 - Continuous Auditing Implications for Assurance, Monitoring, and Risk Assessment
GTAG 4 - Management of IT Auditing (2nd edition) GTAG 5 - Auditing Privacy Risks (2nd edition)
GTAG 8 - Auditing Application Controls GATG 9 - Identity and Access Management GTAG 10 - Business Continuity Management GTAG 11 - Developing the IT Audit Plan GTAG 12 - Auditing IT Projects
GTAG 13 - Fraud Prevention and Detection in an Automated World GTAG 14 - Auditing User-developed Applications
GTAG 15 – Information Security Governance GTAG 16 – Data Analysis Technologies GTAG 17 – Auditing IT Governance
B.3.4. Practice Guides – GAIT (Guide to the Assessment of IT Risk)
GAIT Methodology
GAIT for IT General Control Deficiency Assessment
GAIT for Business and IT Risk
o Case Studies in Using GAIT for Business and IT Risk to Scope PCI Compliance